資訊無涯,回頭已不見岸

用Kiwi Syslog Server收集Fortigate Log

阿亮曾說過:「凡走過必留下痕跡」,這句話也很適用於網路世界。但...沒有把證據留下,就算請李昌鈺博士或何瑞修來都沒用。所以,我們可以透過老牌子的Kiwi Syslog Server 協助,將公司網路流量都會經過防火牆設備而產生的Log,給通通存起來。

請參考上圖到Kiwi Syslog Server 官方頁面,點選「DOWNLOAD」。要注意的是,下載項目跟斯斯一樣分為兩種,除非老闆已經發佛心給你一筆錢買軟體來玩,否則大都是先使用免費版。另外,在點選下載後,會被要求填寫一些資料,這部分請摸著良心填寫就好,並不會很機車地要求填寫正確的E-Mail 地址,才把下載連結寄給你。

下載壓縮檔回來後,直接點選如下圖的「Kiwi_Syslog_Server_9.1.0.setup.exe」即可安裝。剩下那兩帖是什麼藥,看倌有興趣就自行服用,畢竟不在這次的研究範圍。

安裝過程還算是無腦式,除了下面兩張圖文需要比較注意。
1. 選擇Kiwi Syslog Server 的運作模式。一般都是選擇「as a Service」居多,因為只要一啟動Windows 就立即上工。

2. 請取消勾選「Install Kiwi Syslog Web Access」,除非老闆有給你錢買授權版。

完成安裝後,會發現一件還蠻貼心的事:以Windows Server 2008 R2 來說,到「系統管理工具」打開「具有進階安全性的 Windows 防火牆」。

Kiwi Syslog Server 在安裝過程已經自動在防火牆上,對於自身的程式服務增加了兩筆TCP 及UDP 的規則,避免百密好幾疏的挨踢人忘記有防火牆這檔事。

最後,到Fortigate 防火牆設備設定Syslog,選擇「Log&Report」再點選「Log Config」,在「Log Setting」頁面裡針對「Syslog」做設定。這裡比較重要的,就是Syslog Server 的IP 或主機名設定,及該主機服務的對外埠號,至於剩下的設定定義為何,有興趣的人建議拜請一下股溝大神

一勾選完,在回頭去看Kiwi Syslog Server 的GUI 介面,就會發現Log 如潮水般湧進了。

其實市面上的Syslog Server 軟體不少,這幾天小弟還另外玩了「Syslog Watcher Pro」,雖然GUI 介面比起Kiwi 漂亮很多(編註:Kiwi 付費版的的Web Access 也是很不錯),但很可惜的是,用這套軟體還要拜託老闆賞銀兩,而且還少了我在Kiwi Syslog Server 免費版就蠻需要的功能,也就是可以針對將每小時的Log 存成單一檔案。

開啟Kiwi Syslog Server Console,在工具列的「File」點選「Setup」,參考下圖的位置就能進行設定。請先瀏覽或輸入存放的目錄位置,接著再利用藍字提示的「Insert AutoSplit Value」,就能將檔案自動分割成你想要的區段,相對的檔名也會依此產生。

以上述的範例來說,產生的Log 記錄檔就會如下圖。

當然,Kiwi Syslog Server 不是僅能收集Fortigate 防火牆的Log 而已,只要網路設備或作業系統有支援Syslog,都能照吞無誤。不過這些Log 檔收集起來,以我公司來說,24小時的量就上看500MB,真要從這些Log 裡要找到蛛絲馬跡,建議還是搭配像是Samwill 等Log 分析軟體,否則觀察那些Log 跟看天書沒兩樣。

11 則留言

  1. ChaN

    蘇老您好
    感謝您這篇文章
    我的 Firewall 是 FortiGate 400A
    設定跟您完全一樣
    但照理說我一直 refresh browser, request log 應該一直出現才對
    但我發現並沒有,請問有什麼可能原因嗎?

  2. AskaSu

    如果仍然沒有收到 Log,
    先檢查防火牆設定,
    然後確認收 Log 的主機是否與防火牆可正常通訊,
    再不行的話,換別套軟體試試看。

  3. albert

    蘇老你好

    最近在測試 從 fortigate 100 換成 110C
    100 有 1 個 DMZ Port 1 個 Internal , 110C 有 8 個 Port
    請問 100 中的 DMZ和internal 在 110C 是否要以 VLAN 的方式設定?
    不好意思,小囉囉被交辦要測試
    卻什麼都不懂
    只好來請教了

    謝謝

  4. Adam

    蘇老您好,
    請問除了syslog外 Fortigate的 traffic log有辦法收集嗎?
    感謝

    • AskaSu

      是問有其他軟體可以收 Fortigate 的 Log 嗎?
      如果沒記錯的話,只要是標準的 Syslog Server,
      都可以在 FG 上設定將 Log 指到那台伺服器上。

      Log 的格式及內容可以大致參考 Fortinet 網站的說明:
      Understanding log messages

  5. 阿彰

    請教大家
    它的資料庫有沒有支援oracle呢?
    感謝

  6. Jos

    蘇老師你好,請問我一次收兩台設備,這樣收集下來的Log檔是可以區分開來的嗎?還是集中在一起

  7. Richard

    你好~
    請問這個軟體可以收集外網設備的LOG嗎?像是A、B公司的設備,但我在C公司,可以將A、B公司的設備LOG設定傳回到C公司嗎?要如何設定呢?這個軟體可以收集嗎?謝謝!!

    • AskaSu

      A、B、C 公司有用 VPN 串接起來嗎?
      如果沒有,理論上就需要讓你的 Syslog Server 對外開埠,
      才有機會讓其他公司的設備往 C 公司的 Syslog Server 送 Log

發佈回覆給「AskaSu」的留言 取消回覆

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

© 2024 蘇老碎碎唸

Theme by Anders NorenUp ↑