FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

カテゴリ:7.管理設定 > 7.3 ログの設定

FortiGateは、セキュリティ製品ですので、セキュリティに関するログが重要になります。また、FortiGateそのもののログも出力されます。

セキュリティのポリシーのログ
「ポリシー&オブジェクト」のところで、ポリシーにおいて、「ロギングオプション」があります。デフォルトでは、「許可トラフィックをログ」の「セキュリティイベント」になっています。これは、許可ログもすべて取得しては、ログが莫
大になるからです。
1 
ここの設定で、「すべてのセッション」を選ぶことも可能です。これを選ぶと、上部にあるセキュリティプロファイルで選択した、AVやWebフィルタのログも取得します。
2 
先ほどの画面で、「セッション開始時にログを生成」は、デフォルトはOFFです。SYNパケットが発生した時点でログを取得します。なので、3Wayハンドシェークに失敗したものも、ログとして取得できます。

筐体に関するログ
・セキュリティ設定やらポリシーに関するものではなく、筐体に関するイベントのログに関してです。
・ログレベルとしてemergency,alert,critical,error,warning,notification,information,debugがあります。それぞれのレベルを付与してログが出力されます。
・デフォルトでは、すべてのログレベルが出力されます。
・出力するログのレベルを変更する方法は、CLIのみです。set severityコマンドで変更できます。
・ログの設定は「ログ&レポート」の「ログ設定」から行います。
・ログの出力先は「ローカルログ」の「ディスク」がデフォルトです。
3
・Syslogに転送するには、「リモートロギングとアーカイブ」で「ログをSyslogへ送る」にして、SyslogサーバのIPアドレスを記載します。
4

アラートメールを送る方法には、「ログ&レポート」から設定する方法1と、「セキュリティファブリック>オートメーション」から設定する方法2の2種類があります。

【方法1】「ログ&レポート>Eメールアラート設定」からの設定
「ログ&レポート」より「Eメールアラート設定」を選択します。

【方法2】イベントメッセージからアラートメールを設定する場合
①「セキュリティファブリック>オートメーション」から「+新規作成」をクリックします。
②「新規オートメーションステッチ」の画面で、適宜名前を入力し、トリガーの中から「イベントログ」を選択します。
イベントログのアイコン下に表示されるイベント項目の「 + 」をクリックします。
③画面右に「エントリを選択」が表示され、複数のイベントメッセージから項目を選択できます。

FortiGateを勉強する女性SE (はてな) 

どう使い分けるのですか?
大きな違いの一つとして、前者は、機器単体、後者は複数機器にまたがったアラート設定ができることがあります。
ですから、FortiGateが複数ある場合はセキュリティファブリックからの設定になります。

また、前者の「E-メールアラート」は、機器単体が安定稼働しているかを判断する管理(Disk超過や設定変更、HAステータス等)、セキュリティ(AV、IPSの検知)が主です。
そして、通知内容は決められており、特定のイベントを追加することはできません。できるのは、セベリティレベルの変更だけです。

スポンサードリンク

↑このページのトップヘ