Os eventos de conexão parecem desaparecer do FireSIGHT Management Center

Opções de download

  • PDF     (239.7 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (88.3 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (72.7 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:20 de maio de 2015
ID do documento:118012

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve como determinar a causa raiz e solucionar o problema quando os eventos de conexão desaparecem do FireSIGHT Management Center depois que o sistema é executado por vários dias. Isso pode acontecer devido às definições de configuração do centro de gerenciamento.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento do FireSIGHT Management Center.

Componentes Utilizados

As informações neste documento são baseadas nas seguintes versões de hardware e software:

  • FireSIGHT Management Center
  • Versão do software 5.2 ou posterior

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Troubleshooting

Etapa 1: Determine o número de eventos armazenados

Para determinar o número de eventos do Connection armazenados em um FireSIGHT Management Center,

  1. Escolha Analysis > Connections > Table View of Connection Events.
  2. Expanda a Janela de Tempo para uma ampla faixa que inclua todos os eventos atuais, por exemplo, 12 meses.
  3. Observe o número total de linhas na parte inferior da página. Clique na última página e anote o carimbo de data/hora do último Evento de Conexão disponível.

Essas informações dão uma ideia de quantos e por quanto tempo você pode reter Eventos do Connection com sua configuração atual.

Etapa 2: Determine a opção de registro

Revise quais conexões estão sendo registradas e onde no fluxo essas conexões estão registradas. Você deve registrar as conexões de acordo com as necessidades de segurança e conformidade da sua organização. Se o seu objetivo for limitar o número de eventos gerados, ative o registro apenas para as regras críticas para a sua análise. No entanto, se desejar uma visão ampla do tráfego de rede, você poderá ativar o registro para regras de controle de acesso adicionais ou para a ação padrão. Você pode desabilitar o Registro de Conexão para tráfego não essencial para ajudar a reter Eventos de Conexão por um período de tempo maior.

Dica: para otimizar o desempenho, a Cisco recomenda que você registre o início ou o fim da conexão, mas não ambos.

Observação: para uma única conexão, o evento de fim da conexão contém todas as informações do evento de início da conexão, bem como as informações que foram coletadas durante a sessão. Para regras de Confiança e Permissão, é recomendável usar End-of-Connection.

Este gráfico explica as diferentes opções de log disponíveis para cada Ação de Regra:

 Ação de regra ou opção de registro  Registrar no início  Registrar no fim

 Confiança

 Ação padrão: Confiar

  X  X

 Permissão

 Ação padrão: intrusão

 Ação Padrão: Descoberta

  X  X
 Monitor    X (Obrigatório)

 Bloqueio

 Bloqueio com reinicialização

 Ação padrão: Bloquear

  X  

 Bloqueio interativo

 Bloqueio interativo com reinicialização

  X  X (Se Ignorado)
 Inteligência de segurança  X  

Etapa 3: Ajustar o Tamanho do Banco de Dados do Connection

Os eventos de conexão são removidos dependendo da configuração de Máximo de Eventos de Conexão na política do sistema. Para alterar a configuração:

  1. Escolha System > Local > System Policy.
  2. Clique no ícone do lápis para editar a política aplicada no momento.
  3. Escolha Banco de Dados > Banco de Dados de Conexão > Máximo de Eventos de Conexão.
  4. Altere o valor de Máximo de Eventos de Conexão.
  5. Clique em Save Policy and Exit (Salvar política e sair) e em Apply (Aplicar a política aos equipamentos.

A quantidade máxima de Eventos de Conexão que pode ser armazenada depende do modelo do Centro de Gerenciamento:

Observação: o limite máximo de eventos é compartilhado entre eventos de conexão e eventos de Inteligência de Segurança; a soma dos máximos configurados para os dois eventos não pode exceder o limite máximo de eventos.

Modelo do Management Center Número máximo de eventos
FS750, DC750 50 milhões
FS1500, DC1500 100 milhões
FS2000 300 milhões
FS3500, DC3500 500 milhões
FS4000 1 bilhão
Dispositivo virtual 10 milhões

Cuidado: um aumento nos Limites do Banco de Dados pode ter um impacto negativo no desempenho do dispositivo. Para melhorar o desempenho, você deve ajustar os limites de eventos ao número de eventos com os quais trabalha regularmente.

Para widgets que exibem contagens de eventos ao longo de um intervalo de tempo, o número total de eventos pode não refletir o número de eventos para os quais dados detalhados estão disponíveis no visualizador de eventos. Isso ocorre porque o sistema às vezes remove detalhes de eventos mais antigos para gerenciar o uso do espaço em disco. Para minimizar a ocorrência de remoção de detalhes de eventos, você pode ajustar o registro de eventos para registrar somente os eventos mais importantes para sua implantação.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
18-Jul-2014
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Nazmul Rajib
    Cisco TAC Engineer.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos