Cisco Cisco Firepower Management Center 4000 User Guide
38-13
FireSIGHT 系统用户指南
第 38 章 记录网络流量中的连接
根据访问控制处理记录连接
步骤 5
指定将连接事件发送至何处。有以下选项可供选择:
•
要将连接事件发送到防御中心,请选择
防御中心
。
•
要将事件发送至外部系统日志服务器,请选择
Syslog
,然后从下拉列表选择系统日志警报响
应。或者通过点击添加图标 (
。
•
要将事件发送至 SNMP 陷阱服务器,请选择
SNMP Trap
,然后从下拉列表选择 SNMP 警报响
应。或者通过点击添加图标 (
) 来配置 SNMP 警报响应,请参阅
。
如果要对这些连接事件执行基于防御中心的分析,您必须将事件发送至防御中心。但请注意,系
统将不进一步检查 SSL 策略默认操作处理的流量是否存在入侵、恶意软件或发现数据。有关详细
信息,请参阅
统将不进一步检查 SSL 策略默认操作处理的流量是否存在入侵、恶意软件或发现数据。有关详细
信息,请参阅
。
步骤 6
点击
OK
,保存更改。
只有应用与 SSL 策略相关联的访问控制策略,才能使更改生效;请参阅
。
根据访问控制处理记录连接
许可证:任何环境
在访问控制策略中,访问控制规则为在多台受管设备之间处理网络流量提供了一种精细方法。因
此您可以仅记录关键连接,针对每条访问控制规则启用连接记录,如果为规则启用连接记录,则
系统会记录该规则处理的所有连接。
此您可以仅记录关键连接,针对每条访问控制规则启用连接记录,如果为规则启用连接记录,则
系统会记录该规则处理的所有连接。
您也可以为访问控制策略默认操作处理的流量记录连接。默认操作确定系统如何处理与策略中所有
访问控制规则均不匹配的流量 (Monitor 规则除外,这些规则匹配和记录,但不处理或检查流量)。
访问控制规则均不匹配的流量 (Monitor 规则除外,这些规则匹配和记录,但不处理或检查流量)。
请注意,即便您为所有访问控制规则和默认操作禁用了日志记录,连接结束事件仍可能会被记录
至 防御中心数据库,前提是该连接与访问控制规则相匹配且包含入侵尝试、受禁文件或恶意软
件,或者其被系统解密且您在 SSL 策略中为该连接启用了日志记录。
至 防御中心数据库,前提是该连接与访问控制规则相匹配且包含入侵尝试、受禁文件或恶意软
件,或者其被系统解密且您在 SSL 策略中为该连接启用了日志记录。
取决于规则或默认策略操作以及您配置的关联检查选项,您的日志记录选项可能有所不同。有关
详情,请参阅:
详情,请参阅:
•
•
记录与访问控制规则相匹配的连接
许可证:任何环境
要仅记录关键连接,您可以针对每条访问控制规则启用连接记录。如为某条规则启用日志记录,
则系统会记录该规则处理的所有连接。
则系统会记录该规则处理的所有连接。
。另请注意,即便您为某条访问控制规则禁用
日志记录,与该规则匹配的连接的连接结束事件仍可能被记录至 防御中心数据库,前提是该连接:
•
包含入侵尝试、受禁文件或恶意软件
•
由 SSL 策略检查和记录
•
以前至少与一条访问控制 Monitor 规则相匹配