Перейти к содержанию

Решения Network Security

Межсетевой экран Cisco ASA

Настройка источника

  1. Подключиться к консоли устройства;

  2. Для включения журналирования и экспорта событий с устройства, введите команды:

(config)# logging enable

(config)# logging host <имя интерфейса> <IP-адрес коллектора>

(config)# logging trap <уровень логирования> (указать один из уровней важности событий: alerts, critical, debugging, emergencies, errors, informational, notifications, warnings)

(config)# logging console <уровень логирования> (указать один из уровней важности событий: alerts, critical, debugging, emergencies, errors, informational, notifications, warnings)

(config)# logging asdm <уровень логирования> (указать один из уровней важности событий: alerts, critical, debugging, emergencies, errors, informational, notifications, warnings)

(config)# logging device-id ipaddress <id устройства>

(config)# logging timestamp

Включение источника на Платформе

Для информации! Включение источника в Платформе представлено в разделе Управление источниками в Платформе, Включение/выключение поддерживаемых источников и их синхронизация

  1. Зайти в веб-консоль Платформы, перейти в раздел «Источники» - «Управление источниками»;

  2. Найти в списке доступных источников (Cisco-ASA) и включить его;

  3. Кликнуть на кнопку «Синхронизировать».

Настройка коллектора событий

Для информации! Пример конфигурационного файла с настройкой данного источника представлен в разделе Пример конфигурационного файла лог-коллектора. Более подробная информация о настройках лог-коллектора представлена в разделе Руководство по настройке лог-коллектора

  1. В конфигурационный файл лог-коллектора (config.yaml) необходимо добавить input компонента UDP.

Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Компонент UDP

Основные параметры, которые необходимо указать:

host: "<ip адрес лог-коллектора>" (адрес, на котором запущен коллектор)

port: <порт для приема соединений> (порт, на который будут приниматься события, если при настройке источника оставили стандартный - 2520)

  1. После настройки компонента сбора событий (input) необходимо настроить компонент отправки событий (output).

В качестве компонента отправки событий для данного источника предусмотрено использование отправки по протоколу TCP.

Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Компонент отправки событий по протоколу TCP

Основные параметры, которые необходимо указать:

target_host: <"ip адрес или имя удаленного узла"> (адрес Платформы) port: <"порт"> (стандартный порт для данного источника 2520)

  1. Далее необходимо включить компоненты сбора (collectors) и отправки (senders).

Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Включение компонентов

Основные параметры, которые нужно указать при включении компонентов сбора:

collectors:

udp_reciever:

- <<: *<"id компонента сбора"> (ID компонента сбора, который указывали при объявлении компонента сбора)

Основные параметры, которые нужно указать при включении компонентов отправки:

senders:

tcp:

- <<: *<"id компонента отправки"> (ID компонента отправки, который указывали при объявлении компонента отправки)

  1. После чего необходимо произвести настройку маршрутизации событий.

Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Маршрутизация событий

Основные параметры, которые нужно указать при настройке маршрута:

route_1: &route_1

collector_id:

- <"id компонента сбора">

sender_id:

- <"id компонента отправки">

  1. После нужно включить маршрут в разделе routers. Пример включения маршрута:

routers:

- <<: *<название маршрута> (например - <<: *route_1)