Question
Comment automatisez-vous les transferts de journaux ?
Environnement
Cisco Email Security Appliance (ESA), Web Security Appliance (WSA), Security Management Appliance (SMA) et toutes les versions d'AsyncOS.
De nombreux types de journaux sont créés sur l'appliance de sécurité. Il est possible que vous souhaitiez que l'appliance transfère automatiquement certains journaux vers un autre serveur.
Cette configuration peut être effectuée via l'interface utilisateur graphique ou l'interface de ligne de commande, à l'aide des protocoles FTP ou SCP. Veuillez lire les détails ci-dessous :
IUG
- Accédez à Administration système -> Inscriptions au journal.
- Cliquez sur le nom du journal que vous souhaitez modifier dans le champ « Nom du journal ».
- Sous « Retrieval Method », vous pouvez sélectionner « FTP on Remote Server » ou « SCP on Remote Server ».
- Entrez les valeurs correctes dans le scénario approprié que vous choisissez. Si vous n'êtes pas familier avec les valeurs correctes, contactez votre administrateur système/réseau, car elles peuvent vous aider à déterminer quels serveurs sont disponibles sur votre réseau.
CLI (Command Line Interface)
Reportez-vous à la séquence CLI suivante :
S-Series> logconfig
[]> edit
[]> <appropriate number correlating to the log you wish to modify>
Please enter the name for the log:
[Log_name]> <enter for default>
Log level:
1. Critical
2. Warning
3. Information
4. Debug
5. Trace
[3]> <enter for the default>
Choose the method to retrieve the logs.
1. FTP Poll
2. FTP Push
3. SCP Push
Choisissez la méthode que vous souhaitez configurer. À partir de ce moment, l'interface de ligne de commande vous guide à travers les mêmes paramètres de connexion que ceux disponibles dans l'interface utilisateur graphique.
Il s'agit des éléments suivants :
FTP
- Intervalle de temps maximal entre les transferts : 3 600 secondes
- FTP Host : nom d'hôte/adresse IP du serveur FTP
- Répertoire : répertoire distant sur le serveur FTP (relatif à l'ouverture de session FTP). Généralement '/')
- Nom d'utilisateur : FTP username
- Mot de passe : FTP password
SCP
- Intervalle de temps maximal entre les transferts : 3 600 secondes
- Protocole : SSH1 ou SSH2
- Hôte SCP : nom d'hôte / adresse IP du serveur SCP
- Répertoire : répertoire distant sur le serveur SCP (relatif à la connexion SCP. Généralement '/')
- Nom d'utilisateur : SCP username
- Activer la vérification de clé hôte
- Analyser automatiquement
- Saisir manuellement
REMARQUE : FTP est un protocole de texte brut, ce qui signifie que les données sensibles peuvent être lues par une personne qui analyse le trafic réseau. SCP est un protocole crypté, ce qui rend l'analyse inefficace pour surveiller les données. Si les données sont sensibles et que la sécurité pose problème, il est recommandé d'utiliser la SCP au lieu du FTP.