FortiGate飞塔防火墙接入GrayLog4.X

admin 2022年4月23日02:18:40评论130 views字数 1406阅读4分41秒阅读模式

点击上方"walkingcloud"关注,并选择"星标"公众号

FortiGate飞塔防火墙接入GrayLog4.X

Gartner 2020 年网络防火墙魔力象限领导者(Leaders):

  • Palo Alto Networks
  • Fortinet
  • Check Point Software Technologies

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)

废话不多说,下面进入正题,下面介绍FortiGate飞塔防火墙接入Graylog

1、FortiGate飞塔防火墙配置syslog

为了模拟FortiGate防火墙接入Graylog 这里选用FortiGate for VMWare ESXi platform Version 7.0.0镜像进行模拟测试

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)

启动后先恢复出厂,初始用户名admin密码为空

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)

配置接口IP地址 CLI命令行配置

config system interface
edit port1
set mode static
set ip 192.168.31.150 255.255.255.0
set allowaccess ping http https ssh snmp fgfm
end

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)

这时就可以http://192.168.31.150对防火墙进行配置了

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)

开启syslog 但这时默认是转到日志服务器的UDP 514端口 

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)

需要SSH登录后台进行自定义修改端口号

config log syslogd setting
set port 15514

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)

2、Graylog导入Fortigate的Content Pack套件

接下来下载 Fortigate 6.x Content Pack for graylog3 

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)

Graylog中导入该Content Pack的json文件

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)

Install时修改一下默认的Fortigate Host Name和Syslog 端口

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)

若防火墙需要放通Input的端口

firewall-cmd --permanent --zone=public --add-port=15514/udp
firewall-cmd --reload

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)

3、效果

可以看到已经拆成字段了 

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)

4、排错Tips

1、FortiGate中 Show received messages时无任何日志

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)

tail -f /var/log/graylog-server/server.log查找原因

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)

解决办法如下图所示 rotate active write index

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)

不过还是建议新建indices索引,通过配置Stream 存放在单独的索引 如下图所示 

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)

2、Fortigate Dashboard中无数据 
修改Input ID

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)

FortiGate飞塔防火墙接入GrayLog4.X

(图片可点击放大查看)


原文始发于微信公众号(WalkingCloud):FortiGate飞塔防火墙接入GrayLog4.X

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月23日02:18:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   FortiGate飞塔防火墙接入GrayLog4.Xhttp://cn-sec.com/archives/919339.html

发表评论

匿名网友 填写信息