FortiGate飞塔防火墙接入GrayLog4.X

FortiGate飞塔防火墙接入GrayLog4.X

Gartner 2020 年网络防火墙魔力象限领导者（Leaders）：

• Palo Alto Networks
• Fortinet
• Check Point Software Technologies

(图片可点击放大查看)

(图片可点击放大查看)

废话不多说，下面进入正题，下面介绍FortiGate飞塔防火墙接入Graylog

1、FortiGate飞塔防火墙配置syslog

为了模拟FortiGate防火墙接入Graylog 这里选用FortiGate for VMWare ESXi platform Version 7.0.0镜像进行模拟测试

(图片可点击放大查看)

(图片可点击放大查看)

启动后先恢复出厂，初始用户名admin密码为空

(图片可点击放大查看)

(图片可点击放大查看)

配置接口IP地址 CLI命令行配置

config system interface
edit port1
set mode static
set ip 192.168.31.150 255.255.255.0
set allowaccess ping http https ssh snmp fgfm
end

(图片可点击放大查看)

这时就可以http://192.168.31.150对防火墙进行配置了

(图片可点击放大查看)

(图片可点击放大查看)

(图片可点击放大查看)

开启syslog 但这时默认是转到日志服务器的UDP 514端口

(图片可点击放大查看)

需要SSH登录后台进行自定义修改端口号

config log syslogd setting
set port 15514

(图片可点击放大查看)

2、Graylog导入Fortigate的Content Pack套件

接下来下载 Fortigate 6.x Content Pack for graylog3

(图片可点击放大查看)

(图片可点击放大查看)

Graylog中导入该Content Pack的json文件

(图片可点击放大查看)

(图片可点击放大查看)

Install时修改一下默认的Fortigate Host Name和Syslog 端口

(图片可点击放大查看)

若防火墙需要放通Input的端口

firewall-cmd --permanent --zone=public --add-port=15514/udp
firewall-cmd --reload

(图片可点击放大查看)

(图片可点击放大查看)

3、效果

可以看到已经拆成字段了

(图片可点击放大查看)

(图片可点击放大查看)

4、排错Tips

1、FortiGate中 Show received messages时无任何日志

(图片可点击放大查看)

(图片可点击放大查看)

tail -f /var/log/graylog-server/server.log查找原因

(图片可点击放大查看)

解决办法如下图所示 rotate active write index

(图片可点击放大查看)

(图片可点击放大查看)

不过还是建议新建indices索引，通过配置Stream 存放在单独的索引 如下图所示

(图片可点击放大查看)

2、Fortigate Dashboard中无数据

修改Input ID

(图片可点击放大查看)

(图片可点击放大查看)