NW機器

FortiGateのVDOM毎にログの転送先syslogサーバ指定を行う設定について

当記事では、FortiGateのVDOM毎にログの転送先syslogサーバ指定を行う設定について記載します。

前提条件

検証環境

本記事内の検証環境は、以下の通りです。

  • 型番:FortiGate 60F
  • バージョン:FortiOS v6.4.6,build1879

VDOMとは

VDOM(バーチャル/仮想ドメイン)は1台のFortiGate上に仮想的なFortiGateを複数構築する機能です。VDOM毎にセキュリティポリシー設定ができます。

これにより1台のFortiGateで複数の異なるセキュリティポリシーを管理できるようになります。

事前準備

  • ログ転送先syslogサーバのIPアドレスを確認します。
    今回は172.23.61.159をsyslogサーバのIPアドレスとします。
  • 今回はVDOM有効化済みの前提で設定を行います。
  • 転送先syslogサーバの指定をします。
    転送先は最大4つまで分けることが出来ます。指定方法はsyslogdまたはsyslogd[2~4]の様に指定したい数字を入力します。今回はsyslogd4を使用します。
  • 今回は使用するVDOM専用の管理者アカウントでSSH接続を行います。
    グローバルの管理者アカウントで接続する場合、以下の手順でVDOM環境への切り替えを行ってください。

    $config vdom
    $edit <設定をしたいVDOM名>

転送設定方法

まず、Tera Termでsyslogの送信元IPアドレス(使用するFortiGateのIPアドレス)を入力してログインします。
次にoverrideを有効化する必要があるので以下のコマンドを入力します。

FGT-60F $ config log setting
FGT-60F $ set syslog-override enable

転送設定

VDOMモードにおけるsyslogサーバ設定関連のconfig項目はconfig log syslogd[2~4] override-settingです。

syslogサーバへの設定と各項目の意味は以下のとおりです。

FGT-60F $ config log syslogd4 override-setting
FGT-60F (override-setting) $ set status enable #設定を有効化
FGT-60F (override-setting) $ set server "172.23.61.159" #転送先syslogサーバIPアドレス
FGT-60F (override-setting) $ set mode udp #syslogの通信形式を指定
FGT-60F (override-setting) $ set port 514 #転送先syslogサーバの受付ポート
FGT-60F (override-setting) $ set facility local7 #転送するsyslogのファシリティ
FGT-60F (override-setting) $ set source-ip '172.23.61.158' #syslogの送信元IPアドレス
FGT-60F (override-setting) $ set format default #ログのフォーマット
FGT-60F (override-setting) $end

設定確認

設定の反映を確認します。確認方法は以下のとおりです。

FGT-60F $ config log syslogd4 override-setting
FGT-60F (override-setting) $ show full-configuration
config log syslogd4 override-setting
    set status enable
    set server "172.23.61.159"
    set mode udp
    set port 514
    set facility local7
    set source-ip "172.23.61.158"
    set format default
    set priority default
end
FGT-60F (override-setting) $end

syslogの受信確認

この環境の場合、ファシリティの出力先は/etc/rsyslog.confで確認できます。
今回はファシリティをlocal7で設定したので、/var/log/boot.logを確認します。
転送先syslogサーバにログイン後、tail -f /var/log/boot.logで受信を確認します。
設定したFortiGateのIPアドレスからの通信がログに残っていれば受信成功となります。
※環境によってログの出力先は異なります。

転送設定の無効化

まず、Tera Termでsyslogの送信元IPアドレス(使用するFortiGateのIPアドレス)を入力してログインします。

無効化設定方法

転送無効化設定と確認方法は以下のとおりです。

FGT-60F $ config log syslogd4 override-setting
FGT-60F (override-setting) $ set status disable
FGT-60F (override-setting) $ show full-configuration
config log syslogd4 override-setting
    set status disable
end
FGT-60F (override-setting) $end

注意点

VDOM側でsyslog overrideを有効化した場合、当該VDOMに関するログはGlobal設定で指定したsyslogサーバへは転送されず、当該VDOM側でオーバーライドしたsyslogサーバのみに転送されます。十分留意して設定を行う事を推奨します。

上記の仕様についてはFortinetのコミュニティに記載がありますのでご参考頂けますと幸いです。

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Override-FortiAnalyzer-and-syslog-server-settings/ta-p/193501

以上でFortiGateのVDOM毎にログの転送先syslogサーバ指定を行う設定についての説明は終了となります。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

LogStare Collectorをsystemctlコマンドから起動する方法前のページ

FortiGateのアラートメールの設定方法次のページ

ピックアップ記事

  1. Zabbixヒストリデータのレポート生成について
  2. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  3. IoT機器「Raspberry pi」とLogStare Collectorで温…
  4. ログフォワーダー「okurun.jar」について

関連記事

  1. FortiGate

    FortiGateのアラートメールの設定方法

    当記事では、FortiGateのCUIからアラートメールの設定から、ア…

  2. NW機器

    D-Link製DGS-3000シリーズ及びDGS-3120シリーズにおけるSYSLOG/SNMP設定…

    当記事では、D-Link製DGS-3000シリーズ及びDGS-3120…

  3. NW機器

    【仕様】VPNトンネルの認証方式においてIKE2を使用した場合、「FortiGuard_VPNステー…

    事象VPNトンネルの認証方式においてIKE2を使用した場合、監視項…

  4. NW機器

    FortiOS v5.6.6におけるログ出力仕様の変更について

    FortiOS v5.6.6より、従来のログ出力方式に仕様変更が行われ…

  5. NW機器

    Cubro社Packetmasterによる複数のSyslog/SNMP-Trap転送を可能にする

    当記事では、Cubro社のPacketmasterを使用して、既存環境…

  6. NW機器

    GlobalProtect から特定アプリケーションの通信を除外する

    当記事では、PaloAlto のGlobalProtect を利用して…

ナレッジステアはセキュアヴェイルグループが運営しています

ネットワーク管理者向けセキュリティセミナー

無料で使えるシステム監視・ログ管理ソフト

  1. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  2. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  3. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  4. 実践記事

    DNSキャッシュポイズニングやってみた
  5. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
PAGE TOP