[GrayLog] 방화벽 장비 로그를 수집해보자 Fortigate

 

일전에 구축한 GrayLog-Server를 통해

Fortigate의 로그를 수집해 보려 한다. 

 

Fortigate Log Send Setting 

 

Log & Report  => Log Settings

 

 

이전에 구축한 GrayLog-Server IP를 입력한다.

> get log syslogd setting
status              : enable 
server              : ServerIP
mode                : udp 
port                : 514
facility            : local7 
source-ip           : 
format              : default 
priority            : default 
max-log-rate        : 0
interface-select-method: auto 

> config log syslogd setting

> (setting) # set port 1514

>(setting) # end

> # get log syslogd setting
status              : enable 
server              : ServerIP 
mode                : udp 
port                : 1514
facility            : local7 
source-ip           : 
format              : default 
priority            : default 
max-log-rate        : 0
interface-select-method: auto 

-- 보안 강화를 위해 port를 기본 포트가 아닌 1514로 변경했다.

 

GrayLog Setting

 

https://community.graylog.org/t/fortigate-syslog/28460

FortiGate Syslog

 

Graylog 해당 커뮤니티에서 

감사하게도 Fotigate 관련하여 만들어놓은 설정이 공유 되어 있다.

 

 

Download from GitHub를 클릭하여 

Json 파일을 다운받아 놓는다.

 

 

system => Content Packs 

 

Upload 버튼을 클릭하여 해당 json 파일을 upload한다 

 

업로드가 완료 되면

 

 

위와 같이 Fortigate syslog 생성 되고 

Dashboards => Fortigate Syslog

멋진 대쉬보드가 생성되어 있다. 

 

Date Input

 

 

이제 Fortigate 에서 보내준 Syslog를 받아와야 하는데

System -> inputs에 들어가 

 

 

Syslog UDP 선택 후 Launch new input 를 클릭한다. 

 

 

 

위와 같이 Network IO 가 올라간다면 정상적으로 

데이터는 받고 있는 것이다. 

 

Search 에서 

아래와 같이 Log가 정상적으로 수신받는 것을 확인할 수 있다. 

 

Recive Buffer Size , works threads 항목 같은 경우는 

좀 더 공부가 필요할 것 같다. 

 

이상으로 Fortigate 연동을 마치겠습니다. !