Cisco v7.5.3 安全网络分析用户指南

详细日志： Zeek 生成详细的日志，捕获有关网络连接的全面信息，包括时间戳amps、源/目标 IP 地址、端口、协议，甚至 file 内容，便于进行彻底的分析。
贮存： Zeek 日志存储如下。
- 大多数日志存储在 Flow Collector 中，但 conn.log 存储在 Data Store 中。
- 流量收集器会删除所有超过 30 天的数据。更多详情，请参阅《Virtual Edition 设备安装指南》中的“资源要求”。

要求
确保已启用“分析”。从主菜单中选择“配置”>“检测”>“分析”，然后点击“启用分析”。

要求如下。

安全网络分析 v7.5.3。
启用了分析功能的数据存储。
首次安装时，Zeek 遥测是新安装的默认设置。如果您从旧版本升级，则需要在“高级设置”中配置 Zeek 遥测。

您无需为 Zeek 遥测功能单独购买许可证。有关许可的更多信息，请参阅智能软件许可指南 7.5.3。

绩效评估

我们在硬件平台上支持每秒 100,000 个事件（Syslog 消息）。有关资源要求的详细信息，请参阅硬件安装指南。有关组合遥测资源要求的更多信息，请参阅虚拟版本设备安装指南。

事件发生率和提取的日志类型数量等多种因素都会影响您的具体性能。虽然我们会尽力公平准确地呈现数据，但您的环境可能会受到不同的限制。

Zeek 日志
我们正在通过 Syslog 收集所有 Zeek 日志，但目前仅关注以下内容：

连接日志
dns.log
smb_files.log或 smb_mappings.log
dce_rpc_日志
在某些情况下，smb_files.log 和 dce_rpc.log 可能会被发送到 smb_mappings.log。

Zeek 日志应配置为由 Syslog 以特定格式导出为 JSON。

运输： Zeek 日志使用基于 UDP 的 Syslog 的 JSON 格式（默认端口 9514）。
格式： Zeek 日志生成器必须添加 zeek_file名称=”xxx.log”tag 在 Flow Collector 的 JSONL 字符串之前。

配置流量收集器以提取 Zeek 遥测数据

以下是在安全网络分析中配置 Zeek 遥测的两个选项：

首次设置： Zeek 遥测是新安装的默认设置，但您可以在首次设置期间确认 Zeek 遥测（仅限数据存储）。

高级设置： 当您从以前的版本升级时，您需要在高级设置中配置 Zeek Telemetry。

有关配置安全网络分析的更多信息，请参阅系统配置指南。

首次设置时确认 Zeek 遥测（仅限数据存储）
要使用数据存储在新的 Flow Collector 上启用 Zeek 遥测数据采集，请完成以下步骤：

请按照适用于您的流量收集器的设备安装指南中的说明进行操作。然后，使用系统配置指南获取有关多种遥测类型设备配置的更详细说明。

访问虚拟机控制台。允许虚拟设备完成启动。
通过控制台登录。
- 登录： 系统管理员
- 默认密码： 兰科普
  您通常会在第一次配置系统时更改默认密码。
Review 失败的登录尝试信息。选择“确定”继续。

Review 首次设置介绍。选择“确定”继续。
从遥测类型列表中选择“Zeek Logs”。选择“确定”继续。在新部署中，所有遥测类型均默认选中。如果您要从旧版本升级到 v752，请参阅“高级设置”中的“配置 Zeek 遥测”。

确认 Zeek Logs 的端口为 9514，然后选择“确定”。我们建议您使用端口 9514。请勿使用端口 2055、514 或 8514。
确保您的遥测端口是唯一的。如果您配置了重复的遥测端口，这些端口将被重置为其内部默认值，以避免流数据丢失。例如amp例如，如果将 NetFlow 和 Zeek 导出到同一个遥测端口，则每个导出 Zeek 数据的设备都会在 Flow Collector 上创建一个导出器，并耗尽 Flow Collector 引擎中的导出器资源，从而导致流数据丢失。
单击“应用”保存更改。
按照屏幕上的提示完成虚拟环境并重新启动设备。

在高级设置中配置 Zeek Telemetry

在开始此过程之前，请确保安装最新的 Flow Collector NetFlow 汇总补丁。

要开始在已配置的 Flow Collector 上提取 Zeek 遥测数据，请完成以下步骤：

登录您的管理器。
从主菜单中，选择配置 > 全局 > 中央管理。
在库存页面上，单击流量收集器的…（省略号）图标，然后选择 View 设备统计信息。流量收集器管理界面打开。
选择支持 > 高级设置。
如果未显示字段，请点击“添加新选项”字段。有关在流量收集器上编辑高级设置的更多信息，请参阅“高级设置帮助”主题。
在 enable_zeek 字段中，将值设置为 1 以捕获 Zeek 遥测。确保您已配置 Zeek 以 JSON 格式转发日志。
确认 zeek_port 字段中的值设置为 9514。

确保您的遥测端口是唯一的。如果您配置了重复的遥测端口，这些端口将被重置为其内部默认值，以避免流数据丢失。例如amp例如，如果将 NetFlow 和 Zeek 导出到同一个遥测端口，则每个导出 Zeek 数据的设备都会在 Flow Collector 上创建一个导出器，并耗尽 Flow Collector 引擎中的导出器资源，从而导致流数据丢失。

验证 Zeek 遥测

为了验证 Zeek 遥测数据是否被捕获，view Zeek 日志收集趋势报告：

登录您的管理器。
从主菜单中，选择报告 > 报告生成器。
单击创建新报告，然后选择 Zeek Log Collection Trend。
单击运行。
验证报告是否显示 Zeek 遥测。

Zeek日志收集趋势报告
以下ampZeek 日志收集趋势报告的文件显示 Zeek 遥测数据已被成功捕获。

报告 Samp乐 1
本报告ample 提供一小时 view.

报告 Samp乐 2

本报告ample 提供 12 小时 view.
有关报告的更多信息，请单击（帮助）图标访问报表生成器帮助主题。

评估 Zeek 活动

还有两份附加报告可帮助您评估 Zeek 事件：

Zeek 数据库摄取趋势报告
Zeek 日志报告
确保您已启用数据存储和分析。

要启用分析，请从主菜单中选择配置 > 检测 > 分析，然后单击开启分析。

Zeek 数据库摄取趋势报告
要评估写入数据存储的 Zeek conn.log 事件，请执行以下操作：

登录您的管理器。
从主菜单中，选择报告 > 报告生成器。
单击“创建新报告”，然后选择“Zeek 数据库摄取趋势”。

单击运行。
Review 报告：
- 数据存储是否接收 Zeek conn.log 事件？
- 有没有什么中断？

报告 Sample

这是ample 提供 12 小时 view.
View 以每周期事件字节数或每周期事件计数形式写入的记录。

Zeek 日志报告

确保您的流量收集器已配置为接收来自 Zeek 的数据。有关说明，请参阅系统配置指南。

重新view 对于 Flow Collector 的特定 Zeek 日志类型的 Zeek 遥测日志记录事件，请执行以下操作：
您可以同时运行最多四个 Zeek 日志查询，并且其他查询在队列中等待。

登录您的管理器。
从主菜单中，选择报告 > 报告生成器。
单击创建新报告，然后选择 Zeek Logs。
在常规区域的必填字段中指定参数。 参数更多信息
- 时间范围 如果您选择“自定义”，请选择较短的时间范围以获得最佳性能。如果您输入较长的时间范围，报告可能需要很长时间才能查询数据。
- 流量收集器 在您的网络中选择一个安全网络分析流收集器。
- 最大记录 选择最大记录数。限制为 10,000 条记录。
- Zeek 日志类型 选择 Zeek 日志类型。
- 在 Zeek 日志类型字段中选择 conn.log 以外的日志可能会导致报告运行时间过长，但它必须运行到完成。
如果需要，使用过滤器区域指定其他参数。
单击运行。

报告 Sample

创建此报告时选择了可选参数amp勒。
要接收此报告的数据，您需要部署包含数据存储的安全网络分析。有关信息和说明，请参阅设备安装指南（硬件版或虚拟版）和系统配置指南。

联系支持人员
如果您需要技术支持，请执行以下操作之一：

联系您当地的思科合作伙伴
联系思科支持
通过以下方式打开案例 web: http://www.cisco.com/c/en/us/support/index.html
对于电话支持：1-800-553-2447 （我们）
对于全球支持号码： https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

变更历史

文档版本	发布日期	描述
1_0	6 年 2025 月 XNUMX 日	初始版本。

版权信息
Cisco 和 Cisco 徽标是 Cisco 和/或其附属公司在美国和其他国家/地区的商标或注册商标。 view 思科商标列表，请访问此处 URL: https://www.cisco.com/go/trademarks。提及的第三方商标是其各自所有者的财产。合作伙伴一词的使用并不意味着思科与任何其他公司之间存在合作关系。（1721R）

文件/资源

Cisco v7.5.3 安全网络分析 [pdf] 用户指南
v7.5.3、v7.5.3 安全网络分析、v7.5.3、安全网络分析、网络分析、分析

参考

用户手册

Cisco v7.5.3 安全网络分析

介绍

超过view