私はFortiOS 5.06を搭載したFortigate 100Dを使用しています。これが私の設定です
config log syslogd setting
set status enable
set server “192.168.7.4″
set reliable disable
set port 515
set csv disable
set facility alert
set source-ip 192.168.9.2
end
ポート 515 TCP でリッスンしている Splunk サーバー 192.168.7.4 があり、スイッチは正常にログを Splunk に転送できますが、Fortigate を動作させることができません。Splunk サーバーは Fortigate からログを受信しません。
答え1
設定してくださいreliable disable = UDP。設定する必要がありますreliable enable = tcp
Fortinet CLI ハンドブックより:
reliable {disable | enable} syslog サーバへの syslog メッセージの信頼性の高い配信を有効にします。有効にすると、FortiGate ユニットは RFC 3195 の RAW プロファイルを実装し、TCP プロトコルを使用してログ メッセージを送信します。
答え2
Syslog は通常 UDP 514 であり、これを使用するように設定すると Splunk が正常に動作します。