У меня Fortigate 100D с FortiOS 5.06, вот мои настройки
config log syslogd setting
set status enable
set server “192.168.7.4″
set reliable disable
set port 515
set csv disable
set facility alert
set source-ip 192.168.9.2
end
У меня есть сервер Splunk 192.168.7.4, который слушает порт 515 TCP, мои коммутаторы могут нормально пересылать свои журналы в Splunk, но я не могу заставить Fortigate работать. Сервер Splunk не получает никаких журналов от Fortigate.
решение1
Установите reliable disable = UDP, вам нужно установитьreliable enable = tcp
Из справочника Fortinet CLI:
надежная {отключить | включить} Включить надежную доставку сообщений syslog на сервер syslog. При включении устройство FortiGate реализует профиль RAW RFC 3195, отправляя сообщения журнала с использованием протокола TCP.
решение2
Syslog обычно использует UDP 514, и Splunk определенно работает нормально, если настроен на его использование.