In diesem Dokument wird beschrieben, wie Sie die Ursache ermitteln und das Problem beheben, wenn Verbindungsereignisse im FireSIGHT Management Center nach mehrtägiger Ausführung des Systems nicht mehr auftreten. Dies kann durch die Konfigurationseinstellungen des Management Centers verursacht werden.
Cisco empfiehlt, dass Sie über Kenntnisse des FireSIGHT Management Center verfügen.
Die Informationen in diesem Dokument basieren auf folgenden Hardware- und Software-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Um die Anzahl der Verbindungsereignisse zu bestimmen, die in einem FireSIGHT Management Center gespeichert werden,
Anhand dieser Informationen können Sie ermitteln, wie viele und wie lange Sie Verbindungsereignisse mit Ihrer aktuellen Konfiguration beibehalten können.
Überprüfen Sie, welche Verbindungen protokolliert werden und wo im Datenfluss diese Verbindungen protokolliert werden. Sie sollten Verbindungen entsprechend den Sicherheits- und Compliance-Anforderungen Ihres Unternehmens protokollieren. Wenn Sie die Anzahl der von Ihnen generierten Ereignisse begrenzen möchten, aktivieren Sie die Protokollierung nur für die Regeln, die für Ihre Analyse wichtig sind. Wenn Sie jedoch eine umfassende Ansicht des Netzwerkverkehrs benötigen, können Sie die Protokollierung für zusätzliche Zugriffskontrollregeln oder für die Standardaktion aktivieren. Sie können die Verbindungsprotokollierung für nicht wichtigen Datenverkehr deaktivieren, um Verbindungsereignisse für einen längeren Zeitraum zu speichern.
In diesem Diagramm werden die verschiedenen Protokollierungsoptionen erläutert, die für jede Regelaktion verfügbar sind:
Regelaktion oder Protokolloption | Zu Beginn protokollieren | Am Ende protokollieren |
Trust Standardaktion: Vertrauen |
X | X |
Zulassen Standardaktion: Eindringen Standardaktion: Erkennung |
X | X |
Überwachung | X (erforderlich) | |
Blockieren Blockieren mit Zurücksetzung Standardaktion: Sperren |
X | |
Interaktive Blockierung Interaktive Blockierung mit Zurücksetzung |
X | X (bei Umgehung) |
Sicherheitsinformationen | X |
Verbindungsereignisse werden in Abhängigkeit von der Einstellung Maximale Verbindungsereignisse in der Systemrichtlinie bereinigt. So ändern Sie die Einstellung:
Die maximale Anzahl von Verbindungsereignissen, die gespeichert werden können, hängt vom Management Center-Modell ab:
Management Center-Modell | Maximale Anzahl Ereignisse |
FS750, DC750 | 50 Mio. |
FS 1500, DC 1500 | 100 Mio. |
FS2000 | 300 Mio. |
FS 3500, DC 3500 | 500 Mio. |
FS4000 | 1 Milliarde |
Virtuelle Appliance | 10 Mio. |
Bei Widgets, die Ereigniszählungen über einen Zeitraum anzeigen, spiegelt die Gesamtzahl der Ereignisse möglicherweise nicht die Anzahl der Ereignisse wider, für die in der Ereignisanzeige detaillierte Daten verfügbar sind. Dies liegt daran, dass das System manchmal ältere Ereignisdetails bereinigt, um die Nutzung des Festplattenspeichers zu verwalten. Um das Auftreten von Ereignisdetailbereinigungen zu minimieren, können Sie die Ereignisprotokollierung so optimieren, dass nur die Ereignisse protokolliert werden, die für Ihre Bereitstellung am wichtigsten sind.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
20-May-2015 |
Erstveröffentlichung |