O log de eventos de segurança é algo diferente do que você procura. Eu acredito que você quer o NetFlow direto (v5 vai fazer) - exportado para algum tipo de analisador.
Eu usei e posso recomendar o ManageEngine Netflow Analyzer: link
Agarre a edição gratuita e acione isso em um servidor em algum lugar. Certifique-se de que o firewall do servidor permita o tráfego na porta 9996 (UDP). Em seguida, use a seguinte configuração no seu ASA para exportar dados de fluxo de rede:
flow-export destination outside_interface_name <netflow analyzer IP> 9996
flow-export template timeout-rate 1
flow-export delay flow-create 10
access-list netflow-export extended permit ip any any
class-map netflow-export-class
match access-list netflow-export
policy-map global_policy
class netflow-export-class
flow-export event-type all destination <netflow analyzer IP>
Observe que, no meu exemplo, presumi que você tenha um mapa de política global_policy definido.
Navegue até o Netflow Analyzer e faça o login. O analisador Netflow dividirá a saída ASA em conexões de origem / destino, incluindo o tráfego em megabytes por conexão, e executará até mesmo a análise de portas para mostrar os aplicativos em uso.
Isso torna particularmente fácil ver quando um funcionário está usando torrent , por exemplo. : -)