Eu tenho um Fortigate 100D com FortiOS 5.06, esta é a minha configuração
config log syslogd setting
set status enable
set server “192.168.7.4″
set reliable disable
set port 515
set csv disable
set facility alert
set source-ip 192.168.9.2
end
Eu tenho um servidor Splunk 192.168.7.4 escutando na porta 515 TCP, meus switches podem encaminhar seus logs para o Splunk normalmente, mas não consigo fazer o Fortigate funcionar. O servidor Splunk não recebe nenhum log do Fortigate.
Responder1
Definir reliable disable = UDP, você precisa definirreliable enable = tcp
Do manual da CLI da fortinet:
confiável {desativar | enable} Habilite a entrega confiável de mensagens syslog para o servidor syslog. Quando habilitado, a unidade FortiGate implementa o perfil RAW do RFC 3195, enviando mensagens de log utilizando o protocolo TCP.
Responder2
O Syslog geralmente é UDP 514, e o Splunk funciona bem quando configurado para usá-lo.