在Firepower设备管理器中配置并验证系统日志

本文档介绍如何在Firepower设备管理器(FDM)中配置系统日志。

Cisco 建议您了解以下主题：

步骤1:在Firepower设备管理器主屏幕中，选择屏幕右下角System Settings下的Logging Settings。

第二步：在“系统设置”屏幕上，选择左侧菜单中的“日志记录设置”。

第三步：选择Syslog Servers下的+号设置Data Logging切换开关。

第四步：选择Add Syslog Server。或者，您可以在Objects - Syslog Servers中创建系统日志服务器对象。

第五步：输入系统日志服务器的IP地址和端口号。选择“数据接口”的单选按钮，然后选择“确定”。

第六步：接下来，选择新的Syslog服务器，然后选择OK。

步骤 7.选择Severity level for filtering all events单选按钮并选择所需的日志记录级别。

步骤 8选择屏幕底部的Save。

步骤 9验证设置是否成功。

步骤 10部署新设置。

和

可选。

此外，可以将访问控制策略访问控制规则设置为登录系统日志服务器：

步骤1:点击屏幕顶部的Policies（策略）按钮。

第二步： 将鼠标悬停在ACP规则的右侧以添加日志记录并选择铅笔图标。

第三步：选择Logging选项卡，选择At End of Connection的单选按钮，选择Select a Syslog Alert Configuration下的下拉箭头，在Syslog Server上选择，然后选择OK。

第四步：部署配置更改。

步骤1:任务完成后，可以使用show running-config logging命令检验FTD CLI清除模式中的设置。

第二步：导航到Syslog服务器并验证Syslog服务器应用程序是否接受Syslog消息。

步骤1:如果Syslog应用程序上的Syslog消息生成任何消息，请从FTD CLI执行数据包捕获以检查数据包。在clish提示符后输入system support diagnostic-cli命令，从Clish模式更改为LINA。

第二步：为udp 514创建一个数据包捕获（如果使用tcp，则为tcp 1468） 

第三步：验证通信是否正在进行到Syslog服务器上的网络接口卡。使用Wireshark或加载的其他数据包捕获实用程序。双击Wireshark中的接口，让系统日志服务器开始捕获数据包。

第四步：键入udp.port==514并选择顶部栏右侧的箭头，在顶部栏中为udp 514设置显示过滤器。从输出中，确认数据包是否正在发送到Syslog服务器。

第五步：如果Syslog服务器应用程序未显示数据，请排除Syslog服务器应用程序中的设置故障。确保使用的是正确的udp/tcp协议和正确的端口514/1468。