دليل مستخدم تحليلات الشبكة الآمنة CISCO WSA

مقدمة

لجمع معلومات المستخدم من خوادم بروكسي الشبكة لسجل بروكسي Cisco Secure Network Analytics (المعروف سابقًا باسم Stealthwatch)، عليك تكوين سجلات خادم البروكسي. يستقبل مُجمّع التدفق السجلات، ويعرض المدير (المعروف سابقًا باسم Stealthwatch Management Console) المعلومات في صفحة سجلات بروكسي التدفق. توفر هذه الصفحة URLأسماء التطبيقات وحركة المرور داخل الشبكة التي تمر عبر خادم الوكيل.

متطلبات

قبل أن تبدأ، تأكد من استيفاء المتطلبات التالية:

• يدعم هذا التكوين Cisco WSA (14-5-1-016)، وBlue Coat، وMcAfee، وSquid. تأكد من تكوين خادم الوكيل وتشغيله كجزء من شبكتك.
• تأكد من أن Flow Collector والوكيل يستخدمان نفس خادم NTP (أو يستقبلان وقتًا من مصدر مشترك لمطابقة سجلات التدفق والوكيل).
• حدد مُجمِّع التدفق الذي يجمع البيانات من المُصدِّرين ونقاط النهاية التي ترغب في فحصها في سجلات الوكيل. ستحتاج إلى عنوان IP للتكوين.
• لا يوجد حد أقصى لحجم رسائل وكيل Syslog. مع ذلك، نوصي بأن تكون الرسائل أقصر من أقصر وحدة نقل قصوى (MTU) على طول المسار بين الوكيل وجامع التدفق، والتي عادةً ما تكون 1500. هذا يُجنّب تجزئة الحزم ويزيد من الموثوقية.
• لا يتم دعم سجل الوكيل في وضع التوفر العالي (HA).

التكوين انتهىview

أكمل الإجراءات التالية:

1. اختر إحدى الطرق التالية لتكوين خادم الوكيل الخاص بك.
   • تكوين سيسكو Web سجلات وكيل جهاز الأمان (WSA)
   • تكوين سجلات وكيل Blue Coat
   • تكوين سجلات وكيل McAfee
   • تكوين سجلات وكيل Squid
2. تكوين جامع التدفق
3. التحقق من التدفقات

تكوين سيسكو Web سجلات وكيل جهاز الأمان (WSA)

استخدم هذا القسم لتكوين سجلات وكيل Cisco لإرسالها إلى Secure Network Analytics.

لا يدعم وكيل Cisco WSA عناوين IP الافتراضية لإضافة جهاز الوكيل.

لإعداد سجل وكيل Cisco، أكمل الخطوات التالية:

1. قم بتسجيل الدخول إلى خادم وكيل Cisco.

٢. في القائمة الرئيسية، انقر على "إدارة النظام" > "اشتراكات السجلات". ستُفتح صفحة "اشتراكات السجلات".

٣. انقر على زر "إضافة اشتراكات السجل". ستُفتح صفحة "اشتراكات السجل الجديدة".

٤. من القائمة المنسدلة "نوع السجل"، حدد "سجلات W3C". ستظهر حقول سجل W3C المتاحة.

5. في حقل اسم السجل، اكتب اسمًا للسجل الذي ستستخدمه.

6. من قائمة حقول السجل المتاحة، حدد الوقتamp، ثم انقر فوق إضافة لنقله إلى قائمة تحديد حقول السجل.

7. كرر الخطوة السابقة لكل حقل من حقول السجل التالية بالترتيب:

أ. الوقتamp
ب. الزمن المنقضي x
ج. ج-اي بي
د. منفذ سي
هـ. بايتات cs
f. s-ip
ج. إس-بورت
h. sc-bytes
i. أسماء مستخدمي cs
ج. اسم الكمبيوتر
ك. س-url

يجب أن تحتوي قائمة حقول السجل المحددة على هذه الحقول كما هو موضح:

يجب أن تكون قائمة حقول السجل المحددة بالترتيب أعلاه، مع عدم وجود أي حقول أخرى موجودة.

8. انتقل إلى أسفل الصفحة، ثم حدد خيار Syslog Push.

9. في حقل اسم المضيف، اكتب عنوان IP الخاص بـ Flow Collector أو اسم المضيف الذي يرسل إليه الوكيل السجلات.

تأكد من تحديد Flow Collector الذي يجمع البيانات من المصدرين ونقاط النهاية التي تريد التحقيق فيها في سجلات الوكيل.

١٠. انقر فوق "إرسال". سيُضاف السجل الجديد إلى قائمة اشتراكات السجل.

11. انتقل إلى قسم تكوين Flow Collector لإعداد Flow Collector لتلقي معلومات syslog.

تكوين سجلات وكيل Blue Coat

استخدم هذا القسم لتكوين سجلات وكيل Blue Coat لإرسالها إلى Secure Network Analytics.

إصدار الوكيل Blue Coat المستخدم للاختبار هو SG V100، SGOS 6.5.5.7 SWG Edition.

إنشاء التنسيق

لإنشاء تنسيق سجل جديد، أكمل الخطوات التالية:

1. في متصفحك، قم بالوصول إلى خادم الوكيل Blue Coat الخاص بك.

2. انقر فوق علامة التبويب "التكوين".

3. في القائمة الرئيسية لوحدة التحكم الإدارية، انقر فوق تسجيل الوصول > التنسيقات.

٤. انقر على "جديد" أسفل الصفحة. ستُفتح صفحة "إنشاء تنسيق".

5. في الحقل اسم التنسيق، اكتب اسمًا للتنسيق الجديد.

6. حدد سجل W3C الموسع File خيار التنسيق (ELFF).

7. في حقل التنسيق، اكتب السلسلة التالية:

توقيتamp المدة c-ip c-port r-ip r-port s-ip s-port cs-bytes sc-bytes cs-user cs-host cs-uri

٨. انقر فوق "موافق". انتقل إلى القسم التالي، "إنشاء سجل جديد".

إنشاء سجل جديد

لإنشاء السجلات، أكمل الخطوات التالية:

١. في القائمة الرئيسية، انقر على "تسجيل الدخول" > "السجلات"، ثم حدد تنسيق السجل الجديد. ستُفتح صفحة السجل.

2. انقر فوق علامة التبويب الإعدادات العامة.

3. من القائمة المنسدلة تنسيق السجل، حدد السجل الذي قمت بإنشائه في الخطوة 1.

4. في حقل الوصف، اكتب وصفًا لسجلك الجديد.

٥. انقر على زر "تطبيق" أسفل الصفحة. انتقل إلى القسم التالي: تهيئة عميل التحميل.

تكوين عميل التحميل

لتكوين عميل التحميل، أكمل الخطوات التالية:

1. انقر على علامة تبويب "تحميل العميل". ستُفتح صفحة "تحميل العميل".

2. من القائمة المنسدلة نوع العميل، حدد العميل المخصص.

٣. انقر على زر "الإعدادات". ستُفتح صفحة إعدادات العميل المخصص.

4. في الحقول المناسبة، اكتب عنوان IP الخاص بـ Flow Collector ومنفذ الاستماع لمحلل الوكيل.

لا يتم دعم SSL في هذا الوقت.

5. انقر فوق موافق.

6. بالنسبة لمعلمات الإرسال، أكمل الخطوات التالية:

• أ. بالنسبة لشهادة التشفير، حدد "لا تشفير".
• ب. من القائمة المنسدلة "سلسلة مفاتيح التوقيع"، حدد خيار "عدم التوقيع".
• ج. من "حفظ السجل" file "كما" حدد النص file خيار.
• د. في مربع النص "إرسال جزء من المخزن المؤقت بعد"، اكتب 5.
• هـ. انقر فوق علامة التبويب جدول التحميل، ثم حدد خيار "مستمر" لتحميل سجل الوصول.
• و. في حقل الانتظار بين محاولات الاتصال، اكتب 60.
• ز. في حقل "الوقت بين حزم سجل الحفاظ على الاتصال"، اكتب 5.

٧. انقر على زر "تطبيق" أسفل الصفحة. انتقل إلى القسم التالي: ضبط جدول التحميل.

تكوين جدول التحميل

لتكوين جدول التحميل، أكمل الخطوات التالية:

1. انقر فوق علامة التبويب جدول التحميل.

2. بالنسبة لـ "تحميل سجل الوصول"، حدد بشكل مستمر.

3. الانتظار بين المحاولات الصحيحة هو 60 ثانية.

4. الوقت بين حزمة سجل البقاء على قيد الحياة 5 ثوانٍ.

5. انقر فوق زر "تطبيق" الموجود أسفل الصفحة.

يؤدي هذا إلى إكمال تكوين سجلات وكيل Blue Coat لـ Flow Collector.

متطلبات

ملاحظات إضافية حول التكوين:

• تأكد من أن Flow Collector وProxy يستخدمان نفس خادم NTP (أو يستقبلان وقتًا من مصدر مشترك لمطابقة سجلات التدفق والوكيل).
• يدعم الوكيل آلية إخراج سجل واحدة فقط. إذا كنت تُصدّر السجلات بالفعل، فلن تتمكن من التقاط سجلات الوكيل وتحليلها.
• لا يتم دعم UDP Director High Availability.

تكوين مدير السياسات المرئية

يتيح لك تكوين Visual Policy Manager التحقق من إرسال سجل الوكيل إلى Flow Collector.

١. في صفحة علامة التبويب "التكوين" بالقائمة الرئيسية، انقر على "السياسة" > "مدير السياسات المرئي". سيُفتح "مدير السياسات المرئي".

٢. انقر على زر "تشغيل" في الأسفل لعرض السجل المُهيأ. سيُفتح مدير السياسات المرئية لنافذة السجل.

3. انقر فوق السياسة > إضافة Web طبقة الوصول. تفتح شاشة إضافة طبقة جديدة.

4. اكتب اسمًا للطبقة الجديدة، ثم انقر فوق موافق.

٥. انقر بزر الماوس الأيمن على "رفض" في عمود "الإجراء"، ثم انقر على "تعيين". سيُفتح مربع حوار "تعيين كائن الإجراء".

٦. انقر على "جديد" ثم اختر "تعديل تسجيل الوصول". سيُفتح مربع حوار "تعديل كائن تسجيل الوصول".

7. انقر فوق تمكين التسجيل.

8. اكتب اسمًا لسجلك، ثم حدد السجل الخاص بك.

٩. انقر فوق "موافق". تمت إضافة الكائن.

10. في مربع الحوار تعيين كائن الإجراء، انقر فوق موافق.

11. انقر فوق زر تثبيت السياسة في أعلى اليمين.

12. انقر فوق "لا" ثم "موافق" للنوافذ التالية.

13. قم بتشغيل Blue Coat Visual Policy Manager مرة أخرى.

14. انقر بزر الماوس الأيمن فوق علامة التبويب التسجيل، ثم حدد تمكين الطبقة.

١٥. انقر على زر "تثبيت السياسة". ستُفتح صفحة "السياسة المُثبّتة".

16. انقر فوق موافق.

17. انقر فوق علامة التبويب "الإحصائيات"، وفي قائمة السجل، حدد السجل الخاص بك.

١٨. في القائمة الرئيسية، انقر على "تسجيل الوصول"، ثم انقر على علامة التبويب "سجلّ الذيل". ستُفتح نافذة "سجلّ الذيل".

19. انقر فوق زر "بدء الذيل" الموجود في أسفل الصفحة.

٢٠. في القائمة الرئيسية "الإحصائيات"، انقر على "النظام" > "تسجيل الأحداث". ستعرض هذه الصفحة ما إذا كان السجل file يتم تحميل البيانات إلى مُجمِّع التدفق والتغييرات المُجراة. يُظهر هذا ما إذا كان الوكيل متصلاً بمُجمِّع التدفق.

21. انتقل إلى قسم تكوين Flow Collector لإعداد Flow Collector لتلقي معلومات syslog.

تكوين سجلات وكيل McAfee

استخدم هذا القسم لتكوين سجلات وكيل McAfee من McAfee Web بوابة لإرسال البيانات إلى تحليلات الشبكة الآمنة.

• تأكد من أنك قمت بتنزيل تكوين XML file لوكيل McAfee. انتقل إلى Cisco Software Central لتنزيل ملف readme وتكوين Proxy Log XML. files.
• قم بتسجيل الدخول إلى حساب Cisco Smart الخاص بك على https://software.cisco.com أو اتصل بالمسؤول الخاص بك.
• إصدار الوكيل McAfee المستخدم للاختبار كان 7.4.2.6.0 – 18721.

لإعداد سجل وكيل McAfee، أكمل الخطوات التالية:

1. قم بتنزيل XML file، FlowCollector_[date]_McAfee_Log_XML_Config_[v].xml، ثم احفظه في الموقع المفضل لديك.

يشير "التاريخ" إلى تاريخ XML file، ويشير "v" إلى إصدار بروكسي McAfee. حدد XML file مع نفس رقم الإصدار الخاص بوكيل McAfee الخاص بك.

لتحميل fileأكمل الخطوات التالية:

• أ. اذهب إلى https://software.cisco.com، مركز برامج سيسكو.
• ب. في قسم التنزيل والإدارة > التنزيل والترقية، حدد الوصول إلى التنزيلات.
• ج. انتقل للأسفل إلى حقل تحديد المنتج.
• د. اكتب Secure Network Analytics في حقل "اختيار منتج". اضغط على Enter.
• هـ. حدد Secure Network Analytics Virtual Flow Collector أو Flow Collector آخر.
• و. اختر برنامج نظام تحليلات الشبكة الآمنة > التكوين Files.

2. قم بتسجيل الدخول إلى خادم الوكيل McAfee.

3. انقر فوق أيقونة السياسة، ثم انقر فوق علامة التبويب مجموعات القواعد.

4. حدد معالج السجل، ثم حدد الافتراضي.

5. انقر فوق إضافة > مجموعة القواعد من المكتبة.

6. انقر فوق استيراد من file، ثم حدد XML file.

7. حدد mcafeelancopelog في معالج السجل الذي تم استيراده للتو.

تأكد من تمكين مجموعة القواعد والقاعدة "إنشاء سطر سجل الوصول" و"إرسال إلى syslog".

8. انقر فوق أيقونة التكوين الموجودة في أعلى الصفحة.

9. على يسار الصفحة، انقر فوق File علامة التبويب "المحرر"، ثم حدد ملف rsyslog.conf file.

10. في أسفل مربع النص (بجانب قائمة fileس)، اكتب النص التالي:

تأكد من تحديد Flow Collector الذي يجمع البيانات من المصدرين ونقاط النهاية التي تريد التحقيق فيها في سجلات الوكيل.

11. علق على هذا السطر:

*.info;mail.none;authpriv.none;cron.none.

12. أضف هذا السطر:

*.info;daemon.!=info;mail.none;authpriv.none;cron.none - /var/log/messages.

13. انقر فوق زر حفظ التغييرات الموجود في أعلى يمين الصفحة.

14. انتقل إلى قسم تكوين Flow Collector لإعداد Flow Collector لتلقي معلومات syslog.

تكوين سجلات وكيل Squid

استخدم هذا القسم لتكوين سجلات وكيل Squid لإرسالها إلى Secure Network Analytics. يمكنك تعديل fileعلى خادم الوكيل باستخدام SSH.
لتكوين سجلات وكيل Squid، أكمل الخطوات التالية:

1. قم بتسجيل الدخول إلى shell للجهاز الذي يعمل بنظام Squid.

2. انتقل إلى الدليل الذي يحتوي على squid.conf (عادةً /etc/squid) وافتحه في محرر.

3. أضف الأسطر التالية إلى squid.conf لتكوين التسجيل:

تنسيق السجل تنسيق الوصول %ts%03tu % a %>p %>st %

4. أعد تشغيل Squid باستخدام ما يلي:

• بالنسبة للأنظمة المعتمدة على init: /etc/init.d/squid3 restart
• بالنسبة للأنظمة المستندة إلى systemd: systemctl restart squid

٥. قم بتكوين خدمة syslog على خادم Squid لإعادة توجيه السجلات إلى Flow Collector. يعتمد ذلك على توزيعة Linux/خدمة syslog.

بالنسبة إلى syslog-ng، أضف ما يلي إلى /etc/syslog-ng/syslog-ng.conf:

# مرفق سجل التدقيق BEGIN filter bs_filter { filter(f_user) and level(info) }; destination udp_proxy { udp("10.205.14.15" port(514)); }; log { source(s_all); filter(bs_filter); destination(udp_proxy); }; # مرفق سجل التدقيق END

بالنسبة لـ rsyslog، أضف ما يلي إلى /etc/rsyslog.conf:

:programname, يحتوي على "squid" @10.205.14.15:514

تأكد من تحديد Flow Collector الذي يجمع البيانات من المصدرين ونقاط النهاية التي تريد التحقيق فيها في سجلات الوكيل.

6. ثم أعد تشغيل خدمة syslog.

• بالنسبة للأنظمة المعتمدة على init:
  إعادة تشغيل /etc/init.d/syslog-ng (لـ syslog-ng)
  /etc/init.d/rsyslog إعادة التشغيل (لـ rsyslog)
• بالنسبة للأنظمة المستندة إلى systemd:
  systemctl restart syslog (لـ syslog-ng)
  systemctl restart rsyslog (لـ rsyslog)

7. انتقل إلى قسم تكوين جامع التدفق لتلقي معلومات syslog.

تكوين جامع التدفق

بعد تكوين خادم الوكيل، تحتاج إلى تكوين Flow Collector لقبول البيانات.

لتكوين Flow Collector لتلقي معلومات syslog، أكمل الخطوات التالية:

1. قم بتسجيل الدخول إلى مديرك.

2. حدد تكوين > عالمي > الإدارة المركزية.

3. انقر فوق الرمز (الحذف) الخاص بـ Flow Collector، ثم انقر فوق View إحصائيات الأجهزة.

4. سجّل دخولك إلى Flow Collector. ستُفتح واجهة Flow Collector.

٥. انقر على "التكوين" > "استيعاب الوكيل". ستُفتح صفحة "خوادم الوكيل".

6. اكتب عنوان IP لخادم الوكيل.

7. من القائمة المنسدلة "نوع الوكيل"، حدد خادم الوكيل الخاص بك.

إذا لم يتم إدراج نوع خادم الوكيل الخاص بك، فلن تتمكن من استخدام سجلات الوكيل في هذا الوقت.

8. إذا كان خادم الوكيل:

• إذا كان لديك عنوان IP واحد فقط، فاكتب عنوان IP لخادم الوكيل في حقل عنوان IP. اترك حقل عنوان IP للقياس عن بُعد فارغًا.
• إذا كان لديك عناوين IP إضافية، فاكتب عنوان IP لإدارة خادم الوكيل (عنوان IP المصدر لرسالة Syslog) في حقل عنوان IP. في حقل عنوان IP للقياس عن بُعد، اكتب عنوان IP للقياس عن بُعد لخادم الوكيل.

9. في حقل منفذ خدمة الوكيل، اكتب رقم منفذ خادم الوكيل.

10. إذا كنت تريد أن يقوم خادم الوكيل بتشغيل الإنذارات، فقم بإلغاء تحديد مربع الاختيار "استبعاد من الإنذار".

11. انقر فوق إضافة.

١٢. انقر فوق "تطبيق". يظهر خادم الوكيل في جدول "استيعاب الوكيل" أعلى الصفحة.

13. انتقل إلى قسم التحقق من التدفقات.

التحقق من التدفقات

للتأكد من استلام التدفقات، أكمل الخطوات التالية:

1. في واجهة Flow Collector، انقر فوق الدعم > استعراض Fileفي القائمة الرئيسية. التصفح Fileتفتح الصفحة.

2. افتح ملف sw.log file.

3. تحقق من أن webيقوم الوكيل بالعد التصاعدي لإظهار أنك تتلقى البيانات.

الاتصال بالدعم

إذا كنت بحاجة إلى دعم فني، يرجى القيام بأحد الإجراءات التالية:

• اتصل بشريك Cisco المحلي لديك
• اتصل بدعم سيسكو
• لفتح قضية بواسطة web: http://www.cisco.com/c/en/us/support/index.html
• للدعم عبر الهاتف: 1-800-553-2447 (نحن)
• لأرقام الدعم العالمية:
  https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

سجل التغيير

معلومات حقوق النشر

Cisco وشعار Cisco هما علامتان تجاريتان أو علامتان تجاريتان مسجلتان لشركة Cisco و/أو الشركات التابعة لها في الولايات المتحدة ودول أخرى. view قائمة العلامات التجارية لشركة Cisco، انتقل إلى هذا URL: https://www.cisco.com/go/trademarksالعلامات التجارية الخاصة بأطراف أخرى المذكورة هي ملك لأصحابها. لا يعني استخدام كلمة شريك وجود علاقة شراكة بين شركة Cisco وأي شركة أخرى. (1721R)

© 2025 Cisco Systems, Inc. و/أو الشركات التابعة لها.
جميع الحقوق محفوظة.

المستندات / الموارد

تحليلات الشبكة الآمنة CISCO WSA [بي دي اف] دليل المستخدم WSA 14-5-1-016، Blue Coat، McAfee، Squid، تحليلات الشبكة الآمنة WSA، تحليلات الشبكة الآمنة، تحليلات الشبكة، التحليلات

مراجع

• دليل المستخدم