免責事項
※当社からお知らせするセキュリティ情報は公開当時当社が知り得た情報を元に配信しております。そのため、情報の網羅性について保証せず、当社から配信された情報を用いて利用者が行った行為について、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。
FortiGate から Syslog サーバへログを転送する手順について(FortiOS6.2.x)
Syslog サーバをお客様側でご準備いただくことで、Fortigate から Syslog サーバへログを転送することができます。
Syslog サーバ側の設定(/etc/rsyslog.conf)
/etc/rsyslog.conf に以下を追記してください。 例) ファシリティ”local0″として構築する場合
####RULES ####の下部に下記を追記
# Save Fortigate messages also to fortigate.log
local0.* /var/log/fortigate.log
# Provides UDP syslog receptionの下記をコメントアウト
#$ModLoad imudp
#$UDPServerRun 514設定
Syslog サーバ側の設定(firewalld)
Fortigateのデフォルト設定ではUDP:514ポートにsyslogを転送します
UDP:514ポートの開放
# firewall-cmd –add-port 514/udp
設定の確認
該当のポートが許可されている事を確認してください。
# firewall-cmd –list-all
Fortigate ログ転送の設定方法、停止方法
Syslog サーバをご準備いただいたうえで、Fortigate の CLI から以下コマンドで設定をしてください。
CLI は、Fortigate にログイン後、画面右上のヘッダーにある >_ から CLI Consoleを利用いただけます。
Syslog サーバの IP アドレスが xxx.xxx.xxx.xxx 、ファシリティ”local0″として Syslog サーバにログを転送する場合
-転送設定-
$ config log setting
$ set syslog-override enable
$ show ※set syslog-override enableが表示されることを確認
$ end
$ config log syslogd/syslogd2/syslogd3/syslogd4 override-setting
※最大4つのsyslogサーバを登録できます
$ set status enable
$ set server “xxx.xxx.xxx.xxx”
$ set facility local0
$ show ※下記項目が設定されていることを確認
set status enable
set server “xxx.xxx.xxx.xxx”
set facility local0
$ end
CLIでの設定が終わるとLog & Report > Log Settings > Remote Logging and ArchivingのSend logs to syslogの項目が操作ができるようになります。
-転送解除-
$ config log syslogd/syslogd2/syslogd3/syslogd4 override-setting
$ set status disable
$ show
$ end
$ config log setting
$ set syslog-override disable
$ show
$ end
