Fortinet防火墙

防火墙监控您的网络与世界其他地区之间发生的情况,并可以监控从哪台计算机发送的数据量、数据的去向以及谁接收数据等。

Fortinet防火墙事件源允许InsightIDR解析以下日志类型:

  • 防火墙
  • 虚拟专用网
  • DHCP
  • 病毒
  • 身份证

在你开始之前

对于某些FortiGate防火墙,管理控制台(UI)仅允许您为系统日志转发配置一个目标。必须从命令行配置系统日志转发的其他目标。确保在配置syslog服务器时,管理员应选择该选项.CSV禁用. 以下示例显示如何配置此设置(替换使用适当的值):

         

          

           
          

         

          

           

            1.

           配置日志syslogd设置
          

          

           

            2.

           设置状态启用
          

          

           

            3.

           设置默认格式
          

          

           

            4.

           设置设备系统日志
          

          

           

            5.

           设置可靠禁用
          

          

           

            6.

           设置模式udp
          

          

           

            7.

           将端口
          

          

           

            8.

           设置服务器
          

          

           

            9

           结束

价值可靠的确定用于系统日志转发的默认协议:

  • 设置可靠启用默认情况下使用TCP
  • 设置可靠禁用默认情况下使用UDP

有关如何配置其他目的地的说明可在此处找到:https://docs.fortinet.com/document/fortigate/6.2.1/cli-reference/353620/log-syslogd-override-setting

提示

如果您的VPN位于防火墙上,则无需配置其他VPN系统日志目标。一个系统日志配置将同时适用于防火墙和VPN。

如何配置此事件源

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 当数据收集页面出现时,单击设置事件源下拉选择添加事件源.
  3. 从“安全数据”部分,单击防火墙偶像此时会出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 选择时区与事件源日志的位置匹配的。
  6. 可选择发送未过滤原木.
  7. 配置您的默认域还有高级事件源设置.
  8. 选择一个收集方法并指定端口和协议。
    • 如果通过下载选择TCP,可以选择加密事件源Rapid7证书.
  9. 点击拯救.