Cisco ASA 系统日志过滤

网络工程 思科-ASA 系统日志
2022-02-02 21:14:28

我有一个 Cisco ASA 将系统日志消息转发到远程服务器(效果很好)。但是,在查看日志后,我注意到许多302013 和 302014 事件具有一个特定的目标 IP 地址。我想,无论出于何种原因,许多机器都在与该主机建立连接。虽然我一般对这些 302013/302014 消息感兴趣,但我对到达这个特定目的地的流量不感兴趣。

示例事件如下所示:

%ASA-6-302014: Teardown TCP connection 494106862 for outside:198.51.100.83/443 to inside:192.0.2.170/47599 duration 0:00:00 bytes 6754 TCP FINs

有没有办法在给定特定源或目标 IP 地址的情况下不生成这些事件?

我已经看到了禁用特定类型的消息限制特定消息的速率的选项,但没有专门用于过滤的选项。

编辑:是的,我意识到可以(?)在接收端过滤,但是每小时大约有 200 万条消息,在接收端过滤掉的噪音很大。

2个回答

您可以编写防火墙规则,以便“嘈杂”通信属于专用的“允许”规则,并关闭此类规则的日志记录。

ASA 只能按严重性、日志消息类别或单个日志消息过滤消息。

遗憾的是,ASA 无法过滤特定日志消息中的特定属性或值。

正如所指出的,这种类型的过滤最好在接收端完成。我知道您提到已经对性能造成了影响,但是防火墙上的性能会受到相同(如果不是更糟)的影响,并且防火墙通常会传递超出 syslog 的流量,因此风险更大。

其它你可能感兴趣的问题
上一篇SonicWall NSA 2400 和具有多个公共 IP 的 1:1 NAT 下一篇来自第三台主机的欺骗消息直接发送到 TCP 连接中的客户端地址和端口