WSA日誌傳輸到遠端SCP伺服器

簡介

本檔案介紹如何將記錄從思科網路安全裝置(WSA)傳輸到遠端安全複製(SCP)伺服器。您可以配置WSA日誌，例如訪問日誌和身份驗證日誌，以便在日誌滾動或環繞時，使用SCP協定將其轉發到外部伺服器。

本文檔中的資訊介紹了如何配置日誌旋轉規則以及成功傳輸到SCP伺服器所需的Secure Shell (SSH)金鑰。

必要條件

需求

本文件沒有特定需求。

採用元件

本文件所述內容不限於特定軟體和硬體版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

設定

完成以下步驟以配置WSA日誌，以便在遠端伺服器上使用SCP檢索這些日誌：

1. 登入WSA Web GUI。
   
   
2. 導航到系統管理 > 日誌訂閱。
   
   
3. 選擇要為其配置此檢索方法的日誌的名稱，如訪問日誌。
   
   
4. 在Retrieval Method欄位中，選擇SCP on Remote Server。
   
   
5. 輸入SCP伺服器的SCP主機名或IP地址。
   
   
6. 輸入SCP埠號。
   

   註：預設設定為埠22。

7. 輸入要將日誌傳送到的SCP伺服器目標目錄的完整路徑名。
   
   
8. 輸入SCP伺服器驗證使用者的使用者名稱。
   
   
9. 如果要自動掃描主機金鑰或手動輸入主機金鑰，請啟用主機金鑰檢查。
   
   
10. 按一下Submit。您即將置入SCP伺服器authorized_keys檔案的SSH金鑰現在應顯示在Edit Log Subscription頁的頂部附近。以下示例顯示了來自WSA的成功消息：
    
    
    
    
11. 按一下Commit Changes。
    
    
12. 如果SCP伺服器是Linux或Unix伺服器或Macintosh電腦，請從WSA將SSH金鑰貼上到SSH目錄中的authorized_keys檔案中：
    
    
    1. 導航到Users > <username> > .ssh目錄。
       
       
    2. 將WSA SSH金鑰貼上到authorized_keys檔案中並儲存更改。
       

    注意：如果SSH目錄中沒有authorized_keys檔案，則必須手動建立該檔案。

驗證

完成以下步驟以驗證日誌是否成功傳輸到SCP伺服器：

1. 導航到WSA日誌訂閱頁面。
   
   
2. 在回滾列中，選擇為SCP檢索配置的日誌。
   
   
3. 找到並按一下Rollover Now。
   
   
4. 導航到為日誌檢索配置的SCP伺服器資料夾，並驗證日誌是否已傳輸到該位置。

要監控從WSA到SCP伺服器的日誌傳輸，請完成以下步驟：

1. 透過SSH登入到WSA CLI。
   
   
2. 輸入grep命令。
   
   
3. 輸入您要監視的日誌的適當編號。例如，從system_logs的grep清單中輸入31。
   
   
4. 在Enter the regular expression to grep提示符處輸入scp，以便過濾日誌，從而只能監控SCP事務。
   
   
5. 在Do you want this search to be insensitive case？提示符處輸入Y。
   
   
6. 在Do you want to tail the logs？提示符處輸入Y。
   
   
7. 在Do you want to paginate the output？提示符處輸入N。然後，WSA即時列出SCP事務。下面是來自WSA system_logs的成功SCP事務的示例：
   

   Wed Jun 11 15:06:14 2014 Info: Push success for subscription <the name of the log>:
   Log aclog@20140611T145613.s pushed to remote host <IP address of the SCP Server>:22

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。