配置并验证Firepower设备管理器中的系统日志

简介

本文档介绍如何在Firepower设备管理器(FDM)中配置系统日志。

先决条件

要求

Cisco 建议您了解以下主题：

• Firepower威胁防御
• 运行Syslog软件以收集数据的Syslog服务器

配置

步骤1:在Firepower设备管理器主屏幕中，选择屏幕右下角系统设置下的日志记录设置。

第二步：在System Settings屏幕上，选择左侧菜单中的Logging Settings。

第三步：设置Data Logging切换开关，选择Syslog Servers下的+号。

第四步：选择Add Syslog Server。或者，您可以在对象- Syslog服务器中创建Syslog服务器对象。

第五步：输入Syslog服务器的IP地址和端口号。选择Data Interface的单选按钮，然后单击OK。

第六步：选择新的Syslog服务器并单击OK。

步骤 7.选择Severity level to filter with the all events单选按钮，然后选择所需的日志记录级别。

步骤 8单击屏幕底部的Save。

步骤 9验证设置是否成功。

步骤 10部署新设置。

和

可选。

此外，可以将访问控制策略访问控制规则设置为登录到Syslog服务器：

步骤1:单击屏幕顶部的Policies。

第二步： 将鼠标悬停在ACP规则的右侧以添加日志记录，并选择铅笔图标。

第三步：选择Logging选项卡，选择At End of Connection的单选按钮，选择Select a Syslog Alert Configuration下的下拉箭头，选择Syslog Server，然后单击OK。

第四步：部署配置更改。

验证

步骤1:任务完成后，使用show running-config logging命令验证FTD CLI清除模式中的设置。

第二步：导航到Syslog服务器并验证Syslog服务器应用是否接受Syslog消息。

故障排除

步骤1:如果系统日志应用上的系统日志消息生成任何消息，请从FTD CLI执行数据包捕获以检查数据包。在clish提示符处输入system support diagnostic-cli命令，以便从Clish模式更改为Lina。

第二步：为您的udp 514创建一个数据包捕获（如果使用tcp，则为tcp 1468） 

第三步：验证通信是否到达Syslog服务器上的网络接口卡。使用Wireshark或捕获加载的实用程序的其他数据包。双击Wireshark中的接口，使Syslog服务器开始数据包捕获。

第四步：在顶部栏中为udp 514设置显示过滤器；键入udp.port==514并选择栏右侧的箭头。从输出中，验证数据包能否成功发送到Syslog服务器。

第五步：如果Syslog服务器应用程序不显示数据，请排除Syslog服务器应用程序中的设置故障。确保使用的协议udp/tcp和端口514/1468正确。

相关信息

• 思科技术支持和下载