CISCO WSA Secure Network Analytics មគ្គុទ្ទេសក៍អ្នកប្រើប្រាស់

សេចក្តីផ្តើម

ដើម្បីប្រមូលព័ត៌មានអ្នកប្រើប្រាស់ពីម៉ាស៊ីនមេប្រូកស៊ីបណ្តាញរបស់អ្នកសម្រាប់ Cisco Secure Network Analytics (អតីត Stealthwatch) Proxy Log អ្នកត្រូវកំណត់រចនាសម្ព័ន្ធកំណត់ហេតុម៉ាស៊ីនមេប្រូកស៊ី។ Flow Collector ទទួលបានកំណត់ហេតុ ហើយអ្នកគ្រប់គ្រង (អតីត Stealthwatch Management Console) បង្ហាញព័ត៌មាននៅលើទំព័រ Flow Proxy Records ។ ទំព័រនេះផ្តល់ URLs និងឈ្មោះកម្មវិធីនៃចរាចរនៅក្នុងបណ្តាញដែលឆ្លងកាត់ម៉ាស៊ីនមេប្រូកស៊ី។

តម្រូវការ

មុនពេលអ្នកចាប់ផ្តើម សូមបញ្ជាក់ថាអ្នកបានបំពេញតាមតម្រូវការដូចខាងក្រោម៖

• Cisco WSA (14-5-1-016), Blue Coat, McAfee និង Squid ត្រូវបានគាំទ្រសម្រាប់ការកំណត់រចនាសម្ព័ន្ធនេះ។ ត្រូវប្រាកដថាម៉ាស៊ីនមេប្រូកស៊ីរបស់អ្នកត្រូវបានកំណត់រចនាសម្ព័ន្ធ និងដំណើរការជាផ្នែកនៃបណ្តាញរបស់អ្នក។
• បញ្ជាក់ថា Flow Collector និងប្រូកស៊ីប្រើម៉ាស៊ីនមេ NTP ដូចគ្នា (ឬទទួលបានពេលវេលាពីប្រភពទូទៅសម្រាប់កំណត់ត្រាលំហូរ និងប្រូកស៊ីដែលត្រូវគ្នា)។
• ជ្រើសរើស Flow Collector ដែលប្រមូលទិន្នន័យពីអ្នកនាំចេញ និងចំណុចបញ្ចប់ដែលអ្នកចង់ស៊ើបអង្កេតក្នុងកំណត់ហេតុប្រូកស៊ី។ អ្នកត្រូវការអាសយដ្ឋាន IP សម្រាប់ការកំណត់រចនាសម្ព័ន្ធ។
• មិនមានដែនកំណត់ទំហំជាក់លាក់នៅលើសារប្រូកស៊ី syslog ទេ។ ទោះជាយ៉ាងណាក៏ដោយ យើងសូមណែនាំឱ្យរក្សាសារឱ្យខ្លីជាងឯកតាបញ្ជូនអតិបរមាខ្លីបំផុត (MTU) តាមបណ្តោយផ្លូវរវាងប្រូកស៊ី និង Flow Collector ជាធម្មតា 1500។ វាលុបបំបាត់ការបែងចែកកញ្ចប់ព័ត៌មាន និងបង្កើនភាពជឿជាក់។
• កំណត់ហេតុប្រូកស៊ីមិនត្រូវបានគាំទ្រនៅក្នុងរបៀបភាពអាចរកបានខ្ពស់ (HA) ទេ។

ការកំណត់រចនាសម្ព័ន្ធចប់view

បំពេញបែបបទដូចខាងក្រោមៈ

1. ជ្រើសរើសវិធីសាស្រ្តមួយក្នុងចំណោមវិធីសាស្រ្តខាងក្រោមដើម្បីកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេប្រូកស៊ីរបស់អ្នក។
   • ការកំណត់រចនាសម្ព័ន្ធស៊ីស្កូ Web ឧបករណ៍សុវត្ថិភាព (WSA) កំណត់ហេតុប្រូកស៊ី
   • កំណត់រចនាសម្ព័ន្ធកំណត់ហេតុប្រូកស៊ីរបស់អាវខៀវ
   • កំណត់រចនាសម្ព័ន្ធកំណត់ហេតុប្រូកស៊ី McAfee
   • កំណត់រចនាសម្ព័ន្ធ Squid Proxy Logs
2. កំណត់រចនាសម្ព័ន្ធឧបករណ៍ប្រមូលលំហូរ
3. ការពិនិត្យមើលលំហូរ

ការកំណត់រចនាសម្ព័ន្ធស៊ីស្កូ Web ឧបករណ៍សុវត្ថិភាព (WSA) កំណត់ហេតុប្រូកស៊ី

ប្រើផ្នែកនេះដើម្បីកំណត់រចនាសម្ព័ន្ធកំណត់ហេតុប្រូកស៊ី Cisco ដើម្បីផ្ញើទៅកាន់ Secure Network Analytics ។

ប្រូកស៊ី Cisco WSA មិនគាំទ្រ IPs និម្មិតសម្រាប់ការបន្ថែមឧបករណ៍ប្រូកស៊ីទេ។

ដើម្បីរៀបចំកំណត់ហេតុប្រូកស៊ី Cisco សូមបំពេញជំហានខាងក្រោម៖

1. ចូលទៅម៉ាស៊ីនមេប្រូកស៊ី Cisco ។

2. នៅលើម៉ឺនុយមេ ចុច ការគ្រប់គ្រងប្រព័ន្ធ > ចុះឈ្មោះជាវ។ ទំព័រចុះឈ្មោះជាវនឹងបើក។

3. ចុចប៊ូតុង បន្ថែមការជាវកំណត់ហេតុ។ ទំព័រការជាវកំណត់ហេតុថ្មីបើក។

4. ពីបញ្ជីទម្លាក់ចុះ ប្រភេទកំណត់ហេតុ សូមជ្រើសរើស W3C Logs ។ វាល W3C Log ដែលមានស្រាប់លេចឡើង។

5. នៅក្នុងវាល ឈ្មោះកំណត់ហេតុ វាយឈ្មោះសម្រាប់កំណត់ហេតុដែលអ្នកនឹងប្រើ។

6. ពីបញ្ជីវាលកំណត់ហេតុដែលមាន សូមជ្រើសរើស ពេលវេលាampហើយ​បន្ទាប់​មក​ចុច បន្ថែម ដើម្បី​ផ្លាស់ទី​វា​ក្នុង​បញ្ជី ជ្រើស​វាល​កំណត់​ហេតុ។

7. ធ្វើជំហានមុនម្តងទៀតសម្រាប់វាលកំណត់ហេតុខាងក្រោមនីមួយៗតាមលំដាប់លំដោយ៖

ក. ដងបំផុតamp
ខ. x-ពេលវេលាកន្លងផុតទៅ
គ. c-ip
ឃ. គ-ច្រក
អ៊ី cs-bytes
f. s-ip
g. s-port
h sc-bytes
ខ្ញុំ cs-ឈ្មោះអ្នកប្រើប្រាស់
j. s-ឈ្មោះកុំព្យូទ័រ
k cs-url

បញ្ជីវាលកំណត់ហេតុដែលបានជ្រើសរើសគួរតែមានវាលទាំងនេះដូចដែលបានបង្ហាញ៖

បញ្ជី​វាល​កំណត់​ហេតុ​ដែល​បាន​ជ្រើស​ត្រូវ​តែ​ស្ថិត​នៅ​ក្នុង​លំដាប់​ខាង​លើ ដោយ​មិន​មាន​វាល​ផ្សេង​ទៀត​បង្ហាញ​ទេ។

8. រមូរទៅផ្នែកខាងក្រោមនៃទំព័រ ហើយបន្ទាប់មកជ្រើសរើសជម្រើស Syslog Push ។

9. នៅក្នុងវាល ឈ្មោះម៉ាស៊ីន វាយអាសយដ្ឋាន IP អ្នកប្រមូលលំហូរ ឬឈ្មោះម៉ាស៊ីនរបស់វា ដែលប្រូកស៊ីផ្ញើកំណត់ហេតុទៅ។

ត្រូវប្រាកដថាជ្រើសរើស Flow Collector ដែលប្រមូលទិន្នន័យពីអ្នកនាំចេញ និងចំណុចបញ្ចប់ដែលអ្នកចង់ស៊ើបអង្កេតក្នុងកំណត់ហេតុប្រូកស៊ី។

10. ចុច Submit ។ កំណត់ហេតុថ្មីត្រូវបានបន្ថែមទៅក្នុងបញ្ជីការជាវកំណត់ហេតុ។

11. បន្តទៅផ្នែក កំណត់រចនាសម្ព័ន្ធ Flow Collector ដើម្បីដំឡើង Flow Collector របស់អ្នក ដើម្បីទទួលបានព័ត៌មាន syslog ។

កំណត់រចនាសម្ព័ន្ធកំណត់ហេតុប្រូកស៊ីរបស់អាវខៀវ

ប្រើផ្នែកនេះដើម្បីកំណត់រចនាសម្ព័ន្ធកំណត់ហេតុប្រូកស៊ី Blue Coat ដើម្បីផ្ញើទៅកាន់ Secure Network Analytics ។

កំណែប្រូកស៊ី Blue Coat ដែលប្រើសម្រាប់ការធ្វើតេស្តគឺ SG V100, SGOS 6.5.5.7 SWG Edition ។

ការបង្កើតទម្រង់

ដើម្បីបង្កើតទម្រង់កំណត់ហេតុថ្មី សូមបំពេញជំហានខាងក្រោម៖

1. នៅក្នុងកម្មវិធីរុករករបស់អ្នក សូមចូលទៅកាន់ម៉ាស៊ីនមេប្រូកស៊ី Blue Coat របស់អ្នក។

2. ចុចផ្ទាំងកំណត់រចនាសម្ព័ន្ធ។

3. នៅក្នុងម៉ឺនុយមេនៃកុងសូលគ្រប់គ្រង សូមចុចការចូលដំណើរការ > ទ្រង់ទ្រាយ។

4. ចុច New នៅផ្នែកខាងក្រោមនៃទំព័រ។ ទំព័របង្កើតទម្រង់បើក។

5. នៅក្នុងវាល ឈ្មោះទម្រង់ សូមវាយឈ្មោះសម្រាប់ទម្រង់ថ្មី។

6. ជ្រើសរើស W3C Extended Log File ជម្រើសទម្រង់ (ELFF) ។

7. នៅក្នុងវាលទម្រង់ សូមវាយខ្សែអក្សរខាងក្រោម៖

ដងបំផុតamp រយៈពេល c-ip c-port r-ip r-port s-ip s-port cs-bytes sc-bytes cs-user cs-host cs-uri

8. ចុចយល់ព្រម។ បន្តទៅផ្នែកបន្ទាប់ បង្កើតកំណត់ហេតុថ្មី។

បង្កើតកំណត់ហេតុថ្មី។

ដើម្បីបង្កើតកំណត់ហេតុ សូមបំពេញជំហានខាងក្រោម៖

1. នៅក្នុងម៉ឺនុយមេ ចុចការចូលដំណើរការ > កំណត់ហេតុ ហើយបន្ទាប់មកជ្រើសរើសទម្រង់កំណត់ហេតុថ្មី។ ទំព័រកំណត់ហេតុបើក។

2. ចុចផ្ទាំងការកំណត់ទូទៅ។

3. ពីបញ្ជីទម្លាក់ចុះទ្រង់ទ្រាយកំណត់ហេតុ សូមជ្រើសរើសកំណត់ហេតុដែលអ្នកបានបង្កើតក្នុងជំហានទី 1។

4. នៅក្នុងវាល Description វាយពណ៌នាសម្រាប់កំណត់ហេតុថ្មីរបស់អ្នក។

5. ចុចប៊ូតុង អនុវត្ត នៅផ្នែកខាងក្រោមនៃទំព័រ។ បន្តទៅផ្នែកបន្ទាប់ កំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនភ្ញៀវផ្ទុកឡើង

កំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនភ្ញៀវផ្ទុកឡើង

ដើម្បីកំណត់រចនាសម្ព័ន្ធកម្មវិធីផ្ទុកឡើង សូមបំពេញជំហានខាងក្រោម៖

1. ចុចផ្ទាំង Upload Client ។ ទំព័រម៉ាស៊ីនភ្ញៀវផ្ទុកឡើងបើក។

2. ពីបញ្ជីទម្លាក់ចុះនៃប្រភេទអតិថិជន សូមជ្រើសរើស Custom Client ។

3. ចុចប៊ូតុងការកំណត់។ ទំព័រការកំណត់អតិថិជនផ្ទាល់ខ្លួនបើក។

4. នៅក្នុងវាលដែលសមស្រប សូមវាយអាសយដ្ឋាន IP របស់ Flow Collector និងច្រកស្តាប់របស់ proxy parser ។

SSL មិនត្រូវបានគាំទ្រនៅពេលនេះទេ។

ចុច“ យល់រពម” ។

6. សម្រាប់ប៉ារ៉ាម៉ែត្របញ្ជូន សូមបំពេញជំហានទាំងនេះ៖

• ក. សម្រាប់វិញ្ញាបនប័ត្រនៃការអ៊ិនគ្រីប សូមជ្រើសរើស No ​​encryption។
• ខ. ពីបញ្ជីទម្លាក់ចុះ ចុះហត្ថលេខាលើសោ ជ្រើសរើសគ្មានការចុះហត្ថលេខា។
• គ. ពី "រក្សាទុកកំណត់ហេតុ file as” ជ្រើសរើសអត្ថបទ file ជម្រើស។
• ឃ. នៅក្នុងប្រអប់អត្ថបទ "ផ្ញើបណ្តុំផ្នែកបន្ទាប់" សូមវាយ 5.
• អ៊ី ចុចផ្ទាំងកាលវិភាគផ្ទុកឡើង ហើយជ្រើសរើសជម្រើសបន្តសម្រាប់ផ្ទុកឡើងកំណត់ហេតុចូលដំណើរការ។
• f. នៅក្នុងប្រអប់ រង់ចាំរវាងការព្យាយាមតភ្ជាប់ សូមវាយលេខ 60 ។
• g. នៅក្នុងប្រអប់ Time between keep-alive log packets, type 5.

7. ចុចប៊ូតុងអនុវត្តនៅខាងក្រោមទំព័រ។ បន្តទៅផ្នែកបន្ទាប់ កំណត់រចនាសម្ព័ន្ធកាលវិភាគផ្ទុកឡើង។

កំណត់រចនាសម្ព័ន្ធកាលវិភាគផ្ទុកឡើង

ដើម្បីកំណត់រចនាសម្ព័ន្ធកាលវិភាគផ្ទុកឡើង សូមបំពេញជំហានខាងក្រោម៖

1. ចុចលើផ្ទាំង Upload Schedule។

2. សម្រាប់ "ផ្ទុកឡើងកំណត់ហេតុចូលដំណើរការ" សូមជ្រើសរើសបន្ត។

3. រង់ចាំរវាងការព្យាយាមត្រឹមត្រូវគឺ 60 វិនាទី។

4. ពេលវេលារវាងកញ្ចប់កំណត់ទុករក្សាជីវិត 5 វិនាទី។

5. ចុចប៊ូតុង អនុវត្ត នៅផ្នែកខាងក្រោមនៃទំព័រ។

វាបញ្ចប់ការកំណត់រចនាសម្ព័ន្ធសម្រាប់កំណត់ហេតុប្រូកស៊ី Blue Coat សម្រាប់អ្នកប្រមូលលំហូរ។

តម្រូវការ

កំណត់ចំណាំបន្ថែមលើការកំណត់៖

• បញ្ជាក់ថា Flow Collector និង Proxy ប្រើម៉ាស៊ីនមេ NTP ដូចគ្នា (ឬទទួលពេលវេលាពីប្រភពទូទៅសម្រាប់ flow និង proxy records ដែលត្រូវគ្នា)។
• មានតែយន្តការទិន្នផលកំណត់ហេតុមួយសម្រាប់ប្រូកស៊ីប៉ុណ្ណោះដែលត្រូវបានគាំទ្រ។ ប្រសិនបើអ្នកកំពុងនាំចេញកំណត់ហេតុរួចហើយ អ្នកមិនអាចចាប់យក និងញែកកំណត់ត្រាប្រូកស៊ីបានទេ។
• ភាពអាចរកបានខ្ពស់របស់នាយក UDP មិនត្រូវបានគាំទ្រទេ។

កំណត់រចនាសម្ព័ន្ធកម្មវិធីគ្រប់គ្រងគោលនយោបាយមើលឃើញ

ការកំណត់រចនាសម្ព័ន្ធនៃកម្មវិធីគ្រប់គ្រងគោលនយោបាយដែលមើលឃើញអាចឱ្យអ្នកពិនិត្យមើលថាកំណត់ហេតុប្រូកស៊ីកំពុងត្រូវបានផ្ញើទៅកាន់អ្នកប្រមូលលំហូរ។

1. នៅក្នុងទំព័រផ្ទាំងកំណត់រចនាសម្ព័ន្ធក្នុងម៉ឺនុយមេ ចុចគោលការណ៍> កម្មវិធីគ្រប់គ្រងគោលការណ៍មើលឃើញ។ កម្មវិធីគ្រប់គ្រងគោលនយោបាយមើលឃើញបើក។

2. ចុចប៊ូតុងចាប់ផ្តើមនៅខាងក្រោមសម្រាប់កំណត់ហេតុដែលបានកំណត់រចនាសម្ព័ន្ធរបស់អ្នក។ កម្មវិធីគ្រប់គ្រងគោលនយោបាយដែលមើលឃើញសម្រាប់បង្អួចកំណត់ហេតុបើក។

3. ចុចគោលការណ៍ > បន្ថែម Web ចូលប្រើស្រទាប់។ អេក្រង់បន្ថែមស្រទាប់ថ្មីបើក។

4. វាយឈ្មោះសម្រាប់ស្រទាប់ថ្មី ហើយបន្ទាប់មកចុចយល់ព្រម។

5. ចុចកណ្ដុរស្ដាំលើ បដិសេធ នៅក្នុងជួរឈរសកម្មភាព ហើយបន្ទាប់មកចុច កំណត់។ ប្រអប់កំណត់សកម្មភាពវត្ថុបើក។

6. ចុច New ហើយជ្រើសរើស Modify Access Loggging។ ប្រអប់ Edit Access Loging Object Dialog បើក។

7. ចុច Enable loggging to.

8. វាយបញ្ចូលឈ្មោះសម្រាប់កំណត់ហេតុរបស់អ្នក ហើយបន្ទាប់មកជ្រើសរើសកំណត់ហេតុរបស់អ្នក។

9. ចុចយល់ព្រម។ វត្ថុត្រូវបានបន្ថែម។

10. នៅក្នុងប្រអប់ Set Action Object សូមចុច OK។

11. ចុចប៊ូតុងដំឡើងគោលការណ៍នៅខាងស្តាំខាងលើ។

12. ចុច No ហើយបន្ទាប់មក OK សម្រាប់បង្អួចខាងក្រោម។

13. បើកដំណើរការកម្មវិធីគ្រប់គ្រងគោលនយោបាយមើលឃើញរបស់អាវខៀវម្តងទៀត។

14. ចុចកណ្ដុរស្ដាំលើផ្ទាំងកំណត់ហេតុ ហើយបន្ទាប់មកជ្រើសរើស បើកស្រទាប់។

15. ចុចប៊ូតុងដំឡើងគោលការណ៍។ គោលការណ៍ដែលបានដំឡើងបើក។

ចុច“ យល់រពម” ។

17. ចុចលើផ្ទាំងស្ថិតិ ហើយក្នុងម៉ឺនុយកំណត់ហេតុ សូមជ្រើសរើសកំណត់ហេតុរបស់អ្នក។

18. នៅក្នុងមឺនុយមេចុច Access Loggging ហើយបន្ទាប់មកចុចលើផ្ទាំង Log Tail។ បង្អួច Log Tail បើក។

19. ចុចប៊ូតុង Start Tail នៅផ្នែកខាងក្រោមនៃទំព័រ។

20. នៅលើម៉ឺនុយមេស្ថិតិ ចុច ប្រព័ន្ធ > កំណត់ហេតុព្រឹត្តិការណ៍។ ទំព័រនេះនឹងបង្ហាញប្រសិនបើកំណត់ហេតុ file ត្រូវបានបញ្ចូលទៅក្នុង Flow Collector និងការផ្លាស់ប្តូរដែលបានធ្វើ។ វាបង្ហាញថាតើប្រូកស៊ីត្រូវបានភ្ជាប់ទៅ Flow Collector ដែរឬទេ។

21. បន្តទៅផ្នែក កំណត់រចនាសម្ព័ន្ធ Flow Collector ដើម្បីដំឡើង Flow Collector របស់អ្នក ដើម្បីទទួលបានព័ត៌មាន syslog ។

កំណត់រចនាសម្ព័ន្ធកំណត់ហេតុប្រូកស៊ី McAfee

ប្រើផ្នែកនេះដើម្បីកំណត់រចនាសម្ព័ន្ធកំណត់ហេតុប្រូកស៊ី McAfee ពី McAfee Web Gateway ដើម្បីផ្ញើទៅកាន់ Secure Network Analytics។

• ត្រូវប្រាកដថាអ្នកបានទាញយកការកំណត់រចនាសម្ព័ន្ធ XML file សម្រាប់ប្រូកស៊ី McAfee ។ ចូលទៅកាន់ Cisco Software Central ដើម្បីទាញយកការកំណត់រចនាសម្ព័ន្ធ readme និង Proxy Log XML files.
• ចូលទៅគណនី Cisco Smart របស់អ្នកនៅ https://software.cisco.com ឬទាក់ទងអ្នកគ្រប់គ្រងរបស់អ្នក។
• កំណែប្រូកស៊ី McAfee ដែលប្រើសម្រាប់ការធ្វើតេស្តគឺ 7.4.2.6.0 – 18721។

ដើម្បីដំឡើងកំណត់ហេតុប្រូកស៊ី McAfee សូមបំពេញជំហានខាងក្រោម៖

1. ទាញយក XML file, FlowCollector_[date]_McAfee_Log_XML_Config_[v].xml ហើយបន្ទាប់មករក្សាទុកវាទៅទីតាំងដែលអ្នកពេញចិត្ត។

"កាលបរិច្ឆេទ" បង្ហាញពីកាលបរិច្ឆេទនៃ XML fileហើយ "v" បង្ហាញពីកំណែនៃកំណែប្រូកស៊ី McAfee ។ ជ្រើសរើស XML file ជាមួយនឹងលេខកំណែដូចគ្នានឹងប្រូកស៊ី McAfee របស់អ្នក។

ដើម្បីទាញយក fileបំពេញជំហានខាងក្រោម៖

• ក។ ទៅ https://software.cisco.com, Cisco Software Central ។
• ខ. នៅក្នុងផ្នែក ទាញយក និងគ្រប់គ្រង > ទាញយក និងដំឡើងកំណែ សូមជ្រើសរើស Access downloads ។
• គ. រមូរចុះក្រោមទៅកន្លែងជ្រើសរើសផលិតផល។
• ឃ. វាយបញ្ចូលការវិភាគបណ្តាញសុវត្ថិភាពក្នុងប្រអប់ជ្រើសរើសផលិតផល។ ចុច Enter ។
• អ៊ី ជ្រើសរើស Secure Network Analytics Virtual Flow Collector ឬ Flow Collector ផ្សេងទៀត។
• f. ជ្រើសរើសកម្មវិធីប្រព័ន្ធវិភាគបណ្តាញសុវត្ថិភាព > ការកំណត់រចនាសម្ព័ន្ធ Files.

2. ចូលទៅម៉ាស៊ីនមេប្រូកស៊ី McAfee ។

3. ចុចរូបតំណាងគោលការណ៍ ហើយបន្ទាប់មកចុចលើផ្ទាំងកំណត់ច្បាប់។

4. ជ្រើសរើស Log Handler ហើយបន្ទាប់មកជ្រើសរើស Default។

5. ចុច បន្ថែម > កំណត់ច្បាប់ពីបណ្ណាល័យ។

6. ចុចនាំចូលពី fileហើយបន្ទាប់មកជ្រើសរើស XML file.

7. ជ្រើសរើស mcafeelancopelog ក្នុងកម្មវិធីដោះស្រាយកំណត់ហេតុដែលទើបតែនាំចូល។

សូមប្រាកដថាច្បាប់ដែលបានកំណត់ និងច្បាប់ "បង្កើតបន្ទាត់ចូលដំណើរការ" និង "ផ្ញើទៅ syslog" ត្រូវបានបើក។

8. ចុចរូបតំណាងការកំណត់រចនាសម្ព័ន្ធនៅផ្នែកខាងលើនៃទំព័រ។

9. នៅខាងឆ្វេងនៃទំព័រ សូមចុចពាក្យ File ផ្ទាំងកម្មវិធីនិពន្ធ ហើយបន្ទាប់មកជ្រើសរើស rsyslog.conf file.

10. នៅផ្នែកខាងក្រោមនៃប្រអប់អត្ថបទ (ក្បែរបញ្ជីនៃ files) វាយអត្ថបទខាងក្រោម៖

ត្រូវប្រាកដថាជ្រើសរើស Flow Collector ដែលប្រមូលទិន្នន័យពីអ្នកនាំចេញ និងចំណុចបញ្ចប់ដែលអ្នកចង់ស៊ើបអង្កេតក្នុងកំណត់ហេតុប្រូកស៊ី។

11. បញ្ចេញមតិលើបន្ទាត់នេះ៖

*.info;mail.none;authpriv.none;cron.none។

12. បន្ថែមបន្ទាត់នេះ:

*.info;daemon.!=info;mail.none;authpriv.none;cron.none - /var/log/messages។

13. ចុចប៊ូតុង Save Changes នៅខាងស្តាំខាងលើនៃទំព័រ។

14. បន្តទៅផ្នែក កំណត់រចនាសម្ព័ន្ធ Flow Collector ដើម្បីដំឡើង Flow Collector របស់អ្នក ដើម្បីទទួលបានព័ត៌មាន syslog ។

កំណត់រចនាសម្ព័ន្ធ Squid Proxy Logs

ប្រើផ្នែកនេះដើម្បីកំណត់រចនាសម្ព័ន្ធកំណត់ហេតុប្រូកស៊ី Squid ដើម្បីផ្ញើទៅកាន់ Secure Network Analytics ។ អ្នកអាចកែសម្រួល files នៅលើម៉ាស៊ីនមេប្រូកស៊ីដោយប្រើ SSH ។
ដើម្បីកំណត់រចនាសម្ព័ន្ធកំណត់ហេតុប្រូកស៊ី Squid សូមបំពេញជំហានខាងក្រោម៖

1. ចូលទៅក្នុងសែលសម្រាប់ម៉ាស៊ីនដែលដំណើរការ Squid ។

2. ចូលទៅកាន់ថតដែលមាន squid.conf (ជាទូទៅ /etc/squid) ហើយបើកវានៅក្នុងកម្មវិធីនិពន្ធ។

3. បន្ថែមបន្ទាត់ខាងក្រោមទៅ squid.conf ដើម្បីកំណត់រចនាសម្ព័ន្ធការកត់ត្រា៖

logformat access_format %ts%03tu % a %>p %>st %

4. ចាប់ផ្តើមមឹកឡើងវិញដោយប្រើវិធីខាងក្រោម៖

• សម្រាប់ប្រព័ន្ធដែលមានមូលដ្ឋានលើ init៖ /etc/init.d/squid3 ចាប់ផ្តើមឡើងវិញ
• សម្រាប់ប្រព័ន្ធដែលមានមូលដ្ឋានលើប្រព័ន្ធ៖ systemctl ចាប់ផ្តើមមឹកឡើងវិញ

5. កំណត់រចនាសម្ព័ន្ធសេវាកម្ម syslog នៅលើម៉ាស៊ីនមេ Squid ដើម្បីបញ្ជូនកំណត់ហេតុទៅកាន់ Flow Collector ។ វាអាស្រ័យលើសេវាកម្មចែកចាយ/syslog របស់លីនុច។

សម្រាប់ syslog-ng សូមបន្ថែមខាងក្រោមទៅ /etc/syslog-ng/syslog-ng.conf៖

# កន្លែងត្រួតពិនិត្យ BEGIN តម្រង bs_filter { filter(f_user) និង level(info) }; ទិសដៅ udp_proxy { udp("10.205.14.15" port(514)); }; កំណត់ហេតុ { ប្រភព(s_all); តម្រង (bs_filter); ទិសដៅ (udp_proxy); }; # កំណត់ហេតុសវនកម្ម បញ្ចប់

សម្រាប់ rsyslog សូមបន្ថែមខាងក្រោមទៅ /etc/rsyslog.conf៖

៖ ឈ្មោះកម្មវិធី មាន "មឹក" @10.205.14.15:514

ត្រូវប្រាកដថាជ្រើសរើស Flow Collector ដែលប្រមូលទិន្នន័យពីអ្នកនាំចេញ និងចំណុចបញ្ចប់ដែលអ្នកចង់ស៊ើបអង្កេតក្នុងកំណត់ហេតុប្រូកស៊ី។

6. បន្ទាប់មកចាប់ផ្តើមសេវា syslog ឡើងវិញ។

• សម្រាប់ប្រព័ន្ធដែលមានមូលដ្ឋាន៖
  /etc/init.d/syslog-ng ចាប់ផ្តើមឡើងវិញ (សម្រាប់ syslog-ng)
  /etc/init.d/rsyslog ចាប់ផ្តើមឡើងវិញ (សម្រាប់ rsyslog)
• សម្រាប់ប្រព័ន្ធផ្អែកលើប្រព័ន្ធ៖
  systemctl ចាប់ផ្តើម syslog ឡើងវិញ (សម្រាប់ syslog-ng)
  systemctl ចាប់ផ្តើម rsyslog ឡើងវិញ (សម្រាប់ rsyslog)

7. បន្តទៅផ្នែក កំណត់រចនាសម្ព័ន្ធ Flow Collector ដើម្បីទទួលបានព័ត៌មាន syslog ។

កំណត់រចនាសម្ព័ន្ធឧបករណ៍ប្រមូលលំហូរ

បន្ទាប់ពីអ្នកបានកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេប្រូកស៊ីហើយ អ្នកត្រូវកំណត់រចនាសម្ព័ន្ធ Flow Collector ដើម្បីទទួលយកទិន្នន័យ។

ដើម្បីកំណត់រចនាសម្ព័ន្ធ Flow Collector ដើម្បីទទួលបានព័ត៌មាន syslog សូមបំពេញជំហានខាងក្រោម៖

1. ចូលទៅអ្នកគ្រប់គ្រងរបស់អ្នក។

2. ជ្រើសរើស Configure > Global > Central Management។

3. ចុចរូបតំណាង (ពងក្រពើ) សម្រាប់ Flow Collector របស់អ្នក បន្ទាប់មកចុច View ស្ថិតិឧបករណ៍។

4. ចូលទៅ Flow Collector ។ ចំណុចប្រទាក់ Flow Collector បើក។

5. ចុច ការកំណត់ > ប្រូកស៊ី Ingest ។ ទំព័រ Proxy Servers បើក។

6. វាយបញ្ចូលអាសយដ្ឋាន IP របស់ម៉ាស៊ីនមេប្រូកស៊ី។

7. ពីបញ្ជីទម្លាក់ចុះ ប្រភេទប្រូកស៊ី ជ្រើសរើសម៉ាស៊ីនមេប្រូកស៊ីរបស់អ្នក។

ប្រសិនបើប្រភេទនៃម៉ាស៊ីនមេប្រូកស៊ីរបស់អ្នកមិនត្រូវបានរាយបញ្ជីទេ អ្នកនឹងមិនអាចប្រើកំណត់ហេតុប្រូកស៊ីបានទេនៅពេលនេះ។

8. ប្រសិនបើ Proxy Server៖

• មានអាសយដ្ឋាន IP តែមួយគត់ បន្ទាប់មកវាយអាសយដ្ឋាន IP របស់ម៉ាស៊ីនមេប្រូកស៊ីក្នុងវាលអាសយដ្ឋាន IP ។ ទុកវាល Telemetry IP Address ទទេ។
• មានអាសយដ្ឋាន IP ច្រើនទៀត បន្ទាប់មកវាយអាសយដ្ឋាន IP គ្រប់គ្រងរបស់ម៉ាស៊ីនមេប្រូកស៊ី (អាសយដ្ឋាន IP ប្រភពសាររបស់ syslog) នៅក្នុងវាលអាសយដ្ឋាន IP ។ នៅក្នុងវាល Telemetry IP Address សូមវាយអាសយដ្ឋាន IP telemetry របស់ម៉ាស៊ីនមេប្រូកស៊ី។

9. នៅក្នុងវាល ច្រកសេវាប្រូកស៊ី វាយលេខច្រករបស់ម៉ាស៊ីនមេប្រូកស៊ី។

10. ប្រសិនបើអ្នកចង់ឱ្យម៉ាស៊ីនមេប្រូកស៊ីកេះសំឡេងរោទិ៍ ដោះធីកប្រអប់ធីក Exclude from Alarming។

11. ចុចបន្ថែម។

12. ចុចអនុវត្ត។ ម៉ាស៊ីនមេប្រូកស៊ីលេចឡើងក្នុងតារាងប្រូកស៊ី Ingest នៅផ្នែកខាងលើនៃទំព័រ។

13. បន្តទៅផ្នែកពិនិត្យលំហូរ។

ការពិនិត្យមើលលំហូរ

ដើម្បីពិនិត្យមើលថាអ្នកកំពុងទទួលបានលំហូរ សូមបំពេញជំហានខាងក្រោម៖

1. នៅក្នុងចំណុចប្រទាក់ Flow Collector ចុច Support > Browse Files នៅក្នុងម៉ឺនុយមេ។ រុករក Fileទំព័រ s បើក។

2. បើក sw.log file.

3. ពិនិត្យមើលថា webប្រូកស៊ីកំពុងរាប់ឡើង ដើម្បីបង្ហាញថាអ្នកកំពុងទទួលទិន្នន័យ។

ទំនាក់ទំនងផ្នែកគាំទ្រ

ប្រសិនបើអ្នកត្រូវការជំនួយផ្នែកបច្ចេកទេស សូមធ្វើមួយក្នុងចំណោមខាងក្រោម៖

• ទាក់ទងដៃគូ Cisco ក្នុងតំបន់របស់អ្នក។
• ទាក់ទងផ្នែកគាំទ្រ Cisco
• ដើម្បីបើកសំណុំរឿងដោយ web: http://www.cisco.com/c/en/us/support/index.html
• សម្រាប់ជំនួយទូរស័ព្ទ៖ ១-៨៦៦-៤៤៧-២១៩៤ (អាមេរិក)
• សម្រាប់លេខគាំទ្រទូទាំងពិភពលោក៖
  https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

ផ្លាស់ប្តូរប្រវត្តិ

ព័ត៌មានរក្សាសិទ្ធិ

Cisco និងនិមិត្តសញ្ញា Cisco គឺជាពាណិជ្ជសញ្ញា ឬពាណិជ្ជសញ្ញាដែលបានចុះបញ្ជីរបស់ Cisco និង/ឬសាខារបស់ខ្លួននៅក្នុងសហរដ្ឋអាមេរិក និងប្រទេសដទៃទៀត។ ទៅ view បញ្ជីនៃពាណិជ្ជសញ្ញា Cisco សូមចូលទៅកាន់នេះ។ URL: https://www.cisco.com/go/trademarks. ពាណិជ្ជសញ្ញាភាគីទីបីដែលបានលើកឡើងគឺជាទ្រព្យសម្បត្តិរបស់ម្ចាស់រៀងៗខ្លួន។ ការប្រើប្រាស់ពាក្យថាដៃគូរមិនមានន័យថាទំនាក់ទំនងភាពជាដៃគូរវាង Cisco និងក្រុមហ៊ុនណាមួយផ្សេងទៀតនោះទេ។ (1721R)

© 2025 Cisco Systems, Inc. និង/ឬសាខារបស់វា។
រក្សាសិទ្ធិគ្រប់យ៉ាង។

ឯកសារ/ធនធាន

CISCO WSA Secure Network Analytics [pdf] ការណែនាំអ្នកប្រើប្រាស់ WSA 14-5-1-016, Blue Coat, McAfee, Squid, WSA Secure Network Analytics, WSA, Secure Network Analytics, Network Analytics, Analytics

ឯកសារយោង

• សៀវភៅណែនាំអ្នកប្រើប្រាស់