질문
로그 전송을 자동화하는 방법은 무엇입니까?
환경
Cisco ESA(Email Security Appliance), WSA(Web Security Appliance), SMA(Security Management Appliance) 및 모든 버전의 AsyncOS
보안 어플라이언스에 다양한 유형의 로그가 많이 생성됩니다. 어플라이언스에서 특정 로그를 자동으로 다른 서버로 전송하도록 할 수 있습니다.
이 설정은 FTP 또는 SCP 프로토콜을 사용하여 GUI 또는 CLI를 통해 수행할 수 있습니다. 자세한 내용은 아래 내용을 참조하십시오.
GUI
- System Administration(시스템 관리) -> Log Subscriptions(로그 서브스크립션)로 이동합니다.
- '로그 이름' 필드 아래에서 수정할 로그의 로그 이름을 클릭합니다.
- 'Retrieval Method' 아래에서 '원격 서버의 FTP' 또는 '원격 서버의 SCP'를 선택할 수 있습니다.
- 선택한 해당 시나리오에 올바른 값을 입력합니다. 올바른 값을 잘 모르는 경우 시스템/네트워크 관리자에게 문의하여 네트워크에서 사용 가능한 서버를 확인하십시오.
CLI(Command Line Interface)
다음 CLI 시퀀스를 참조하십시오.
S-Series> logconfig
[]> edit
[]> <appropriate number correlating to the log you wish to modify>
Please enter the name for the log:
[Log_name]> <enter for default>
Log level:
1. Critical
2. Warning
3. Information
4. Debug
5. Trace
[3]> <enter for the default>
Choose the method to retrieve the logs.
1. FTP Poll
2. FTP Push
3. SCP Push
설정하려는 방법을 선택합니다. 이 시점부터 CLI는 GUI에서 사용할 수 있는 것과 동일한 연결 설정을 안내합니다.
이러한 항목은 다음과 같습니다.
FTP
- Maximum Time Interval Between Transfer(최대 전송 간격): 3600초
- FTP 호스트: FTP 서버의 호스트 이름/IP 주소
- Directory(디렉토리): FTP 서버의 원격 디렉토리(FTP 로그온과 관련). 일반적으로 '/')
- 사용자 이름: FTP 사용자 이름
- 비밀번호: FTP 비밀번호
SCP
- Maximum Time Interval Between Transfer(최대 전송 간격): 3600초
- 프로토콜: SSH1 또는 SSH2
- SCP 호스트: SCP 서버의 호스트 이름/IP 주소
- Directory(디렉토리): SCP 서버의 원격 디렉토리(SCP 로그온에 상대적으로 있음). 일반적으로 '/')
- 사용자 이름: SCP 사용자 이름
- 호스트 키 확인 사용
- 자동 스캔
- 수동으로 입력
참고: FTP는 일반 텍스트 프로토콜입니다. 즉, 네트워크 트래픽을 스니핑하는 일부 사용자가 민감한 데이터를 읽을 수 있습니다. SCP는 암호화된 프로토콜이므로 스누핑 데이터에서 스니핑이 효과적이지 않습니다. 데이터가 중요하고 보안이 중요한 경우 FTP 대신 SCP를 사용하는 것이 좋습니다.