我有一台装有 FortiOS 5.06 的 Fortigate 100D,这是我的设置
config log syslogd setting
set status enable
set server “192.168.7.4″
set reliable disable
set port 515
set csv disable
set facility alert
set source-ip 192.168.9.2
end
我有一台 Splunk 服务器 192.168.7.4,正在监听端口 515 TCP,我的交换机可以正常将其日志转发到 Splunk,但我无法让 Fortigate 工作。Splunk 服务器未从 Fortigate 收到任何日志。
答案1
设置reliable disable = UDP,你需要设置reliable enable = tcp
来自 fortinet CLI 手册:
可靠 {禁用 | 启用} 启用系统日志消息到系统日志服务器的可靠传送。启用后,FortiGate 设备将实施 RFC 3195 的 RAW 配置文件,使用 TCP 协议发送日志消息。
答案2
Syslog 通常是 UDP 514,并且当设置为使用该端口时,Splunk 一定能正常工作。