¿Cambiar los niveles de seguridad de los registros de Fortigate?

tag-icon tag-icon linux security logging syslog fortigate
¿Cambiar los niveles de seguridad de los registros de Fortigate?

Novato en tecnología aquí.

Quiero enviar registros de Fortigate a un servidor syslog. Anteriormente, recibía demasiados registros de firewall innecesarios, el 90% de ellos con un nivel de seguridad de "aviso". he usado estosoluciónen la CLI para cambiar el nivel de registros que recibo (para que ya no reciba un montón de registros inútiles).

El problema es que yohacerQuiero conservar los registros que me indican cuándo inicié sesión en Fortigate/mi sistema, pero como eso fue etiquetado como "aviso", ya no recibo registros de sesión de inicio de sesión. ¿Existe alguna forma de configurar el nivel de seguridad de los registros de sesión de inicio de sesión en "advertencia" para poder recibirlos (y no los otros registros de "aviso")? Y si es así, ¿cómo?

O, si existe otra solución a este problema además de cambiar el nivel de seguridad del registro de sesión de inicio de sesión individual, ¡cualquier consejo es bienvenido!

Por favor, hable en términos sencillos. Acabo de empezar a jugar con esto :)

Respuesta1

Lo que puedes hacer es configurar un filtro para este evento de inicio de sesión por separado. Mira este:

config log syslogd filter
set severity information
set forward-traffic enable
set local-traffic enable
set multicast-traffic enable
set sniffer-traffic enable
set anomaly enable
set voip enable
set filter "logid(0100032001,0100032003)"
set filter-type include

fin

Verá que puede habilitar/deshabilitar ciertas fuentes (que no incluyen el propio FortiOS (el evento de inicio de sesión es un evento de FortiOS), lo que podría ayudar a reducir la cantidad de registros de todos modos. Pero, además, crearía un filtro que permita estos eventos que le gustaría que se envíen.

Agregar el logID para los eventos que se incluirán implica que todos los demás eventos están excluidos.

El logID se obtiene de la "Referencia de mensajes de registro de FortiOS" de docs.fortinet.com. Este evento se llama 'LOG_ID_ADMIN_LOGIN_SUCC'. 32003 es el ID para cerrar sesión de administrador.

Por último, los eventos de inicio y cierre de sesión están en el nivel "información", no en "aviso".

información relacionada