네트워크/FW(UTM)
[FortiGate] elasticsearch를 이용한 로그 수집
ploz
2022. 12. 16. 16:04
반응형
FortiGate syslog 설정을 통해 Filebeat fortinet module을 이용하여 elasticsearch에서 로그를 수집한다.
FortiGate 로그 설정
[FortiGate] 외부 syslog 서버로 로그 보내기
모델 : FortiGate 101F GUI 로그설정 Log & Report - Log Settings - Send logs to syslog - syslog 서버 ip 설정 GUI 상으로 로그서버 IP 설정과 On/Off 설정만 존재한다. default로 syslog서버로 보내는 로그 종류는 아래와 같
ploz.tistory.com
> get log syslogd setting
status : enable
server : 10.200.20.250
mode : udp
port : 9004
facility : local4
source-ip :
format : default
priority : default
max-log-rate : 0
interface-select-method: auto
Filebeat 설정
Fortinet module enable
> filebeat modules enable fortinet
Enabled fortinet
> filebeat modules list
Enabled:
fortinet
...
Fortinet module config
- module: fortinet
firewall:
enabled: true
var.input: udp
var.syslog_host: 0.0.0.0
var.syslog_port: 9004
Filebeat index 설정
> filebeat.yml
...
# ---------------------------- Elasticsearch Output ----------------------------
output.elasticsearch:
# Array of hosts to connect to.
hosts: ["localhost:9200"]
indices:
- index: "filebeat-%{[agent.version]}-fortinet-%{+yyyy.MM.dd}"
when.equals:
event.module: "fortinet"
...
반응형