WSA日志传输到远程SCP服务器

简介

本文档介绍如何将日志从思科网络安全设备(WSA)传输到远程安全复制(SCP)服务器。您可以配置WSA日志，例如访问日志和身份验证日志，以便在日志滚动或覆盖时使用SCP协议将其转发到外部服务器。

本文档中的信息介绍了如何配置日志轮换规则以及成功传输到SCP服务器所需的安全外壳(SSH)密钥。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

配置

完成以下步骤以配置WSA日志，以便在远程服务器上使用SCP检索这些日志：

1. 登录WSA Web GUI。
   
   
2. 导航到系统管理 > 日志订阅。
   
   
3. 选择要为其配置此检索方法的日志的名称，如访问日志。
   
   
4. 在Retrieval Method字段中，选择SCP on Remote Server。
   
   
5. 输入SCP服务器的SCP主机名或IP地址。
   
   
6. 输入SCP端口号。
   

   注意：默认设置为端口22。

7. 输入日志将传输到的SCP服务器目标目录的完整路径名。
   
   
8. 输入SCP服务器身份验证用户的用户名。
   
   
9. 如果要自动扫描主机密钥或手动输入主机密钥，请启用主机密钥检查。
   
   
10. 单击“Submit”。现在，您即将置入SCP服务器authorized_keys文件中的SSH密钥应该会出现在编辑日志订阅页面顶部附近。以下是WSA中一条成功消息的示例：
    
    
    
    
11. 单击Commit Changes。
    
    
12. 如果SCP服务器是Linux或Unix服务器或者Macintosh计算机，请将WSA的SSH密钥粘贴到SSH目录中的authorized_keys文件中：
    
    
    1. 导航到Users > <用户名> > .ssh目录。
       
       
    2. 将WSA SSH密钥粘贴到authorized_keys文件中并保存更改。
       

    注意：如果SSH目录中没有authorized_keys文件，则必须手动创建该文件。

验证

要验证日志是否成功传输到SCP服务器，请完成以下步骤：

1. 导航到WSA日志订阅页面。
   
   
2. 在回滚列中，选择您为SCP检索配置的日志。
   
   
3. 找到并单击Rollover Now。
   
   
4. 导航到为日志检索配置的SCP服务器文件夹，并验证日志是否已传输到该位置。

要监控从WSA到SCP服务器的日志传输，请完成以下步骤：

1. 通过SSH登录WSA CLI。
   
   
2. 输入grep命令。
   
   
3. 输入要监控的日志的相应编号。例如，从system_logs的grep列表中输入31。
   
   
4. 在Enter the regular expression to grep提示符处输入scp以过滤日志，这样您就只能监控SCP事务。
   
   
5. 在Do you want this search to be insensitive case？提示符处输入Y。
   
   
6. 在Do you want to tail the logs？提示符处输入Y。
   
   
7. 在Do you want to paginate the output？提示符处输入N。然后，WSA实时列出SCP事务。下面是来自WSA system_logs的成功SCP事务的示例：
   

   Wed Jun 11 15:06:14 2014 Info: Push success for subscription <the name of the log>:
   Log aclog@20140611T145613.s pushed to remote host <IP address of the SCP Server>:22

故障排除

目前没有针对此配置的故障排除信息。