Technik-Neuling hier.
Ich möchte Fortigate-Protokolle an einen Syslog-Server senden. Bisher erhielt ich viel zu viele unnötige Firewall-Protokolle, 90 % davon mit der Sicherheitsstufe „Hinweis“. Ich habe dies verwendetLösungin der CLI, um die Ebene der Protokolle zu ändern, die ich erhalte (damit ich nicht mehr einen Haufen nutzloser Protokolle erhalte).
Das Problem ist, ichTunmöchte die Protokolle behalten, die mir mitteilen, wann ich mich bei Fortigate/meinem System angemeldet habe, aber da dies als „Hinweis“ gekennzeichnet war, erhalte ich keine Anmeldesitzungsprotokolle mehr. Gibt es für mich eine Möglichkeit, die Sicherheitsstufe der Anmeldesitzungsprotokolle auf „Warnung“ zu konfigurieren, damit ich diese (und nicht die anderen „Hinweis“-Protokolle) erhalten kann? Und wenn ja, wie?
ODER, wenn es eine andere Problemumgehung für dieses Problem gibt, als die Sicherheitsstufe des einzelnen Anmeldesitzungsprotokolls zu ändern, sind alle Tipps willkommen!
Bitte sprechen Sie in einfachen Worten – ich habe gerade erst angefangen, damit zu spielen :)
Antwort1
Was Sie tun können, ist, für dieses Anmeldeereignis einen separaten Filter festzulegen. Sehen Sie sich das hier an:
config log syslogd filter
set severity information
set forward-traffic enable
set local-traffic enable
set multicast-traffic enable
set sniffer-traffic enable
set anomaly enable
set voip enable
set filter "logid(0100032001,0100032003)"
set filter-type include
Ende
Sie sehen, dass Sie bestimmte Quellen aktivieren/deaktivieren können (wozu FortiOS selbst nicht gehört (das Anmeldeereignis ist ein FortiOS-Ereignis), was ohnehin dazu beitragen könnte, die Anzahl der Protokolle zu reduzieren. Darüber hinaus würden Sie jedoch einen Filter erstellen, der das Senden der Ereignisse zulässt, die Sie sehen möchten.
Das Hinzufügen der Protokoll-ID für die einzuschließenden Ereignisse führt dazu, dass alle anderen Ereignisse ausgeschlossen werden.
Sie erhalten die LogID aus „FortiOS Log Message Reference“ von docs.fortinet.com. Dieses Ereignis heißt „LOG_ID_ADMIN_LOGIN_SUCC“. 32003 ist die ID für die Administratorabmeldung.
Schließlich liegen die Anmelde-/Abmeldeereignisse auf der Ebene „Information“ und nicht „Hinweis“.