OzzTech - Fortigate Firewall Üzerinden Syslog Server’a Log Göndermek

Fortigate Firewall Üzerinden Syslog Server’a Log Göndermek

Syslog Server

Fortigate Firewall Cihazlarımızın loglarını syslog olarak bir syslog sunucumuza gönderebilmekteyiz. Bu makalemizde syslog server olarak Crypttech’in SIEM ürününü kullanıyor olacağız. Test amaçlı bir adet ekran görüntüsü paylaşıyor olacağız.

Fortigate Firewall cihazlarımızda Syslog ayarlarını yaptıktan sonra log gönderdiğimizi düşünebiliriz ancak bazı zamanlarda log gönderemiyor olabilir, syslog basıp basmadığını test ettimizde log gelmediğini görebiliriz.

Sizlere Fortigate Firewall cihazınız üzerinde aşağıdaki komutları çalıştırmanızı tavsiye ederiz, “set source-ip” bazen yazılmadığı için syslog gönderemediği durumlarla fazlasıyla karşılaştığımız için paylaşmak isteriz.

GUI üzerinden de syslog gönderebiliyorsunuz elbette fakat version kaynaklı GUI üzerinden gönderemiyor olabilirsiniz veya hedef(syslog server) IP adresini girseniz bile bazı durumlarda “source-ip” boş gelebileceği için syslog basamayabilirsiniz.

Syslog Server

Yukarıdaki ekran görüntüsünde de yer aldığı gibi “config log syslogd setting” diyerek hemen peşinden” show full-configuration” komutu ile bahsetmiş olduğumuz “source-ip” bilgisini kontrol edebilirsiniz.

Akabinde aşağıdaki ekran görüntüsünde de görebileceğimiz gibi “set source-ip xxx.xxx.xxx.xxx” komutumuzla fortigate için bir “source-ip” tanımı girmiş olmamız gerekecektir. Burada “xxx.xxx.xxx.xxx” yerine yazmamız gereken IP adresimiz, Fortigate Firewall cihazımızın management IP adresi olması gereklidir. Bunu unutmamanızı tavsiye ederiz, normal şartlarda syslog basmamız için girmemiz gereken kaynak IP adresimiz, syslog servera en yakın IP adresi olması gerekecektir fakat benim bu örneğimde, network segmentasyonumdan kaynaklı Fortigate Firewall’umun management IP adresini girmemiz gerekmiştir.

Syslog Server

Bu komutumuzu da yazdıktan sonra, tekrar  “show full-configuration” diyerek “source-ip” alanımın Fortigate Firewall’umun management IP adresi ile dolup dolmadığını kontrol ediyoruz.

Syslog Server

Bahsetmiş olduğumuz gibi, GUI üzerinden bu syslog ayarını yapıp syslog serverımızın IP adresini girebiliyoruz fakat yine bahsettiğimiz gibi bir sorunla karşılaşmanız durumunda, buraya sadece serverınızın IP adresini girmeniz yeterli olmayabilir. Bir örnek olması açısından aşağıda ekran görüntüsünü de paylaşıyoruz;

Syslog Server

Bu işlemler neticesinde, Fortigate Firewall cihazımızdan artık syslog serverımıza log gönderebilir duruma geliyoruz. Bunun testini de yine aşağıda ekran görüntüsünü paylaştığımız komutumuzla gerçekleştirip, syslog serverımızdan da testin sonucunu görebiliriz. Bu örneğinde, syslog sunucum bizim için Cryttech firmasının SIEM ürünü olduğu için, buradaki ekran görüntüsünü aşağıda paylaşıyor olacağız;

Aşağıdaki komutumuzla “diagnose log test” diyip test logu gönderiyoruz;

Syslog Server

Fortigate Firewall cihazımın üzerinden, syslog server olarak kullandığımız SIEM ürünümüzün loglarını kontrol ettiğimizde, syslog ile log alabildiğimizi görüyoruz. Bunun ekran görüntüsünü de yine örnek olması açısından aşağıda sizlerle paylaşıyoruz;

Tüm bu işlemlerden sonra, Fortigate Firewall cihazım için, syslog ayarlamalarımu bitirmiş oluyoruz.

Bu makalede yer alabilecek bir konu değil ancak Cisco Switchlerimden de iki satır komut ile yine, syslog serverımıza log gönderebildiğimizi bir iki ekran görüntüsüyle paylaşmak isteriz.

Bunun için de, Cisco Switchlerimizin üzerinde girmemiz gereken sadece iki komutu aşağıda paylaşıyoruz;

“logging source-interface Vlan1” Bu komutumuzla hangi vlanımız üzerinden logları göndereceğimizi belirtiyoruz.

“logging host xxx.xxx.xxx.xxx” Bu komutumuzla da switchimizin bir önceki komutta belirttiğimiz vlanı üzerindeki IP adresi üzerinden syslog basacağımızı belirtiyoruz. Bunun için belirttiğimiz vlanımız üzerinde IP tanımlaması yapmış olmamız gerekecektir, bu örneğimde Vlan1 switchimin management vlanı olduğu için, switchimizin management IP adresini belirtip, switchim üzerindeki işlemleri bu iki satırlık komutumuz ile tamamlıyoruz.

Bunun akabinde ise, yine syslog serverımızda loglarımızı kontrol ediyoruz ve switchimizi kaynak olarak ekledikten sonra da, switchimizin loglarının syslog serverımıza geldiğini görebiliyoruz, bunun için de yine örnek bir ekran görüntüsünü aşağıda sizlerle paylaşıyoruz;

Syslog server ile ilgili hazırlamış olduğumuz bu basit makalem umarım faydası dokunacak kişilere ulaşacaktır.

Okuduğunuz için teşekkür ederiz. Fortigate Firewall Üzerinde Non-Default Portların Engellenmesi konulu yazımıza bekleriz.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.