CISCO WSA 安全網路分析使用者指南

介紹

要從網頁代理伺服器收集使用者訊息，用於思科安全網路分析（以前稱為 Stealthwatch）代理程式日誌，您需要設定代理伺服器日誌。流量收集器會接收日誌，然後管理器（以前稱為 Stealthwatch 管理控制台）會在「流量代理程式記錄」頁面上顯示這些資訊。此頁面提供 URL透過代理伺服器的網路內部流量的名稱和應用程式名稱。

要求

在開始之前，請確認您已滿足以下要求：

• 此配置支援 Cisco WSA (14-5-1-016)、Blue Coat、McAfee 和 Squid。請確保您的代理伺服器已配置並作為網路的一部分運作。
• 確認流收集器和代理程式使用相同的 NTP 伺服器（或從公共來源接收時間以符合串流和代理記錄）。
• 選擇用於從要在代理日誌中調查的匯出器和端點收集資料的流收集器。配置時需要 IP 位址。
• Syslog 代理程式訊息沒有特定的大小限制。但是，我們建議訊息長度應小於代理和流量收集器之間路徑上的最短最大傳輸單元 (MTU)，通常為 1500。這樣可以消除資料包碎片並提高可靠性。
• 高可用性 (HA) 模式不支援代理程式日誌。

配置結束view

完成以下程序：

1. 選擇以下方法之一來設定您的代理伺服器。
   • 設定思科 Web 安全設備 (WSA) 代理程式日誌
   • 配置 Blue Coat 代理程式日誌
   • 配置 McAfee 代理日誌
   • 配置 Squid 代理日誌
2. 配置流收集器
3. 檢查流程

設定思科 Web 安全設備 (WSA) 代理程式日誌

使用此部分設定要傳送至安全網路分析的 Cisco 代理程式日誌。

Cisco WSA 代理程式不支援使用虛擬 IP 新增代理設備。

若要設定 Cisco 代理程式日誌，請完成下列步驟：

1. 登入 Cisco 代理伺服器。

2. 在主選單上，點選「系統管理」>「日誌訂閱」。開啟“日誌訂閱”頁面。

3. 點選「新增日誌訂閱」按鈕。 “新日誌訂閱”頁面開啟。

4. 從「日誌類型」下拉清單中，選擇「W3C 日誌」。將顯示可用的 W3C 日誌欄位。

5. 在日誌名稱欄位中，輸入將使用的日誌的名稱。

6. 從可用日誌欄位清單中，選擇 Timestamp，然後按一下「新增」將其移至「選擇日誌欄位」清單。

7. 依序對以下每個日誌欄位重複上一步驟：

a. 最及時amp
b. x-經過時間
c. c-ip
d. c 端口
e.cs位元組
f. s-ip
g. s-port
h.sc位元組
i.cs-用戶名
j.s-計算機名稱
k.cs-url

選定的日誌字段清單應包含以下字段，如圖所示：

選定的日誌欄位清單必須按照上述順序排列，且不存在其他欄位。

8. 捲動到頁面底部，然後選擇 Syslog Push 選項。

9. 在主機名字段中，鍵入代理程式向其傳送日誌的流量收集器 IP 位址或其主機名稱。

確保選擇從您想要在代理程式日誌中調查的匯出器和端點收集資料的流收集器。

10. 點選提交。新日誌將會新增到日誌訂閱清單中。

11. 繼續配置流量收集器部分，設定流量收集器以接收系統日誌資訊。

配置 Blue Coat 代理程式日誌

使用此部分配置要傳送至安全性網路分​​析的 Blue Coat 代理程式日誌。

用於測試的 Blue Coat 代理程式版本是 SG V100、SGOS 6.5.5.7 SWG 版。

創建格式

若要建立新的日誌格式，請完成以下步驟：

1. 在您的瀏覽器中，存取您的 Blue Coat 代理伺服器。

2. 點選配置標籤。

3. 在管理控制台的主選單中，按一下存取日誌記錄 > 格式。

4. 點選頁面底部的「新建」。 “建立格式”頁面開啟。

5. 在格式名稱欄位中，輸入新格式的名稱。

6.選擇W3C擴充日誌 File 格式（ELFF）選項。

7. 在格式欄位中，輸入以下字串：

時間amp 持續時間 c-ip c-port r-ip r-port s-ip s-port cs-bytes sc-bytes cs-user cs-host cs-uri

8. 點選「確定」。繼續下一部分“建立新日誌”

建立新日誌

若要建立日誌，請完成以下步驟：

1. 在主選單中，點選訪問日誌 > 日誌，然後選擇新的日誌格式。 “日誌”頁面開啟。

2. 點選常規設定標籤。

3. 從日誌格式下拉清單中，選擇您在步驟 1 中建立的日誌。

4. 在描述欄位中，輸入新日誌的描述。

5. 點選頁面底部的「應用」按鈕。繼續下一部分“配置上傳客戶端”

配置上傳客戶端

若要設定上傳客戶端，請完成以下步驟：

1. 點選「上傳客戶端」標籤。開啟“上傳客戶端”頁面。

2. 從客戶端類型下拉清單中，選擇自訂客戶端。

3. 點選「設定」按鈕。自訂客戶端設定頁面開啟。

4. 在對應的欄位中，鍵入流收集器的 IP 位址和代理解析器的監聽埠。

目前不支援 SSL。

5。 點擊“確定”。

6. 對於傳輸參數，請完成以下步驟：

• a. 對於加密證書，選擇無加密。
• b. 從簽章金鑰環下拉清單中，選擇無簽章。
• c. 從「儲存日誌 file 作為”選擇文本 file 選項。
• d. 在「傳送部分緩衝區後」文字方塊中，輸入 5。
• e. 按一下「上傳計畫」標籤，然後選擇「連續上傳存取日誌」選項。
• f. 在連線嘗試間隔等待次數欄位中，輸入 60。
• g. 在保持活動日誌資料包之間的時間欄位中，輸入 5。

7. 點選頁面底部的「應用」按鈕。繼續下一部分“配置上傳計劃”。

配置上傳計劃

若要設定上傳計劃，請完成以下步驟：

1. 點選「上傳計畫」標籤。

2.對於“上傳訪問日誌”，連續選擇。

3. 兩次正確嘗試之間的等待時間為 60 秒。

4. 保持活動日誌包之間的時間為 5 秒。

5. 點選頁面底部的應用程式按鈕。

這樣就完成了 Flow Collector 的 Blue Coat 代理程式日誌的設定。

要求

有關配置的進一步說明：

• 確認流收集器和代理程式使用相同的 NTP 伺服器（或從公共來源接收時間以符合串流和代理記錄）。
• 代理僅支援一種日誌輸出機制。如果您已在匯出日誌，則無法擷取和解析代理記錄。
• 不支援 UDP Director 高可用性。

配置視覺策略管理器

透過設定視覺化策略管理器，您可以檢查代理程式日誌是否已傳送到流量收集器。

1. 在主選單的「設定」標籤頁中，按一下「策略」>「視覺化策略管理員」。開啟“可視化策略管理器”。

2. 點選已設定日誌底部的「啟動」按鈕。日誌的可視化策略管理器視窗將會開啟。

3. 點選策略 > 新增 Web 訪問層。 “新增圖層”畫面開啟。

4. 輸入新圖層的名稱，然後按一下「確定」。

5. 右鍵單擊“操作”列中的“拒絕”，然後按一下“設定”。 “設定操作對象”對話方塊開啟。

6. 點選“新建”，然後選擇“修改訪問日誌”。 此時將開啟「編輯訪問日誌物件」對話方塊。

7. 點選啟用日誌記錄。

8. 輸入日誌的名稱，然後選擇您的日誌。

9. 按一下「確定」。對像已新增。

10. 在「設定操作對象」對話方塊中，按一下「確定」。

11.點選右上角的安裝策略按鈕。

12. 在下列視窗中按一下“否”，然後按一下“確定”。

13. 再次啟動 Blue Coat Visual Policy Manager。

14. 右鍵點選日誌記錄選項卡，然後選擇啟用圖層。

15. 點選「安裝策略」按鈕。 “策略已安裝”視窗開啟。

16。 點擊“確定”。

17. 按一下「統計資料」選項卡，然後在日誌選單中選擇您的日誌。

18. 在主選單中，按一下“存取日誌記錄”，然後按一下“日誌尾部”標籤。此時將開啟“日誌尾部”視窗。

19. 點選頁面底部的「Start Tail」按鈕。

20. 在統計資訊主選單中，按一下系統 > 事件日誌。此頁面將顯示日誌 file 已上傳到流量收集器以及所做的變更。它顯示代理是否已連接到流量收集器。

21. 繼續配置流量收集器部分，設定流量收集器以接收系統日誌資訊。

配置 McAfee 代理日誌

使用此部分配置 McAfee 代理程式日誌 Web 傳送到安全網路分析的網關。

• 確保您已下載 XML 配置 file 用於 McAfee 代理。前往 Cisco Software Central 下載自述文件和代理日誌 XML 配置 files.
• 登入您的思科智能帳戶 https://software.cisco.com 或聯絡您的管理員。
• 用於測試的 McAfee 代理版本是 7.4.2.6.0 – 18721。

若要設定 McAfee 代理程式日誌，請完成以下步驟：

1.下載 XML file、FlowCollector_[date]_McAfee_Log_XML_Config_[v].xml，然後將其儲存到您喜歡的位置。

「日期」表示 XML 的日期 file，其中“v”表示 McAfee 代理版本。選擇 XML file 與您的 McAfee 代理程式具有相同的版本號。

要下載 file，請完成以下步驟：

• 一個。 去 https://software.cisco.com，思科軟體中心。
• b. 在下載和管理 > 下載和升級部分中，選擇存取下載。
• c. 向下捲動至選擇產品欄位。
• d. 在「選擇產品」欄位中輸​​入「Secure Network Analytics」。按 Enter 鍵。
• e. 選擇安全網路分析虛擬流收集器或其他流收集器。
• f. 選擇安全網路分析系統軟體 > 配置 Files.

2. 登入 McAfee 代理伺服器。

3. 按一下「策略」圖標，然後按一下「規則集」標籤。

4. 選擇日誌處理程序，然後選擇預設。

5. 按一下新增 > 來自庫的規則集。

6. 點選導入 file，然後選擇 XML file.

7. 在剛剛匯入的日誌處理程序中選擇 mcafeelancopelog。

確保規則集和規則「建立訪問日誌行」和「傳送到系統日誌」已啟用。

8. 點選頁面頂部的配置圖示。

9. 在頁面左側，點選 File 編輯器選項卡，然後選擇 rsyslog.conf file.

10. 在文字方塊底部（ files)，輸入以下文字：

確保選擇從您想要在代理程式日誌中調查的匯出器和端點收集資料的流收集器。

11.註解掉這一行：

*.資訊；郵件.無；authpriv.無；cron.無。

12.新增此行：

*.info;daemon.!=info;mail.none;authpriv.none;cron.none - /var/log/messages。

13. 點選頁面右上角的「儲存變更」按鈕。

14. 繼續配置流量收集器部分，設定流量收集器以接收系統日誌資訊。

配置 Squid 代理日誌

使用此部分配置要傳送至 Secure Network Analytics 的 Squid 代理程式日誌。您可以編輯 file使用 SSH 在代理伺服器上。
若要設定 Squid 代理程式日誌，請完成以下步驟：

1. 登入執行 Squid 的機器的 shell。

2. 前往包含 squid.conf 的目錄（通常為 /etc/squid）並在編輯器中開啟它。

3. 將以下行新增至 squid.conf 以設定日誌記錄：

日誌格式存取格式 %ts%03tu % a %>p %>st %

4. 使用以下命令重新啟動 squid：

• 對於基於 init 的系統：/etc/init.d/squid3 restart
• 對於基於 systemd 的系統：systemctl restart squid

5. 在 Squid 伺服器上設定 syslog 服務，將日誌轉送到流量收集器。具體配置取決於 Linux 發行版/syslog 服務。

對於 syslog-ng，將以下內容新增至 /etc/syslog-ng/syslog-ng.conf：

# 審計日誌工具開始過濾器 bs_filter {過濾器（f_user）和等級（info）}; 目標 udp_proxy { udp（“10.205.14.15”連接埠（514））; }; 日誌{來源（s_all）; 過濾器（pxy_filter）;

對於 rsyslog，將以下內容新增至 /etc/rsyslog.conf：

:programname，包含，「squid」@10.205.14.15:514

確保選擇從您想要在代理程式日誌中調查的匯出器和端點收集資料的流收集器。

6.然後重新啟動syslog服務。

• 對於基於 init 的系統：
  /etc/init.d/syslog-ng restart（對於 syslog-ng）
  /etc/init.d/rsyslog restart（用於 rsyslog）
• 對於基於 systemd 的系統：
  systemctl restart syslog（用於 syslog-ng）
  systemctl restart rsyslog（用於 rsyslog）

7. 繼續設定流收集器部分以接收系統日誌資訊。

配置流收集器

配置代理伺服器後，您需要設定流收集器來接受資料。

若要設定流量收集器以接收系統日誌訊息，請完成以下步驟：

1. 登入您的經理。

2. 選擇配置 > 全域 > 中央管理。

3. 按一下流量收集器的（省略號）圖標，然後按一下 View 家電統計。

4. 登入流量收集器。流量收集器介面打開。

5. 點選配置 > 代理伺服器。開啟代理伺服器頁面。

6. 輸入代理伺服器的 IP 位址。

7. 從代理類型下拉清單中，選擇您的代理伺服器。

如果您的代理伺服器類型未列出，則您目前將無法使用代理程式記錄。

8. 如果代理伺服器：

• 只有一個 IP 位址，請在「IP 位址」欄位中輸​​入代理伺服器的 IP 位址。 「遙測 IP 位址」欄位留空。
• 有多個 IP 位址，請在 IP 位址欄位中輸入代理伺服器的管理 IP 位址（syslog 訊息的來源 IP 位址）。在遙測 IP 位址欄位中，輸入代理伺服器的遙測 IP 位址。

9. 在代理服務連接埠欄位中，輸入代理伺服器的連接埠號碼。

10. 如果您希望代理伺服器觸發警報，請取消勾選「排除警報」複選框。

11. 單擊添加。

12. 點選「應用」。代理伺服器將顯示在頁面頂部的「代理接收」表中。

13. 繼續檢查流程部分。

檢查流程

若要檢查您是否正在接收流量，請完成以下步驟：

1. 在流量收集器介面，點選支援 > 瀏覽 File主選單中的瀏覽 File頁面開啟。

2.打開sw.log file.

3.檢查 web代理正在向上計數以表明您正在接收資料。

聯繫支援人員

如果您需要技術支持，請執行以下操作之一：

• 聯絡您當地的思科合作夥伴
• 聯絡思科支持
• 透過以下方式開啟案例 web: http://www.cisco.com/c/en/us/support/index.html
• 對於電話支援：1-800-553-2447 （我們）
• 對於全球支援號碼：
  https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

變更歷史記錄

版權資訊

思科和思科標誌是思科和/或其附屬公司在美國和其他國家的商標或註冊商標。到 view 思科商標列表，請造訪此處 URL: https://www.cisco.com/go/trademarks。提及的第三方商標是其各自所有者的財產。使用「合作夥伴」一詞並不意味著思科與任何其他公司之間存在合作夥伴關係。 (1721R)

© 2025 思科系統公司和/或其附屬公司。
版權所有。

文件/資源

CISCO WSA 安全網路分析 [pdf] 使用者指南 WSA 14-5-1-016、Blue Coat、McAfee、Squid、WSA 安全網路分析、WSA、安全網路分析、網路分析、分析

參考

• 使用者手冊