当記事では、FortiGateのVDOM毎にログの転送先syslogサーバ指定を行う設定について記載します。

前提条件

検証環境

本記事内の検証環境は、以下の通りです。

• 型番：FortiGate 60F
• バージョン：FortiOS v6.4.6,build1879

VDOMとは

VDOM(バーチャル/仮想ドメイン)は1台のFortiGate上に仮想的なFortiGateを複数構築する機能です。VDOM毎にセキュリティポリシー設定ができます。

これにより1台のFortiGateで複数の異なるセキュリティポリシーを管理できるようになります。

事前準備

• ログ転送先syslogサーバのIPアドレスを確認します。
  今回は172.23.61.159をsyslogサーバのIPアドレスとします。
• 今回はVDOM有効化済みの前提で設定を行います。
• 転送先syslogサーバの指定をします。
  転送先は最大4つまで分けることが出来ます。指定方法はsyslogdまたはsyslogd[2~4]の様に指定したい数字を入力します。今回はsyslogd4を使用します。
• 今回は使用するVDOM専用の管理者アカウントでSSH接続を行います。
  グローバルの管理者アカウントで接続する場合、以下の手順でVDOM環境への切り替えを行ってください。
  
  

  $config vdom
  $edit <設定をしたいVDOM名>

転送設定方法

まず、Tera Termでsyslogの送信元IPアドレス(使用するFortiGateのIPアドレス)を入力してログインします。
次にoverrideを有効化する必要があるので以下のコマンドを入力します。

FGT-60F $ config log setting
FGT-60F $ set syslog-override enable

転送設定

VDOMモードにおけるsyslogサーバ設定関連のconfig項目はconfig log syslogd[2~4] override-settingです。

syslogサーバへの設定と各項目の意味は以下のとおりです。

FGT-60F $ config log syslogd4 override-setting
FGT-60F (override-setting) $ set status enable #設定を有効化
FGT-60F (override-setting) $ set server "172.23.61.159" #転送先syslogサーバIPアドレス
FGT-60F (override-setting) $ set mode udp #syslogの通信形式を指定
FGT-60F (override-setting) $ set port 514 #転送先syslogサーバの受付ポート
FGT-60F (override-setting) $ set facility local7 #転送するsyslogのファシリティ
FGT-60F (override-setting) $ set source-ip '172.23.61.158' #syslogの送信元IPアドレス
FGT-60F (override-setting) $ set format default #ログのフォーマット
FGT-60F (override-setting) $end

設定確認

設定の反映を確認します。確認方法は以下のとおりです。

FGT-60F $ config log syslogd4 override-setting
FGT-60F (override-setting) $ show full-configuration
config log syslogd4 override-setting
    set status enable
    set server "172.23.61.159"
    set mode udp
    set port 514
    set facility local7
    set source-ip "172.23.61.158"
    set format default
    set priority default
end
FGT-60F (override-setting) $end

syslogの受信確認

この環境の場合、ファシリティの出力先は/etc/rsyslog.confで確認できます。
今回はファシリティをlocal7で設定したので、/var/log/boot.logを確認します。
転送先syslogサーバにログイン後、tail -f /var/log/boot.logで受信を確認します。
設定したFortiGateのIPアドレスからの通信がログに残っていれば受信成功となります。
※環境によってログの出力先は異なります。

転送設定の無効化

まず、Tera Termでsyslogの送信元IPアドレス(使用するFortiGateのIPアドレス)を入力してログインします。

無効化設定方法

転送無効化設定と確認方法は以下のとおりです。

FGT-60F $ config log syslogd4 override-setting
FGT-60F (override-setting) $ set status disable
FGT-60F (override-setting) $ show full-configuration
config log syslogd4 override-setting
    set status disable
end
FGT-60F (override-setting) $end

注意点

VDOM側でsyslog overrideを有効化した場合、当該VDOMに関するログはGlobal設定で指定したsyslogサーバへは転送されず、当該VDOM側でオーバーライドしたsyslogサーバのみに転送されます。十分留意して設定を行う事を推奨します。

上記の仕様についてはFortinetのコミュニティに記載がありますのでご参考頂けますと幸いです。

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Override-FortiAnalyzer-and-syslog-server-settings/ta-p/193501

以上でFortiGateのVDOM毎にログの転送先syslogサーバ指定を行う設定についての説明は終了となります。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。