在Cisco Firepower设备上配置Syslog服务

步骤 1: Syslog服务器配置

为流量事件配置 Syslog 服务器，请进入配置 > ASA Firepower 配置 > 策略 > 动作告警，点击创建告警下拉菜单，选择创建Syslog告警选项。对于 Web 界面，请进入 策略 > 动作告警。输入Syslog服务器的值。

• name: 指定唯一标识 Syslog 服务器的名称。
• host: 指定 Syslog 服务器的 IP 地址/主机名。
• port: 指定 Syslog 服务器的端口号。
• Facility: 选择您的Syslog服务器上配置的任何facility。
• Severity: 选择您的Syslog服务器上配置的任何严重度。
• Tag: 指定要与Syslog消息一起出现的标记名称。

步骤 2: 启用连接事件的外部日志记录

• 当流量达到启用日志记录的访问规则时，会生成连接事件。要启用连接事件的外部日志记录，请导航到ASDM配置 > ASA Firepower 配置 > 策略 > 访问控制策略。对于 Web 界面，请进入策略 > 访问控制策略。编辑访问规则并进入日志选项。
• 选择记录选项记录在开始和结束连接或记录在连接结束。点击将连接事件发送到选项并指定发送事件的位置。
• 为了将事件发送到外部 Syslog 服务器，请选择Syslog，然后从下拉列表中选择 Syslog 告警响应。或者，您可以通过点击添加图标来添加 Syslog 告警响应。

步骤 3: 启用入侵事件的外部日志记录

• 当签名(snort 规则)与某些恶意流量匹配时，会生成入侵事件。要启用入侵事件的外部日志记录，请进入ASDM 配置 > ASA Firepower 配置 > 策略 > 入侵策略 > 入侵策略。对于 Web 界面，请进入策略 > 入侵策略 > 入侵策略 。创建新的入侵策略或编辑现有的。请点击高级设置 > 外部响应。
• 要将入侵事件发送到外部 Syslog 服务器，请在Syslog告警中选择已启用选项，然后点击编辑选项。日志主机:指定 Syslog 服务器的 IP 地址/主机名。
  Facility:选择在您的 Syslog 服务器上配置的任何设施。
  严重性:选择在您的 Syslog 服务器上配置的任何严重性。