Syslogサーバに監査ログを送信するためのFMCの設定
概要
このドキュメントでは、Syslogサーバに送信されるSecure Firewall Management Center(SCM)監査ログを設定する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco Firewall Management Center(FMC)の基本的な操作性
- Syslogプロトコルの理解
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco Firewall Management Center仮想v7.4.0
- サードパーティのSyslogサーバ
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
Secure Firewall Management Centerは、読み取り専用の監査ログにユーザアクティビティを記録します。Firepowerバージョン7.4.0以降では、設定データのフォーマットとホストを指定することで、監査ログデータの一部として設定変更をsyslogにストリームできます。外部サーバに監査ログをストリーミングすることで、管理センターのスペースを節約できます。また、設定変更の監査証跡を提供する必要がある場合にも役立ちます。
ハイアベイラビリティの場合は、アクティブな 管理センター 設定変更syslogを外部syslogサーバに送信します。ログファイルはHAペア間で同期されるため、フェールオーバーまたはスイッチオーバーの際に新しいペアがアクティブになります 管理センター 変更ログの送信を再開します。HAペアがスプリットブレインモードで動作している場合は、両方とも 管理センターペア内のは、config change syslogを外部サーバに送信します。
設定
ステップ 1:Syslogへの監査ログの有効化
FMCがsyslogサーバに監査ログを送信するようにするには、System > Configuration > Audit Log > Send Audit Log to Syslog > Enabledの順に移動します。
次の図に、Send Audit Log to Syslog機能を有効にする方法を示します。
FMCは、最大5台のsyslogサーバに監査ログデータをストリーミングできます。
ステップ 2:Syslog情報の設定
サービスを有効にした後で、syslog情報を設定できます。syslog情報を設定するには、System > Configuration > Audit Logの順に移動します。
要件に応じて、Send Configuration Changes, Hosts, Facility, Severityを選択します。
次の図に、監査ログ用にSyslogサーバを設定するパラメータを示します。
確認
パラメータが正しく設定されているかどうかを確認するには、System > Configuration > Audit Log > Test Syslog Serverの順に選択します。
次の図は、成功したSyslogサーバテストを示しています。
syslogが機能していることを確認するもう1つの方法は、syslogインターフェイスをチェックして監査ログが受信されていることを確認することです。
次の図に、Syslogサーバが受信する監査ログの例を示します。
syslogサーバで受信できる設定変更の例を次に示します。
2023-09-29 16:12:18 localhost 172.16.10.2 Sep 29 16:12:23 firepower: [FMC-AUDIT] mojo_server.pl: admin@10.26.166.110, /ui/ddd/, Page View
2023-09-29 16:12:20 localhost 172.16.10.2 Sep 29 16:12:25 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT, Page View
2023-09-29 16:12:23 localhost 172.16.10.2 Sep 29 16:12:28 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT > NGFW NAT Policy Editor, Page View
2023-09-29 16:13:39 localhost 172.16.10.2 Sep 29 16:13:44 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Objects > Object Management > NetworkObject, create csm-lab
2023-09-29 16:14:32 localhost 172.16.10.2 Sep 29 16:14:37 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT > NAT Policy Editor, Save Policy NATPolicy
2023-09-29 16:14:32 localhost 172.16.10.2 Sep 29 16:14:37 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT > NGFW NAT Policy Editor, Page View
2023-09-29 16:14:54 localhost 172.16.10.2 Sep 29 16:14:59 firepower: [FMC-AUDIT] ActionQueueScrape.pl: csm_processes@Default User IP, Login, Login Success
2023-09-29 16:14:55 localhost 172.16.10.2 Sep 29 16:15:00 firepower: [FMC-AUDIT] ActionQueueScrape.pl: admin@localhost, Task Queue, Successful task completion : Pre-deploy Global Configuration Generation
トラブルシュート
設定を適用した後、FMCがsyslogサーバと通信できることを確認します。
システムはICMP/ARPおよびTCP SYNパケットを使用して、syslogサーバが到達可能であることを確認します。次に、チャネルを保護している場合、システムはデフォルトでポート514/UDPを使用して監査ログをストリーミングし、TCPポート1470を使用します。
FMCでパケットキャプチャを設定するには、次のコマンドを適用します。
- tcpdump.このコマンドは、ネットワーク上のトラフィックをキャプチャします
> expert
admin@firepower:~$ sudo su
Password:
root@firepower:/Volume/home/admin# tcpdump -i eth0 host 172.16.10.11 and port 514
さらに、ICMP到達可能性をテストするには、次のコマンドを適用します。
- ping.このコマンドは、デバイスが到達可能かどうかを確認し、接続の遅延を知るのに役立ちます。
> expert
admin@firepower:~$ sudo su
Password:
root@firepower:/Volume/home/admin#ping 172.16.10.11
PING 172.16.10.11 (172.16.10.11) 56(84) bytes of data.
64 bytes from 172.16.10.11: icmp_seq=1 ttl=128 time=3.07 ms
64 bytes from 172.16.10.11: icmp_seq=2 ttl=128 time=2.06 ms
64 bytes from 172.16.10.11: icmp_seq=3 ttl=128 time=2.04 ms
64 bytes from 172.16.10.11: icmp_seq=4 ttl=128 time=0.632 ms
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
03-Oct-2023 |
初版 |
フィードバック