FortiOS 5.06이 설치된 Fortigate 100D가 있습니다. 이것이 제 설정입니다.
config log syslogd setting
set status enable
set server “192.168.7.4″
set reliable disable
set port 515
set csv disable
set facility alert
set source-ip 192.168.9.2
end
포트 515 TCP를 수신하는 Splunk 서버 192.168.7.4가 있고 스위치는 정상적으로 로그를 Splunk에 전달할 수 있지만 Fortigate가 작동하도록 할 수는 없습니다. Splunk 서버는 Fortigate로부터 로그를 수신하지 않습니다.
답변1
설정 reliable disable = UDP, 설정해야 합니다.reliable enable = tcp
Fortinet CLI 핸드북에서:
신뢰할 수 있는 {비활성화 | 활성화} syslog 서버에 대한 syslog 메시지의 안정적인 전달을 활성화합니다. 활성화되면 FortiGate 장치는 RFC 3195의 RAW 프로필을 구현하여 TCP 프로토콜을 사용하여 로그 메시지를 보냅니다.
답변2
Syslog는 일반적으로 UDP 514이며 Splunk는 이를 사용하도록 설정하면 제대로 작동합니다.