はじめに
本ドキュメントでは、Access Control Policy (ACP)の任意ルールのシスログ出力の設定と確認方法を紹介します。Firepower Management Center (FMC) 6.0.0.1 (build 26) を元に作成、確認しております。
ACPの任意ルール シスログ設定手順
1. Policies > Access Control から対象の Access Control Policyを選択
2. 外部シスログサーバにログを送付したい任意ルールをクリック
3. Editing Ruleのポップアップが開くため、Loggingタブをクリック
4. 以下画面に遷移するので、仮にSyslogサーバを未定義の場合、Syslogをチェックし、+ ボタンをクリック
Note: コネクションのLogging設定は、"Log at Beginning of Connection"と "Log at End of Connection" の2つがありますが、 運用時は "End of Connection"片方のみ有効化が推奨です。結果、重複ログの生成を防げ、ロギング負荷の低減に役立ちます。トラブルシューティング時など理由のある場合に限り、Beginning of Connectionと End of Connectionの両方有効化を検討してください。
5. Syslogサーバ設定画面がポップアップするため、任意パラメータを入力
| Name | 管理名 |
| Host | IPアドレス or ホスト名 |
| Port | シスログサーバ側の利用ポートを設定。デフォルト514 |
| Facility | シスログサーバ側に合わせて設定。デフォルトALERT |
| Severity | シスログサーバ側に合わせて設定。デフォルトALERT ALERT, CRIT, DEBUG, EMERG, ERR, INFO, NOTICE, WARNINGから選択可 |
| Tag | シスログメッセージに付与するtag nameの設定。任意 |
6. 以下画面に遷移するため、OKをクリック
7. 以下画面に遷移するため、Saveボタンと Deployボタンをクリックし、変更を適用
なお、設定後のSyslogサーバ設定は、Policies > Actions > Alerts より確認・編集可能です。
シスログメッセージ 出力確認
1. 対象ACPを適用したFirePOWERで、指定通信の通過試験を実施
2. シスログサーバ側で以下のようなシスログメッセージを受信できることを確認
Aug 16 17:39:41 10.71.xx.xx Aug 16 08:22:02 firepower SFIMS: Protocol: ICMP, SrcIP: 10.xx.xx.xx, DstIP: 1.xx.xx.xx, ICMPType: Destination Unreachable, ICMPCode: Communication Administratively Prohibited, TCPFlags: 0x0, IngressInterface: outside, EgressInterface: inside, DE: Primary Detection Engine (c2edcfd0-aafe-11e5-af21-f7b25e45d5ee), Policy: ASA5555-xxxxxx, ConnectType: End, AccessControlRuleName: Inspection-and-AMP | Monitor-All, AccessControlRuleAction: Allow, UserName: No Authentication Required, InitiatorPackets: 1, ResponderPackets: 0, InitiatorBytes: 70, ResponderBytes: 0, NAPPolicy: Balanced Security and Connectivity, DNSResponseType: No Error, Sinkhole: Unknown, URLCategory: Unknown, URLReputation: Risk unknown
Aug 16 17:39:41 10.71.xx.xx Aug 16 08:39:35 firepower SFIMS: Protocol: TCP, SrcIP: 1.xx.xx.xx, DstIP: 171.xx.xx.xx, SrcPort: 52975, DstPort: 53, TCPFlags: 0x0, IngressInterface: inside, EgressInterface: outside, DE: Primary Detection Engine (c2edcfd0-aafe-11e5-af21-f7b25e45d5ee), Policy: ASA5555-xxxxxx, ConnectType: End, AccessControlRuleName: Inspection-and-AMP | Monitor-All, AccessControlRuleAction: Allow, UserName: No Authentication Required, InitiatorPackets: 6, ResponderPackets: 5, InitiatorBytes: 371, ResponderBytes: 1823, NAPPolicy: Balanced Security and Connectivity, DNSResponseType: No Error, Sinkhole: Unknown, URLCategory: Unknown, URLReputation: Risk unknown
Aug 16 17:39:41 10.71.xx.xx Aug 16 08:39:38 firepower SFIMS: Protocol: TCP, SrcIP: 1.xx.xx.xx, DstIP: 52.xx.xx.xx, SrcPort: 42113, DstPort: 80, TCPFlags: 0x0, IngressInterface: inside, EgressInterface: outside02, DE: Primary Detection Engine (c2edcfd0-aafe-11e5-af21-f7b25e45d5ee), Policy: ASA5555-xxxxxx, ConnectType: Start, AccessControlRuleName: Inspection-and-AMP, AccessControlRuleAction: Allow, UserName: No Authentication Required, Client: Web browser, ApplicationProtocol: HTTP, InitiatorPackets: 3, ResponderPackets: 1, InitiatorBytes: 688, ResponderBytes: 74, NAPPolicy: Balanced Security and Connectivity, DNSResponseType: No Error, Sinkhole: Unknown, ReferencedHost: service.brightcloud.com, URLCategory: Business and Economy, URLReputation: Well known, URL: http://service.brightcloud.com/
参考情報
Firepower: Intrusion Eventのシスログアラートの設定と確認
https://supportforums.cisco.com/ja/document/12540321
Correlation 機能を利用し特定の IPS イベントを syslog 送信する方法
https://supportforums.cisco.com/ja/document/12543186
Cisco Secure Firewall (FTD) - how to ※FTD情報 まとめサイト
https://community.cisco.com/t5/-/-/ta-p/5024782
Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
