Cisco Cisco Firepower Management Center 4000 User Guide
63-10
FireSIGHT 系统用户指南
第 63 章 管理系统策略
配置系统策略
发送主机的名称是发送的信息的一部分。可以使用工具、严重性级别和可选标记来进一步识别审
核日志数据流。设备会在您应用系统策略之后发送审核日志。
核日志数据流。设备会在您应用系统策略之后发送审核日志。
应用启用了此功能的策略且目标主机已配置为接收审核日志之后,系统日志才会发送出去。以下
是输出结构的示例:
是输出结构的示例:
Date Time Host [Tag] Sender: [User_Name]@[User_IP], [Subsystem], [Action]
其中,本地日期、时间和主机名称位于括号内的可选标记之前,发送设备名称在审核日志消息
之前。
之前。
例如:
Mar 01 14:45:24 localhost [TAG] Dev-DC3000: admin@10.1.1.2, Operations > Monitoring, Page
View
要配置审核日志设置,请执行以下操作:
访问:管理员
步骤 1
选择
System > Local > System Policy
。
系统将显示 System Policy 页面。
步骤 2
您有以下选项:
•
要修改现有系统策略中的审核日志设置,请点击系统策略旁边的编辑图标 (
)。
•
要将审核日志设置配置为新系统策略的一部分,请点击
Create Policy
。
如
Save
。
无论执行哪一种操作,系统都会显示 Access List 页面。
步骤 3
点击
Audit Log Settings
。
系统将显示 Audit Log Settings 页面。
步骤 4
从
Send Audit Log to Syslog
下拉菜单中选择
Enabled
。(默认设置为
Disabled
。)
步骤 5
在
Host
字段中,使用 IP 地址或完全限定的主机名称指定审核信息的目标主机。默认端口 (514) 已
被使用。
注意事项
对于您配置用于接收审核日志的计算机,如果未将其设置为可接收远程消息,主机将不会接受审
核日志。
核日志。
步骤 6
从
Facility
字段中选择系统日志工具。
步骤 7
从
Severity
字段中选择严重性级别。
步骤 8
或者,在
Tag (可选)
字段中插入参考标记。
步骤 9
要将常规审核日志发送到外部 HTTP 服务器,请从
Send Audit Log to HTTP Server
下拉列表中选择
Enabled
。默认设置为
Disabled
。
步骤 10
在
URL to Post Audit
字段中,指定要用于发送审核信息的 URL。必须输入与将会监听下列 HTTP
POST 变量的监听程序相对应的 URL:
•
subsystem
•
actor
•
event_type
•
讯息
•
action_source_ip
•
action_destination_ip