Einleitung
Dieses Dokument beschreibt die Konfiguration von Syslog im FirePOWER Device Manager (FDM).
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- FirePOWER Threat Defence
- Syslog-Server mit Syslog-Software zur Datenerfassung
Konfigurationen
Schritt 1: Wählen Sie im Bildschirm "Main FirePOWER Device Manager" die Protokollierungseinstellungen unter den Systemeinstellungen in der unteren rechten Ecke des Bildschirms aus.
Schritt 2: Wählen Sie im Bildschirm "System Settings" (Systemeinstellungen) im linken Menü die Option Logging Settings (Protokollierungseinstellungen) aus.
Schritt 3: Aktivieren Sie den Umschalter Datenprotokollierung, und wählen Sie unter Syslog-Server das Pluszeichen (+) aus.
Schritt 4: Wählen Sie Syslog-Server hinzufügen aus. Alternativ können Sie das Syslog-Server-Objekt unter Objekte - Syslog-Server erstellen.
Schritt 5: Geben Sie die IP-Adresse Ihres Syslog-Servers und die Portnummer ein. Aktivieren Sie das Optionsfeld Datenschnittstelle, und klicken Sie auf OK.
Schritt 6: Wählen Sie den neuen Syslog-Server aus, und klicken Sie auf OK.
Schritt 7. Wählen Sie den Schweregrad aus, um mit dem Optionsfeld Alle Ereignisse zu filtern, und wählen Sie den gewünschten Protokollierungsgrad aus.
Schritt 8: Klicken Sie unten im Bildschirm auf Speichern.
Schritt 9. Überprüfen Sie, ob die Einstellungen erfolgreich waren.
Schritt 10. Bereitstellen der neuen Einstellungen
und
OPTIONAL.
Darüber hinaus können die Zugriffskontrollregeln für die Zugriffskontrollrichtlinie so festgelegt werden, dass sie sich beim Syslog-Server anmelden:
Schritt 1: Klicken Sie oben im Bildschirm auf Richtlinien.
Schritt 2: Bewegen Sie den Mauszeiger über die rechte Seite der ACP-Regel, um die Protokollierung hinzuzufügen, und wählen Sie das Bleistiftsymbol aus.
Schritt 3: Wählen Sie die Registerkarte Protokollierung aus, aktivieren Sie das Optionsfeld Am Ende der Verbindung, wählen Sie den Dropdown-Pfeil unter Syslog-Warnmeldungskonfiguration auswählen, wählen Sie den Syslog-Server aus, und klicken Sie auf OK.
Schritt 4: Bereitstellen der Konfigurationsänderungen
Überprüfung
Schritt 1: Nachdem die Aufgabe abgeschlossen ist, überprüfen Sie die Einstellungen im FTD CLI-Clientmodus mit dem Befehl show running-config logging.
Schritt 2: Navigieren Sie zum Syslog-Server, und stellen Sie sicher, dass die Syslog-Serveranwendung die Syslog-Meldungen akzeptiert.
Fehlerbehebung
Schritt 1: Wenn die Syslog-Meldungen der Syslog-Anwendung Meldungen hervorrufen, führen Sie eine Paketerfassung über die FTD-CLI durch, um zu überprüfen, ob Pakete vorhanden sind. Geben Sie den Befehl system support diagnostic-cli an der Eingabeaufforderung clish ein, um vom Clish-Modus in Lina zu wechseln.
Schritt 2: Erstellen Sie eine Paketerfassung für Ihren UDP 514 (oder TCP 1468, wenn Sie TCP verwendet haben)
Schritt 3: Stellen Sie sicher, dass die Kommunikation zur Netzwerkschnittstellenkarte auf dem Syslog-Server gelangt. Verwenden Sie Wireshark oder ein anderes Paket, das das geladene Dienstprogramm erfasst. Doppelklicken Sie auf die Schnittstelle in Wireshark, damit der Syslog-Server die Paketerfassung starten kann.
Schritt 4: Setzen Sie in der oberen Leiste einen Anzeigefilter für udp 514; geben Sie udp.port==514 ein, und wählen Sie den Pfeil rechts neben der Leiste aus. Überprüfen Sie anhand der Ausgabe, ob die Pakete den Syslog-Server erreichen können.
Schritt 5: Wenn die Syslog-Serveranwendung die Daten nicht anzeigt, beheben Sie den Fehler in der Syslog-Serveranwendung. Stellen Sie sicher, dass das richtige Protokoll verwendet wird: udp/tcp und der richtige Port, 514/1468.
Zugehörige Informationen