Cisco Cisco Firepower Management Center 2000 User Guide

44-4

FireSIGHT 系统用户指南

第 44 章配置入侵规则的外部警报

使用系统日志响应

许可证：保护

系统日志 (syslog) 是网络事件记录的标准记录机制。您可以将表示入侵事件通知的系统日志警报
发动到设备的系统日志中。系统日志使您能够按照优先级和设施对信息进行分类。

优先级反映的

是警报的严重程度，

设施显示的是生成警报的子系统。设施和优先级并不会在系统日志的实际消

息内显示，而是用于规定系统对系统日志消息进行分类的方法。

系统日志警报包含以下信息：

•

生成警报的日期和时间

•

事件消息

•

事件数据

•

触发事件的生成器 ID

•

触发事件的 Snort ID

•

修订

您可以打开入侵策略中的系统日志警报、指定与系统日志中入侵事件通知有关的系统日志优先级
和设施。应用了访问控制策略中的入侵策略后，如果检测到入侵事件，系统会发送系统日志警报
给策略中指定的本地主机或日志记录主机上的系统日志设施。接收警报的主机会采用配置系统日
志警报分类时设置的设施和优先级信息。

下表列出了在配置系统日志警报时可选择的设施。务必要根据所用远程系统日志服务器的配置情
况来合理配置设施。远程系统中的

syslog.conf

文件（如果将系统日志消息记录到基于 UNIX 或

Linux 的系统）指示哪些设施保存在服务器的哪些日志文件中。

表

44-3

可选用的系统日志设施

设施

说明

AUTH

与安全和授权相关的消息。

AUTHPRIV

与安全和授权相关的访问限制消息。很多系统会将这些消息转发到一个安
全的文件中。

CRON

时钟后台守护程序生成的消息。

DAEMON

系统后台守护程序生成的消息。

FTP

FTP 后台守护程序生成的消息。

KERN

内核生成的消息。很多系统会在这些消息出现后将其传送至控制台打印。

LOCAL0-LOCAL7

内部进程生成的消息。

LPR

打印子系统生成的消息。

MAIL

邮件系统生成的消息。

新闻

网络新闻子系统生成的消息。

SYSLOG

系统日志后台守护程序生成的消息。

用户

用户级进程生成的消息。

UUCP

UUCP 子系统生成的消息。