Etiket arşivi: syslog

fortianalizer ve syslog log karşılaştırması

Sistemde bulunan fortigate firewallun bilindiği gibi direk üzerinden derinlemesine raporlar alamk mümkün olmamaktadır. Bu tarz raporlar için fortianalizer cihazının alınmasını söylenir. Aklıma açaba cihaz fortianalizera logları hangi formatta gönderiyor diye bir soru geldi. bende tuttum kendi pc me analizer loglarını yönlendirip Wireharkla gelen paketleri dinledim. Fortianalizer configusrayonu
Fortigate üzerinde Log&Report/Log Config /FortiAnalyzer (Enable yapılır)
Minimum severity level: Information
Static IP Address:kendi pc adress
ve wireshark filterda: ip.src==192.168.2.254 and udp komutu verdim.

yakalanan paket aşağıda ki gibidir.


date=2008-12-03 time=16:40:29 devname=FG100AXXXXX device_id=FG100AXXXXX log_id=0021010001 type=traffic 
subtype=allowed pri=notice vd=root SN=7584138 duration=384 user=N/A group=N/A policyid=11 proto=6 service=80/tcp 
app_type=N/A status=accept src=192.168.2.104 srcname=192.168.2.104 dst=212.175.126.10 dstname=212.175.126.10 
src_int=internal dst_int=wan2 sent=854 rcvd=2825 sent_pkt=5 rcvd_pkt=5 src_port=3387 dst_port=80 vpn=N/A 
tran_ip=85.XXX.XXX.XXX tran_port=40604 dir_disp=org tran_disp=snat

fortianalizerı iptal edip syslog sunucuyu aynı ayarlarla ayarladığımda yukarıdakinin benzeri bir log formatıyla karşılaştım. yani anlayacağınız syslog sunucuya gönderilen paketlerle fortianalizera gönderilen log bilgileri aynı.

debain syslog-ng üzerinde fortigate loglarını turmak

debian 4.0 etc üzerinde fortinetin üretmiş olduğu syslogları tutmak için neler yapılacak bunları adım
adım işleme alaçağız.

ilk önce
apt-get install syslog-ng
komutunu vererek kurulumun yapılmasını sağlıyoruz.

kurulum işlemi yapıldıktan sonra
pico /etc/syslog-ng/syslog-ng.conf
dosyasını açıyoruz. dosyada

####### options

options {

 sync (0);
time_reopen(10);
log_fifo_size (2048);
long_hostnames (off);
use_dns (no);
use_fqdn (no);
create_dirs (yes);
keep_hostname (yes);
};

# destinations

# some standard log files
destination df_auth { file("/var/log/auth.log"); };
destination df_syslog { file("/var/log/syslog"); };
destination df_cron { file("/var/log/cron.log"); };
destination df_daemon { file("/var/log/daemon.log"); };
destination df_kern { file("/var/log/kern.log"); };
destination df_lpr { file("/var/log/lpr.log"); };
destination df_mail { file("/var/log/mail.log"); };
destination df_user { file("/var/log/user.log"); };
destination df_uucp { file("/var/log/uucp.log"); };
destination df_fortinet { file ("/var/log/fortinet/$HOST/$FACILITY/log.$YEAR$MONTH$DAY");};
filter f_1 { not match('dropped'); };


burada /var/log dizini altına fortine t adı altında bir dizin açıyoruz. bu dizinin altında
cihazın host adıyla bir dizin daha açıp bu dizinin altında log.20081102 v.b şeklinde

# sources

# all known message sources
source s_all {
# message generated by Syslog-NG
internal();
# standard Linux log source (this is the default place for the syslog()
# function to send logs to)
unix-stream(“/dev/log”);
# messages from the kernel
file(“/proc/kmsg” log_prefix(“kernel: “));
# use the following line if you want to receive remote UDP logging messages
# (this is equivalent to the “-r” syslogd flag)
udp(ip(0.0.0.0) port (514));
};

istiyoruz. loglarımız günlük olarak ayrı ayrı loglanmaya başlayacaktır.

dosyanın en altına da

log { 
source (s_all);
filter (f_1);
destination (df_fortinet); };

kodlarını ekliyoruz. bu eklemede yapıldıktan sonra dosyamızı kaydedip çıkıyoruz.

dosya kayıt işleminden sonra
/etc/init.d/syslog-ng restart
komutunu veriyoruz.
/var/log/fortinet/ dizininde dosyaların oluştuğunu göreceksiniz.

tail -f tail -f log.20081025

komutunun verdiğiniz de

Oct 25 23:01:23 192.168.2.254 date=2008-11-02 time=22:44:32,devname=FG100A2105492412,
device_id=FG100A2105492412,log_id=0021010001,type=traffic,subtype=allowed,
pri=notice,vd=root;SN=15099109,duration=100,user=N/A,group=N/A,policyid=7,
proto=6,service=80/tcp,app_type=N/A,status=accept,src=192.168.2.7,
srcname=192.168.2.7,dst=212.156.13.26,dstname=212.156.13.26,src_int=internal,
dst_int=wan1,sent=640,rcvd=1639,sent_pkt=7,rcvd_pkt=5,src_port=3027,dst_port=80,
vpn=N/A,tran_ip=85.99.120.86,tran_port=60285,dir_disp=org,tran_disp=snat

şeklinde syslog kayıtlarının sisteme düştüğünü görebilirsiniz.