こんにちは。30代未経験ネットワークエンジニアのshin@セキュリティ勉強中です。
今回は、FortigateでSyslogの取得をしてみたいと思います。
Syslogを取得すると何が嬉しいかというと、何かセキュリティインシデントが発生した場合に、時系列でどういった通信をしてどんな情報がどこに対して行われたかを可視化するために、Syslogがないと何もできません。そのため、Syslogを取得することはとても必要となります。
設定は簡単です。
それではやっていきましょう。
【手順】
1.「ログ&レポート」>「ログ設定」
2.「リモートロギングとアーカイブ」>「ログをSyslogへ送る」
チェック:ON
IPアドレス/FQDN:Syslogサーバのアドレスを入力
3.「適用」を選択
以上で設定は終わりです。
続いてちゃんとログが取得できているかを確認する必要がありますので、ログを確認していきましょう。
まずはパケットを見てみましょう。
ちゃんと取れてますね。
ファシリティが「local7」なのは、Fortigateのデフォルトのようです。
CLIから設定を見ると確かに「local7」になってます。
●確認コマンド
get log syslogd setting
もし変えたい場合は、CLIで変更できるようです。
config log syslogd setting
set facility “ファシリティ“
end
実際に「local1」に変更してみました。
パケットもちゃんと「local1」になってました。
続いてちゃんとSyslogサーバにもログが転送されているか確認してみます。
こちらも問題なく転送されてきているようです。
今回のsyslog設定は以上です。
ログはセキュリティインシデントの調査に必ず必要になりますので、是非設定してみてください。
どうもありがとうございました。
p.s.
最近パソコンのセキュリティ対策支援というものを始めてみましたので、何かパソコンのセキュリティについて聞いてみたいことがありましたらコメントか、以下メールにご連絡ください。
shin.secsup@gmail.com
コメント