Cisco Cisco Firepower Management Center 2000 User Guide

38-5

FireSIGHT 系统用户指南

第 38 章记录网络流量中的连接

决定要记录哪些连接

注

要使用这些功能，

必须

将连接记录到防御中心数据库（而且在大多数情况下，必须记录连接结束

而非开始事件）。这就是为什么系统自动记录关键连接，即与记录的入侵、受禁文件和恶意软件
关联的那些链接。

防御中心可以记录的连接和安全情报事件的数量取决于其型号。有关这些限制的列表和有关禁用
连接事件存储的信息，请参阅

第 63-14 页上的配置控制面板事件限制

。

了解访问控制和 SSL 规则操作如何影响日志记录

许可证：因功能而异

每一条访问控制

和 SSL 规则都有一个操作，该操作不仅可以确定系统如何检查和处理与该规则匹

配的流量，而且可以确定您何时和如何记录关于匹配流量的详细信息。

注

记录访问控制和 SSL 策略默认操作允许的连接的处理略有不同；请参阅

第 38-15 页上的记录访问

控制默认操作处理的连接

和

第 38-12 页上的为已加密和不可解密连接设置默认日志记录

。

有关详情，请参阅：

•

第 14-6 页上的使用规则操作确定流量处理和检查

•

第 21-7 页上的使用规则操作确定加密流量处理和检查

•

第 38-5 页上的了解受监控连接的记录

•

第 38-6 页上的了解受信任连接的记录

•

第 38-6 页上的了解受阻和交互式受阻连接的记录

•

第 38-7 页上的了解受允许连接的记录

•

第 38-7 页上的为允许的连接禁用文件和恶意软件事件日志记录

了解受监控连接的记录

许可证：因功能而异

系统始终会将后续连接的结束记录至防御中心数据库，而无论稍后处理该连接的规则或默认操作
的日志记录配置如何：

•

与设定为监控的安全情报黑名单匹配的连接

•

与 SSL Monitor 规则匹配的连接

•

与访问控制 Monitor 规则匹配的连接

换句话说，如果数据包匹配监控规则或安全情报监控的黑名单，即使该数据包不与其他规则匹配
且您不对默认操作启用日志记录，系统也会始终记录该连接。每当系统由于安装情报过滤而记录
连接事件时，它也会记录匹配的安全情报事件，这是一种您可以单独查看时和分析的特殊类型的
连接事件；请参阅

第 38-9 页上的记录安全情报（黑名单）决策

。

由于受监控的流量始终会在之后由另一规则或默认操作进行处理，因此由于监控规则而记录的连
接相关联的操作绝不会是

Monitor

。相反，它反映规则的操作或之后处理该连接的默认操作；请

参阅

第 39-4 页上的 Action

。