技術初心者です。
Fortigateのログをsyslogサーバーに送信したいのですが、以前は、不要なファイアウォールログが大量に受信され、その90%はセキュリティレベルが「注意」でした。私はこれを使用しました。解決CLI で、受信するログのレベルを変更します (これで、無駄なログが大量に受信されなくなります)。
問題は、私がするFortigate/自分のシステムにログインしたことを知らせるログを保存したいのですが、そのログに「通知」というラベルが付けられているため、ログイン セッション ログを受信しなくなりました。ログイン セッション ログのセキュリティ レベルを「警告」に設定して、それらのログ (他の「通知」ログではなく) を受信できるようにする方法はありますか? もしあるとしたら、その方法を教えてください。
または、個々のログイン セッション ログのセキュリティ レベルを変更する以外にこの問題の回避策がある場合は、どのようなヒントでも歓迎します。
簡単な言葉で話してください。まだこれで遊び始めたばかりです :)
答え1
できることは、このログイン イベントに個別にフィルターを設定することです。次のようになります:
config log syslogd filter
set severity information
set forward-traffic enable
set local-traffic enable
set multicast-traffic enable
set sniffer-traffic enable
set anomaly enable
set voip enable
set filter "logid(0100032001,0100032003)"
set filter-type include
終わり
特定のソース(FortiOS 自体は含まれません(ログイン イベントは FortiOS イベントです))を有効/無効にできることがわかります。これにより、ログの量を削減できる可能性があります。ただし、さらに、表示したいイベントの送信を許可するフィルターを作成する必要があります。
含めるイベントの logID を追加すると、他のすべてのイベントが除外されます。
logID は、docs.fortinet.com の「FortiOS ログ メッセージ リファレンス」から取得します。このイベントは、「LOG_ID_ADMIN_LOGIN_SUCC」と呼ばれます。32003 は管理者ログアウトの ID です。
最後に、ログイン/ログアウト イベントは「通知」レベルではなく「情報」レベルです。