Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Cấu hình Syslog Servers trong Cisco Secure Firewall (FMC)

    Cấu hình Syslog Servers trong Cisco Secure Firewall (FMC)


    Trong các triển khai bảo mật, việc tập trung log về một syslog server giúp giám sát tập trung, điều tra sự cố nhanh chóngđáp ứng tuân thủ. Với Cisco Secure Firewall Threat Defense (FTD) quản lý qua FMC, bạn cần khai báo syslog server như một logging destination trong Platform Settings Policy.
    Các bước cấu hình Syslog Server:
    1. Truy cập Syslog Servers
      Trong FMC, điều hướng đến Syslog page → Syslog Servers tab, sau đó chọn +Add ở góc trên bên phải.
    2. Khai báo Syslog Server
      • IP Address: Nhập trực tiếp địa chỉ IP của syslog server, hoặc chọn Network Object có sẵn.
      • Nếu syslog server chưa tồn tại, nhấn dấu “+” để tạo mới một network object.
    3. Chọn giao thức truyền
      • UDP (mặc định, cổng 514): phù hợp cho hầu hết các triển khai syslog chuẩn, bao gồm cả định dạng EMBLEM.
      • TCP: khi cần đảm bảo độ tin cậy cao hơn trong việc truyền log.
      • Secure Syslog (TLS trên TCP): khuyến nghị nếu log phải truyền qua các mạng không tin cậy, giúp mã hóa và bảo mật dữ liệu.
    4. Chọn egress interface
      Sử dụng radio button để chọn cách FTD gửi log ra ngoài:
      • Device Management Interface (quản trị out-of-band)
      • Security Zones (ví dụ: Inside, Outside, DMZ)
      • Named Interface (chỉ định chính xác interface vật lý hoặc logic)

      → Nếu chọn Security Zones hoặc Named Interface, hãy thêm interface mong muốn từ danh sách bên trái sang danh sách Selected Zones/Interfaces.
    5. Lưu cấu hình
      Nhấn OK để hoàn tất việc thêm syslog server vào policy.
    Góc nhìn thực tiễn cho Network Engineer & SOC:
    • UDP/514: nhanh, ít overhead, nhưng dễ bị mất log khi có nghẽn mạng.
    • TCP/TLS: phù hợp môi trường SOC, SIEM khi yêu cầu log integrity và bảo mật truyền tải.
    • Interface lựa chọn: Nếu hệ thống SIEM/Syslog nằm ở DC hoặc qua kết nối WAN, nên chọn interface bảo mật chuyên dụng hoặc Management interface để tách biệt lưu lượng log và lưu lượng dữ liệu.
    • Best Practice: Luôn đồng bộ NTP trước khi triển khai syslog để đảm bảo timestamp chính xác trong log.
    Attached Files
    Đặng Quang Minh, CCIE#11897 (Enterprise Infrastructure, Wireless, Automation, AI), CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/
    Tags: None
Previous template Next
Working...
X