購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
3618
閲覧回数
31
いいね!
0
コメント

FTD/FMC/FXOS から送信される可能性のある syslog について

toishika
Cisco Employee
Cisco Employee

‎2017-12-29 05:32 PM ‎2019-03-22 07:34 AM 更新

 

 

1. はじめに

FTD(Firepower Threat Defence)では FMC(Firepower Management Center)による管理の際、FTD or FMC or FXOS(Firepower eXtensible Operating System)(FXOS は FPR4100 or FPR9300 シリーズのみ) から様々な種類の syslog を送信することが可能ですが、この複雑さが逆に混乱を招く場合がございます。本 topic では FTD が FMC で管理されてる場合に送信される syslog の種類についてご案内させて頂きます。
※ 本 topic は FPR4110 FTD 6.2.2.1 FXOS 2.3(1.56) + FMCv 6.2.2.1 で動作確認を行っております。
※ 本 topic は syslog に関しての記述となっていますが、SNMP trap に関しても同様とお考え頂いて問題ありません。

 

2. FTD/FMC/FXOS から送信される可能性のある syslog

前提条件として、各 IP address が以下であり、これらの IP address は全てお互い IP reachability があります。

FTD br1 1.158.158.39/8
FTD diagnostic 1.155.211.6/8
FXOS management 1.160.0.93/8
FMC management(eth0) 1.150.0.164/8
Syslog Server  1.160.0.4/8 

【FTD br1】
admin@Firepower-module1:/opt/bootcli/cisco/cli/bin$ sudo sfcli.pl show network | grep -i addre 
Address : 1.158.158.39

【FTD diagnostic】
firepower# show ip | in diag
Ethernet1/1 diagnostic 1.155.211.6 255.0.0.0 CONFIG

【FXOS management】
FPR4110-A /fabric-interconnect # show detail | grep "IP A"
 OOB IP Addr: 1.160.0.93
 
【FMC management(eth0)】
admin@toishika-FMC4:~$ ifconfig | grep "inet ad"
 inet addr:1.150.0.164 Bcast:1.255.255.255 Mask:255.0.0.0

 

2-1. FTD の br1 interface から送信されるケース

 
2-1-1. FTD から Connection Event が送信されるケース
 
以下のように ACP の Logging 設定で Syslog が有効になっている場合、FTD で生成された Connection Event は FTD の br1 interface から送信されます。
 
screen_1.jpg

screen_2.jpg

以下がサンプルのパケットキャプチャです。screen_3.jpg

 

2-1-2. FTD から Intrusion Event が送信されるケース
 
以下のように Intrusion Policy の Advanced Settings > Syslog Alerting が有効になっている場合、FTD で生成された Intrusion Event は FTD の br1 interface から送信されます。

intrusion_syslog_1.jpg

以下がサンプルのパケットキャプチャです。

intrusion_syslog_2.jpg

  

2-2. FTD の br1 interface 以外から送信されるケース

 
以下のように FMC の Platform Settings 配下で syslog 設定をしている場合(= FTD の show running logging 上の設定が存在する場合)、FTD で生成された LINA(ASA) syslog は FTD の br1 interface 以外から送信されます。使用される interface は logging host 内で定義されている interface から送信されます。以下は diagnostic interface の例です。

screen_4.jpg

screen_5.jpg

> show running-config logging
logging enable
logging timestamp
logging buffer-size 1000000
logging buffered emergencies
logging trap emergencies
logging host diagnostic 1.160.0.4
logging flash-minimum-free 1024
logging flash-maximum-allocation 3076
logging message 302015 level emergencies

 

以下がサンプルのパケットキャプチャです。

screen_6.jpg

 

LINA(ASA) syslog に関しては以下の記事も参考にして頂ければと思います。

 

2-3. FXOS の management interface から送信されるケース

 
以下のように FCM(Firepower Chassis Manager) の Platform Settings 配下で syslog 設定をしている場合、FXOS で生成された syslog は FXOS management interface から送信されます。
 
screen_7.jpg

 

以下がサンプルのパケットキャプチャです。screen_8.jpg

 

2-4. FMC の management interface から送信されるケース

 
2-4-1. FMC から Correlation Event が送信されるケース
 
以下のように Correlation の機能を用いて何かしらのイベントと syslog を関連付けている場合、Correlation Event が FMC management interface から syslog 送信されます。以下は Connection Event を Correlation Event として FMC から syslog 送信させた場合の例です。

screen_9.jpg

screen_10.jpg

 

以下がサンプルのパケットキャプチャです。

screen_11.jpg

 

Correlation の機能に関しては以下の記事も参考にして頂ければと思います。

 

2-4-2. FMC から Health Monitor Alert が送信されるケース 
 
以下のように Health Monitor Alerts と syslog を関連付けている場合Health Monitor Alert が FMC management interface から syslog 送信されます。
 
screen_12.jpg

 

以下がサンプルのパケットキャプチャです。screen_13.jpg

 

2-4-3. FMC から Impact Flag Alert が送信されるケース 
 
以下のように Impact Flag Alerts と syslog を関連付けている場合Impact Flag Alert が FMC management interface から syslog 送信されます。
 
impact_syslog_1.jpg

impact_syslog_2.jpg

 

以下がサンプルのパケットキャプチャです。impact_syslog_3.jpg

 

2-4-4. FMC から Discovery Monitor Alert が送信されるケース 
 
以下のように Discovery Monitor Alerts と syslog を関連付けている場合Discovery Monitor Alert が FMC management interface から syslog 送信されます。
discovery_syslog_1.jpg

 

discovery_syslog_2.jpg

 

以下がサンプルのパケットキャプチャです。discovery_syslog_3.jpg

 

2-4-5. FMC から Malware Protection Alert が送信されるケース 
 
以下のように Advanced Malware Protection Alerts と syslog を関連付けている場合Advanced Malware Protection Alert が FMC management interface から syslog 送信されます。
 

malware_syslog_1.jpg

malware_syslog_2.jpg

 

以下がサンプルのパケットキャプチャです。malware_syslog_3.jpg

 

Last reviewed on Dec 31, 2017 by toishika 

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents