Ich habe eine Fortigate 100D mit FortiOS 5.06, das ist meine Einstellung
config log syslogd setting
set status enable
set server “192.168.7.4″
set reliable disable
set port 515
set csv disable
set facility alert
set source-ip 192.168.9.2
end
Ich habe einen Splunk-Server 192.168.7.4, der auf Port 515 TCP lauscht. Meine Switches können ihre Protokolle normal an Splunk weiterleiten, aber ich bekomme Fortigate nicht zum Laufen. Der Splunk-Server empfängt keine Protokolle von Fortigate.
Antwort1
Set reliable disable = UDP, Sie müssen einstellenreliable enable = tcp
Aus dem Fortinet CLI-Handbuch:
zuverlässig {deaktivieren | aktivieren} Aktivieren Sie die zuverlässige Übermittlung von Syslog-Nachrichten an den Syslog-Server. Wenn aktiviert, implementiert die FortiGate-Einheit das RAW-Profil von RFC 3195 und sendet Protokollnachrichten über das TCP-Protokoll.
Antwort2
Syslog ist normalerweise UDP 514 und Splunk funktioniert mit Sicherheit einwandfrei, wenn dies eingestellt ist.