Sniffer modunda, bir kaynak veya hedef adres harici bir tehdit beslemesindeki bir IP adresiyle her eşleştiğinde trafik loglarını kaydedebilirsiniz.
config firewall sniffer
edit <id>
set logtraffic all
set interface <interface>
set ip-threatfeed-status {enable | disable}
set ip-threatfeed <threat feed> …
next
end
- ip-threatfeed-status {enable | disable} : Enable/disable the IP threat feed.
- ip-threatfeed <threat feed> … : The name of an existing IP threat feed.
IP birden fazla threat feed ile eşleştiğinde, dinleyici günlüğü, yapılandırmadaki ilk harici bağlayıcıyı kullanan normal güvenlik duvarı politika günlüğünden farklı olarak yapılandırmadaki son harici bağlayıcıyı kullanır. Tehdit feed’i bir sniffer politikasında etkinleştirildiğinde ve yapılandırıldığında, trafik IP’si tehdit feed’iyle eşleştiği sürece, bunun için bir trafik günlüğü olacaktır. (logtraffic all veya utm olarak ayarlanmış olsa bile)
Threat feed’ini günlüğe kaydetmek üzere bir sniffer politikası yapılandırmak için:
- Trafik loglarına adres UUID’lerini eklemeyi etkinleştirin:
config system global
set log-uuid-address enable
end
- Sniffer policyleri yapılandırın:
config firewall sniffer
edit 1
set logtraffic all
set ipv6 enable
set interface “port3”
set ip-threatfeed-status enable
set ip-threatfeed “g-source”
next
end
Örnek Log:
1: date=2021-01-26 time=15:51:37 eventtime=1611705097880421908 tz=”-0800″ logid=”0004000017″ type=”traffic” subtype=”sniffer” level=”notice” vd=”vd1″ srcip=10.1.100.12 srcport=34604 srcintf=”port3″ srcintfrole=”undefined” dstip=172.16.200.55 dstport=80 dstintf=”port3″ dstintfrole=”undefined” srcthreatfeed=”g-source” srccountry=”Reserved” dstcountry=”Reserved” sessionid=30384 proto=6 action=”accept” policyid=1 policytype=”sniffer” service=”HTTP” trandisp=”snat” transip=0.0.0.0 transport=0 duration=0 sentbyte=0 rcvdbyte=0 sentpkt=0 rcvdpkt=0 appcat=”unscanned”
FortiGate satın almak ve FortiGate Çözümleri için OzzTech Bilgi Güvenliği Teknolojileri ile İletişime Geçebilirsiniz!