Questo documento descrive come determinare la causa principale e risolvere il problema quando gli eventi di connessione scompaiono dal centro di gestione FireSIGHT dopo che il sistema è in esecuzione per diversi giorni. Ciò può verificarsi a causa delle impostazioni di configurazione del centro di gestione.
Cisco raccomanda la conoscenza di FireSIGHT Management Center.
Le informazioni di questo documento si basano sulle seguenti versioni hardware e software:
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Per determinare il numero di eventi di connessione memorizzati in un centro di gestione FireSIGHT,
Queste informazioni forniscono un'idea di quanti e per quanto tempo è possibile mantenere gli eventi di connessione con la configurazione corrente.
Verificare quali connessioni vengono registrate e la posizione nel flusso in cui vengono registrate le connessioni. È consigliabile registrare le connessioni in base alle esigenze di sicurezza e conformità dell'organizzazione. Se si desidera limitare il numero di eventi generati, abilitare la registrazione solo per le regole critiche per l'analisi. Tuttavia, se si desidera una visualizzazione completa del traffico di rete, è possibile abilitare la registrazione per ulteriori regole di controllo di accesso o per l'azione predefinita. È possibile disattivare la registrazione delle connessioni per il traffico non essenziale in modo da conservare gli eventi di connessione per un periodo di tempo più lungo.
In questo grafico vengono illustrate le diverse opzioni di registrazione disponibili per ciascuna azione regola:
Azione regola o opzione di registrazione | Registra all'inizio | Registra alla fine |
Trust (Considera attendibile) Azione predefinita: Trust |
X | X |
Allow (Autorizza) Azione predefinita: Intrusione Azione predefinita: Individuazione |
X | X |
Monitor (Monitora) | X (Obbligatorio) | |
Block (Blocca) Block with reset (Blocca con reset) Azione predefinita: Blocca |
X | |
Interactive Block (Blocco interattivo) Interactive Block with reset (Blocco interattivo e reset) |
X | X (se ignorato) |
Security Intelligence | X |
Gli eventi di connessione vengono eliminati a seconda dell'impostazione Numero massimo di eventi di connessione nel criterio di sistema. Per modificare l'impostazione:
La quantità massima di eventi di connessione che è possibile archiviare dipende dal modello di Centro gestione:
Modello di Management Center | Numero massimo di eventi |
FS750, DC750 | 50 milioni |
FS1500, DC1500 | 100 milioni |
FS2000 | 300 milioni |
FS3500, DC3500 | 500 milioni |
FS4000 | 1 miliardo |
Appliance virtuale | 10 milioni |
Per i widget che visualizzano il conteggio degli eventi in un intervallo di tempo, il numero totale di eventi potrebbe non riflettere il numero di eventi per i quali sono disponibili dati dettagliati nel visualizzatore eventi. Ciò si verifica perché talvolta il sistema elimina i dettagli degli eventi meno recenti per gestire l'utilizzo dello spazio su disco. Per ridurre al minimo l'occorrenza dell'eliminazione dei dettagli degli eventi, è possibile ottimizzare la registrazione degli eventi in modo da registrare solo gli eventi più importanti per la distribuzione.
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
18-Jul-2014 |
Versione iniziale |