Cisco Cisco Firepower Management Center 2000 User Guide

38-12

FireSIGHT 系统用户指南

第 38 章      记录网络流量中的连接       

  记录已加密连接

要将事件发送至外部系统日志，请选择 

，然后从下拉列表选择系统日志警报响应。或

者，您可以通过点击添加图标  (

)  来添加系统日志警报响应；请参阅

。

要将事件发送至 SNMP 陷阱服务器，请选择 

，然后从下拉列表选择 SNMP 警报响

应。或者，您可以通过点击添加图标  (

)  来添加 SNMP 警报响应；请参阅

。

如果要对这些连接事件执行基于防御中心的分析，您必须将事件发送至防御中心。有关详细信
息，请参阅

步骤 7

点击 

 保存您的更改。

只有应用与 SSL 策略相关联的访问控制策略，才能使更改生效；请参阅

。

为已加密和不可解密连接设置默认日志记录

许可证：SSL

受支持的设备：3 系列

您可以为 SSL 策略默认操作处理的流量记录连接。这些日志记录设置还监管系统如何记录无法解
密的会话。

SSL 策略默认操作决定着系统如何处理与策略中任何 SSL 规则均不匹配的已加密流量 （Monitor 
规则除外，该规则匹配和记录流量，但不处理或检查流量）。如果您的 SSL 策略不包含任何 SSL 
规则，则默认操作决定如何记录网络上所有已加密会话。有关详细信息，请参阅

。

您可以将 SSL 策略默认操作配置为将连接事件记录到防御中心数据库或外部系统日志或 SNMP 陷
阱服务器。您可以仅记录连接结束事件，但是：

对于受阻连接 （Block、 Block with reset），系统会立即结束会话并生成事件

对于您允许在未加密状态下传递至访问控制规则 (Do not decrypt) 的连接，系统会在会话结束
时生成事件

请注意，即使您禁用 SSL 策略默认操作的日志记录，但当连接之前与至少一条 SSL Monitor 规则
相匹配或之后与访问控制规则或访问控制策略默认操作相匹配时，系统仍然会将连接结束事件记
录到防御中心数据库。

要设置已加密和无法解密流量的默认处理，请执行以下操作：

访问：管理员/访问管理员/网络管理员/安全审批人

步骤 1

选择 

。

系统将显示 SSL Policy 页面。

步骤 2

点击要编辑的 SSL 策略旁的编辑图标  (

)。

系统将显示 SSL 策略编辑器，以 Rules 选项卡为中心。

步骤 3

点击日志记录图标  (

)，该图标位于 

 下拉列表旁。

屏幕上将会显示 Logging 弹出窗口。

步骤 4

选择 

，以启用记录连接事件。