Перейти к содержанию

Решения Network Security

Межсетевой экран Cisco ASA

Настройка источника

  1. Подключиться к консоли устройства;

  2. Для включения журналирования и экспорта событий с устройства, введите команды:

(config)# logging enable

(config)# logging host <имя интерфейса> <IP-адрес коллектора>

(config)# logging trap <уровень логирования> (указать один из уровней важности событий: alerts, critical, debugging, emergencies, errors, informational, notifications, warnings)

(config)# logging console <уровень логирования> (указать один из уровней важности событий: alerts, critical, debugging, emergencies, errors, informational, notifications, warnings)

(config)# logging asdm <уровень логирования> (указать один из уровней важности событий: alerts, critical, debugging, emergencies, errors, informational, notifications, warnings)

(config)# logging device-id ipaddress <id устройства>

(config)# logging timestamp

Включение источника на Платформе

Для информации! Включение источника в Платформе представлено в разделе Управление источниками в Платформе, Включение/выключение поддерживаемых источников и их синхронизация

  1. Зайти в веб-консоль Платформы, перейти в раздел «Источники» - «Управление источниками»;

  2. Найти в списке доступных источников (Cisco-ASA) и включить его;

  3. Кликнуть на кнопку «Синхронизировать».

Настройка коллектора событий

Для информации! Пример конфигурационного файла с настройкой данного источника представлен в разделе Пример конфигурационного файла лог-коллектора. Более подробная информация о настройках лог-коллектора представлена в разделе Руководство по настройке лог-коллектора

  1. В конфигурационный файл лог-коллектора (config.yaml) необходимо добавить input компонента UDP.

    Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Компонент UDP

    Основные параметры, которые необходимо указать:

    host: "<ip адрес лог-коллектора>" (адрес, на котором запущен коллектор)

    port: <порт для приема соединений> (порт, на который будут приниматься события, если при настройке источника оставили стандартный - 2520)

  2. После настройки компонента сбора событий (input) необходимо настроить компонент отправки событий (output).

    В качестве компонента отправки событий для данного источника предусмотрено использование отправки по протоколу TCP.

    Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Компонент отправки событий по протоколу TCP

    Основные параметры, которые необходимо указать:

    target_host: <"ip адрес или имя удаленного узла"> (адрес Платформы)

    port: <"порт"> (стандартный порт для данного источника 2520)

  3. Далее необходимо включить компоненты сбора (collectors) и отправки (senders).

    Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Включение компонентов

    Основные параметры, которые нужно указать при включении компонентов сбора:

    collectors:

    udp_reciever:

    - <<: *<"id компонента сбора"> (ID компонента сбора, который указывали при объявлении компонента сбора)

    Основные параметры, которые нужно указать при включении компонентов отправки:

    senders:

    tcp:

    - <<: *<"id компонента отправки"> (ID компонента отправки, который указывали при объявлении компонента отправки)

  4. После чего необходимо произвести настройку маршрутизации событий.

    Пример настройки по умолчанию можно найти в документации: Руководство по настройке лог-коллектора, Маршрутизация событий

    Основные параметры, которые нужно указать при настройке маршрута:

    route_1: &route_1

    collector_id:

    - <"id компонента сбора">

    sender_id:

    - <"id компонента отправки">

  5. После нужно включить маршрут в разделе routers. Пример включения маршрута:

    routers:

    - <<: *<название маршрута> (например - <<: *route_1)