当記事では、FortiGateのVDOM毎にログの転送先syslogサーバ指定を行う設定について記載します。
目次
前提条件
検証環境
本記事内の検証環境は、以下の通りです。
- 型番:FortiGate 60F
- バージョン:FortiOS v6.4.6,build1879
VDOMとは
VDOM(バーチャル/仮想ドメイン)は1台のFortiGate上に仮想的なFortiGateを複数構築する機能です。VDOM毎にセキュリティポリシー設定ができます。
これにより1台のFortiGateで複数の異なるセキュリティポリシーを管理できるようになります。
事前準備
- ログ転送先syslogサーバのIPアドレスを確認します。
今回は172.23.61.159をsyslogサーバのIPアドレスとします。 - 今回はVDOM有効化済みの前提で設定を行います。
- 転送先syslogサーバの指定をします。
転送先は最大4つまで分けることが出来ます。指定方法はsyslogdまたはsyslogd[2~4]の様に指定したい数字を入力します。今回はsyslogd4を使用します。 - 今回は使用するVDOM専用の管理者アカウントでSSH接続を行います。
グローバルの管理者アカウントで接続する場合、以下の手順でVDOM環境への切り替えを行ってください。
$config vdom $edit <設定をしたいVDOM名>
転送設定方法
まず、Tera Termでsyslogの送信元IPアドレス(使用するFortiGateのIPアドレス)を入力してログインします。
次にoverrideを有効化する必要があるので以下のコマンドを入力します。
FGT-60F $ config log setting FGT-60F $ set syslog-override enable
転送設定
VDOMモードにおけるsyslogサーバ設定関連のconfig項目はconfig log syslogd[2~4] override-settingです。
syslogサーバへの設定と各項目の意味は以下のとおりです。
FGT-60F $ config log syslogd4 override-setting FGT-60F (override-setting) $ set status enable #設定を有効化 FGT-60F (override-setting) $ set server "172.23.61.159" #転送先syslogサーバIPアドレス FGT-60F (override-setting) $ set mode udp #syslogの通信形式を指定 FGT-60F (override-setting) $ set port 514 #転送先syslogサーバの受付ポート FGT-60F (override-setting) $ set facility local7 #転送するsyslogのファシリティ FGT-60F (override-setting) $ set source-ip '172.23.61.158' #syslogの送信元IPアドレス FGT-60F (override-setting) $ set format default #ログのフォーマット FGT-60F (override-setting) $end
設定確認
設定の反映を確認します。確認方法は以下のとおりです。
FGT-60F $ config log syslogd4 override-setting FGT-60F (override-setting) $ show full-configuration config log syslogd4 override-setting set status enable set server "172.23.61.159" set mode udp set port 514 set facility local7 set source-ip "172.23.61.158" set format default set priority default end FGT-60F (override-setting) $end
syslogの受信確認
この環境の場合、ファシリティの出力先は/etc/rsyslog.confで確認できます。
今回はファシリティをlocal7で設定したので、/var/log/boot.logを確認します。
転送先syslogサーバにログイン後、tail -f /var/log/boot.logで受信を確認します。
設定したFortiGateのIPアドレスからの通信がログに残っていれば受信成功となります。
※環境によってログの出力先は異なります。
転送設定の無効化
まず、Tera Termでsyslogの送信元IPアドレス(使用するFortiGateのIPアドレス)を入力してログインします。
無効化設定方法
転送無効化設定と確認方法は以下のとおりです。
FGT-60F $ config log syslogd4 override-setting FGT-60F (override-setting) $ set status disable FGT-60F (override-setting) $ show full-configuration config log syslogd4 override-setting set status disable end FGT-60F (override-setting) $end
注意点
VDOM側でsyslog overrideを有効化した場合、当該VDOMに関するログはGlobal設定で指定したsyslogサーバへは転送されず、当該VDOM側でオーバーライドしたsyslogサーバのみに転送されます。十分留意して設定を行う事を推奨します。
上記の仕様についてはFortinetのコミュニティに記載がありますのでご参考頂けますと幸いです。
以上でFortiGateのVDOM毎にログの転送先syslogサーバ指定を行う設定についての説明は終了となります。
記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。
当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。