這裡是科技新手。
我想將 Fortigate 日誌傳送到系統日誌伺服器。以前,我收到了太多不必要的防火牆日誌,其中 90% 的安全等級為「通知」。我用過這個解決方案在 CLI 中更改我收到的日誌等級(這樣我就不會再收到一堆無用的日誌了)。
問題是,我做我想保留告訴我何時登入 Fortigate/我的系統的日誌,但由於它被標記為“通知”,我不再收到登入會話日誌。無論如何,我是否可以將登入會話日誌的安全等級配置為“警告”,以便我可以接收這些日誌(而不是其他“通知”日誌)?如果是這樣,怎麼辦?
或者,如果除了更改單一登入工作階段日誌的安全性等級之外還有其他解決此問題的方法,歡迎提供任何提示!
請用簡單的話來說 - 我剛開始玩這個:)
答案1
您可以做的是單獨為此登入事件設定篩選器。看這個:
config log syslogd filter
set severity information
set forward-traffic enable
set local-traffic enable
set multicast-traffic enable
set sniffer-traffic enable
set anomaly enable
set voip enable
set filter "logid(0100032001,0100032003)"
set filter-type include
結尾
您會看到,您可以啟用/停用某些來源(其中不包括 FortiOS 本身(登入事件是 FortiOS 事件),這可能有助於減少日誌量。但是,此外,您還可以建立一個過濾器,讓您希望發送的這些事件。
新增要包含的事件的 logID 表示排除所有其他事件。
您可以從 docs.fortinet.com 的「FortiOS 日誌訊息參考」取得 logID。此事件稱為“LOG_ID_ADMIN_LOGIN_SUCC”。 32003是管理員註銷的ID。
最後,登入/登出事件屬於「資訊」級別,而不是「通知」級別。