Cisco Cisco Firepower Management Center 2000 User Guide
38-16
FireSIGHT 系统用户指南
第 38 章 记录网络流量中的连接
记录在连接中检测到的 URL
步骤 5
指定将连接事件发送至何处。有以下选项可供选择:
•
要将连接事件发送到防御中心,请选择
防御中心
。您无法为 Monitor 规则禁用此选项。
•
要将事件发送至外部系统日志服务器,请选择
Syslog
,然后从下拉列表选择系统日志警报响
应。或者,您可以通过点击添加图标 (
) 来添加系统日志警报响应;请参阅
•
要将事件发送至 SNMP 陷阱服务器,请选择
SNMP Trap
,然后从下拉列表选择 SNMP 警报响
应。或者,您可以通过点击添加图标 (
) 来添加 SNMP 警报响应;请参阅
。
如果要对连接事件执行基于防御中心的分析,您必须将事件发送至数据库。有关详细信息,请参
阅
阅
。
步骤 6
点击
Save
以保存策略。
您的策略保存成功。只有应用访问控制策略才能使更改生效;请参阅
记录在连接中检测到的 URL
许可证:FireSIGHT
对于 HTTP 流量,当您将连接结束事件记录至防御中心数据库时,系统会记录在会话期间受监控
主机请求的 URL。
主机请求的 URL。
默认情况下,系统会在连接日志中存储 URL 的前 1024 个字符。然而,您可以将系统配置为每个
URL 存储最多 4096 个字符,确保自己捕获受监控主机请求的完整 URL。或者,如果对访问的个
别 URL 不感兴趣,可以通过存储 0 个字符来完全禁用 URL 存储。取决于网络流量,禁用 URL 字
符存储或限制存储的 URL 字符的数量可以提高系统性能。
URL 存储最多 4096 个字符,确保自己捕获受监控主机请求的完整 URL。或者,如果对访问的个
别 URL 不感兴趣,可以通过存储 0 个字符来完全禁用 URL 存储。取决于网络流量,禁用 URL 字
符存储或限制存储的 URL 字符的数量可以提高系统性能。
请注意,禁用 URL 日志记录不会影响 URL 过滤。访问控制规则会基于请求的 URL、其类别以及
信誉来适当地过滤流量,即便系统不会记录这些规则处理的流量中请求的各个 URL。有关详细信
息,请参阅
信誉来适当地过滤流量,即便系统不会记录这些规则处理的流量中请求的各个 URL。有关详细信
息,请参阅
。
要自定义您存储的 URL 字符数,请执行以下操作:
访问:管理员/访问管理员/网络管理员
步骤 1
选择
Policies > Access Control
。
系统将显示 Access Control Policy 页面。
步骤 2
点击想要配置的访问控制策略旁的编辑图标 (
)。
系统将显示访问控制策略编辑器。
步骤 3
选择 Advanced 选项卡。
屏幕上将会显示访问控制策略的高级设置。
步骤 4
点击 General Settings 旁的编辑图标 (
)。
系统将显示 General Settings 弹出窗口。
步骤 5
键入
连接事件中要存储的最大 URL 字符数
。
您可以指定从 0 至 4096 的任何数量。存储零字符将禁用 URL 存储,而不禁用 URL 过滤。