Cisco Secure Web Appliance

Supported OS Linux Windows Mac OS

Versión de la integración1.0.0
Cisco Secure Web Appliance - Logs de acceso
Cisco Secure Web Appliance - Logs de L4TM

Información general

Cisco Secure Web Appliance protege a tu organización bloqueando automáticamente los sitios de riesgo y comprobando los sitios desconocidos antes de permitir el acceso a los usuarios. Intercepta y monitoriza el tráfico de Internet y aplica políticas para ayudar a mantener tu red interna segura frente al malware, la pérdida de datos confidenciales, la pérdida de productividad y otras amenazas basadas en Internet.

Esta integración ingiere los siguientes tipos de logs:

  • Logs de acceso: Registran toda la actividad de filtrado y escaneo del Proxy Web.
  • Logs de L4TM: Registran toda la actividad del monitor (noun) de tráfico de capa 4.

Los dashboards predefinidos te ayudan a visualizar información detallada sobre la actividad de filtrado y análisis del proxy web y la actividad del monitor (noun) de tráfico de capa 4. Además, las reglas de detección predefinidas están disponibles para ayudarte a monitorizar y responder a las posibles amenazas de seguridad con eficacia.

Exención de responsabilidad: El uso de esta integración podría recopilar datos, incluida la información personal, está sujeto a tus acuerdos con Datadog. Cisco no se hace responsable de la privacidad, seguridad ni integridad de la información de los usuarios finales, incluidos los datos personales, transmitida a través del uso de la integración.

Configuración

Instalación

Para instalar la integración de Cisco Secure Web Appliance, ejecuta el siguiente comando de instalación del Agent y los pasos que se indican a continuación. Para obtener más información, consulta la documentación Gestión de la integración.

Nota: Este paso no es necesario para la versión 7.58.0 o posterior del Agent.

Comando de Linux

sudo -u dd-agent -- datadog-agent integration install datadog-cisco_secure_web_appliance==1.0.0

Configuración

Los logs de acceso pueden recopilarse ya sea mediante monitización de puertos (cuando el método de recuperación es Syslog Push) o mediante monitorización de archivos (cuando el método de recuperación es SCP en el servidor remoto), en función del método de recuperación seleccionado.

Los logs de L4TM solo se pueden recopilar mediante la monitorización de archivos utilizando SCP en el servidor remoto como método de recuperación.

Recopilación de logs

Archivo tail (seguimiento de logs)(Monitorización de archivos)

  1. La recopilación de logs está desactivada por defecto en el Datadog Agent. Actívala en datadog.yaml:

    logs_enabled: true

  2. Añade este bloque de configuración al archivo cisco_secure_web_appliance.d/conf.yaml para empezar a recopilar los logs de Cisco Secure Web Appliance L4TM.

      logs:
  - type: file
    path: <Path to Directory Where Logs would Get Stored>
    service: l4tm_logs
    source: cisco-secure-web-appliance

  3. Si el método de recuperación seleccionado para los logs de acceso es SCP en el servidor remoto, añade el bloque de configuración para los logs de acceso en la configuración anterior para empezar a recopilar los logs de acceso de Cisco Secure Web Appliance junto con los logs de L4TM. La configuración aparecerá de la siguiente manera en cisco_secure_web_appliance.d/conf.yaml.

      logs:
  - type: file
    path: <Path to Directory Where L4TM Logs would Get Stored>
    service: l4tm_logs
    source: cisco-secure-web-appliance
  - type: file
    path: <Path to Directory Where Access Logs would Get Stored>
    service: access_logs
    source: cisco-secure-web-appliance

    NOTA: Asegúrate de que el valor path sea similar al Directorio configurado en las secciones Configure SCP on Remote Server for L4TM Logs y Configure SCP on Remote Server for Access Logs respectivamente, reenviando /*.s

  4. Reinicia el Agent.

Syslog

  1. La recopilación de logs está desactivada por defecto en el Datadog Agent. Actívala en datadog.yaml:

    logs_enabled: true

  2. Si el método de recuperación seleccionado para los logs de acceso es Syslog Push, añade el bloque de configuración para los logs de acceso en el archivo de configuración para empezar a recopilar los logs de acceso de Cisco Secure Web Appliance junto con los logs de L4TM. La configuración aparecerá de la siguiente manera en cisco_secure_web_appliance.d/conf.yaml.

    Utilizaremos el método UDP para recopilar los logs de acceso de Cisco Secure Web Appliance. Consulta el ejemplo cisco_secure_web_appliance.d/conf.yaml para ver las opciones de configuración disponibles.

      logs:
  - type: file
    path: <Path to Directory Where L4TM Logs would Get Stored>
    service: l4tm_logs
    source: cisco-secure-web-appliance
  logs:
  - type: udp
    port: <PORT>
    service: access_logs
    source: cisco-secure-web-appliance

    Nota: Es importante no cambiar los valores de servicio y source (fuente), ya que estos parámetros son esenciales para el funcionamiento del pipeline.

  3. Reinicia el Agent.

Configuración en el portal de Cisco Secure Web Appliance

Pasos para ajustar la zona horaria a GMT

Datadog espera que todos los logs estén en la zona horaria GMT de forma predeterminada. Asegúrate de que la zona horaria configurada en tu portal de Cisco Secure Web Appliance sea GMT. Estos son los pasos para cambiar la zona horaria:

  1. Ve a System Administration (Administración del sistema) y, a continuación, a Time Zone (Zona horaria).
  2. Hz clic en Edit Settings (Editar parámetros).
  3. Selecciona GMT Offset como región.
  4. Selecciona GMT como país.
  5. Selecciona GMT (GMT) como zona horaria.
  6. Envía y confirma los cambios.

Configura las suscripciones de logs

Configura Syslog Push para logs de acceso:

Requisitos previos

  • El nombre de host del servidor datadog-agent al que deseas enviar los logs.

Configuration:

  1. Inicia sesión en la interfaz de usuario de Cisco Secure Web Appliance.

  2. Ve a System Administration (Administración del sistema) > Log Subscriptions (Suscripciones de logs).

  3. Para añadir una suscripción de Logs de acceso, haz clic en Add log Subscription (Añadir suscripción de logs).

  4. Selecciona Log Type (Tipo de log) como Access Logs (Logs de acceso).

  5. Indica un nombre de log.

  6. Selecciona la opción Squid para Log Style (Estilo de log). Nota: Se admite el estilo de log predeterminado (squid) para los logs de acceso.

  7. Selecciona la opción Syslog Push como Retrieval Method (Método de recuperación).

  8. Indica los siguientes datos.

    Nombre de host: <Datadog-Agent Host Server>

    Puerto: <Default Provided>

    Protocolo: UDP

    Tamaño máximo del mensaje: <Valid values for UDP are 1024 to 9216>

    Instalación: <Default Selected>

  9. Haz clic en Submit (Enviar).

  10. Haz clic en Commit Changes (Confirmar cambios) en la parte superior derecha de la page (página) Log Subscriptions (Suscripciones de logs). Nota: Estos cambios no entrarán en vigor hasta que se confirmen.

Configura SCP en el servidor remoto para los logs de L4TM

Requisitos previos

  • Requiere el nombre del host y el nombre del usuario (no es necesario el nombre del usuario de la cuenta de administrador) de la máquina virtual/máquina donde se está instalado el Datadog Agent .

Configuration:

  1. Ve a System Administration (Admnistracón del sistema) > Log Subscriptions (Suscripciones de logs) en la interfaz de usuario de Cisco Secure Web Appliance.

  2. Para añadir una suscripción de log para los logs de monitor (noun) de tráfico, haz clic en Add Log Subscription (Añadir suscripción de logs).

  3. Selecciona Traffic Monitor Logs (Logs de monitor (noun) de tráfico) como Log Type (Tipo de log).

  4. Indica el nombre apropiado de log.

  5. Para FileName (Nombre de archivo), proporciona un nuevo nombre o mantén el nombre predeterminado.

  6. Selecciona SCP on Remote Server (SCP en el servidor remoto) como Retrieval Method (Método de recuperación).

  7. Indica la siguiente información.

    Host de SCP: <SCP Host IP Address>

    Directorio: <Path to Directory Where Logs would Get Stored> NOTA: Asegúrate de que el directorio no tenga ningún otro archivo de log.

    Puerto SCP: <Default Port>

    Nombre de usuario: <SCP Host Username>

  8. Haz clic en Submit (Enviar). Tras el envío, se generará(n) la(s) clave(s) SSH. Copia y guarda la(s) clave(s) SSH, ya que solo es visible una vez.

  9. Coloca la(s) clave(s) SSH en tu archivo authorized_keys en el host remoto para poder cargar los archivos de logs.

  10. Haz clic en Commit Changes (Confirmar cambios) en la parte superior derecha de la page (página) Log Subscriptions (Suscripciones de logs).

    NOTA: Estos cambios no entrarán en vigor hasta que no los confirmes.

Configura SCP en servidor remoto para los logs de acceso.

Requisitos previos

  • Requiere el nombre de host y el nombre de usuario (no es necesario el nombre de usuario de la cuenta de administrador) de la máquina virtual/máquina donde está instalado el Datadog Agent .

Configuration:

  1. En la interfaz de usuario de Cisco Secure Web Appliance, ve a System Administrator (Administrador del sistema) > Log Subscriptions (Suscripciones de logs).

  2. Para añadir una nueva suscripción de logs para Logs de acceso, haz clic en Add Log Subscription (Añadir Suscripción de logs) o edita una suscripción existente de logs de acceso.

  3. Si estás añadiendo una nueva suscripción, sigue los pasos 4 a 6 mencionados en la sección Configurar Syslog Push para logs de acceso o en este tema.

  4. Si estás editando una Suscripción de logs de acceso existente, selecciona SCP on the Remote Server (SCP en el servidor remoto) como Retrieval Method (Método de recuperación).

  5. Indica la siguiente información:

    Host SCP: <SCP Hostname>

    Puerto SCP: <Default Provided>

    Directorio: <Path to store the Log Files> Nota: Asegúrate de que el directorio no tenga ningún otro archivo de logs.

    Nombre de usuario: <SCP Server Username>

  6. Haz clic en Submit (Enviar). Una vez que hagas clic en Submit, se generará(n) la(s) clave(s) SSH. Copia la clave SSH y guárdala en algún lugar, ya que solo se muestra una vez.

  7. Coloca la(s) clave(s) SSH en tu archivo authorized_keys en el host remoto para poder cargar los archivos de logs.

  8. Haz clic en Commit Changes (Confirmar cambios) en la parte superior derecha de la page (página) Log Subscriptions (Suscripciones de logs). Nota: Estos cambios no entrarán en vigor hasta que no los confirmes.

Para obtener más información sobre la configuración, visita la documentación oficial de Cisco Secure Web Appliance.

Validación

Ejecuta el subcomando de estado del Agent y busca cisco_secure_web_appliance en la sección Checks.

Datos recopilados

Log

FormatoTipos de evento
syslogaccess_logs, l4tm_logs

Métricas

Cisco Secure Web Appliance no incluye ninguna métrica.

Eventos

La integración de Cisco Secure Web Appliance no incluye ningún evento.

Checks de servicio

La integración de Cisco Secure Web Appliance no incluye ningún check de servicios.

Solucionar problemas

Permission denied while port binding (Permiso denegado en la vinculación de puertos):

Si ves un error de Permission denied (Permiso denegado) mientras se vincula al puerto en los logs del Agent, consulta las siguientes instrucciones:

  1. La vinculación a un número de puerto inferior a 1024 requiere permisos elevados. Concede acceso al puerto mediante el comando setcap:

    sudo setcap CAP_NET_BIND_SERVICE=+ep /opt/datadog-agent/bin/agent/agent

  2. Comprueba que la configuración es correcta ejecutando el comando getcap:

    sudo getcap /opt/datadog-agent/bin/agent/agent

    Con el resultado esperado:

    /opt/datadog-agent/bin/agent/agent = cap_net_bind_service+ep

    Nota: Vuelve a ejecutar este comando setcap cada vez que actualices el Agent.

  3. Reinicia el Agent.

Permission denied while file monitoring: (Permiso denegado durante la monitorización de archivos)

Si ves un error de Permission denied (Permiso denegado) durante la monitorización de los archivos de logs, debes dar al usuario el permiso de lectura dd-agent sobre ellos.

  sudo chmod g+s Path/to/Directory/Where/Logs/would/Get/Stored/

  sudo chgrp dd-agent Path/to/Directory/Where/Logs/would/Get/Stored/

Data is not being collected (No se están recopilando datos):

Asegúrate de que se evite el tráfico desde el puerto configurado si el cortafuegos está activado.

Port already in use (Puerto ya en uso):

Si aparece el error Port <PORT-NO> Already in Use (Puerto ya en uso), consulta las siguientes instrucciones. El ejemplo siguiente es para el PORT-NO = 514: En los sistemas que utilizan Syslog, si el Agent escucha los logs de access_logs en el puerto 514, puede aparecer el siguiente error en los logs del Agent: Can't start UDP forwarder on port 514: listen udp :514: bind: address already in use. Este error se produce porque, en forma predeterminada, Syslog escucha en el puerto 514. Para resolver este error, sigue uno de los siguientes pasos: - Desactivar Syslog - Configurar el Agent para escuchar en un puerto diferente, disponible

Si necesitas más ayuda, ponte en contacto con asistencia técnica de Datadog.