Меняете уровни безопасности журналов Fortigate?

Question

Меняете уровни безопасности журналов Fortigate?

Технический новичок здесь.

Я хочу отправить журналы Fortigate на сервер системных журналов. Раньше я получал слишком много ненужных журналов брандмауэра, 90% из них имели уровень безопасности «уведомление». Я использовал это решение в CLI, чтобы изменить уровень получаемых журналов (так что я больше не получаю кучу бесполезных журналов).

Проблема в том, что я хочу сохранить журналы, которые сообщают мне, когда я вошел в Fortigate/мою систему, но, поскольку это было помечено как «уведомление», я больше не получаю журналы сеансов входа в систему. Могу ли я каким-либо образом настроить уровень безопасности журналов сеансов входа в систему на «предупреждение», чтобы я мог получать их (а не другие журналы «уведомлений»)? И если да, то как?

ИЛИ, если есть другой способ решения этой проблемы, кроме изменения уровня безопасности журнала отдельного сеанса входа в систему, любые советы приветствуются!

Пожалуйста, говорите простыми словами - я только начал с этим играть :)

0

linux security logging syslog fortigate

Источник

Skybellina 23 июн '22 в 19:38

1 ответ

Другие вопросы по тегам linux security logging syslog fortigate

user1016274 03 дек '22 в 13:53 2022-12-03 13:53 · Answer 1 · 2022-12-03 13:53

Что вы можете сделать, так это установить фильтр для этого события входа в систему отдельно. Посмотри на это:

      config log syslogd filter
set severity information
set forward-traffic enable
set local-traffic enable
set multicast-traffic enable
set sniffer-traffic enable
set anomaly enable
set voip enable
set filter "logid(0100032001,0100032003)"
set filter-type include

конец

Вы видите, что вы можете включать/отключать определенные источники (которые не включают сам FortiOS (событие входа в систему является событием FortiOS), что в любом случае может помочь уменьшить количество журналов. Но, кроме того, вы должны создать фильтр, который позволит эти события, которые вы хотели бы видеть для отправки.

Добавление logID для включенных событий означает, что все остальные события исключены.

Вы можете получить logID из «Справочника по сообщениям журнала FortiOS» на сайте docs.fortinet.com. Это событие называется «LOG_ID_ADMIN_LOGIN_SUCC». 32003 — это идентификатор для выхода администратора.

Наконец, события входа/выхода находятся на уровне «информации», а не «уведомления».