Tengo un Fortigate 100D con FortiOS 5.06, esta es mi configuración
config log syslogd setting
set status enable
set server “192.168.7.4″
set reliable disable
set port 515
set csv disable
set facility alert
set source-ip 192.168.9.2
end
Tengo un servidor Splunk 192.168.7.4 escuchando en el puerto 515 TCP, mis conmutadores pueden reenviar sus registros a Splunk normalmente, pero no puedo hacer que Fortigate funcione. El servidor Splunk no recibe ningún registro de Fortigate.
Respuesta1
Establecer reliable disable = UDP, necesitas configurarreliable enable = tcp
Del manual de CLI de Fortinet:
confiable {deshabilitar | enable} Habilite la entrega confiable de mensajes syslog al servidor syslog. Cuando está habilitada, la unidad FortiGate implementa el perfil RAW de RFC 3195, enviando mensajes de registro utilizando el protocolo TCP.
Respuesta2
Syslog suele ser UDP 514, y Splunk funciona bien cuando se configura para usar esto.