Syslog イベントを転送するように Cisco ASA を構成するには、いくつかの手動構成が必要です。
手順
- Cisco ASA デバイスにログインします。
- 以下のコマンドを入力して、特権 EXEC モードにアクセスします。
- 以下のコマンドを入力して、グローバル構成モードにアクセスします。
- 以下のように、ロギングを有効にします。
- 以下のように、ロギング詳細を構成します。
logging
console warning
logging
trap warning
logging asdm warning
注意: Cisco ASA デバイスは、追加のイベントを送信するように logging trap
informational を使用して構成することもできます。 ただし、この場合は、デバイスのイベント速度 (イベント/秒) が増大します。
- 以下のコマンドを入力して、 IBM
QRadarへのロギングを構成します。
logging host <インターフェース> <IP アドレス>
各項目の意味は次のとおりです。
- <interface> は、 Cisco Adaptive Security Appliance インターフェースの名前です。
- <IP address> は QRadarの IP アドレスです。
注: コマンド show interfaces を使用すると、Cisco デバイスで使用可能なすべてのインターフェースが表示されます。
- 以下のように、出力オブジェクト名オプションを無効にします。
no
names
出力オブジェクト名オプションを無効にして、ログがオブジェクト名ではなく、IP アドレスを使用するようにしてください。
- 以下のように、構成を終了します。
- 以下のように、変更を保存します。
結果
構成は完了です。 Cisco ASA syslog イベントが自動的に検出されると、ログ・ソースが QRadar に追加されます。 Cisco ASA によって QRadar に転送されたイベントは、 QRadarの 「ログ・アクティビティー」 タブに表示されます。