Tweet
Logging trong Cisco Secure Firewall (FMC/FTD)
Trong môi trường bảo mật mạng, việc triển khai logging đúng cách có ý nghĩa cực kỳ quan trọng. Nó không chỉ hỗ trợ bạn trong quá trình troubleshooting (xác định và cô lập sự cố về mạng hoặc cấu hình thiết bị), mà còn giúp tập trung hóa sự kiện bảo mật về Syslog server để dễ dàng phân tích và giám sát tập trung.
1. Kích hoạt Logging
Trong Platform Settings Policy Editor, để bật logging, bạn chọn:
Syslog > Logging Setup
Các tùy chọn cần lưu ý:
2. Logging Destinations (Điểm đến của log)
Khi logging được kích hoạt, bạn cần chọn điểm đến để gửi log. Trong tab Logging Destinations, nhấn +Add để thêm mới.
Các lựa chọn bao gồm:
3. Mức độ chi tiết (Severity Levels)
Mỗi điểm đến logging có thể lọc theo loại sự kiện hoặc mức độ nghiêm trọng (severity). Mặc định là lọc theo severity.
Cisco tuân theo chuẩn syslog severity levels (RFC 5424):
Nguyên tắc kế thừa:
Chọn một mức severity sẽ bao gồm tất cả các mức nghiêm trọng hơn.
Ví dụ:
4. Ví dụ triển khai
Trong thực tế, bạn có thể cấu hình:
Điều này giúp cân bằng giữa hiệu suất hệ thống và độ chi tiết của log.
Kết luận
Logging không chỉ là một tính năng “phụ” trong hệ thống tường lửa, mà là công cụ cốt lõi để:
👉 Khi triển khai, hãy luôn thiết kế kiến trúc log tập trung với Syslog server/SIEM, đồng thời tinh chỉnh mức severity để vừa đảm bảo hiệu năng, vừa không bỏ sót sự kiện quan trọng.
Trong môi trường bảo mật mạng, việc triển khai logging đúng cách có ý nghĩa cực kỳ quan trọng. Nó không chỉ hỗ trợ bạn trong quá trình troubleshooting (xác định và cô lập sự cố về mạng hoặc cấu hình thiết bị), mà còn giúp tập trung hóa sự kiện bảo mật về Syslog server để dễ dàng phân tích và giám sát tập trung.
1. Kích hoạt Logging
Trong Platform Settings Policy Editor, để bật logging, bạn chọn:
Syslog > Logging Setup
Các tùy chọn cần lưu ý:
- Enable Logging: Bật logging trên thiết bị được quản lý.
- Send syslogs in EMBLEM format: Cho phép gửi syslog ở định dạng EMBLEM (chuẩn mở rộng của Cisco, dễ tích hợp SIEM).
- Enable Logging on the failover standby unit: Nếu triển khai HA (High Availability), nên bật để nhận cả log từ thiết bị standby.
- Send debug messages as syslogs: Gửi debug message tới syslog server.
- FTP Server Buffer Wrap: Cho phép gửi log sang FTP server (nhập IP, path, username/password).
2. Logging Destinations (Điểm đến của log)
Khi logging được kích hoạt, bạn cần chọn điểm đến để gửi log. Trong tab Logging Destinations, nhấn +Add để thêm mới.
Các lựa chọn bao gồm:
- Internal Buffer: Lưu log ngay trong bộ nhớ đệm của thiết bị.
- Console: Hiển thị log trực tiếp trên console CLI.
- Syslog Servers: Gửi log đến các syslog server tập trung.
- SNMP Trap: Gửi sự kiện dưới dạng SNMP trap.
- E-Mail: Gửi log qua email.
- SSH Sessions: Xuất log tới phiên SSH đang kết nối.
3. Mức độ chi tiết (Severity Levels)
Mỗi điểm đến logging có thể lọc theo loại sự kiện hoặc mức độ nghiêm trọng (severity). Mặc định là lọc theo severity.
Cisco tuân theo chuẩn syslog severity levels (RFC 5424):
- 0 – Emergencies: Hệ thống không thể sử dụng.
- 1 – Alert: Cần hành động ngay lập tức.
- 2 – Critical: Tình trạng nghiêm trọng.
- 3 – Error: Lỗi.
- 4 – Warning: Cảnh báo.
- 5 – Notification: Thông báo quan trọng nhưng không lỗi.
- 6 – Informational: Thông tin chung.
- 7 – Debugging: Log debug, chỉ nên bật tạm thời (ảnh hưởng hiệu năng).
Nguyên tắc kế thừa:
Chọn một mức severity sẽ bao gồm tất cả các mức nghiêm trọng hơn.
Ví dụ:
- Nếu chọn 2 (Critical) → log sẽ chứa cả 2, 1, 0.
- Nếu chọn 7 (Debug) → log sẽ chứa tất cả từ 7 → 0.
4. Ví dụ triển khai
Trong thực tế, bạn có thể cấu hình:
- Syslog server nhận log mức 6 – Informational trở lên (sự kiện bảo mật quan trọng).
- Internal buffer nhận toàn bộ log (mức 7 – Debug) để phục vụ điều tra khi cần.
Điều này giúp cân bằng giữa hiệu suất hệ thống và độ chi tiết của log.
Kết luận
Logging không chỉ là một tính năng “phụ” trong hệ thống tường lửa, mà là công cụ cốt lõi để:
- Phân tích sự cố.
- Giám sát an ninh.
- Hỗ trợ điều tra số (forensics).
- Tích hợp vào SIEM/SOC để phát hiện mối đe dọa sớm.
👉 Khi triển khai, hãy luôn thiết kế kiến trúc log tập trung với Syslog server/SIEM, đồng thời tinh chỉnh mức severity để vừa đảm bảo hiệu năng, vừa không bỏ sót sự kiện quan trọng.
Attached Files