Configurar registros de eventos consolidados para AWS S3 Push

Opciones de descarga

  • PDF     (257.9 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (189.3 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (145.8 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:27 de abril de 2021
ID del documento:217095

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar los registros de eventos consolidados que se enviarán a una cubeta S3 en un dispositivo de seguridad de correo electrónico (ESA) o Cloud Email Security (CES).

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • ESA que ejecuta Async OS 13.0 o superior
    • Acceso administrativo al dispositivo
    • Cuenta de Amazon Web Services (AWS) y acceso para crear y administrar la cubeta S3

    Componentes Utilizados

    La información de este documento se basa en todos los modelos de hardware y dispositivos virtuales ESA soportados que ejecutan Async OS 13.0 o superior. Para verificar la información de versión del dispositivo desde la CLI, ingrese el comando version. En la GUI, seleccione Monitor > System Status.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si su red está activa, asegúrese de comprender el impacto potencial de cualquier configuración.

    Antecedentes

    A partir de Async OS 13.0 y superiores, ESA permite la configuración de registros basados en Unified Common Event Format (CEF) conocidos como registros de eventos consolidados que utilizan ampliamente los proveedores de SIEM. Consulte las notas de la versión ESA 13.0 aquí.

    Los registros CEF también se pueden configurar para enviarlos a una cubeta AWS S3 aparte de la descarga manual, SCP y la inserción de Syslog.

    Nota: Los pasos proporcionados para la configuración de AWS se basan en la información disponible en el momento de escribir este artículo.

    Configurar

    1. Navegue hasta la consola en la nube de AWS para recopilar S3 Bucket Name, S3 Access Key y S3 Secret Key.

    Para el nombre de depósito S3:

    Una vez que haya iniciado sesión en AWS Cloud, utilice el menú desplegable Services (Servicios) para seleccionar S3 o utilice la barra de búsqueda de la parte superior para buscar S3. Cree una cubeta con opciones predeterminadas o nombre de captura para una de las cubetas existentes que se va a utilizar.

    Para clave de acceso S3 y clave secreta S3:

       

    Haga clic en el nombre de su cuenta en la parte superior derecha y, en el menú desplegable, seleccione "Mis credenciales de seguridad". En la página abierta, haga clic en "Access keys (access key ID and secret access key)" (Clave de acceso y clave de acceso secreta). Cree una nueva clave de acceso, vea o descargue los detalles clave.

    Precaución: NO comparta claves de acceso en foros públicos. Asegúrese de que esta información se almacena de forma segura.

    1. Navegue hasta ESA con registros CEF configurados bajo Administración del sistema > Suscripciones de registro y haga clic en el nombre del registro.
    2. Seleccione Rollover de registro por tamaño de archivo o Rollover por tiempo o ambos y los registros se enviarán en función de la condición que sea la primera verdadera.

    4. Seleccione AWS S3 Push e introduzca la información recopilada en el paso 1.

    5. Enviar y registrar cambios.

    Si los registros CEF ya estaban presentes en el dispositivo, los archivos de registro existentes se enviarán inmediatamente y deberían aparecer en la cubeta S3 configurada. La siguiente programación de la transferencia de registro se realizará en función del tamaño y el tiempo de renovación configurados.

    Verificación

    Utilize esta sección para confirmar que su configuración funcione correctamente.

    Utilice los registros s3_client disponibles en el dispositivo para realizar un seguimiento de los registros que se están pulsando o de los errores que se conectan a ellos.

    Successful log push
Fri Feb 19 11:21:38 2021 Info: S3_CLIENT: Uploaded 3 file(s) to the S3 Bucket esa for the subscription: cef
 
Fri Feb 19 12:03:16 2021 Info: S3_CLIENT: Uploading files to S3 Bucket esa for the subscription: cef
Fri Feb 19 12:03:22 2021 Info: S3_CLIENT: Uploaded 1 file(s) to the S3 Bucket esa for the subscription: cef
 

    Unsuccessful log push
Fri Feb 19 12:34:10 2021 Info: S3_CLIENT: Uploading files to S3 Bucket esa for the subscription: cef
Fri Feb 19 12:34:11 2021 Warning: S3_CLIENT: ERROR: Upload Failed to S3 bucket esa. Reason: Failed to upload /data/pub/cef/sll.@20210219T120000.s to esa/sll.@20210219T120000.s: An error occurred (InvalidAccessKeyId) when calling the PutObject operation: The AWS Access Key Id you provided does not exist in our records.
Fri Feb 19 12:34:11 2021 Warning: S3_CLIENT: Uploading files to S3 Bucket esa encountered one or more failures for the subscription: cef.
Upload failed for the following:
[u'sll.@20210219T120000.s']
 
Re-check your configuration.
 

    Troubleshoot

    Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

    Información Relacionada

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Libin Varghese
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco