1. Tổng quan.
Logs (ghi chép) là các dòng thông tin ghi lại sự kiện, hoạt động hoặc thông tin quan trọng trong hệ thống máy tính hoặc mạng. Logs có thể bao gồm thông tin về lỗi, cảnh báo, tình trạng hoạt động của các ứng dụng và thiết bị, và nhiều thông tin khác để hỗ trợ việc quản lý, giám sát, và bảo mật hệ thống.
FortiGate là một hệ thống tường lửa và bảo mật mạng sản xuất bởi Fortinet. FortiGate có khả năng tạo và quản lý các loại logs để giám sát và bảo vệ mạng. Dưới đây là một số loại logs phổ biến trên FortiGate:
- Traffic Logs: Đây là logs liên quan đến lưu lượng mạng, bao gồm thông tin về các kết nối và gói tin đi qua thiết bị FortiGate. Traffic logs thường bao gồm thông tin về nguồn, đích, giao thức, và các quy tắc áp dụng.
- Security Logs: Logs này ghi lại các sự kiện bảo mật quan trọng như các tấn công, cảnh báo vi phạm chính sách bảo mật, hoặc các hoạt động đáng ngờ trên mạng. Điều này bao gồm cả logs về IDS/IPS (Intrusion Detection System/Intrusion Prevention System).
- System Logs: Các logs hệ thống chứa thông tin về hoạt động của chính thiết bị FortiGate, bao gồm cả thông báo lỗi, thông tin về hệ thống, và quá trình khởi động.
- Event Logs: Logs này ghi lại các sự kiện quan trọng khác nhau trên thiết bị FortiGate, chẳng hạn như thay đổi cấu hình, quản lý người dùng, và các sự kiện liên quan đến quản lý hệ thống.
- VPN Logs: Các logs về kết nối VPN, bao gồm thông tin về kết nối IPsec, SSL VPN, và các sự kiện liên quan đến các kết nối này.
- Web Filter Logs: Logs về hoạt động của hệ thống lọc web trên FortiGate, bao gồm các trang web đã truy cập và các quy tắc đã áp dụng.
- Email Filter Logs: Logs về hoạt động của hệ thống lọc email, bao gồm các email đã quét, các quy tắc đã áp dụng và các cảnh báo liên quan đến email.
- Application Control Logs: Logs về việc kiểm soát ứng dụng trên mạng, bao gồm thông tin về các ứng dụng đã sử dụng và các hành vi liên quan đến ứng dụng.
- Authentication Logs: Logs liên quan đến quá trình xác thực và đăng nhập người dùng vào hệ thống.
- Session Logs: Logs ghi lại thông tin về các phiên kết nối mạng, bao gồm thông tin về thời gian bắt đầu và kết thúc phiên.
2. Thực hành.
Bước 1 – Cấu hình cho Fortigate gửi logs tới Graylog.
Bước 2 – Chuẩn bị template.
Mình sử dụng template nàyhttps://github.com/teon85/fortigate6.4_graylog4, bạn hãy download nó về.
Bước 3 – Import template vào Graylog.
Vào system -> Content Packs.
Vào Upload.
Chọn file json vừa tải về và upload nó vào Graylog.
Hình dưới là ví dụ cho template upload thành công.
Upload xong thì hãy cài đặt nó.
Bạn thấy Fortigate 6.4.4 Content Pack for graylog4 đã có trạng thái Installed, như vậy nó đã install thành công.
Bây giờ bạn có thể vào tab Search sẽ thấy logs đã xuất hiện.
Nếu bạn bấm vào xem chi tiết 1 log thì bạn sẽ thấy log này đã được parsec sẵn rồi, lý do là trong template họ đã phân tích sẵn cho bạn.
Và họ cũng tặng bạn 1 dashboard.
Đây là kết quả.
Một ví dụ tiêp theo mình sẽ vào trang https://marketplace.graylog.org/addons/f1b25e9c-c908-41e4-b5de-4549c500a9d0 để chọn một template từ cộng đồng chia sẻ.
Lần này mình chọn FortiGate Syslog của một anh tên Seanthegeek.
Nhưng thật bất ngờ là logs này mình import bị lỗi, theo logs thì lỗi do version của Graylog.
Bạn hãy vào show để xem các yêu cầu của template.
Bạn để ý lần này phiên bản của Graylog yêu cầu cho template này là 5.1.4 nhưng phiên bản hiện tại của mình đang là 5.0.6.
Bạn có thể thực hiện theo bài viết này để nâng cấp phiên bản cho Graylog nhé https://wiki.hoanghd.com/nang-cap-phien-ban-cho-graylog/.
Để ý nhé, khi mình nâng cấp xong thì FortiGate Syslog đã chuyển sang chế độ Installed, tức là nó đã cài đặt thành công.
Ở template này họ cũng cho bạn 1 Dashboard.
Chiêm ngưỡng thôi.
