CISCO WSA Güvenli Ağ Analitiği Kullanıcı Kılavuzu
giriiş
Cisco Secure Network Analytics (eski adıyla Stealthwatch) Proxy Günlüğü için ağ proxy sunucularınızdan kullanıcı bilgilerini toplamak üzere proxy sunucusu günlüklerini yapılandırmanız gerekir. Akış Toplayıcı günlükleri alır ve Yönetici (eski adıyla Stealthwatch Yönetim Konsolu) bilgileri Akış Proxy Kayıtları sayfasında görüntüler. Bu sayfa şunları sağlar: URLBir ağ içindeki proxy sunucusundan geçen trafiğin s ve uygulama adları.
Gereksinimler
Başlamadan önce aşağıdaki şartları karşıladığınızdan emin olun:
- Bu yapılandırma için Cisco WSA (14-5-1-016), Blue Coat, McAfee ve Squid desteklenmektedir. Proxy sunucunuzun ağınızın bir parçası olarak yapılandırıldığından ve çalıştığından emin olun.
- Akış Toplayıcının ve proxy'nin aynı NTP sunucusunu kullandığını (veya akış ve proxy kayıtlarının eşleştirilmesi için ortak bir kaynaktan zaman aldığını) onaylayın.
- Proxy günlüklerinde araştırmak istediğiniz dışa aktarıcılardan ve uç noktalardan veri toplayan Akış Toplayıcı'yı seçin. Yapılandırma için IP adresine ihtiyacınız var.
- Syslog proxy mesajları için belirli bir boyut sınırı yoktur. Ancak, mesajların proxy ile Akış Toplayıcı arasındaki yol boyunca en kısa Maksimum İletim Birimi'nden (MTU) (genellikle 1500) daha kısa tutulmasını öneririz. Bu, paket parçalanmasını ortadan kaldırır ve güvenilirliği artırır.
- Proxy Günlüğü Yüksek Kullanılabilirlik (HA) modunda desteklenmez.
Yapılandırma Bittiview
Aşağıdaki prosedürleri tamamlayın:
- Proxy sunucunuzu yapılandırmak için aşağıdaki yöntemlerden birini seçin.
- Cisco'yu yapılandırma Web Güvenlik Cihazı (WSA) Proxy Günlükleri
- Blue Coat Proxy Günlüklerini Yapılandırma
- McAfee Proxy Günlüklerini Yapılandırma
- Squid Proxy Günlüklerini Yapılandırma
- Akış Toplayıcısını Yapılandırma
- Akışları Kontrol Etme
Cisco'yu yapılandırma Web Güvenlik Cihazı (WSA) Proxy Günlükleri
Cisco proxy günlüklerini Güvenli Ağ Analitiğine göndermek üzere yapılandırmak için bu bölümü kullanın.
Cisco WSA proxy, proxy cihazını eklemek için Sanal IP'leri desteklemez.
Cisco proxy günlüğünü ayarlamak için aşağıdaki adımları tamamlayın:
1. Cisco proxy sunucusuna giriş yapın.
2. Ana menüde Sistem Yönetimi > Günlük Abonelikleri'ne tıklayın. Günlük Abonelikleri sayfası açılır.
3. Günlük Abonelikleri Ekle düğmesine tıklayın. Yeni Günlük Abonelikleri sayfası açılır.
4. Günlük Türü açılır listesinden W3C Günlükleri'ni seçin. Kullanılabilir W3C Günlük alanları görüntülenir.
5. Günlük Adı alanına kullanacağınız günlük için bir ad yazın.
6. Kullanılabilir Günlük Alanları listesinden Zaman'ı seçinampve ardından Ekle'ye tıklayarak Günlük Alanlarını Seç listesine taşıyın.
7. Aşağıdaki günlük alanlarının her biri için önceki adımı sırayla tekrarlayın:
a. zamanamp
b. x-geçen-zaman
c. c-ip
d. c-port
e. cs-baytlar
f. s-ip
g. s-port
h. sc-baytlar
i. cs-kullanıcı adları
j. s-bilgisayarAdı
k. cs-url
Seçili Günlük Alanları listesi, aşağıdaki şekilde gösterildiği gibi şu alanları içermelidir:
Seçilen Günlük Alanları listesi yukarıdaki sırada olmalı ve başka alan bulunmamalıdır.
8. Sayfanın en altına gidin ve ardından Syslog Push seçeneğini belirleyin.
9. Ana Bilgisayar Adı alanına, proxy'nin günlükleri gönderdiği Akış Toplayıcı IP adresini veya ana bilgisayar adını yazın.
Proxy günlüklerinde araştırmak istediğiniz ihracatçılardan ve uç noktalardan veri toplayan Akış Toplayıcısını seçtiğinizden emin olun.
10. Gönder'e tıklayın. Yeni günlük, Günlük Aboneliği listesine eklenir.
11. Syslog bilgilerini almak üzere Akış Toplayıcınızı ayarlamak için Akış Toplayıcısını Yapılandırma bölümüne devam edin.
Blue Coat Proxy Günlüklerini Yapılandırma
Bu bölümü, Blue Coat proxy günlüklerini Güvenli Ağ Analitiğine gönderilecek şekilde yapılandırmak için kullanın.
Test için kullanılan Blue Coat proxy sürümü SG V100, SGOS 6.5.5.7 SWG Edition'dı.
Formatın Oluşturulması
Yeni bir günlük biçimi oluşturmak için aşağıdaki adımları tamamlayın:
1. Tarayıcınızda Blue Coat proxy sunucunuza erişin.
2. Yapılandırma sekmesine tıklayın.
3. Yönetim Konsolu'nun ana menüsünde Erişim Günlüğü > Biçimler'e tıklayın.
4. Sayfanın alt kısmındaki Yeni'ye tıklayın. Biçim Oluştur sayfası açılır.
5. Biçim Adı alanına yeni biçim için bir ad yazın.
6. W3C Genişletilmiş Günlüğünü seçin File Biçim (ELFF) seçeneği.
7. Biçim alanına aşağıdaki dizeyi yazın:
zamanamp süre c-ip c-port r-ip r-port s-ip s-port cs-baytlar sc-baytlar cs-kullanıcısı cs-ana bilgisayarı cs-uri
8. Tamam'a tıklayın. Sonraki bölüm olan Yeni Günlük Oluştur'a geçin.
Yeni Bir Günlük Oluşturun
Günlükleri oluşturmak için aşağıdaki adımları tamamlayın:
1. Ana menüde Erişim Günlüğü > Günlükler'e tıklayın ve ardından yeni günlük biçimini seçin. Günlük sayfası açılır.
2. Genel Ayarlar sekmesine tıklayın.
3. Günlük Biçimi açılır listesinden, 1. Adımda oluşturduğunuz günlüğü seçin.
4. Açıklama alanına yeni günlüğünüz için bir açıklama yazın.
5. Sayfanın alt kısmındaki Uygula düğmesine tıklayın. Bir sonraki bölüm olan Yükleme İstemcisini Yapılandırma'ya geçin.
Yükleme İstemcisini Yapılandırın
Yükleme istemcisini yapılandırmak için aşağıdaki adımları tamamlayın:
1. İstemci Yükle sekmesine tıklayın. İstemci Yükle sayfası açılır.
2. İstemci türü açılır listesinden Özel İstemci'yi seçin.
3. Ayarlar düğmesine tıklayın. Özel İstemci ayarları sayfası açılır.
4. Uygun alanlara Akış Toplayıcının IP adresini ve proxy ayrıştırıcısının dinleme portunu yazın.
SSL şu anda desteklenmiyor.
5. Tamam 'ı tıklatın.
6. Şanzıman Parametreleri için şu adımları tamamlayın:
- a. Şifreleme Sertifikası için Şifreleme yok seçeneğini belirleyin.
- b. İmza Anahtarlığı açılır listesinden imzalama yok seçeneğini seçin.
- c. "Günlüğü kaydet" seçeneğinden file "olarak" Metni seçin file seçenek.
- d. “Kısmi arabelleği gönder” metin kutusuna 5 yazın.
- e. Yükleme Programı sekmesine tıklayın ve Erişim günlüğünü yükle seçeneği için sürekli seçeneğini belirleyin.
- f. Bağlantı denemeleri arasında bekleme süresi alanına 60 yazın.
- g. Canlı tutma günlük paketleri arasındaki süre alanına 5 yazın.
7. Sayfanın alt kısmındaki Uygula düğmesine tıklayın. Bir sonraki bölüm olan Yükleme Zamanlamasını Yapılandırma'ya geçin.
Yükleme Programını Yapılandırma
Yükleme zamanlamasını yapılandırmak için aşağıdaki adımları tamamlayın:
1. Yükleme Programı sekmesine tıklayın.
2. “Erişim günlüğünü yükle” seçeneği için sürekli seçeneğini seçin.
3. Doğru denemeler arasındaki bekleme süresi 60 saniyedir.
4. Keep-alive log paketleri arasındaki süre 5 saniyedir.
5. Sayfanın alt kısmında bulunan Uygula butonuna tıklayın.
Bu, Flow Collector için Blue Coat proxy günlüklerinin yapılandırmasını tamamlar.
Gereksinimler
Yapılandırmaya ilişkin ek notlar:
- Akış Toplayıcı ve Proxy'nin aynı NTP sunucusunu kullandığını (veya akış ve proxy kayıtlarının eşleştirilmesi için ortak bir kaynaktan zaman aldığını) onaylayın.
- Proxy için yalnızca bir günlük çıkış mekanizması desteklenir. Günlükleri zaten dışa aktarıyorsanız, proxy kayıtlarını yakalayıp ayrıştıramazsınız.
- UDP Director Yüksek Kullanılabilirliği desteklenmiyor.
Görsel İlke Yöneticisini Yapılandırma
Görsel İlke Yöneticisi'nin yapılandırılması, proxy günlüğünün Akış Toplayıcısı'na gönderildiğini denetlemenizi sağlar.
1. Ana menüdeki Yapılandırma sekmesi sayfasında İlke > Görsel İlke Yöneticisi'ne tıklayın. Görsel İlke Yöneticisi açılır.
2. Yapılandırılmış günlüğünüz için alt taraftaki Başlat düğmesine tıklayın. Günlük penceresi için Görsel İlke Yöneticisi açılır.
3. Politika > Ekle'ye tıklayın Web Erişim Katmanı. Yeni Katman Ekle ekranı açılır.
4. Yeni katman için bir ad yazın ve ardından Tamam'a tıklayın.
5. Eylem sütununda Reddet'e sağ tıklayın ve ardından Ayarla'ya tıklayın. Eylem Nesnesi Ayarla iletişim kutusu açılır.
6. Yeni'ye tıklayın ve Erişim Günlüğünü Değiştir'i seçin. Erişim Günlüğü Nesnesini Düzenle iletişim kutusu açılır.
7. Günlüğe kaydetmeyi etkinleştir'e tıklayın.
8. Günlüğünüz için bir ad yazın ve ardından günlüğünüzü seçin.
9. Tamam'a tıklayın. Nesne eklendi.
10. Eylem Nesnesini Ayarla iletişim kutusunda Tamam'a tıklayın.
11. Sağ üst taraftaki Politikayı yükle butonuna tıklayın.
12. Sonraki pencereler için Hayır'a ve ardından Tamam'a tıklayın.
13. Blue Coat Görsel Politika Yöneticisini tekrar başlatın.
14. Günlükleme sekmesine sağ tıklayın ve Katmanı Etkinleştir'i seçin.
15. "Politika Yükle" düğmesine tıklayın. "Politika Yüklendi" açılır.
16. Tamam 'ı tıklatın.
17. İstatistikler sekmesine tıklayın ve günlük menüsünden günlüğünüzü seçin.
18. Ana menüde Erişim Günlüğü'ne ve ardından Günlük Kuyruğu sekmesine tıklayın. Günlük Kuyruğu penceresi açılır.
19. Sayfanın alt kısmındaki Start Tail butonuna tıklayın.
20. İstatistikler ana menüsünde Sistem > Olay Günlüğü'ne tıklayın. Bu sayfa, günlüğün file Flow Collector'a yüklenir ve yapılan değişiklikler görüntülenir. Proxy'nin Flow Collector'a bağlı olup olmadığı gösterilir.
21. Syslog bilgilerini almak üzere Akış Toplayıcınızı ayarlamak için Akış Toplayıcısını Yapılandırma bölümüne devam edin.
McAfee Proxy Günlüklerini Yapılandırma
McAfee proxy günlüklerini McAfee sunucusundan yapılandırmak için bu bölümü kullanın Web Güvenli Ağ Analitiğine gönderilecek ağ geçidi.
- XML yapılandırmasını indirdiğinizden emin olun file McAfee proxy'si için. Benioku ve Proxy Günlüğü XML yapılandırmasını indirmek için Cisco Yazılım Merkezi'ne gidin files.
- Cisco Akıllı Hesabınıza şu adresten giriş yapın: https://software.cisco.com veya yöneticinizle iletişime geçin.
- Test için kullanılan McAfee proxy sürümü 7.4.2.6.0 – 18721 idi.
McAfee proxy günlüğünü ayarlamak için aşağıdaki adımları tamamlayın:
1. XML'i indirin file, FlowCollector_[date]_McAfee_Log_XML_Config_[v].xml dosyasını açın ve ardından tercih ettiğiniz konuma kaydedin.
"Tarih" XML'in tarihini gösterir fileve "v" McAfee proxy sürümünü belirtir. XML'i seçin file McAfee proxy'nizle aynı sürüm numarasına sahip.
İndirmek için file, aşağıdaki adımları tamamlayın:
- a. Git https://software.cisco.com, Cisco Yazılım Merkezi.
- b. İndir ve yönet > İndir ve Yükselt bölümünde İndirmelere eriş'i seçin.
- c. Ürün seçme alanına doğru aşağı kaydırın.
- d. Ürün Seç alanına Güvenli Ağ Analitiği yazın. Enter tuşuna basın.
- e. Güvenli Ağ Analitiği Sanal Akış Toplayıcısı'nı veya başka bir Akış Toplayıcısı'nı seçin.
- f. Güvenli Ağ Analitiği Sistem Yazılımı > Yapılandırma'yı seçin Files.
2. McAfee proxy sunucusunda oturum açın.
3. İlke simgesine tıklayın ve ardından Kural Kümeleri sekmesine tıklayın.
4. Günlük İşleyicisi'ni ve ardından Varsayılan'ı seçin.
5. Kütüphaneden Ekle > Kural Seti'ne tıklayın.
6. İçe Aktar'a tıklayın fileve ardından XML'i seçin file.
7. Az önce içe aktarılan günlük işleyicisinde mcafeelancopelog'u seçin.
Kural kümesinin ve “erişim günlük satırı oluştur” ve “syslog'a gönder” kurallarının etkinleştirildiğinden emin olun.
8. Sayfanın üst kısmındaki Yapılandırma simgesine tıklayın.
9. Sayfanın sol tarafında, File Düzenleyici sekmesini ve ardından rsyslog.conf dosyasını seçin file.
10. Metin kutusunun alt kısmında (listenin yanında) files), aşağıdaki metni yazın:
Proxy günlüklerinde araştırmak istediğiniz ihracatçılardan ve uç noktalardan veri toplayan Akış Toplayıcısını seçtiğinizden emin olun.
11. Bu satırı yorum satırına yazın:
*.info;posta.none;authpriv.none;cron.none.
12. Şu satırı ekleyin:
*.info;daemon.!=info;mail.none;authpriv.none;cron.none - /var/log/messages.
13. Sayfanın sağ üst köşesindeki Değişiklikleri Kaydet butonuna tıklayın.
14. Syslog bilgilerini almak üzere Akış Toplayıcınızı ayarlamak için Akış Toplayıcısını Yapılandırma bölümüne devam edin.
Squid Proxy Günlüklerini Yapılandırma
Bu bölümü, Squid proxy günlüklerini Güvenli Ağ Analizi'ne gönderilecek şekilde yapılandırmak için kullanın. fileSSH kullanarak proxy sunucusunda.
Squid proxy günlüklerini yapılandırmak için aşağıdaki adımları tamamlayın:
1. Squid'i çalıştıran makinedeki bir kabukta oturum açın.
2. squid.conf dosyasının bulunduğu dizine gidin (genellikle /etc/squid) ve bir düzenleyicide açın.
3. Günlük kaydını yapılandırmak için squid.conf dosyasına aşağıdaki satırları ekleyin:
logformat erişim_formatı %ts%03tu % a %>p %>st %
4. Aşağıdakileri kullanarak Squid'i yeniden başlatın:
- Init tabanlı sistemler için: /etc/init.d/squid3 restart
- Systemd tabanlı sistemler için: systemctl restart squid
5. Squid sunucusundaki syslog hizmetini, günlükleri Akış Toplayıcısı'na iletecek şekilde yapılandırın. Bu, Linux dağıtımına/syslog hizmetine bağlıdır.
Syslog-ng için /etc/syslog-ng/syslog-ng.conf dosyasına şunu ekleyin:
# Denetim Günlüğü Tesisi BAŞLA filtre bs_filter { filtre(f_user) ve seviye(bilgi) }; hedef udp_proxy { udp("10.205.14.15" port(514)); }; günlük { kaynak(s_all); filtre(bs_filter); hedef(udp_proxy); }; # Denetim Günlüğü Tesisi BİTİŞ
Rsyslog için /etc/rsyslog.conf dosyasına şunu ekleyin:
:programname, "squid" içeriyor @10.205.14.15:514
Proxy günlüklerinde araştırmak istediğiniz ihracatçılardan ve uç noktalardan veri toplayan Akış Toplayıcısını seçtiğinizden emin olun.
6. Ardından syslog servisini yeniden başlatın.
- Init tabanlı sistemler için:
/etc/init.d/syslog-ng yeniden başlatma (syslog-ng için)
/etc/init.d/rsyslog yeniden başlatma (rsyslog için) - Systemd tabanlı sistemler için:
systemctl restart syslog (syslog-ng için)
systemctl restart rsyslog (rsyslog için)
7. Syslog bilgilerini almak için Akış Toplayıcısını Yapılandırma bölümüne devam edin.
Akış Toplayıcısını Yapılandırma
Proxy sunucusunu yapılandırdıktan sonra, verileri kabul edecek şekilde Akış Toplayıcısını yapılandırmanız gerekir.
Akış Toplayıcısını syslog bilgilerini alacak şekilde yapılandırmak için aşağıdaki adımları tamamlayın:
1. Yöneticinizde oturum açın.
2. Yapılandır > Genel > Merkezi Yönetim'i seçin.
3. Akış Toplayıcınız için (Üç Nokta) simgesine tıklayın, ardından View Cihaz İstatistikleri.
4. Flow Collector'da oturum açın. Flow Collector arayüzü açılır.
5. Yapılandırma > Proxy Alımı'na tıklayın. Proxy Sunucuları sayfası açılır.
6. Proxy sunucusunun IP adresini yazın.
7. Proxy Türü açılır listesinden proxy sunucunuzu seçin.
Proxy sunucunuzun türü listelenmemişse, şu anda proxy günlüklerini kullanamayacaksınız.
8. Proxy Sunucusu:
- Yalnızca bir IP adresi varsa, IP Adresi alanına proxy sunucusunun IP adresini yazın. Telemetri IP Adresi alanını boş bırakın.
- Daha fazla IP adresine sahipseniz, proxy sunucusunun yönetim IP adresini (syslog mesajının kaynak IP adresi) IP Adresi alanına yazın. Telemetri IP Adresi alanına ise proxy sunucusunun telemetri IP adresini yazın.
9. Proxy Servis Portu alanına proxy sunucusunun port numarasını yazın.
10. Proxy sunucusunun alarmları tetiklemesini istiyorsanız, Alarmlardan Hariç Tut onay kutusunun işaretini kaldırın.
11. Ekle'ye tıklayın.
12. Uygula'ya tıklayın. Proxy sunucusu, sayfanın üst kısmındaki Proxy Alım tablosunda görünür.
13. Akışları Kontrol Etme bölümüne devam edin.
Akışları Kontrol Etme
Akışları aldığınızı kontrol etmek için aşağıdaki adımları tamamlayın:
1. Akış Toplayıcı arayüzünde Destek > Gözat'a tıklayın FileAna menüde s. Gözat Filesayfası açılır.
2. sw.log'u açın file.
3. Kontrol edin webproxy, veri aldığınızı göstermek için yukarı doğru sayıyor.
Destek ile İletişime Geçme
Teknik desteğe ihtiyacınız varsa lütfen aşağıdakilerden birini yapın:
- Yerel Cisco Ortağınız ile iletişime geçin
- Cisco Destek ile iletişime geçin
- Bir vakayı açmak için web: http://www.cisco.com/c/en/us/support/index.html
- Telefon desteği için: 1-800-553-2447 (BİZ)
- Dünya çapındaki destek numaraları için:
https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html
Değişiklik Geçmişi
Telif Hakkı Bilgileri
Cisco ve Cisco logosu, Cisco ve/veya bağlı şirketlerinin ABD ve diğer ülkelerdeki ticari markaları veya tescilli ticari markalarıdır. view Cisco ticari markalarının listesi için buraya gidin URL: https://www.cisco.com/go/trademarks. Bahsi geçen üçüncü taraf ticari markaları ilgili sahiplerinin mülkiyetindedir. Ortak kelimesinin kullanımı Cisco ile herhangi bir başka şirket arasında bir ortaklık ilişkisi anlamına gelmez. (1721R)
© 2025 Cisco Systems, Inc. ve/veya bağlı kuruluşları.
Her hakkı saklıdır.
Belgeler / Kaynaklar
 |
CISCO WSA Güvenli Ağ Analitiği [pdf] Kullanıcı Kılavuzu WSA 14-5-1-016, Blue Coat, McAfee, Squid, WSA Güvenli Ağ Analitiği, WSA, Güvenli Ağ Analitiği, Ağ Analitiği, Analitik |