본문 바로가기
네트워크/FW(UTM)

[FortiGate] elasticsearch를 이용한 로그 수집

ploz 2022. 12. 16. 16:04
반응형

FortiGate syslog 설정을 통해 Filebeat fortinet module을 이용하여 elasticsearch에서 로그를 수집한다.

 

 

 

FortiGate 로그 설정

참조 : https://ploz.tistory.com/entry/FortiGate-%EC%99%B8%EB%B6%80-syslog-%EC%84%9C%EB%B2%84%EB%A1%9C-%EB%A1%9C%EA%B7%B8-%EB%B3%B4%EB%82%B4%EA%B8%B0

 

[FortiGate] 외부 syslog 서버로 로그 보내기

모델 : FortiGate 101F GUI 로그설정 Log & Report - Log Settings - Send logs to syslog - syslog 서버 ip 설정 GUI 상으로 로그서버 IP 설정과 On/Off 설정만 존재한다. default로 syslog서버로 보내는 로그 종류는 아래와 같

ploz.tistory.com

 

> get log syslogd setting 
status              : enable 
server              : 10.200.20.250 
mode                : udp 
port                : 9004
facility            : local4 
source-ip           : 
format              : default 
priority            : default 
max-log-rate        : 0
interface-select-method: auto

 

 

 

Filebeat 설정

Fortinet module enable

> filebeat modules enable fortinet
Enabled fortinet

> filebeat modules list
Enabled:
fortinet
...

 

 

Fortinet module config

- module: fortinet
  firewall:
    enabled: true
    var.input: udp
    var.syslog_host: 0.0.0.0
    var.syslog_port: 9004

 

 

Filebeat index 설정

> filebeat.yml
...
# ---------------------------- Elasticsearch Output ----------------------------
output.elasticsearch:
  # Array of hosts to connect to.
  hosts: ["localhost:9200"]
  indices:
    - index: "filebeat-%{[agent.version]}-fortinet-%{+yyyy.MM.dd}"
      when.equals:
        event.module: "fortinet"
...

 

반응형
저작자표시 비영리 동일조건

'네트워크 > FW(UTM)' 카테고리의 다른 글

[FortiGate 3000D] management access ip 설정 (ssh 접근제어)  (0) 2023.06.08
[FortiGate] HA 구성(failback 최소화)  (0) 2023.03.14
[FortiGate] 외부 syslog 서버로 로그 보내기  (0) 2022.12.15
axgate-1300 utm | Dashboard cgi request 출력값을 json으로 파싱하기  (0) 2022.10.25
Juniper SSG140 snmp 설정  (0) 2022.04.21

'네트워크/FW(UTM)' Related Articles

티스토리툴바