기술 초보자입니다.
Fortigate 로그를 syslog 서버로 보내고 싶습니다. 이전에는 불필요한 방화벽 로그를 너무 많이 받았는데, 그 중 90%가 "알림" 보안 수준이었습니다. 나는 이것을 사용했다해결책수신하는 로그 수준을 변경하려면 CLI에서 더 이상 쓸모없는 로그를 많이 얻지 않게 됩니다.
문제는, 내가하다Fortigate/내 시스템에 로그인했을 때 알려주는 로그를 보관하고 싶지만 "알림"으로 표시되어 있으므로 더 이상 로그인 세션 로그를 받을 수 없습니다. 어쨌든 로그인 세션 로그의 보안 수준을 "경고"로 구성하여 해당 로그(다른 "알림" 로그는 수신하지 않음)를 받을 수 있습니까? 그렇다면 어떻게?
또는 개별 로그인 세션 로그의 보안 수준을 변경하는 것 외에 이 문제에 대한 다른 해결 방법이 있는 경우 어떤 조언이라도 환영합니다!
간단한 용어로 말씀해 주세요. 이제 막 이 게임을 시작했습니다. :)
답변1
당신이 할 수 있는 일은 이 로그인 이벤트에 대한 필터를 별도로 설정하는 것입니다. 이거 봐요:
config log syslogd filter
set severity information
set forward-traffic enable
set local-traffic enable
set multicast-traffic enable
set sniffer-traffic enable
set anomaly enable
set voip enable
set filter "logid(0100032001,0100032003)"
set filter-type include
끝
특정 소스(FortiOS 자체는 포함하지 않음(로그인 이벤트는 FortiOS 이벤트임)를 활성화/비활성화할 수 있어 어쨌든 로그 양을 줄이는 데 도움이 될 수 있습니다. 그러나 추가로 다음을 허용하는 필터를 생성할 수 있습니다. 당신이 전송되기를 원하는 이러한 이벤트.
포함할 이벤트에 대한 logID를 추가하면 다른 모든 이벤트가 제외된다는 의미입니다.
docs.fortinet.com의 "FortiOS 로그 메시지 참조"에서 logID를 가져옵니다. 이 이벤트의 이름은 'LOG_ID_ADMIN_LOGIN_SUCC'입니다. 32003은 관리자 로그아웃을 위한 ID입니다.
마지막으로 로그인/로그아웃 이벤트는 '공지'가 아닌 '정보' 수준입니다.