配置FMC以將稽核日誌傳送到系統日誌伺服器

簡介

本文檔介紹如何配置要傳送到系統日誌伺服器的Secure Firewall Management Center稽核日誌。

必要條件

需求

思科建議您瞭解以下主題：

• 思科防火牆管理中心(FMC)的基本可用性
• 瞭解系統日誌協定

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 思科防火牆管理中心虛擬v7.4.0
• 第三方系統日誌伺服器

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

Secure Firewall Management Center在只讀稽核日誌中記錄使用者活動。從Firepower 7.4.0版開始，可以通過指定配置資料格式和主機，將配置更改作為稽核日誌資料的一部分流式傳輸到系統日志。通過將稽核日誌流式傳輸到外部伺服器，可以節省管理中心上的空間，在需要提供配置更改的稽核跟蹤時，此功能也非常有用。

在高可用性情況下，只有活動 管理中心 將配置更改syslog傳送到外部syslog伺服器。日誌檔案在HA對之間同步，以便在故障切換或切換期間，新的主用日誌檔案將處於活動狀態 管理中心 繼續傳送更改日誌。如果HA對以大腦分割模式工作，則 管理中心對中的將配置更改系統日誌傳送到外部伺服器。

設定

步驟 1.啟用到系統日誌的稽核日誌

要啟用FMC將稽核日誌傳送到系統日誌伺服器，請導航到System > Configuration > Audit Log > Send Audit Log to Syslog > Enabled。

此圖顯示如何啟用將稽核日誌傳送到系統日誌功能：

FMC最多可將審計日誌資料流式傳輸到五台系統日誌伺服器。

步驟 2.配置系統日誌資訊

啟用服務後，您可以配置系統日誌資訊。要配置系統日誌資訊，請導航到System > Configuration > Audit Log。

根據您的要求，選擇Send Configuration Changes， Hosts， Facility， Severity

此圖顯示配置用於稽核日誌的系統日誌伺服器的引數：

驗證

要驗證引數是否配置正確，請選擇System > Configuration > Audit Log > Test Syslog Server。

此圖顯示了成功的Syslog伺服器測試：

另一種驗證系統日誌是否正常工作的方法是，檢查系統日誌介面以確認是否收到稽核日誌。

此圖顯示Syslog伺服器接收的審計日誌的一些示例：

以下是可以在系統日誌伺服器中接收的配置更改的一些示例：

2023-09-29 16:12:18 localhost 172.16.10.2 Sep 29 16:12:23 firepower: [FMC-AUDIT] mojo_server.pl: admin@10.26.166.110, /ui/ddd/, Page View
2023-09-29 16:12:20 localhost 172.16.10.2 Sep 29 16:12:25 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT, Page View
2023-09-29 16:12:23 localhost 172.16.10.2 Sep 29 16:12:28 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT > NGFW NAT Policy Editor, Page View
2023-09-29 16:13:39 localhost 172.16.10.2 Sep 29 16:13:44 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Objects > Object Management > NetworkObject, create csm-lab
2023-09-29 16:14:32 localhost 172.16.10.2 Sep 29 16:14:37 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT > NAT Policy Editor, Save Policy NATPolicy
2023-09-29 16:14:32 localhost 172.16.10.2 Sep 29 16:14:37 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT > NGFW NAT Policy Editor, Page View
2023-09-29 16:14:54 localhost 172.16.10.2 Sep 29 16:14:59 firepower: [FMC-AUDIT] ActionQueueScrape.pl: csm_processes@Default User IP, Login, Login Success
2023-09-29 16:14:55 localhost 172.16.10.2 Sep 29 16:15:00 firepower: [FMC-AUDIT] ActionQueueScrape.pl: admin@localhost, Task Queue, Successful task completion : Pre-deploy Global Configuration Generation

疑難排解

應用配置後，確保FMC可以與syslog伺服器通訊。

系統使用ICMP/ARP和TCP SYN資料包驗證系統日誌伺服器是否可訪問。然後，如果保護通道，系統預設使用埠514/UDP傳輸審計日誌，使用TCP埠1470。

要在FMC上配置資料包捕獲，請應用以下命令：

• tcpdump.此命令可擷取網路上的流量

> expert
admin@firepower:~$ sudo su
Password: 

root@firepower:/Volume/home/admin# tcpdump -i eth0 host 172.16.10.11 and port 514

此外，若要測試ICMP可達性，請應用以下命令：

• ping。此命令有助於確認裝置是否可訪問以及瞭解連線的延遲。

> expert
admin@firepower:~$ sudo su
Password: 
root@firepower:/Volume/home/admin#ping 172.16.10.11
PING 172.16.10.11 (172.16.10.11) 56(84) bytes of data.
64 bytes from 172.16.10.11: icmp_seq=1 ttl=128 time=3.07 ms
64 bytes from 172.16.10.11: icmp_seq=2 ttl=128 time=2.06 ms
64 bytes from 172.16.10.11: icmp_seq=3 ttl=128 time=2.04 ms
64 bytes from 172.16.10.11: icmp_seq=4 ttl=128 time=0.632 ms

相關資訊

• 技術支援與文件 - Cisco Systems
• 思科安全防火牆管理中心管理指南