NW機器

FortiGateのVDOM毎にログの転送先syslogサーバ指定を行う設定について

当記事では、FortiGateのVDOM毎にログの転送先syslogサーバ指定を行う設定について記載します。

前提条件

検証環境

本記事内の検証環境は、以下の通りです。

  • 型番:FortiGate 60F
  • バージョン:FortiOS v6.4.6,build1879

VDOMとは

VDOM(バーチャル/仮想ドメイン)は1台のFortiGate上に仮想的なFortiGateを複数構築する機能です。VDOM毎にセキュリティポリシー設定ができます。

これにより1台のFortiGateで複数の異なるセキュリティポリシーを管理できるようになります。

事前準備

  • ログ転送先syslogサーバのIPアドレスを確認します。
    今回は172.23.61.159をsyslogサーバのIPアドレスとします。
  • 今回はVDOM有効化済みの前提で設定を行います。
  • 転送先syslogサーバの指定をします。
    転送先は最大4つまで分けることが出来ます。指定方法はsyslogdまたはsyslogd[2~4]の様に指定したい数字を入力します。今回はsyslogd4を使用します。
  • 今回は使用するVDOM専用の管理者アカウントでSSH接続を行います。
    グローバルの管理者アカウントで接続する場合、以下の手順でVDOM環境への切り替えを行ってください。

    $config vdom
    $edit <設定をしたいVDOM名>

転送設定方法

まず、Tera Termでsyslogの送信元IPアドレス(使用するFortiGateのIPアドレス)を入力してログインします。
次にoverrideを有効化する必要があるので以下のコマンドを入力します。

FGT-60F $ config log setting
FGT-60F $ set syslog-override enable

転送設定

VDOMモードにおけるsyslogサーバ設定関連のconfig項目はconfig log syslogd[2~4] override-settingです。

syslogサーバへの設定と各項目の意味は以下のとおりです。

FGT-60F $ config log syslogd4 override-setting
FGT-60F (override-setting) $ set status enable #設定を有効化
FGT-60F (override-setting) $ set server "172.23.61.159" #転送先syslogサーバIPアドレス
FGT-60F (override-setting) $ set mode udp #syslogの通信形式を指定
FGT-60F (override-setting) $ set port 514 #転送先syslogサーバの受付ポート
FGT-60F (override-setting) $ set facility local7 #転送するsyslogのファシリティ
FGT-60F (override-setting) $ set source-ip '172.23.61.158' #syslogの送信元IPアドレス
FGT-60F (override-setting) $ set format default #ログのフォーマット
FGT-60F (override-setting) $end

設定確認

設定の反映を確認します。確認方法は以下のとおりです。

FGT-60F $ config log syslogd4 override-setting
FGT-60F (override-setting) $ show full-configuration
config log syslogd4 override-setting
    set status enable
    set server "172.23.61.159"
    set mode udp
    set port 514
    set facility local7
    set source-ip "172.23.61.158"
    set format default
    set priority default
end
FGT-60F (override-setting) $end

syslogの受信確認

この環境の場合、ファシリティの出力先は/etc/rsyslog.confで確認できます。
今回はファシリティをlocal7で設定したので、/var/log/boot.logを確認します。
転送先syslogサーバにログイン後、tail -f /var/log/boot.logで受信を確認します。
設定したFortiGateのIPアドレスからの通信がログに残っていれば受信成功となります。
※環境によってログの出力先は異なります。

転送設定の無効化

まず、Tera Termでsyslogの送信元IPアドレス(使用するFortiGateのIPアドレス)を入力してログインします。

無効化設定方法

転送無効化設定と確認方法は以下のとおりです。

FGT-60F $ config log syslogd4 override-setting
FGT-60F (override-setting) $ set status disable
FGT-60F (override-setting) $ show full-configuration
config log syslogd4 override-setting
    set status disable
end
FGT-60F (override-setting) $end

注意点

VDOM側でsyslog overrideを有効化した場合、当該VDOMに関するログはGlobal設定で指定したsyslogサーバへは転送されず、当該VDOM側でオーバーライドしたsyslogサーバのみに転送されます。十分留意して設定を行う事を推奨します。

上記の仕様についてはFortinetのコミュニティに記載がありますのでご参考頂けますと幸いです。

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Override-FortiAnalyzer-and-syslog-server-settings/ta-p/193501

以上でFortiGateのVDOM毎にログの転送先syslogサーバ指定を行う設定についての説明は終了となります。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

LogStare Collectorをsystemctlコマンドから起動する方法前のページ

FortiGateのアラートメールの設定方法次のページ

ピックアップ記事

  1. IoT機器「Raspberry pi」とLogStare Collectorで温…
  2. ログフォワーダー「okurun.jar」について
  3. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  4. Zabbixヒストリデータのレポート生成について

関連記事

  1. NW機器

    FortiGateにおけるTLS通信を利用したSYSLOG送信方法

    当記事では、FortiGateにおけるTLS通信を利用してSyslog…

  2. WatchGuard FireboxをSNMPで監視する

    NW機器

    WatchGuard FireboxをSNMPで監視するための設定方法

    当記事では、WatchGuard社FireboxシリーズのSNMP(v…

  3. NW機器

    LogStare Collectorにて、UNIVERGE IXシリーズ のSNMP監視をするための…

    当記事では、LogStare Collectorにおける UNIVER…

  4. NW機器

    FortiGate・Palo AltoのSyslogが取得できない

    FortiGate・Palo Alto側での確認事項FortiGa…

  5. NW機器

    Palo AltoにおけるCEF形式ログ送信設定

    当記事では、Palo Alto におけるCEF形式でのログの送信方法に…

secuavail

logstare collector

logstare collector

  1. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  2. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  3. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  4. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  5. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
PAGE TOP