Fortigateでsyslogを取ってみた

こんにちは。30代未経験ネットワークエンジニアのshin@セキュリティ勉強中です。

今回は、FortigateでSyslogの取得をしてみたいと思います。

Syslogを取得すると何が嬉しいかというと、何かセキュリティインシデントが発生した場合に、時系列でどういった通信をしてどんな情報がどこに対して行われたかを可視化するために、Syslogがないと何もできません。そのため、Syslogを取得することはとても必要となります。

設定は簡単です。

それではやっていきましょう。

目次

【手順】

1.「ログ&レポート」>「ログ設定」

2.「リモートロギングとアーカイブ」>「ログをSyslogへ送る」

チェック:ON
IPアドレス/FQDN:Syslogサーバのアドレスを入力

3.「適用」を選択

以上で設定は終わりです。

続いてちゃんとログが取得できているかを確認する必要がありますので、ログを確認していきましょう。

まずはパケットを見てみましょう。

ちゃんと取れてますね。

ファシリティが「local7」なのは、Fortigateのデフォルトのようです。

CLIから設定を見ると確かに「local7」になってます。

 

●確認コマンド

get log syslogd setting

 

もし変えたい場合は、CLIで変更できるようです。

config log syslogd setting
set facility “ファシリティ“
end

実際に「local1」に変更してみました。

パケットもちゃんと「local1」になってました。

 

続いてちゃんとSyslogサーバにもログが転送されているか確認してみます。

こちらも問題なく転送されてきているようです。

今回のsyslog設定は以上です。

ログはセキュリティインシデントの調査に必ず必要になりますので、是非設定してみてください。

どうもありがとうございました。

 

p.s.

最近パソコンのセキュリティ対策支援というものを始めてみましたので、何かパソコンのセキュリティについて聞いてみたいことがありましたらコメントか、以下メールにご連絡ください。

shin.secsup@gmail.com

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

30歳未経験からネットワークエンジニアに転職し、運用→構築→設計の仕事をやってます。色んな機器(Cisco、YAMAHA、Fortigate、PaloAlto)を触らせてもらいとても楽しい仕事です!

現在は派遣にて主にCiscoを中心としたネットワーク設計~構築をしております。

また、2023年より副業で個人事業主や小規模企業からのパソコン設定~ネットワーク作業の仕事を請け負っておりますので、もしお困りの方がいましたらお気軽にお問い合わせください。

●今までの作業履歴
- パソコンの新旧入れ替え
- 拠点間のインターネットVPN接続(YAMAHA-Fortigate)

コメント

コメントする

目次