Cisco FirepowerデバイスでのSyslogサービスの設定

ステップ1：Syslogサーバーの構成 

トラフィックイベント用にSyslogサーバを設定するには、[設定]> [ASA Firepower設定]> [ポリシー]> [アクションアラート]に移動し、[アラートの作成]ドロップダウンメニューをクリックして、[Syslogアラートの作成]オプションを選択します。Webインターフェイスの場合は、[ポリシー]> [アクションアラート]に移動します。Syslogサーバーの値を入力します。

• 名前：Syslogサーバーを一意に識別する名前を指定します。
• ホスト：SyslogサーバーのIPアドレス/ホスト名を指定します。
• ポート：Syslogサーバーのポート番号を指定します。
• 設備：Syslogサーバーで構成されている機能を選択します。
• 重大度：Syslogサーバーで構成されている重大度を選択します。
• タグ：Syslogメッセージで表示するタグ名を指定します。

手順2: 接続イベントの外部ロギングを有効にする

• 接続イベントは、ログが有効になっているアクセスルールにトラフィックがヒットしたときに生成されます。接続イベントの外部ロギングを有効にするには、[ASDM設定]> [ASA Firepower設定]> [ポリシー]> [アクセス制御ポリシー]に移動します。Webインターフェイスの場合は、[ポリシー]> [アクセス制御ポリシー]に移動します。アクセスルールを編集し、ログオプションに移動します。
• 次のログオプションのいずれかを選択します：接続の開始と終了でログを記録するか、接続の終了でログを記録。[接続イベントの送信先]オプションに移動し、イベントの送信先を指定します。
• イベントを外部Syslogサーバーに送信するには、[Syslog]を選択し、ドロップダウンリストからSyslogアラート応答を選択します。オプションで、追加アイコンをクリックしてSyslogアラート応答を追加できます。

手順3: 侵入イベントの外部ログを有効にする

• シグニチャ（snortルール）が悪意のあるトラフィックと一致すると、侵入イベントが生成されます。侵入イベントの外部ロギングを有効にするには、[ASDM設定]> [ASAFirepower設定]> [ポリシー]> [侵入ポリシー]> [侵入ポリシー]に移動します。Webインターフェイスの場合は、[ポリシー]> [侵入ポリシー]> [侵入ポリシー]に移動します。新しい侵入ポリシーを作成するか、既存のポリシーを編集します。[詳細設定]> [外部応答]に移動します。
• 侵入イベントを外部Syslogサーバーに送信するには、Syslogアラートで[有効]オプションを選択し、[編集]オプションをクリックします。
  ロギングホスト：SyslogサーバーのIPアドレス/ホスト名を指定します。
  設備：Syslogサーバーで構成されている機能を選択します。
  重大度：Syslogサーバーで構成されている重大度を選択します。