Configurar e verificar o Syslog no Gerenciador de dispositivos do Firepower
Introdução
Este documento descreve como configurar o Syslog no FDM (Firepower Device Manager).
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Firepower Threat Defense
- Servidor Syslog executando o software Syslog para coletar dados
Configurações
Etapa 1. Na tela principal do Firepower Device Manager, selecione as Configurações de registro em Configurações do sistema no canto inferior direito da tela.
Etapa 2. Na tela System Settings, selecione as Logging Settings no menu esquerdo.
Etapa 3. Defina o switch de alternância Data Logging, selecione o sinal + em Syslog Servers.
Etapa 4. Selecione Add Syslog Server. Como alternativa, você pode criar o objeto Servidor Syslog em Objetos - Servidores Syslog.
Etapa 5. Insira o endereço IP do Servidor Syslog e o número da porta. Selecione o botão de opção para Data Interface e clique em OK.
Etapa 6. Selecione o novo servidor Syslog e clique em OK.
Passo 7. Selecione o nível de severidade a ser filtrado com o botão de opção todos os eventos e selecione o nível de registro desejado.
Etapa 8. Clique em Save na parte inferior da tela.
Etapa 9. Verifique se as configurações foram bem-sucedidas.
Etapa 10. Implante as novas configurações.
E
OPCIONAL.
Além disso, as regras de controle de acesso da política de controle de acesso podem ser configuradas para efetuar login no servidor Syslog:
Etapa 1. Clique em Policies na parte superior da tela.
Etapa 2. Passe o mouse sobre o lado direito da regra de ACP para adicionar logs e selecione o ícone do lápis.
Etapa 3. Selecione a guia Registro, selecione o botão de opção para No fim da conexão, selecione a seta suspensa em Selecionar uma configuração de alerta de Syslog, selecione o Servidor Syslog e clique em OK.
Etapa 4. Implante as alterações de configuração.
Verificar
Etapa 1. Após a conclusão da tarefa, verifique as configurações no FTD CLI Clish Mode com o comando show running-config logging.
Etapa 2. Navegue até o servidor Syslog e verifique se o aplicativo do servidor Syslog aceita as mensagens Syslog.
Troubleshooting
Etapa 1. Se as mensagens de Syslog no aplicativo Syslog produzirem qualquer mensagem, execute uma captura de pacote da CLI do FTD para verificar se há pacotes. Insira o comando system support diagnostic-cli no prompt do cliente para mudar do modo Clish para Lina.
Etapa 2. Crie uma captura de pacote para seu udp 514 (ou tcp 1468 se você usou tcp)
Etapa 3. Verifique se a comunicação chega à placa de interface de rede no Servidor Syslog. Use o Wireshark ou outro pacote que capture o utilitário carregado. Clique duas vezes na interface no Wireshark para que o Servidor Syslog inicie a captura de pacotes.
Etapa 4. Defina um filtro de exibição na barra superior para udp 514; digite udp.port==514 e selecione a seta à direita da barra. Na saída, verifique se os pacotes podem chegar ao Servidor Syslog.
Etapa 5. Se o aplicativo Servidor Syslog não mostrar os dados, solucione os problemas da configuração no aplicativo Servidor Syslog. Verifique se o protocolo correto está sendo usado, udp/tcp e a porta correta, 514/1468.
Informações Relacionadas
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
3.0 |
18-Apr-2024 |
Recertificação |
1.0 |
15-Feb-2023 |
Versão inicial |
Feedback