Cisco ASA syslogフィルタリング

Cisco ASAがリモートサーバにsyslogメッセージを転送しています(これはうまくいっています)。しかし、ログを確認したところ、1つの特定の宛先IPアドレスを持つ302013イベントと302014イベントのロットに気付きました。どんな理由であれ、多くのマシンがそのホストに接続していると思います。これらの302013/302014のメッセージには一般的に興味がありますが、この特定の宛先へのトラフィックには関心がありません。

イベントの例は次のようになります。

%ASA-6-302014: Teardown TCP connection 494106862 for outside:198.51.100.83/443 to inside:192.0.2.170/47599 duration 0:00:00 bytes 6754 TCP FINs

特定の送信元または宛先IPアドレスを指定してこれらのイベントを生成しない方法はありますか?

私は特定のタイプのメッセージを無効にするまたは特定のメッセージのレートを制限しますが、特にフィルタリングするものはありません。

編集:はい、受信側でフィルタリングする可能性はありますが、時間当たり約200万件のメッセージがフィルタリングされていることがわかります。

1
これを行う実際の方法は、ログを表示するために使用するアプリケーションです。
追加された 著者 Ron Maupin,
それで、あなたは運がないと思う。
追加された 著者 Ron Maupin,
ああ、私の元の質問(更新後)で言及するのを忘れた - メッセージが送信されているレートで、それらを捨てるイベントを受け取ってもパフォーマンスに影響があります。
追加された 著者 user712092,

1 答え

ASAは、重大度別、ログメッセージクラス別、または個々のログメッセージ別にメッセージをフィルタリングできます。

残念ながら、ASAが特定のログメッセージ内の特定の属性または値をフィルタリングする方法はありません。

指摘したように、このタイプのフィルタリングは、受信側で最もよく行われます。すでにパフォーマンスが低下していると言われていますが、ファイアウォールで同じ(パフォーマンスはそれほど悪くなくても)パフォーマンスが低下します。ファイアウォールは通常、syslogだけでトラフィックを通過するため、危険です。

1
追加された