# FortiGate-FortiAnalyzer (CEF)

<p class="callout info">Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.</p>

**FortiAnalyzer** — это аналитическая платформа для управления событиями, журналами и формирования отчетности, разработанная компанией Fortinet. В данной статье рассматривается настройка отправки событий FortiGate, которые централизованно собираются и хранятся в FortiAnalyzer.

### Настройка коллектора KUMA

#### Создание коллектора KUMA

Для приема и обработки событий FortiGate, отправляемых с FortiAnalyzer, необходимо создать сервис коллектора в KUMA. Для этого в веб-интерфейсе перейдите в раздел **Ресурсы** и нажмите на кнопку **Подключить источник.** В появившемся окне **Создание коллектора:**

- На шаге **Подключение источников** укажите **Название коллектора** и **Тенант**, которому будет принадлежать создаваемый коллектор

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/scaled-1680-/zjximage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/zjximage.png)

- На шаге **Транспорт** укажите **Тип коннектора** и **URL** (порт, выделенный сервису).

<p class="callout info">Для распределенной инсталяции укажите hostname:port сервера коллектора в поле **URL**</p>

<p class="callout info">Указанные параметры должны соответствовать настройкам на стороне FortiAnalyzer</p>

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/scaled-1680-/kBFimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/kBFimage.png)

- На шаге **Парсинг событий** нажмите **Добавить парсинг событий** и укажите нормализатор. Рекомендуется использовать community-нормализатор **FortiGate-FortiAnalyzer (CEF).** Как альтернативный вариант, можно использовать предустановленный нормализатор **\[OOTB\] CEF,** но данный нормализатор не обеспечивает парсинг специфичных полей FortiGate, например, virus, attack и других.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/scaled-1680-/4x1image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/4x1image.png)

- Шаги мастера настройки с четвертого по шестой (**Фильтрация событий**, **Агрегация событий** и **Обогащение событий**) можно пропустить и вернуться к их настройке позднее.
- На седьмом шаге **Маршрутизация** задайте точки назначения. Для хранения событий добавьте точку назначения типа **Хранилище (Storage)**. В случае если предполагается также анализ потока событий правилами корреляции добавьте точку назначения типа **Коррелятор (Correlator)**.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/scaled-1680-/YG2image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/YG2image.png)

- На завершающем шаге **Проверка параметров** нажмите на кнопку **Сохранить** **и создать сервис**. После чего появится команда установки сервиса, которую необходимо скопировать для дальнейшей установки.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/scaled-1680-/E3kimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/E3kimage.png)

Также после выполнения вышеуказанных действий в разделе **Ресурсы** **&gt;** **Активные сервисы** появится созданный сервис коллектора.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/scaled-1680-/Ccwimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/Ccwimage.png)

#### Установка коллектора KUMA

Выполните подключение к <span lang="EN-US">CLI</span><span lang="EN-US"> сервера </span><span lang="EN-US">KUMA</span> (установка сервиса коллектора выполняется с правами <span lang="EN-US">root</span>).

Для установки сервиса коллектора выполните команду, скопированную на прошлом шаге.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/scaled-1680-/Oweimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/Oweimage.png)

При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы.

```shell
# Пример для firewalld
firewall-cmd --add-port=<порт, выбранный для коллектора>/tcp –permanent
firewall-cmd --reload
```

После успешной установки сервиса в столбце **Статус** в веб-интерфейсе KUMA появится **зеленая индикация**.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/scaled-1680-/H2uimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/H2uimage.png)

---

### Настройка FortiAnalyzer

Пересылка событий FortiGate в KUMA выполняется средствами механизма Log Forwarding, доступного в FortiAnalyzer. Для настройки пересылки в веб-интерфейсе FortiAnalyzer:

- Перейдите в **System Settings &gt; Log Forwarding**
- Нажмите **Create New**

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/scaled-1680-/HHEimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/HHEimage.png)

- В появившемся окне **Create New Log Forwarding** укажите: 
    - **Name** - KUMA CEF
    - **Status** - Включено
    - **Remote Server Type** - Common Event Format (CEF)
    - **Server FQDN/IP** - &lt;IP-адрес или FQDN сервера коллектора KUMA&gt;
    - **Server Port** - &lt;Укажите порт, указанный на шаге **Транспорт** при создании сервиса коллектора&gt;
    - **Reliable Connection** - Включено
    - Опционально фильтры в секции **Log Forwarding Filters**
- Нажмите **ОК**

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/scaled-1680-/P8simage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/P8simage.png)

- Убедитесь, что параметры нового сервера для пересылки событий сохранены.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/scaled-1680-/jrRimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/jrRimage.png)

---

### Проверка поступления событий FortiGate в KUMA

Для проверки, что пересылка событий FortiGate с FortiAnalyzer успешно настроена перейдите в **Ресурсы** &gt; **Активные сервисы** &gt; выберите ранее созданный коллектор FortiGate-FortiAnalyzer &gt; ПКМ &gt; **Перейти к событиям.**

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/scaled-1680-/Jhvimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/Jhvimage.png)

В открывшемся окне **События** убедитесь, что присутствуют события FortiGate.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/scaled-1680-/Kdbimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-01/Kdbimage.png)

---

### Полезные ссылки

- Настройка пересылки событий с помощью Log Forwarding:[ https://docs.fortinet.com/document/fortianalyzer/7.2.9/administration-guide/621804/log-forwarding](https://docs.fortinet.com/document/fortianalyzer/7.6.9/administration-guide/621804/log-forwarding)
- Описание типов и полей событий FortiGate: [https://docs.fortinet.com/document/fortigate/7.2.8/fortios-log-message-reference/search](https://docs.fortinet.com/document/fortigate/7.2.8/fortios-log-message-reference/search)