はじめに
本ドキュメントでは、Access Control Policy (ACP)の任意ルールのシスログ出力の設定と確認方法を紹介します。Firepower Management Center (FMC) 6.0.0.1 (build 26) を元に作成、確認しております。
ACPの任意ルール シスログ設定手順
1. Policies > Access Control から対象の Access Control Policyを選択
2. 外部シスログサーバにログを送付したい任意ルールをクリック
3. Editing Ruleのポップアップが開くため、Loggingタブをクリック
4. 以下画面に遷移するので、仮にSyslogサーバを未定義の場合、Syslogをチェックし、+ ボタンをクリック
Note: コネクションのLogging設定は、"Log at Beginning of Connection"と "Log at End of Connection" の2つがありますが、 運用時は "End of Connection"片方のみ有効化が推奨です。結果、重複ログの生成を防げ、ロギング負荷の低減に役立ちます。トラブルシューティング時など理由のある場合に限り、Beginning of Connectionと End of Connectionの両方有効化を検討してください。
5. Syslogサーバ設定画面がポップアップするため、任意パラメータを入力
Name |
管理名 |
Host |
IPアドレス or ホスト名 |
Port |
シスログサーバ側の利用ポートを設定。デフォルト514 |
Facility |
シスログサーバ側に合わせて設定。デフォルトALERT |
Severity |
シスログサーバ側に合わせて設定。デフォルトALERT ALERT, CRIT, DEBUG, EMERG, ERR, INFO, NOTICE, WARNINGから選択可 |
Tag |
シスログメッセージに付与するtag nameの設定。任意 |
6. 以下画面に遷移するため、OKをクリック
7. 以下画面に遷移するため、Saveボタンと Deployボタンをクリックし、変更を適用
なお、設定後のSyslogサーバ設定は、Policies > Actions > Alerts より確認・編集可能です。
シスログメッセージ 出力確認
1. 対象ACPを適用したFirePOWERで、指定通信の通過試験を実施
2. シスログサーバ側で以下のようなシスログメッセージを受信できることを確認
Aug 16 17:39:41 10.71.xx.xx Aug 16 08:22:02 firepower SFIMS: Protocol: ICMP, SrcIP: 10.xx.xx.xx, DstIP: 1.xx.xx.xx, ICMPType: Destination Unreachable, ICMPCode: Communication Administratively Prohibited, TCPFlags: 0x0, IngressInterface: outside, EgressInterface: inside, DE: Primary Detection Engine (c2edcfd0-aafe-11e5-af21-f7b25e45d5ee), Policy: ASA5555-xxxxxx, ConnectType: End, AccessControlRuleName: Inspection-and-AMP | Monitor-All, AccessControlRuleAction: Allow, UserName: No Authentication Required, InitiatorPackets: 1, ResponderPackets: 0, InitiatorBytes: 70, ResponderBytes: 0, NAPPolicy: Balanced Security and Connectivity, DNSResponseType: No Error, Sinkhole: Unknown, URLCategory: Unknown, URLReputation: Risk unknown
Aug 16 17:39:41 10.71.xx.xx Aug 16 08:39:35 firepower SFIMS: Protocol: TCP, SrcIP: 1.xx.xx.xx, DstIP: 171.xx.xx.xx, SrcPort: 52975, DstPort: 53, TCPFlags: 0x0, IngressInterface: inside, EgressInterface: outside, DE: Primary Detection Engine (c2edcfd0-aafe-11e5-af21-f7b25e45d5ee), Policy: ASA5555-xxxxxx, ConnectType: End, AccessControlRuleName: Inspection-and-AMP | Monitor-All, AccessControlRuleAction: Allow, UserName: No Authentication Required, InitiatorPackets: 6, ResponderPackets: 5, InitiatorBytes: 371, ResponderBytes: 1823, NAPPolicy: Balanced Security and Connectivity, DNSResponseType: No Error, Sinkhole: Unknown, URLCategory: Unknown, URLReputation: Risk unknown
Aug 16 17:39:41 10.71.xx.xx Aug 16 08:39:38 firepower SFIMS: Protocol: TCP, SrcIP: 1.xx.xx.xx, DstIP: 52.xx.xx.xx, SrcPort: 42113, DstPort: 80, TCPFlags: 0x0, IngressInterface: inside, EgressInterface: outside02, DE: Primary Detection Engine (c2edcfd0-aafe-11e5-af21-f7b25e45d5ee), Policy: ASA5555-xxxxxx, ConnectType: Start, AccessControlRuleName: Inspection-and-AMP, AccessControlRuleAction: Allow, UserName: No Authentication Required, Client: Web browser, ApplicationProtocol: HTTP, InitiatorPackets: 3, ResponderPackets: 1, InitiatorBytes: 688, ResponderBytes: 74, NAPPolicy: Balanced Security and Connectivity, DNSResponseType: No Error, Sinkhole: Unknown, ReferencedHost: service.brightcloud.com, URLCategory: Business and Economy, URLReputation: Well known, URL: http://service.brightcloud.com/
参考情報
Firepower: Intrusion Eventのシスログアラートの設定と確認
https://supportforums.cisco.com/ja/document/12540321
Correlation 機能を利用し特定の IPS イベントを syslog 送信する方法
https://supportforums.cisco.com/ja/document/12543186
Cisco Secure Firewall (FTD) - how to ※FTD情報 まとめサイト
https://community.cisco.com/t5/-/-/ta-p/5024782
Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733