Fortigate Firewall Cihazlarımızın loglarını syslog olarak bir syslog sunucumuza gönderebilmekteyiz. Bu makalemizde syslog server olarak Crypttech’in SIEM ürününü kullanıyor olacağız. Test amaçlı bir adet ekran görüntüsü paylaşıyor olacağız.
Fortigate Firewall cihazlarımızda Syslog ayarlarını yaptıktan sonra log gönderdiğimizi düşünebiliriz ancak bazı zamanlarda log gönderemiyor olabilir, syslog basıp basmadığını test ettimizde log gelmediğini görebiliriz.
Sizlere Fortigate Firewall cihazınız üzerinde aşağıdaki komutları çalıştırmanızı tavsiye ederiz, “set source-ip” bazen yazılmadığı için syslog gönderemediği durumlarla fazlasıyla karşılaştığımız için paylaşmak isteriz.
GUI üzerinden de syslog gönderebiliyorsunuz elbette fakat version kaynaklı GUI üzerinden gönderemiyor olabilirsiniz veya hedef(syslog server) IP adresini girseniz bile bazı durumlarda “source-ip” boş gelebileceği için syslog basamayabilirsiniz.
Yukarıdaki ekran görüntüsünde de yer aldığı gibi “config log syslogd setting” diyerek hemen peşinden” show full-configuration” komutu ile bahsetmiş olduğumuz “source-ip” bilgisini kontrol edebilirsiniz.
Akabinde aşağıdaki ekran görüntüsünde de görebileceğimiz gibi “set source-ip xxx.xxx.xxx.xxx” komutumuzla fortigate için bir “source-ip” tanımı girmiş olmamız gerekecektir. Burada “xxx.xxx.xxx.xxx” yerine yazmamız gereken IP adresimiz, Fortigate Firewall cihazımızın management IP adresi olması gereklidir. Bunu unutmamanızı tavsiye ederiz, normal şartlarda syslog basmamız için girmemiz gereken kaynak IP adresimiz, syslog servera en yakın IP adresi olması gerekecektir fakat benim bu örneğimde, network segmentasyonumdan kaynaklı Fortigate Firewall’umun management IP adresini girmemiz gerekmiştir.
Bu komutumuzu da yazdıktan sonra, tekrar “show full-configuration” diyerek “source-ip” alanımın Fortigate Firewall’umun management IP adresi ile dolup dolmadığını kontrol ediyoruz.
Bahsetmiş olduğumuz gibi, GUI üzerinden bu syslog ayarını yapıp syslog serverımızın IP adresini girebiliyoruz fakat yine bahsettiğimiz gibi bir sorunla karşılaşmanız durumunda, buraya sadece serverınızın IP adresini girmeniz yeterli olmayabilir. Bir örnek olması açısından aşağıda ekran görüntüsünü de paylaşıyoruz;
Bu işlemler neticesinde, Fortigate Firewall cihazımızdan artık syslog serverımıza log gönderebilir duruma geliyoruz. Bunun testini de yine aşağıda ekran görüntüsünü paylaştığımız komutumuzla gerçekleştirip, syslog serverımızdan da testin sonucunu görebiliriz. Bu örneğinde, syslog sunucum bizim için Cryttech firmasının SIEM ürünü olduğu için, buradaki ekran görüntüsünü aşağıda paylaşıyor olacağız;
Aşağıdaki komutumuzla “diagnose log test” diyip test logu gönderiyoruz;
Fortigate Firewall cihazımın üzerinden, syslog server olarak kullandığımız SIEM ürünümüzün loglarını kontrol ettiğimizde, syslog ile log alabildiğimizi görüyoruz. Bunun ekran görüntüsünü de yine örnek olması açısından aşağıda sizlerle paylaşıyoruz;
Tüm bu işlemlerden sonra, Fortigate Firewall cihazım için, syslog ayarlamalarımu bitirmiş oluyoruz.
Bu makalede yer alabilecek bir konu değil ancak Cisco Switchlerimden de iki satır komut ile yine, syslog serverımıza log gönderebildiğimizi bir iki ekran görüntüsüyle paylaşmak isteriz.
Bunun için de, Cisco Switchlerimizin üzerinde girmemiz gereken sadece iki komutu aşağıda paylaşıyoruz;
“logging source-interface Vlan1” Bu komutumuzla hangi vlanımız üzerinden logları göndereceğimizi belirtiyoruz.
“logging host xxx.xxx.xxx.xxx” Bu komutumuzla da switchimizin bir önceki komutta belirttiğimiz vlanı üzerindeki IP adresi üzerinden syslog basacağımızı belirtiyoruz. Bunun için belirttiğimiz vlanımız üzerinde IP tanımlaması yapmış olmamız gerekecektir, bu örneğimde Vlan1 switchimin management vlanı olduğu için, switchimizin management IP adresini belirtip, switchim üzerindeki işlemleri bu iki satırlık komutumuz ile tamamlıyoruz.
Bunun akabinde ise, yine syslog serverımızda loglarımızı kontrol ediyoruz ve switchimizi kaynak olarak ekledikten sonra da, switchimizin loglarının syslog serverımıza geldiğini görebiliyoruz, bunun için de yine örnek bir ekran görüntüsünü aşağıda sizlerle paylaşıyoruz;
Syslog server ile ilgili hazırlamış olduğumuz bu basit makalem umarım faydası dokunacak kişilere ulaşacaktır.
Okuduğunuz için teşekkür ederiz. Fortigate Firewall Üzerinde Non-Default Portların Engellenmesi konulu yazımıza bekleriz.