启用日志记录以获取流量统计信息
使用监控控制面板和事件查看器,可以监控各种流量统计信息。但是,必须启用日志记录才能告诉系统要收集哪些统计信息。日志记录生成各种类型的事件,有助于深入了解通过系统的连接。
以下主题详细介绍事件及其所提供信息,并特别强调连接日志记录。
事件类型
系统可以生成以下类型的事件。只有生成这些事件,才能在监控控制面板中查看相关统计信息。
- 连接事件
-
您可以在用户生成通过系统传递的流量时生成连接事件。启用访问规则连接日志记录以生成这些事件。还可启用安全情报策略和 SSL 解密规则日志记录,以生成连接事件。
连接事件包括有关连接的各种信息,包括源和目的 IP 地址及端口、使用的 URL 和应用,以及传输的字节数或数据包数。另外,还包括执行的操作(例如,允许或阻止连接)和应用于连接的策略的信息。
- 入侵事件
-
系统检查网络上传输的数据包是否存在可能影响主机及其数据的可用性、完整性和机密性的恶意活动。如果系统识别出潜在的入侵,会生成入侵事件;入侵事件是有关攻击源和攻击目标的日期、时间、攻击程序类型以及情境信息的记录。无论调用访问控制规则的日志记录配置如何,系统均会生成设为阻止或提醒的入侵规则的入侵事件。
- 文件事件
-
文件事件表示系统基于文件策略在网络流量中检测到或者被阻止的文件。只有在应用文件策略的访问规则中启用文件日志记录,才能生成这些事件。
无论调用访问控制规则采用何种日志记录配置,在系统生成文件事件时,都会记录相关连接的终止。
- 恶意软件事件
-
作为整体访问控制配置的一部分,系统可在网络流量内检测恶意软件。适用于 Firepower 的 AMP 可以生成恶意软件事件,其中包含生成事件的处置,有关检测该恶意软件的方式、位置和时间的情境数据。只有在应用文件策略的访问规则中启用文件日志记录,才能生成这些事件。
文件的处置可能发生变化,例如,从安全变为恶意软件或从恶意软件变为安全。如果适用于 Firepower 的 AMP 向 AMP 云查询文件,且云决定在查询一周内更改处置,系统即会生成追溯性恶意软件事件。
- 安全情报事件
-
安全情报事件是由安全情报策略为该策略列入黑名单(阻止)或监控的连接生成的一种连接事件。所有安全情报事件都有一个由系统填充的“安全情报类别”字段。
对于各事件,都有一个相应的“常规”连接事件。由于评估安全情报策略后才会评估许多其他安全策略(包括访问控制),所以当安全情报阻止连接时,所生成事件不含系统从后续评估中收集的信息(如用户身份)。
可配置的连接日志记录
您应该根据贵组织的安全和合规性需求记录连接。如果您的目标是限制所生成事件的数量和提高性能,则只能启用对分析至关重要的连接的日志记录。然而,如果出于分析目的,您想要广泛了解网络流量,则可启用其他连接的日志记录。
由于系统可能会因为多种原因记录连接,因此禁用某一处的日志记录不能确保匹配连接不会被记录。
可在以下位置配置连接日志记录。
-
访问控制规则和默认操作 - 连接结束时的日志记录可提供有关连接的大多数信息。另外,您还可以记录连接开始信息,但这些事件的信息不完整。连接日志记录默认处于禁用状态,因此必须针对所要跟踪的流量的每个规则(和默认操作)启用该日志记录。
-
安全情报策略 - 可启用日志记录,为已列入黑名单的各连接生成安全情报事件。当系统由于安全情报过滤而记录连接事件时,它也会记录匹配的安全情报事件(这是一种您可以单独查看和分析的特殊类型连接事件)。
-
SSL 解密规则和默认操作 - 可在连接结束时配置日志记录。对于受阻连接,系统会立即结束会话并生成事件。对于受监控连接以及您将其传递到访问控制规则的连接,系统会在会话结束时生成事件。
自动连接日志记录
系统自动保存以下连接结束事件,而不管其他日志记录配置如何。
-
除非通过访问控制策略的默认操作来处理连接,否则系统会自动记录与入侵事件关联的连接。您必须在默认操作上启用日志记录以获取匹配流量的入侵事件。
-
系统会自动记录与文件和恶意软件事件关联的连接。这仅适用于连接操作:您可以选择禁用生成文件和恶意软件事件。
连接日志记录的提示
在考虑日志记录配置和评估相关统计信息时,请记住以下提示:
-
当您通过访问控制规则允许流量时,可以使用关联的入侵或文件策略(或同时使用这两种策略),在流量到达其最终目的地前进一步检测流量并阻止入侵、禁止文件和恶意软件。不过请注意,对于加密负载,文件和入侵检测已默认禁用。如果入侵或文件策略需要阻止连接,系统将立即记录连接结束事件,而不考虑连接日志设置。允许日志记录的连接提供有关网络流量的大多数统计信息。
-
受信任连接是由信任访问控制规则或访问控制策略中的默认操作所处理的连接。但是,不会检测受信任连接中是否存在发现数据、入侵、禁止文件和恶意软件。因此,受信任连接的连接事件包含的信息有限。
-
对于阻止流量的访问控制规则和访问控制策略默认操作,系统将记录连接开始事件。匹配流量会被拒绝,无需进一步检测。
-
在拒绝服务 (DoS) 攻击期间记录被阻止的 TCP 连接会影响系统性能并因多个相似事件使数据库不堪重负。在对 Block 规则启用日志记录之前,请考虑该规则是否监控面向互联网的接口或其他易受 DoS 攻击的接口上的流量。
将事件发送至外部系统日志服务器
除了通过 Firepower 设备管理器(其事件存储容量有限)查看事件外,还可以选择配置规则和策略以将事件发送至外部系统日志服务器。然后,可使用所选系统日志服务器平台的功能和附加存储查看和分析事件数据。
要将事件发送至外部系统日志服务器,请编辑启用连接日志记录的各规则、默认操作或策略,并在日志设置中选择系统日志服务器对象。要将入侵事件发送到系统日志服务器,请在入侵策略设置中配置服务器。
有关更多信息,请参阅各规则和策略类型的帮助,另请参阅配置系统日志服务器。