firepower 장치 관리자에서 Syslog 구성 및 확인

소개

이 문서에서는 FDM(Firepower 장치 관리자) 내에서 Syslog를 구성하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• Firepower 위협 방어
• 데이터를 수집하기 위해 Syslog 소프트웨어를 실행하는 Syslog 서버

설정

1단계. 주 Firepower 장치 관리자 화면의 오른쪽 하단에 있는 시스템 설정 아래에서 로깅 설정을 선택합니다.

2단계. System Settings(시스템 설정) 화면의 왼쪽 메뉴에서 Logging Settings(로깅 설정)를 선택합니다.

3단계. Data Logging(데이터 로깅) 토글 스위치를 설정하고 Syslog Servers(Syslog 서버) 아래에서 + 기호를 선택합니다.

4단계. Add Syslog Server를 선택합니다. 또는 Objects - Syslog Servers에서 Syslog Server 객체를 생성할 수 있습니다.

5단계. Syslog 서버의 IP 주소와 포트 번호를 입력합니다. Data Interface(데이터 인터페이스)의 라디오 버튼을 선택하고 OK(확인)를 클릭합니다.

6단계. 새 Syslog 서버를 선택하고 OK를 클릭합니다.

7단계. 모든 이벤트 라디오 버튼으로 필터링할 심각도 수준을 선택하고 원하는 로깅 수준을 선택합니다.

8단계. 화면 하단에서 Save(저장)를 클릭합니다.

9단계. 설정이 성공했는지 확인합니다.

10단계. 새 설정을 구축합니다.

및

선택 사항.

또한 액세스 제어 정책 액세스 제어 규칙은 Syslog 서버에 로그인하도록 설정할 수 있습니다.

1단계. 화면 상단에서 Policies를 클릭합니다.

2단계. 로깅을 추가하고 연필 아이콘을 선택하려면 ACP 규칙의 오른쪽에 마우스 커서를 놓습니다.

3단계. Logging(로깅) 탭, Select the radio button for At End of Connection(연결 종료 시 라디오 버튼 선택), Select a Syslog Alert Configuration(Syslog 경고 컨피그레이션 선택) 아래의 드롭다운 화살표를 선택하고 Syslog 서버를 선택한 후 OK(확인)를 클릭합니다.

4단계. 컨피그레이션 변경 사항을 구축합니다.

다음을 확인합니다.

1단계. 작업이 완료된 후 FTD CLI Clish 모드에서 show running-config logging 명령을 사용하여 설정을 확인합니다.

2단계. Syslog 서버로 이동하여 Syslog 서버 애플리케이션이 Syslog 메시지를 수락하는지 확인합니다.

문제 해결

1단계. Syslog 애플리케이션의 Syslog 메시지에서 메시지가 생성되는 경우, FTD CLI에서 패킷 캡처를 수행하여 패킷을 확인합니다. Clish 모드에서 Lina로 변경하려면 clish 프롬프트에서 system support diagnostic-cli 명령을 입력합니다.

2단계. udp 514(또는 tcp를 사용한 경우 tcp 1468)에 대해 하나의 패킷 캡처를 생성합니다. 

3단계. 통신이 Syslog 서버의 네트워크 인터페이스 카드에 도달하는지 확인합니다. Wireshark 또는 로드된 유틸리티를 캡처하는 다른 패킷을 사용합니다. Wireshark에서 Syslog 서버에 대한 인터페이스를 두 번 클릭하여 패킷 캡처를 시작합니다.

4단계. 상단 표시줄에서 udp 514에 대한 디스플레이 필터를 설정합니다. udp.port==514를 입력하고 표시줄 오른쪽에 있는 화살표를 선택합니다. 출력에서 패킷이 Syslog 서버에 도달할 수 있는지 확인합니다.

5단계. Syslog 서버 응용 프로그램에서 데이터를 표시하지 않으면 Syslog 서버 응용 프로그램 내의 설정 문제를 해결합니다. 올바른 프로토콜(udp/tcp)과 올바른 포트(514/1468)가 사용되었는지 확인합니다.

관련 정보

• Cisco 기술 지원 및 다운로드