FortiGateは、セキュリティ製品ですので、セキュリティに関するログが重要になります。また、FortiGateそのもののログも出力されます。

セキュリティのポリシーのログ
「ポリシー&オブジェクト」のところで、ポリシーにおいて、「ロギングオプション」があります。デフォルトでは、「許可トラフィックをログ」の「セキュリティイベント」になっています。これは、許可ログもすべて取得しては、ログが莫
大になるからです。

1 
ここの設定で、「すべてのセッション」を選ぶことも可能です。これを選ぶと、上部にあるセキュリティプロファイルで選択した、AVやWebフィルタのログも取得します。
2 
先ほどの画面で、「セッション開始時にログを生成」は、デフォルトはOFFです。SYNパケットが発生した時点でログを取得します。なので、3Wayハンドシェークに失敗したものも、ログとして取得できます。

筐体に関するログ
・セキュリティ設定やらポリシーに関するものではなく、筐体に関するイベントのログに関してです。
・ログレベルとしてemergency,alert,critical,error,warning,notification,information,debugがあります。それぞれのレベルを付与してログが出力されます。
・デフォルトでは、すべてのログレベルが出力されます。
・出力するログのレベルを変更する方法は、CLIのみです。set severityコマンドで変更できます。
・ログの設定は「ログ&レポート」の「ログ設定」から行います。
・ログの出力先は「ローカルログ」の「ディスク」がデフォルトです。
3
・Syslogに転送するには、「リモートロギングとアーカイブ」で「ログをSyslogへ送る」にして、SyslogサーバのIPアドレスを記載します。
4

ログについて
内部にログをためて、GUIで見ると、ログが正確に出ない場合がある。きちんとログを見たいのであれば、Syslogサーバなどに転送するほうがいいだろう。
・GUIだと、表示されるログの上限が決まっていた気がする
・単なる転送ログだと、通常トラフィックは表示されない場合があるだろう。 severityのレベルをnotificationに変更しよう。 ※この点は上にも書いています。
FortiGateを勉強する女性SE (10)

なんだかよくわからないです
順に整理しよう。
・ポリシーにおいて、「許可トラフィックをログ」を「すべてのセッション」にする。
・ログは「ログ&レポート」>「転送トラフィック」に表示される。

ただし、60クラスの小さいものは、メモリが小さいので、デフォルトではログが取得されない。なぜかというと、severity(厳格さ)の設定が原因である。初期設定を見てみよう

FGT60D # show full-configuration log memory filter ←showコマンドで確認
config log memory filter
    set severity warning ←結果表示:warinigになっている
    set forward-traffic enable
    ・・・・

そこで、設定変更をする
FGT60D # config log memory filter ←該当の階層に移動
FGT60D (filter) # set severity information ←severity(厳格さ)をinformationまたはnotificationに変更
FGT60D (filter) # end
FGT60D # 
 ※saveなどの明示的な保存は不要。自動で保存される。

・システムログには、トラフィックがあふれてこれ以上セキュリティチェックをしないなどのログも表示される。

スポンサードリンク