Cisco Cisco Firepower Management Center 2000 User Guide

Page of 1826
 
38-14
FireSIGHT 系统用户指南
  
 38       记录网络流量中的连接       
  根据访问控制处理记录连接
要将访问控制规则配置为记录连接、文件和恶意软件信息,请执行以下操作:
访问:管理员/访问管理员/网络管理员
步骤 1
选择 
Policies > Access Control
系统将显示 Access Control Policy 页面。
步骤 2
点击想要修改的访问控制策略旁的编辑图标  (
)。
系统将显示访问控制策略编辑器,以 Rules 选项卡为中心。
步骤 3
点击要配置日志记录所在规则旁的编辑图标  (
)。
系统将显示访问控制规则编辑器。
步骤 4
选择 Logging 选项卡。
系统将显示 Logging 选项卡。
步骤 5
指定您是否想要选择 
Log at Beginning of Connection
 还是选择 
Log at End of Connection
要优化性能,请记录任何连接的开始或结束事件,而不是同时记录两者。
对于单一未受阻连接,连接结束事件限制包含连接开始事件中的所有信息,以及在会话期间收集
到的信息。因为受阻流量会被立即拒绝,无需进一步检查,所以,您可仅记录 Block 规则的连接
开始事件。
另请注意,因为 Monitor 规则的目的是记录匹配流量,所以,记录到防御中心数据库的连接结束
日志记录功能会自动启用,而且您无法禁用该功能。有关详细信息,请参阅
步骤 6
使用 
Log Files
 复选框指定系统是否应记录与连接相关联的任何文件和恶意软件事件。
当您将文件策略与该规则关联以便执行文件控制或 AMP 时,系统会自动启用该选项。思科建议
您保留启用此选项;请参阅
步骤 7
指定将连接事件发送至何处。有以下选项可供选择:
  •
要将连接事件发送到防御中心,请选择
防御中心
。您无法为 Monitor 规则禁用此选项。
  •
要将事件发送至外部系统日志服务器,请选择 
Syslog
,然后从下拉列表选择系统日志警报响
应。或者,您可以通过点击添加图标  (
)  来添加系统日志警报响应;请参阅
  •
要将事件发送至 SNMP 陷阱服务器,请选择 
SNMP Trap
,然后从下拉列表选择 SNMP 警报响
应。或者,您可以通过点击添加图标  (
)  来添加 SNMP 警报响应;请参阅
如果要对连接事件执行基于防御中心的分析,您必须将事件发送至数据库。有关详细信息,请参
步骤 8
点击 
Save
 以保存规则。
您的规则保存成功。只有应用访问控制策略才能使更改生效;请参阅