FortiGateでのもっとも基本的なログの取得設定

4323 ワード

fortigate fortigate テキストリンク

このページの作成理由

FortiGateのもっとも基本的なログの取り方を教えてもらった。
きっとそのうち忘れちゃうから、忘れないうちにメモ。

ここにはこんなことを記載しているよ

　・FortiGateでのもっとも基本的なログ取得のための設定方法。
　・欲しいログがうまく取得できないときの確認ポイント。

今回の確認で使用した機器

FortiGate 60E

設定/確認手順

FortiGateでログが取りたい！もしくは、欲しいログがなぜか出て来ない！と言った場合、
設定/確認するポイントは以下の3点。

①全体的なログの取得設定は実施しているか？
②ポリシー毎のログ取得設定を実施しているか？
③取得するログのレベルは適切な設定か？

番外：
④それでも見たいログが表示されない場合の確認ポイント

①全体的なログの取得設定は実施しているか？

　設定する箇所は、以下。

　「ログ＆レポート」→「ログ設定」→「ログ設定」→「イベントロギング」

　ここで、「すべて」を選択して、「適用」ボタンを押下する。
　

②ポリシー毎のログ取得設定を実施しているか？

　設定する個所は、以下。

　「ポリシー＆オブジェクト」→「IPv4ポリシー」→
　「（ログを見たいポリシーを編集）」→「ロギングオプション」

　※該当のポリシーを選択後、右クリックして「編集」でも可。
　
　ここで、「許可トラフィックのログ」を"有効"にして、　「すべてのセッション」を選択後、
　「OK」ボタンを　押下する。
　
　

③取得するログのレベルは適切な設定か？

　ForitiGateでは、ロギングレベルの確認/変更をGUIで実施することができない。

　このため、CLIを利用して設定を確認/変更する。

　1. 画面内の「>_」を選択し、CLIの画面を表示する。
　　(TeraTerm等でのアクセスでもOK)

　2. 以下のコマンドで現在のロギングレベルを確認する。

　　show full-configuration log memory filter

　　※"set severity" 欄を確認する。
　
　3. 以下のコマンドを続けて入力して、ロギングレベルを変更する。

　　※一例として、ここでは"informatin"レベルに変更してみる。

　　configl log memory filter
　　set severity information
　　end

　　※最後に必ず"end"を打ち変更を保存すること。

　4. 設定値がちゃんと変更されたか確認する。

　　show full-configuration log memory filter

　　※"set severity" 欄を確認する。
　
　もっとも基本的な方法としては、以上で設定完了。

　あとは、「ログ＆レポート」→「転送トラフィック」と
　選択肢して、ログの結果を確認する。

　　※「許可」ログも、「拒否」ログも同じくこの「転送トラフィック」内に表示される。

④それでも見たいログが取得できていない場合は？

　パッと思いつく原因としては、以下の2点。

　　・ロギングレベルが適切ではない。
　　・ポリシー毎のログ取得設定が正しくない。
　　・セッションタイムアウト値の問題。

ロギングレベルについては、とりあえず一旦、下げてみることをおすすめしたい。
下げ方については、「③」の手順を参照。

私が調査でやったときは、"infomation"レベルに下げることで
欲しいログが出てきたが、Web上の情報とか見ていると"notification"レベルでも
良いっぽい。

ポリシー毎のログ取得設定については、特に「拒否」ログを
見たい場合に、ハマることが多いかもしれない。

ポリシーで明示的に「拒否」ポリシーを入れている場合は、
そのポリシーでログを取得するようにすれば良いので分かりやすいが、
そうでない場合は、最後の「暗黙のDENY」で通信が拒否されている
はずなので、「暗黙のDENY」でもログを取得するように設定すると
いうことを気を付ける必要がある。

セッションタイムアウト値の問題については、私も完全には
把握できていないけれども、FortiGateのログは、「セッションが閉じた」
タイミングで記録される模様。

このため、セッションが継続したままで放置されてしまうと
FortiGateの「セッションタイムアウト値」の設定により
セッションが閉じられるまでログが出て来ないらしい。

ちなみに、デフォルトのセッションタイムアウト値は以下となる。

TCP ：3,600秒
UDP ： 180秒
ICMP ： 60秒

つまり、例えば端末がどっかのWebサイトを開いてから、閉じずに
そのまま放置してしまうと、3,600秒後のセッションタイムアウトまで
そのログは表示されてこない、となる模様。

すぐに端末側から切断する等して、すぐにセッションが閉じられた
場合は、3,600秒待たずともそのあとすぐにログが表示される。（たぶん）

Author And Source

この問題について(FortiGateでのもっとも基本的なログの取得設定), 我々は、より多くの情報をここで見つけました https://qiita.com/t-morisoba/items/2b48fcabb5e7597c4cec

著者帰属：元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。

Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .