Информация об источнике

Общая информация

Fortinet FortiGate — это межсетевой экран (NGFW), который обеспечивает функции фильтрации трафика, IPS/IDS, VPN, веб-фильтрации, антиспама, защиты от вторжений и контроля приложений. Устройства FortiGate генерируют системные, сетевые и UTM-логи, которые позволяют отслеживать состояние firewall-правил, VPN-подключений, трафик, события безопасности и работу подсистем. Логи могут выводиться локально, в GUI мониторинге или передаваться на SIEM для дальнейшего анализа.

• Документация: https://docs.fortinet.com/product/fortigate/7.6

Типы собираемых событий

• Traffic logs — действия firewall-политик (accept/deny), направления трафика, NAT, сессии.
• Event/System logs — системные события, загрузка CPU/RAM, перезапуски, изменения конфигурации, проблемы с интерфейсами.
• Security / UTM logs:
  • AV
  • IPS
  • Web Filtering
  • Application Control
  • DNS Filter
  • Email/AntiSpam
• VPN logs — IPsec/SSL VPN, успешная/неуспешная авторизация.
• Admin / Authentication logs — входы админов, ошибки авторизации, изменение настроек.

Способ интеграции

• Передача логов выполняется через Syslog по UDP. Настройка выполняется в CLI

Примеры событий

Step by step

Настройка отправки и логирвания FortiGate CLI

Проверка локального логирования в памяти

1. В CLI введите команду:

   show log memory setting
   

   <aside> <img src="/icons/info-alternate_blue.svg" alt="/icons/info-alternate_blue.svg" width="40px" />

   В результате log memory должен быть enable:

   

   </aside>

2. Если данный параметр имеет статус disable или не имеет статуса, его необходимо включить, пример:

   config log memory setting
       set status enable
   end
   

Проверка включённых категорий событий (Event/UTM)