Я новичок в технологиях.
Я хочу отправить журналы Fortigate на сервер syslog. Раньше я получал слишком много ненужных журналов брандмауэра, 90% из них с уровнем безопасности "уведомление". Я использовал эторешениев CLI, чтобы изменить уровень получаемых мной журналов (чтобы больше не получать кучу бесполезных журналов).
Проблема в том, что яделатьХочу сохранить журналы, которые сообщают мне, когда я входил в Fortigate/мою систему, но так как это было помечено как "уведомление", я больше не получаю журналы сеансов входа. Можно ли как-то настроить уровень безопасности журналов сеансов входа на "предупреждение", чтобы я мог получать их (а не другие журналы "уведомлений")? И если да, то как?
ИЛИ, если есть другой способ решения этой проблемы, кроме изменения уровня безопасности журнала отдельных сеансов входа в систему, любые советы приветствуются!
Пожалуйста, говори простыми словами - я только начал с этим играть :)
решение1
Что вы можете сделать, так это установить фильтр для этого события входа отдельно. Посмотрите на это:
config log syslogd filter
set severity information
set forward-traffic enable
set local-traffic enable
set multicast-traffic enable
set sniffer-traffic enable
set anomaly enable
set voip enable
set filter "logid(0100032001,0100032003)"
set filter-type include
конец
Вы видите, что вы можете включить/отключить определенные источники (которые не включают сам FortiOS (событие входа в систему — это событие FortiOS), что в любом случае может помочь сократить количество журналов. Но, кроме того, вы бы создали фильтр, который разрешает отправку этих событий, которые вы хотели бы видеть.
Добавление идентификатора журнала для включаемых событий подразумевает исключение всех остальных событий.
Вы получаете logID из "FortiOS Log Message Reference" с docs.fortinet.com. Это событие называется 'LOG_ID_ADMIN_LOGIN_SUCC'. 32003 — это идентификатор для выхода администратора.
Наконец, события входа/выхода из системы находятся на уровне «информация», а не «уведомление».