FMC configureren voor verzenden van auditlogboeken naar een Syslog-server

Downloadopties

  • PDF     (594.8 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (360.3 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (397.9 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:3 oktober 2023
Document-id:221019

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u Secure Firewall Management Center-auditlogs kunt configureren om naar een Syslog-server te worden verzonden.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Basisbruikbaarheid van Cisco Firewall Management Center (FMC)
    • Inzicht in het Syslog-protocol

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco Firewall Management Center virtuele versie 7.4.0
    • Syslog-server van derden

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Het Secure Firewall Management Center slaat gebruikersactiviteit op in alleen-lezen controlelogboeken. Als u Firepower versie 7.4.0 start, kunt u wijzigingen in de configuratie streamen als deel van de loggegevens van de audit naar syslog door het formaat van de configuratiegegevens en de hosts te specificeren. Het streamen van controlelogboeken aan een externe server staat u toe om ruimte op het beheerscentrum te besparen, eveneens, is het nuttig wanneer u controlespoor van configuratieveranderingen moet verstrekken.

    In geval van hoge beschikbaarheid, alleen de actieve beheerscentrum verzendt de configuratie wijzigingen syslog naar de externe syslog servers. Het logbestand is gesynchroniseerd tussen de HA-paren zodat tijdens een failover of switchover de nieuwe actieve beheerscentrum zou het verzenden van de veranderingslogboeken hervatten. Als het HA-paar werkt in de splitbreinmodus, zijn beide beheerscentrums in het paar verstuurt de configuratie verandering syslog naar de externe servers.

    Configureren

    Stap 1. Toegelaten controlelogboeken aan Syslog

    Om het VCC in te schakelen, stuurt u de controlelogboeken naar een syslog-server. Ga naar Systeem > Configuratie > Auditlogboek > Auditlogboek naar Syslog > Ingeschakeld.

    Deze afbeelding toont hoe u de functie Auditlog naar Syslog verzenden kunt inschakelen:

    Syslog enable

    Het VCC kan de loggegevens van de audit streamen naar maximaal vijf syslog-servers.

    Stap 2. Syslog-informatie configureren

    Nadat de service is ingeschakeld, kunt u de syslog-informatie configureren. Om de sysloginformatie te configureren navigeert u naar Systeem > Configuratie > Auditlog.

    Afhankelijk van uw vereisten selecteert u de optie Wijzigingen in configuratie verzenden, hosts, faciliteit, ernst

    Dit beeld toont de parameters om Syslog Server voor Controlelogboeken te vormen:

    Syslog configuration

    Verifiëren

    Als u wilt controleren of de parameters correct zijn geconfigureerd, selecteert u Systeem > Configuratie > Auditlogboek > Syslog-server testen.

    Deze afbeelding toont een succesvolle Syslog Server Test:

    Syslog test

    Een andere manier om te verifiëren dat syslog werkt, controleer de syslog interface om te bevestigen de controlelogboeken worden ontvangen.

    Deze afbeelding toont enkele voorbeelden van de controlelogboeken die Syslog Server ontvangt:

    Syslog events

    Screenshot 2023-09-28 at 15.49.23

    Hier zijn enkele voorbeelden van de configuratiewijzigingen die u in uw syslog-server kunt ontvangen:

    2023-09-29 16:12:18 localhost 172.16.10.2 Sep 29 16:12:23 firepower: [FMC-AUDIT] mojo_server.pl: admin@10.26.166.110, /ui/ddd/, Page View
    2023-09-29 16:12:20 localhost 172.16.10.2 Sep 29 16:12:25 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT, Page View
    2023-09-29 16:12:23 localhost 172.16.10.2 Sep 29 16:12:28 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT > NGFW NAT Policy Editor, Page View
    2023-09-29 16:13:39 localhost 172.16.10.2 Sep 29 16:13:44 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Objects > Object Management > NetworkObject, create csm-lab
    2023-09-29 16:14:32 localhost 172.16.10.2 Sep 29 16:14:37 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT > NAT Policy Editor, Save Policy NATPolicy
    2023-09-29 16:14:32 localhost 172.16.10.2 Sep 29 16:14:37 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT > NGFW NAT Policy Editor, Page View
    2023-09-29 16:14:54 localhost 172.16.10.2 Sep 29 16:14:59 firepower: [FMC-AUDIT] ActionQueueScrape.pl: csm_processes@Default User IP, Login, Login Success
    2023-09-29 16:14:55 localhost 172.16.10.2 Sep 29 16:15:00 firepower: [FMC-AUDIT] ActionQueueScrape.pl: admin@localhost, Task Queue, Successful task completion : Pre-deploy Global Configuration Generation

    Problemen oplossen

    Zorg ervoor dat het VCC, nadat de configuratie is toegepast, kan communiceren met de syslogserver.

    Het systeem gebruikt ICMP/ARP- en TCP/SYN-pakketten om te verifiëren dat de syslogserver bereikbaar is. Vervolgens gebruikt het systeem standaard poort 514/UDP om auditlogs en TCP-poort 1470 te streamen als u het kanaal beveiligd.

    Pas de volgende opdrachten toe om een pakketopname op FMC te configureren:

    • TCPdump. Deze opdracht legt het verkeer op het netwerk vast
    > expert
    admin@firepower:~$ sudo su
    Password: 

    root@firepower:/Volume/home/admin# tcpdump -i eth0 host 172.16.10.11 and port 514

    Bovendien, om ICMP bereikbaarheid te testen, pas dit bevel toe:

    • pingen. Deze opdracht helpt u te bevestigen of een apparaat al dan niet bereikbaar is en om de latentie van de verbinding te kennen.
    > expert
    admin@firepower:~$ sudo su
    Password: 
    root@firepower:/Volume/home/admin#ping 172.16.10.11
    PING 172.16.10.11 (172.16.10.11) 56(84) bytes of data.
    64 bytes from 172.16.10.11: icmp_seq=1 ttl=128 time=3.07 ms
    64 bytes from 172.16.10.11: icmp_seq=2 ttl=128 time=2.06 ms
    64 bytes from 172.16.10.11: icmp_seq=3 ttl=128 time=2.04 ms
    64 bytes from 172.16.10.11: icmp_seq=4 ttl=128 time=0.632 ms

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    03-Oct-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Oscar Montoya Torres
      Kapitein van het beveiligingsteam

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten