Configurer FMC pour envoyer les journaux d'audit à un serveur Syslog

Options de téléchargement

  • PDF     (594.2 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (359.5 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (396.9 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:3 octobre 2023
ID du document:221019

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment configurer les journaux d'audit du Centre de gestion du pare-feu sécurisé à envoyer à un serveur Syslog.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Facilité d'utilisation de base de Cisco Firewall Management Center (FMC)
    • Présentation du protocole Syslog

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Cisco Firewall Management Center Virtual v7.4.0
    • Serveur Syslog tiers

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    Le Centre de gestion du pare-feu sécurisé enregistre l'activité des utilisateurs dans des journaux d'audit en lecture seule. À partir de la version 7.4.0 de Firepower, vous pouvez transmettre les modifications de configuration dans le cadre des données du journal d'audit à syslog en spécifiant le format des données de configuration et les hôtes. La diffusion en continu des journaux d'audit vers un serveur externe vous permet de conserver de l'espace sur le centre de gestion. Elle est également utile lorsque vous devez fournir une piste d'audit des modifications de configuration.

    En cas de haute disponibilité, seul le centre de gestion envoie les modifications de configuration syslog aux serveurs syslog externes. Le fichier journal est synchronisé entre les paires haute disponibilité de sorte que lors d'un basculement ou d'une commutation, le nouveau centre de gestion reprendrait l'envoi des journaux des modifications. Si la paire HA fonctionne en mode « split-brain », les deux centre de gestions dans la paire envoie le syslog config change aux serveurs externes.

    Configurer

    Étape 1. Journaux d'audit activés dans Syslog

    Pour activer l'envoi par FMC des journaux d'audit à un serveur Syslog, accédez à System > Configuration > Audit Log > Send Audit Log to Syslog > Enabled.

    Cette image montre comment activer la fonctionnalité Envoyer le journal d'audit vers Syslog :

    Syslog enable

    Le FMC peut transmettre les données du journal d'audit à un maximum de cinq serveurs Syslog.

    Étape 2. Configuration des informations Syslog

    Une fois le service activé, vous pouvez configurer les informations Syslog. Pour configurer les informations Syslog, accédez à System > Configuration > Audit Log.

    En fonction de vos besoins, sélectionnez Envoyer les modifications de configuration, Hôtes, Facilité, Gravité

    Cette image présente les paramètres de configuration du serveur Syslog pour les journaux d'audit :

    Syslog configuration

    Vérifier

    Pour vérifier si les paramètres sont correctement configurés, sélectionnez System > Configuration > Audit Log > Test Syslog Server.

    Cette image montre un test réussi du serveur Syslog :

    Syslog test

    Une autre façon de vérifier que Syslog fonctionne, vérifiez l'interface Syslog pour confirmer que les journaux d'audit sont reçus.

    Cette image présente quelques exemples de journaux d'audit reçus par le serveur Syslog :

    Syslog events

    Screenshot 2023-09-28 at 15.49.23

    Voici quelques exemples des modifications de configuration que vous pouvez recevoir sur votre serveur syslog :

    2023-09-29 16:12:18 localhost 172.16.10.2 Sep 29 16:12:23 firepower: [FMC-AUDIT] mojo_server.pl: admin@10.26.166.110, /ui/ddd/, Page View
    2023-09-29 16:12:20 localhost 172.16.10.2 Sep 29 16:12:25 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT, Page View
    2023-09-29 16:12:23 localhost 172.16.10.2 Sep 29 16:12:28 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT > NGFW NAT Policy Editor, Page View
    2023-09-29 16:13:39 localhost 172.16.10.2 Sep 29 16:13:44 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Objects > Object Management > NetworkObject, create csm-lab
    2023-09-29 16:14:32 localhost 172.16.10.2 Sep 29 16:14:37 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT > NAT Policy Editor, Save Policy NATPolicy
    2023-09-29 16:14:32 localhost 172.16.10.2 Sep 29 16:14:37 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT > NGFW NAT Policy Editor, Page View
    2023-09-29 16:14:54 localhost 172.16.10.2 Sep 29 16:14:59 firepower: [FMC-AUDIT] ActionQueueScrape.pl: csm_processes@Default User IP, Login, Login Success
    2023-09-29 16:14:55 localhost 172.16.10.2 Sep 29 16:15:00 firepower: [FMC-AUDIT] ActionQueueScrape.pl: admin@localhost, Task Queue, Successful task completion : Pre-deploy Global Configuration Generation

    Dépannage

    Une fois la configuration appliquée, assurez-vous que le FMC peut communiquer avec le serveur syslog.

    Le système utilise des paquets ICMP/ARP et TCP SYN pour vérifier que le serveur Syslog est accessible. Ensuite, le système utilise par défaut le port 514/UDP pour diffuser les journaux d'audit et le port TCP 1470 si vous sécurisez le canal.

    Pour configurer une capture de paquets sur FMC, appliquez ces commandes :

    • tcpdump. Cette commande capture le trafic sur le réseau
    > expert
    admin@firepower:~$ sudo su
    Password: 

    root@firepower:/Volume/home/admin# tcpdump -i eth0 host 172.16.10.11 and port 514

    En outre, pour tester l'accessibilité ICMP, appliquez cette commande :

    • ping. Cette commande permet de confirmer si un périphérique est accessible ou non et de connaître la latence de la connexion.
    > expert
    admin@firepower:~$ sudo su
    Password: 
    root@firepower:/Volume/home/admin#ping 172.16.10.11
    PING 172.16.10.11 (172.16.10.11) 56(84) bytes of data.
    64 bytes from 172.16.10.11: icmp_seq=1 ttl=128 time=3.07 ms
    64 bytes from 172.16.10.11: icmp_seq=2 ttl=128 time=2.06 ms
    64 bytes from 172.16.10.11: icmp_seq=3 ttl=128 time=2.04 ms
    64 bytes from 172.16.10.11: icmp_seq=4 ttl=128 time=0.632 ms

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    03-Oct-2023
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Oscar Montoya Torres
      chef d'équipe de sécurité

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits