Ce document décrit comment déterminer la cause première et résoudre le problème lorsque des événements de connexion disparaissent de FireSIGHT Management Center après plusieurs jours d'exécution du système. Cela peut se produire en raison des paramètres de configuration du centre de gestion.
Cisco vous recommande de connaître FireSIGHT Management Center.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Afin de déterminer le nombre d'événements de connexion qui sont stockés sur un FireSIGHT Management Center,
Ces informations vous donnent une idée du nombre et de la durée pendant lesquels vous pouvez conserver les événements de connexion avec votre configuration actuelle.
Vérifiez quelles connexions sont consignées et à quel endroit dans le flux elles sont consignées. Vous devez consigner les connexions en fonction des besoins de votre entreprise en matière de sécurité et de conformité. Si votre objectif est de limiter le nombre d'événements que vous générez, n'activez la journalisation que pour les règles essentielles à votre analyse. Toutefois, si vous souhaitez une vue d'ensemble du trafic réseau, vous pouvez activer la journalisation pour des règles de contrôle d'accès supplémentaires ou pour l'action par défaut. Vous pouvez désactiver la consignation des connexions pour le trafic non essentiel afin de conserver les événements de connexion pendant une période plus longue.
Ce tableau explique les différentes options de journalisation disponibles pour chaque action de règle :
Action de règle ou option de journalisation | Se connecter au début | Se connecter à la fin |
Trust Action par défaut : approbation |
X | X |
Allow Action par défaut : Intrusion Action par défaut : Détection |
X | X |
Monitor | X (obligatoire) | |
Block Block with reset Action par défaut : Bloquer |
X | |
Interactive Block Interactive Block with reset |
X | X (si contourné) |
Veille De Sécurité | X |
Les événements de connexion sont élagués en fonction du paramètre Maximum Connection Events de la stratégie système. Afin de modifier le paramètre :
La quantité maximale d'événements de connexion pouvant être stockée dépend du modèle Management Center :
Modèle Management Center | Nombre maximal d'événements |
FS750, DC750 | 50 millions |
FS1500, DC1500 | 100 millions |
FS2000 | 300 millions |
FS3500, DC3500 | 500 millions |
FS4000 | 1 milliard |
Appareil virtuel | 10 millions |
Pour les widgets qui affichent le nombre d'événements sur une plage de temps, le nombre total d'événements peut ne pas refléter le nombre d'événements pour lesquels des données détaillées sont disponibles dans l'observateur d'événements. Cela se produit parce que le système élague parfois des détails d'événements plus anciens pour gérer l'utilisation de l'espace disque. Afin de minimiser l'occurrence de l'élagage des détails des événements, vous pouvez affiner la journalisation des événements pour n'enregistrer que les événements les plus importants pour votre déploiement.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
20-May-2015 |
Première publication |