Configurazione e verifica di Syslog in Gestione periferiche di Firepower
Introduzione
In questo documento viene descritto come configurare Syslog in Firepower Device Manager (FDM).
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Firepower Threat Defense
- Syslog Server che esegue il software Syslog per raccogliere dati
Configurazioni
Passaggio 1. Dalla schermata principale di Firepower Device Manager, selezionare Logging Settings (Impostazioni di registrazione) in System Settings (Impostazioni di sistema) nell'angolo inferiore destro della schermata.
Passaggio 2. Nella schermata System Settings (Impostazioni di sistema), selezionare Logging Settings (Impostazioni di registrazione) nel menu a sinistra.
Passaggio 3. Impostare l'interruttore di attivazione/disattivazione della registrazione dei dati, selezionare il segno + in Server Syslog.
Passaggio 4. Selezionare Add Syslog Server (Aggiungi server syslog). In alternativa, è possibile creare l'oggetto Syslog Server in Oggetti - Syslog Server.
Passaggio 5. Immettere l'indirizzo IP del server Syslog e il numero di porta. Selezionare il pulsante di opzione per Interfaccia dati e fare clic su OK.
Passaggio 6. Selezionare il nuovo server Syslog e fare clic su OK.
Passaggio 7. Selezionare il livello di gravità da filtrare con il pulsante di opzione Tutti gli eventi e selezionare il livello di registrazione desiderato.
Passaggio 8. Fare clic su Save (Salva) nella parte inferiore della schermata.
Passaggio 9. Verificare che le impostazioni siano corrette.
Passaggio 10. Distribuire le nuove impostazioni.
E
FACOLTATIVO.
È inoltre possibile impostare le regole di controllo d'accesso di Access Control Policy per accedere al server Syslog:
Passaggio 1. Fare clic su Policies (Criteri) nella parte superiore della schermata.
Passaggio 2. Posizionare il puntatore del mouse sul lato destro della regola ACP per aggiungere la registrazione e selezionare l'icona della matita.
Passaggio 3. Selezionare la scheda Log, Selezionare il pulsante di scelta per Al termine della connessione, Selezionare la freccia in giù in Selezionare una configurazione di alert syslog, selezionare il server syslog e fare clic su OK.
Passaggio 4. Distribuire le modifiche alla configurazione.
Verifica
Passaggio 1. Al termine dell'operazione, verificare le impostazioni nella modalità di compressione FTD CLI con il comando show running-config logging.
Passaggio 2. Accedere al server Syslog e verificare che l'applicazione del server Syslog accetti i messaggi Syslog.
Risoluzione dei problemi
Passaggio 1. Se i messaggi Syslog sull'applicazione Syslog producono messaggi, eseguire un'acquisizione di pacchetto dalla CLI FTD per controllare la presenza di pacchetti. Immettere il comando system support diagnostic-cli al prompt della clish per passare dalla modalità Clish a Lina.
Passaggio 2. Creare un'acquisizione pacchetto per l'udp 514 (o tcp 1468 se si utilizza tcp)
Passaggio 3. Verificare che la comunicazione raggiunga la scheda di interfaccia di rete sul server Syslog. Usare Wireshark o un altro pacchetto per acquisire l'utility caricata. Fare doppio clic sull'interfaccia in Wireshark per Syslog Server per avviare l'acquisizione dei pacchetti.
Passaggio 4. Impostate un filtro di visualizzazione nella barra superiore per udp 514; digitate udp.port==514 e selezionate la freccia a destra della barra. Dall'output, verificare che i pacchetti possano raggiungere il server Syslog.
Passaggio 5. Se i dati non vengono visualizzati nell'applicazione Syslog Server, risolvere il problema relativo all'impostazione nell'applicazione Syslog Server. Verificare che venga utilizzato il protocollo corretto, udp/tcp e la porta corretta, 514/1468.
Informazioni correlate
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
3.0 |
18-Apr-2024 |
Certificazione |
1.0 |
15-Feb-2023 |
Versione iniziale |
Feedback