在Firepower裝置管理器中配置和驗證系統日誌

簡介

本檔案說明如何在Firepower裝置管理員(FDM)中設定Syslog。

必要條件

需求

思科建議您瞭解以下主題：

• Firepower威脅防禦
• 運行Syslog軟體以收集資料的Syslog伺服器

組態

步驟 1.在Firepower裝置管理器主螢幕的右下角系統設定下，選擇日誌記錄設定。

步驟 2.在System Settings螢幕上，選擇左側選單中的Logging Settings。

步驟 3.設定Data Logging切換開關，選擇Syslog Servers下的+號。

步驟 4.選擇Add Syslog Server。或者，您可以在對象- Syslog伺服器中建立Syslog伺服器對象。

步驟 5.輸入Syslog伺服器的IP地址和埠號。選擇Data Interface單選按鈕，然後按一下OK。

步驟 6.選擇新的Syslog伺服器並按一下OK。

步驟 7.選擇要使用「所有事件」單選按鈕過濾的嚴重性級別，然後選擇所需的日誌記錄級別。

步驟 8.按一下螢幕底部的Save。

步驟 9.驗證設定是否成功。

步驟 10.部署新設定。

和

選用。

此外，可以將訪問控制策略訪問控制規則設定為登入到Syslog伺服器：

步驟 1.按一下螢幕頂部的Policies。

步驟 2. 將滑鼠懸停在ACP規則的右側以增加日誌記錄，並選擇鉛筆圖示。

步驟 3.選擇Logging頁籤，選擇At End of Connection的單選按鈕，選擇Select a Syslog Alert Configuration下的下拉箭頭，選擇Syslog Server，然後按一下OK。

步驟 4.部署配置更改。

驗證

步驟 1.任務完成後，使用show running-config logging命令驗證FTD CLI清除模式中的設定。

步驟 2.導航到Syslog伺服器並驗證Syslog伺服器應用程式是否接受Syslog消息。

疑難排解

步驟 1.如果系統日誌應用程式上的系統日誌訊息產生任何訊息，請從FTD CLI執行封包擷取，以檢查封包。在clish提示符處輸入system support diagnostic-cli命令，以便從Clish模式更改為Lina。

步驟 2.為udp 514建立一個資料包捕獲（如果使用tcp，則為tcp 1468） 

步驟 3.驗證通訊是否到達系統日誌伺服器上的網路介面卡。使用Wireshark或捕獲已載入實用程式的另一個資料包。按兩下Wireshark中的介面，以使Syslog伺服器開始資料包捕獲。

步驟 4.在頂部欄中為udp 514設定一個顯示過濾器；鍵入udp.port==514並選擇欄右側的箭頭。從輸出中，驗證資料包是否能夠到達Syslog伺服器。

步驟 5.如果Syslog伺服器應用程式未顯示資料，請排除Syslog伺服器應用程式中的設定故障。確保使用正確的協定udp/tcp和正確的埠514/1468。

相關資訊

• 思科技術支援與下載