Användarhandbok för CISCO WSA Secure Network Analytics

Introduktion

För att samla in användarinformation från dina nätverksproxyservrar för Cisco Secure Network Analytics (tidigare Stealthwatch) proxylogg måste du konfigurera proxyserverloggarna. Flow Collector tar emot loggarna och Manager (tidigare Stealthwatch Management Console) visar informationen på sidan Flow Proxy Records. Den här sidan innehåller URLoch applikationsnamn för trafiken inom ett nätverk som går genom proxyservern.

Krav

Innan du börjar, bekräfta att du uppfyller följande krav:

• Cisco WSA (14-5-1-016), Blue Coat, McAfee och Squid stöds för den här konfigurationen. Se till att din proxyserver är konfigurerad och körs som en del av ditt nätverk.
• Bekräfta att Flow Collector och proxyn använder samma NTP-server (eller tar emot tid från en gemensam källa för att flödes- och proxyposter ska kunna matchas).
• Välj den Flow Collector som samlar in data från exportörerna och slutpunkterna som du vill undersöka i proxyloggarna. Du behöver IP-adressen för konfigurationen.
• Det finns ingen specifik storleksgräns för syslog-proxymeddelanden. Vi rekommenderar dock att meddelanden hålls kortare än den kortaste maximala överföringsenheten (MTU) längs vägen mellan proxyn och Flow Collector, vanligtvis 1500. Detta eliminerar paketfragmentering och ökar tillförlitligheten.
• Proxylogg stöds inte i läget för hög tillgänglighet (HA).

Konfiguration överview

Slutför följande procedurer:

1. Välj en av följande metoder för att konfigurera din proxyserver.
   • Konfigurera Cisco Web Proxyloggar för säkerhetsapparater (WSA)
   • Konfigurera Blue Coat-proxyloggarna
   • Konfigurera McAfee Proxy-loggarna
   • Konfigurera Squid Proxy-loggar
2. Konfigurera flödesinsamlaren
3. Kontroll av flödena

Konfigurera Cisco Web Proxyloggar för säkerhetsapparater (WSA)

Använd det här avsnittet för att konfigurera Cisco proxyloggar som ska skickas till Secure Network Analytics.

Cisco WSA-proxy stöder inte virtuella IP-adresser för att lägga till proxyenheten.

Så här konfigurerar du Cisco-proxyloggen:

1. Logga in på Cisco-proxyservern.

2. Klicka på Systemadministration > Loggprenumerationer i huvudmenyn. Sidan Loggprenumerationer öppnas.

3. Klicka på knappen Lägg till loggprenumerationer. Sidan Nya loggprenumerationer öppnas.

4. Välj W3C-loggar i listrutan Loggtyp. De tillgängliga W3C-loggfälten visas.

5. I fältet Loggnamn skriver du ett namn för den logg du ska använda.

6. Från listan Tillgängliga loggfält väljer du Tidsgränsampoch klicka sedan på Lägg till för att flytta den till listan Välj loggfält.

7. Upprepa föregående steg för vart och ett av följande loggfält i ordning:

a. gångeramp
b. x-förfluten-tid
c. c-ip
d. c-port
e. cs-byte
f. s-ip
g. s-port
h. sc-byte
i. cs-användarnamn
j. s-datornamn
k. cs-url

Listan Valda loggfält bör innehålla dessa fält enligt bilden:

Listan över valda loggfält måste vara i ordningen ovan, utan några andra fält.

8. Bläddra till sidans nederkant och välj sedan alternativet Syslog Push.

9. I fältet Värdnamn skriver du Flow Collectors IP-adress eller dess värdnamn som proxyn skickar loggar till.

Se till att välja den Flow Collector som samlar in data från exportörerna och slutpunkterna som du vill undersöka i proxyloggarna.

10. Klicka på Skicka. Den nya loggen läggs till i listan Loggprenumeration.

11. Fortsätt till avsnittet Konfigurera flödessamlaren för att konfigurera din flödessamlare för att ta emot syslogginformation.

Konfigurera Blue Coat-proxyloggarna

Använd det här avsnittet för att konfigurera Blue Coat proxyloggar som ska skickas till Secure Network Analytics.

Blue Coat-proxyversionen som användes för testning var SG V100, SGOS 6.5.5.7 SWG Edition.

Skapa formatet

För att skapa ett nytt loggformat, följ följande steg:

1. Gå till din Blue Coat-proxyserver i din webbläsare.

2. Klicka på fliken Konfiguration.

3. I huvudmenyn i hanteringskonsolen klickar du på Åtkomstloggning > Format.

4. Klicka på Nytt längst ner på sidan. Sidan Skapa format öppnas.

5. Skriv ett namn för det nya formatet i fältet Formatnamn.

6. Välj den utökade W3C-loggen File Formatalternativ (ELFF).

7. Skriv följande sträng i formatfältet:

mest tidamp varaktighet c-ip c-port r-ip r-port s-ip s-port cs-bytes sc-bytes cs-användare cs-värd cs-uri

8. Klicka på OK. Fortsätt till nästa avsnitt, Skapa en ny logg.

Skapa en ny logg

För att skapa loggarna, följ följande steg:

1. I huvudmenyn klickar du på Åtkomstloggning > Loggar och väljer sedan det nya loggformatet. Loggsidan öppnas.

2. Klicka på fliken Allmänna inställningar.

3. Välj den logg du skapade i steg 1 i listrutan Loggformat.

4. I fältet Beskrivning skriver du en beskrivning av din nya logg.

5. Klicka på knappen Verkställ längst ner på sidan. Fortsätt till nästa avsnitt, Konfigurera uppladdningsklienten.

Konfigurera uppladdningsklienten

Så här konfigurerar du uppladdningsklienten:

1. Klicka på fliken Uppladdningsklient. Sidan Uppladdningsklient öppnas.

2. Välj Anpassad klient i listrutan Klienttyp.

3. Klicka på knappen Inställningar. Sidan med inställningar för anpassad klient öppnas.

4. I lämpliga fält skriver du in IP-adressen för Flow Collector och lyssningsporten för proxyparsern.

SSL stöds inte för närvarande.

5. Klicka på OK.

6. För överföringsparametrarna, slutför dessa steg:

• a. Välj Ingen kryptering för krypteringscertifikatet.
• b. I listrutan Signeringsnyckelring väljer du ingen signering.
• c. Från “Spara loggen file som” välj texten file alternativ.
• d. Skriv 5 i textrutan ”Skicka partiell buffert efter”.
• e. Klicka på fliken Uppladdningsschema och välj alternativet kontinuerligt för Uppladdning av åtkomstloggen.
• f. Skriv 60 i fältet Vänta mellan anslutningsförsök.
• g. I fältet Tid mellan loggpaket som ska hållas aktiv skriver du 5.

7. Klicka på knappen Verkställ längst ner på sidan. Fortsätt till nästa avsnitt, Konfigurera uppladdningsschemat.

Konfigurera uppladdningsschemat

Så här konfigurerar du uppladdningsschemat:

1. Klicka på fliken Uppladdningsschema.

2. Markera kontinuerligt för "Ladda upp åtkomstloggen".

3. Väntetiden mellan korrekta försök är 60 sekunder.

4. Tid mellan keep-alive-loggpaket: 5 sekunder.

5. Klicka på knappen Verkställ längst ner på sidan.

Detta slutför konfigurationen för Blue Coat proxy-loggarna för Flow Collector.

Krav

Ytterligare information om konfiguration:

• Bekräfta att flödesinsamlaren och proxyservern använder samma NTP-server (eller tar emot tid från en gemensam källa för att flödes- och proxyposter ska kunna matchas).
• Endast en loggutdatamekanism för proxyn stöds. Om du redan exporterar loggar kan du inte samla in och analysera proxyposter.
• UDP Director High Availability stöds inte.

Konfigurera den visuella policyhanteraren

Konfigurationen av Visual Policy Manager gör att du kan kontrollera att proxyloggen skickas till Flow Collector.

1. På fliken Konfiguration i huvudmenyn klickar du på Policy > Visuell policyhanterare. Visuell policyhanterare öppnas.

2. Klicka på knappen Starta längst ner för din konfigurerade logg. Fönstret Visuell policyhanterare för loggfönstret öppnas.

3. Klicka på Policy > Lägg till Web Åtkomstlager. Skärmen Lägg till nytt lager öppnas.

4. Skriv ett namn för det nya lagret och klicka sedan på OK.

5. Högerklicka på Neka i kolumnen Åtgärd och klicka sedan på Ange. Dialogrutan Ange åtgärdsobjekt öppnas.

6. Klicka på Ny och välj Ändra åtkomstloggning. Dialogrutan Redigera åtkomstloggningsobjekt öppnas.

7. Klicka på Aktivera loggning till.

8. Skriv ett namn för din logg och välj sedan din logg.

9. Klicka på OK. Objektet har lagts till.

10. Klicka på OK i dialogrutan Ange åtgärdsobjekt.

11. Klicka på knappen Installera policy längst upp till höger.

12. Klicka på Nej och sedan på OK för följande fönster.

13. Starta Blue Coat Visual Policy Manager igen.

14. Högerklicka på fliken loggning och välj sedan Aktivera lager.

15. Klicka på knappen Installera policy. Policy installerad öppnas.

16. Klicka på OK.

17. Klicka på fliken Statistik och välj din logg i loggmenyn.

18. Klicka på Åtkomstloggning i huvudmenyn och klicka sedan på fliken Loggsida. Fönstret Loggsida öppnas.

19. Klicka på knappen Starta Tail längst ner på sidan.

20. På huvudmenyn Statistik klickar du på System > Händelseloggning. Den här sidan visar om loggen file laddas upp till Flow Collector och ändringarna som gjorts. Det visar om proxyn är ansluten till Flow Collector.

21. Fortsätt till avsnittet Konfigurera flödessamlaren för att konfigurera din flödessamlare för att ta emot syslogginformation.

Konfigurera McAfee Proxy-loggarna

Använd det här avsnittet för att konfigurera McAfee proxyloggar från McAfee Web Gateway att skicka till Secure Network Analytics.

• Se till att du har laddat ner XML-konfigurationen file för McAfee-proxyn. Gå till Cisco Software Central för att ladda ner readme-filen och XML-konfigurationen för proxyloggen. files.
• Logga in på ditt Cisco Smart-konto på https://software.cisco.com eller kontakta din administratör.
• McAfee-proxyversionen som användes för testningen var 7.4.2.6.0 – 18721.

Så här konfigurerar du McAfee-proxyloggen:

1. Ladda ner XML-filen file, FlowCollector_[datum]_McAfee_Log_XML_Config_[v].xml och spara den sedan på önskad plats.

"Datum" anger datumet för XML-filen fileoch ”v” anger McAfee-proxyversionen. Välj XML file med samma versionsnummer som din McAfee-proxy.

För att ladda ner file, slutför följande steg:

• a. Gå till https://software.cisco.com, Cisco Software Central.
• b. I avsnittet Ladda ner och hantera > Ladda ner och uppgradera väljer du Åtkomst till nedladdningar.
• c. Skrolla ner till fältet för att välja en produkt.
• d. Skriv Säker nätverksanalys i fältet Välj en produkt. Tryck på Enter.
• e. Välj Secure Network Analytics Virtual Flow Collector eller en annan Flow Collector.
• f. Välj Programvara för säker nätverksanalys > Konfiguration Files.

2. Logga in på McAfee-proxyservern.

3. Klicka på ikonen Policy och sedan på fliken Regeluppsättningar.

4. Välj Logghanterare och sedan Standard.

5. Klicka på Lägg till > Regeluppsättning från biblioteket.

6. Klicka på Importera från fileoch välj sedan XML-filen file.

7. Välj mcafeelancopelog i logghanteraren som just importerades.

Se till att regeluppsättningen och regeln "skapa åtkomstlogglinje" och "skicka till syslog" är aktiverade.

8. Klicka på konfigurationsikonen högst upp på sidan.

9. Klicka på till vänster på sidan File fliken Redigerare och välj sedan rsyslog.conf file.

10. Längst ner i textrutan (bredvid listan över files), skriv följande text:

Se till att välja den Flow Collector som samlar in data från exportörerna och slutpunkterna som du vill undersöka i proxyloggarna.

11. Kommentera bort den här raden:

*.info;mail.none;aut.privilegium.none;cron.none.

12. Lägg till den här raden:

*.info;daemon.!=info;mail.none;authpriv.none;cron.none - /var/log/messages.

13. Klicka på knappen Spara ändringar längst upp till höger på sidan.

14. Fortsätt till avsnittet Konfigurera flödessamlaren för att konfigurera din flödessamlare för att ta emot syslogginformation.

Konfigurera Squid Proxy-loggar

Använd det här avsnittet för att konfigurera Squid proxyloggar som ska skickas till Secure Network Analytics. Du kan redigera files på proxyservern med SSH.
Så här konfigurerar du Squid-proxyloggarna:

1. Logga in i ett shell för maskinen som kör Squid.

2. Gå till katalogen som innehåller squid.conf (vanligtvis /etc/squid) och öppna den i en editor.

3. Lägg till följande rader i squid.conf för att konfigurera loggning:

loggformat åtkomstformat %ts%03tu % a %>p %>st %

4. Starta om squid med följande:

• För init-baserade system: /etc/init.d/squid3 restart
• För systemd-baserade system: systemctl starta om squid

5. Konfigurera syslog-tjänsten på Squid-servern för att vidarebefordra loggar till Flow Collector. Detta är beroende av Linuxdistributionen/syslog-tjänsten.

För syslog-ng, lägg till följande i /etc/syslog-ng/syslog-ng.conf:

# Revisionsloggfunktion BEGIN filter bs_filter { filter(f_user) och level(info) }; destination udp_proxy { udp("10.205.14.15" port(514)); }; log { source(s_all); filter(bs_filter); destination(udp_proxy); }; # Revisionsloggfunktion END

För rsyslog, lägg till följande i /etc/rsyslog.conf:

:programnamn, innehåller, "squid" @10.205.14.15:514

Se till att välja den Flow Collector som samlar in data från exportörerna och slutpunkterna som du vill undersöka i proxyloggarna.

6. Starta sedan om syslog-tjänsten.

• För init-baserade system:
  /etc/init.d/syslog-ng omstart (för syslog-ng)
  /etc/init.d/rsyslog omstart (för rsyslog)
• För systemd-baserade system:
  systemctl starta om syslog (för syslog-ng)
  systemctl starta om rsyslog (för rsyslog)

7. Fortsätt till avsnittet Konfigurera flödesinsamlaren för att ta emot syslogginformation.

Konfigurera flödesinsamlaren

När du har konfigurerat proxyservern måste du konfigurera Flow Collector för att acceptera data.

Så här konfigurerar du Flow Collector för att ta emot syslog-information:

1. Logga in på din chef.

2. Välj Konfigurera > Global > Central hantering.

3. Klicka på ikonen (Ellips) för din Flow Collector och klicka sedan på View Statistik över apparater.

4. Logga in på Flow Collector. Flow Collector-gränssnittet öppnas.

5. Klicka på Konfiguration > Proxyinmatning. Sidan Proxyservrar öppnas.

6. Ange proxyserverns IP-adress.

7. Välj din proxyserver i listrutan Proxytyp.

Om din typ av proxyserver inte finns med i listan kommer du inte att kunna använda proxyloggar för tillfället.

8. Om proxyservern:

• bara har en IP-adress, skriv sedan proxyserverns IP-adress i fältet IP-adress. Lämna fältet Telemetri-IP-adress tomt.
• har fler IP-adresser, skriv sedan proxyserverns hanterings-IP-adress (syslog-meddelandets käll-IP-adress) i fältet IP-adress. I fältet Telemetri-IP-adress skriver du proxyserverns telemetri-IP-adress.

9. I fältet Proxytjänstport skriver du in proxyserverns portnummer.

10. Om du vill att proxyservern ska utlösa larm avmarkerar du kryssrutan Undantag från larm.

11. Klicka på Lägg till.

12. Klicka på Verkställ. Proxyservern visas i tabellen Proxyinmatning högst upp på sidan.

13. Fortsätt till avsnittet Kontrollera flödena.

Kontroll av flödena

För att kontrollera att du tar emot flödena, följ följande steg:

1. I Flow Collector-gränssnittet klickar du på Support > Bläddra Files i huvudmenyn. Bläddra-knappen Files sida öppnas.

2. Öppna sw.log file.

3. Kontrollera att webProxy räknar uppåt för att visa att du tar emot data.

Kontakta support

Om du behöver teknisk support, gör något av följande:

• Kontakta din lokala Cisco-partner
• Kontakta Cisco Support
• Att öppna ett ärende genom att web: http://www.cisco.com/c/en/us/support/index.html
• För telefonsupport: 1-800-553-2447 (USA)
• För globala supportnummer:
  https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

Ändringshistorik

Upphovsrättsinformation

Cisco och Cisco-logotypen är varumärken eller registrerade varumärken som tillhör Cisco och/eller dess dotterbolag i USA och andra länder. Till view en lista över Ciscos varumärken, gå till den här URL: https://www.cisco.com/go/trademarks. Tredje parts varumärken som nämns är deras respektive ägares egendom. Användningen av ordet partner innebär inte ett partnerskapsförhållande mellan Cisco och något annat företag. (1721R)

© 2025 Cisco Systems, Inc. och/eller dess dotterbolag.
Alla rättigheter reserverade.

Dokument/resurser

CISCO WSA säker nätverksanalys [pdf] Användarhandbok WSA 14-5-1-016, Blue Coat, McAfee, Squid, WSA Säker nätverksanalys, WSA, Säker nätverksanalys, Nätverksanalys, Analys

Referenser

• Användarmanual