# FortiGate (CEF)

<p class="callout info">Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.</p>

### Настройка коллектора KUMA

#### Создание коллектора KUMA

Для приема и обработки событий с FortiGate необходимо создать сервис коллектора в KUMA. Для этого в веб-интерфейсе перейдите на вкладку **Ресурсы** и нажмите на кнопку **Подключить источник.** В появившемся окне **Создание коллектора:**

- На шаге **Подключение источников** укажите **Имя коллектора** и **Тенант**, к которому будет принадлежать создаваемый коллектор

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/scaled-1680-/La5image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/La5image.png)

- На шаге **Транспорт** укажите **Тип** и **Порт** (данные параметры должны соответствовать настройкам на стороне FortiGate: **set mode** и **set port** соответственно)

<p class="callout info">Для распределенной инсталяции укажите hostname:port сервера коллектора в поле **URL**</p>

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/scaled-1680-/hZ3image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/hZ3image.png)

- На шаге **Парсинг событий** укажите нормализатор. Рекомендуется использовать предустановленный нормализатор **\[OOTB\] Syslog-CEF** ([https://support.kaspersky.com/help/KUMA/3.0.3/ru-RU/255782.htm)](https://support.kaspersky.com/help/KUMA/3.0.3/ru-RU/255782.htm)).

<p class="callout info">Если планируете использовать правила корреляции для FortiGate из Community-Pack необходимо использовать нормализатор **\[2024-04-22\] FortiGate Syslog-CEF**, также доступный в Community-Pack</p>

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/scaled-1680-/9yoimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/9yoimage.png)

- Шаги мастера настройки с четвертого по шестой можно пропустить и вернуться к их настройке позднее.
- На седьмом шаге **Маршрутизация** задайте точки назначения. Для хранения событий добавьте точку назначения типа **Хранилище**. В случае если предполагается также корреляция по событиям добавьте точку назначения типа **Коррелятор**.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/scaled-1680-/tLAimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/tLAimage.png)

- На завершающем шаге **Проверка параметров** нажмите на кнопку **Сохранить** **и создать сервис**. После чего появится команда установки сервиса, которую необходимо скопировать для дальнейшей установки.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/scaled-1680-/bAWimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/bAWimage.png)

Также после выполнения вышеуказанных действий на вкладке **Ресурсы** **&gt;** **Активные сервисы** появится созданный сервис коллектора.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/scaled-1680-/y26image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/y26image.png)

#### Установка коллектора KUMA

Выполните подключение к <span lang="EN-US">CLI</span><span lang="EN-US"> </span><span lang="EN-US">KUMA</span> (установка коллектора выполняется с правами <span lang="EN-US">root</span>).

Для установки сервиса коллектора в командной строке выполните команду, скопированную на прошлом шаге.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/scaled-1680-/GFnimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/GFnimage.png)

При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы.

```shell
firewall-cmd --add-port=<порт, выбранный для коллектора>/udp –permanent
firewall-cmd --reload
```

После успешной установки сервиса его в статус в веб-интерфейсе KUMA изменится на **зеленый**.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/scaled-1680-/1Nbimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/1Nbimage.png)

---

### Настройка FortiGate

Для настройки отправки событий в формате CEF с FortiGate в KUMA выполните следующие действия:

- Подключитесь к CLI FortiGate по SSH
- Перейдите в секцию настройки параметров Syslog:

```shell
config log syslogd setting
```

- Выполните настройку параметров Syslog:

```shell
set status enable # включить отправку событий на удаленный Syslog-сервер
set server <IP-адреса сервера-коллектора KUMA>
set mode udp # отправлять события по UDP
set port <порт, заданный в параметрах коллектора KUMA> 
set source-ip <IP-адрес FortiGate> # IP-адрес, который будет использоваться в качестве Source IP при взаимодействии c коллектором KUMA [опционально]
set format cef # отправлять события в формате CEF
set interface-select-method <auto|sdwan|specify> # если выбран specify указать вручную исходящий интерфейс для взаимодействия с коллектором KUMA с помощью команды set interface <наименование интерфейса> [опционально]
end
```

---

### Проверка поступления событий FortiGate в KUMA

Для проверки, что сбор событий с FortiGate успешно настроен перейдите в **Ресурсы** &gt; **Активные сервисы** &gt; выберите ранее созданный коллектор для FortiGate и нажмите **Перейти к событиям.**

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/scaled-1680-/yLPimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/yLPimage.png)

В открывшемся окне **События** убедитесь, что присутствуют события с FortiGate.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/scaled-1680-/rThimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/rThimage.png)

---

### Полезные ссылки

Отправка событий в формате CEF - [https://community.fortinet.com/t5/FortiGate/Technical-Note-FortiGate-Logs-can-be-sent-to-syslog-servers-in/ta-p/190617](https://community.fortinet.com/t5/FortiGate/Technical-Note-FortiGate-Logs-can-be-sent-to-syslog-servers-in/ta-p/190617)