La semana pasada tuve que trabajar con un equipo fortigate, configurando que el mismo loguear a syslog. La novedad de este equipo es que esta con la versión 5 de FortiOS. En la versión 5 para configurar syslog es necesario hacerlo por linea de comando, en versiones previas donde se hacia por menú.
 |
| Configuración de logs en FortiOS 4.0 |
En la Knowledge Base de Fortigate encontré un documento que cubre este caso. Los equipos admiten loguear hasta 3 servidores syslog simultáneos. Para quien no quiere leer el documento, va aquí un resumen de la tarea. La primera parte es habilitar el envío de logs a syslog, para esto entramos a la CLI y digitamos algo como lo que sigue:
config log syslogd setting
set facility nombre
set port puerto
set server direccion_ip
set status enable
end
Si quisiéramos configurar servidores adicionales, basta con remplazar syslogd por syslogd2 o syslogd3. La facility se recomienda utilizar alguna de las local (local1 a local7). El puerto estandar de syslog es el 514/UDP. En el manual hablan de poner la dirección IP del servidor syslog, el nombre DNS debería funcionar bien, en la medida que pueda resolverse con los DNS configurados en el appliance. Luego de configurado para probar esto desde la linea de comando ejecutamos:
diag log test
Esto enviará a el servidor syslog un mensaje por cada categoría configurada. La configuración por defecto manda todos los eventos del equipo, para configurar que eventos enviamos:
config log syslog filter
set evento (enable|disable)
end
Con estas directivas se puede configurar el envío a syslog tanto en FortiOS 4.0 como 5.0, en 4.0 es más cómodo hacerlo desde la interfase WEB. Lamentablemente Fortinet sigue, con cada nueva versión, sacando de la interfase WEB aquellas características que facilitan la integración con terceros.Para una proxima entrada del blog, voy a publicar como configurar el syslog para acceder a los logs de los equipos fortigate.
config log syslogd setting
set facility nombre
set port puerto
set server direccion_ip
set status enable
end
Si quisiéramos configurar servidores adicionales, basta con remplazar syslogd por syslogd2 o syslogd3. La facility se recomienda utilizar alguna de las local (local1 a local7). El puerto estandar de syslog es el 514/UDP. En el manual hablan de poner la dirección IP del servidor syslog, el nombre DNS debería funcionar bien, en la medida que pueda resolverse con los DNS configurados en el appliance. Luego de configurado para probar esto desde la linea de comando ejecutamos:
diag log test
Esto enviará a el servidor syslog un mensaje por cada categoría configurada. La configuración por defecto manda todos los eventos del equipo, para configurar que eventos enviamos:
config log syslog filter
set evento (enable|disable)
end
Con estas directivas se puede configurar el envío a syslog tanto en FortiOS 4.0 como 5.0, en 4.0 es más cómodo hacerlo desde la interfase WEB. Lamentablemente Fortinet sigue, con cada nueva versión, sacando de la interfase WEB aquellas características que facilitan la integración con terceros.Para una proxima entrada del blog, voy a publicar como configurar el syslog para acceder a los logs de los equipos fortigate.
