改变 Fortigate 日志的安全级别?

改变 Fortigate 日志的安全级别?

这里是技术新手。

我想将 Fortigate 日志发送到 syslog 服务器。以前,我收到太多不必要的防火墙日志,其中 90% 的安全级别为“通知”。我使用过这个解决方案在 CLI 中更改我收到的日志级别(这样我就不会再收到一堆无用的日志了)。

问题是,我想要保留那些告知我何时登录 Fortigate/我的系统的日志,但由于该日志被标记为“通知”,我不再接收登录会话日志。我能否将登录会话日志的安全级别配置为“警告”,以便接收这些日志(而不是其他“通知”日志)?如果可以,该怎么做?

或者,如果除了更改单个登录会话日志的安全级别之外还有其他解决此问题的方法,欢迎提供任何提示!

请用简单的术语说 - 我刚刚开始玩这个:)

答案1

您可以做的是为该登录事件单独设置一个过滤器。请看这个:

config log syslogd filter
set severity information
set forward-traffic enable
set local-traffic enable
set multicast-traffic enable
set sniffer-traffic enable
set anomaly enable
set voip enable
set filter "logid(0100032001,0100032003)"
set filter-type include

结尾

您会看到,您可以启用/禁用某些来源(不包括 FortiOS 本身(登录事件是 FortiOS 事件),这可能有助于减少日志数量。但是,此外,您还可以创建一个过滤器,允许发送您希望看到的这些事件。

添加要包含的事件的 logID 意味着排除所有其他事件。

您可以从 docs.fortinet.com 上的“FortiOS 日志消息参考”获取 logID。此事件称为“LOG_ID_ADMIN_LOGIN_SUCC”。32003 是管理员注销的 ID。

最后,登录/注销事件属于“信息”级别,而不是“通知”级别。

相关内容