FortiGate飞塔防火墙接入GrayLog4.X

Gartner 2020 年网络防火墙魔力象限领导者（Leaders）：

• Palo Alto Networks
• Fortinet
• Check Point Software Technologies

废话不多说，下面进入正题，下面介绍FortiGate飞塔防火墙接入Graylog

1、FortiGate飞塔防火墙配置syslog

为了模拟FortiGate防火墙接入Graylog 这里选用FortiGate for VMWare ESXi platform Version 7.0.0镜像进行模拟测试

启动后先恢复出厂，初始用户名admin密码为空

配置接口IP地址 CLI命令行配置

config system interface
edit port1
set mode static
set ip 192.168.31.150 255.255.255.0
set allowaccess ping http https ssh snmp fgfm
end

这时就可以http://192.168.31.150对防火墙进行配置了

开启syslog 但这时默认是转到日志服务器的UDP 514端口

需要SSH登录后台进行自定义修改端口号

config log syslogd setting
set port 15514

2、Graylog导入Fortigate的Content Pack套件

接下来下载 Fortigate 6.x Content Pack for graylog3

Graylog中导入该Content Pack的json文件

Install时修改一下默认的Fortigate Host Name和Syslog 端口

若防火墙需要放通Input的端口

firewall-cmd --permanent --zone=public --add-port=15514/udp
firewall-cmd --reload

3、效果

可以看到已经拆成字段了

4、排错Tips

1、FortiGate中 Show received messages时无任何日志

tail -f /var/log/graylog-server/server.log查找原因

解决办法如下图所示 rotate active write index

不过还是建议新建indices索引，通过配置Stream 存放在单独的索引 如下图所示

2、Fortigate Dashboard中无数据  

修改Input ID