我有一個帶有 FortiOS 5.06 的 Fortigate 100D,這是我的設置
config log syslogd setting
set status enable
set server “192.168.7.4″
set reliable disable
set port 515
set csv disable
set facility alert
set source-ip 192.168.9.2
end
我有一個 Splunk 伺服器 192.168.7.4 偵聽連接埠 515 TCP,我的交換器可以正常將日誌轉送到 Splunk,但我無法讓 Fortigate 工作。 Splunk 伺服器不會接收來自 Fortigate 的任何記錄檔。
答案1
設置reliable disable = UDP,需要設定reliable enable = tcp
來自 fortinet CLI 手冊:
可靠{禁用|啟用將系統日誌訊息可靠地傳送到系統日誌伺服器。啟用後,FortiGate 設備實作 RFC 3195 的 RAW 設定文件,使用 TCP 協定傳送日誌訊息。
答案2
Syslog 通常是 UDP 514,Splunk 在設定為使用它時可以正常運作。