Skip to main content

Настройка отправки событий с FortiGate (CEF)

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка коллектора KUMA

Создание коллектора KUMA

Для приема и обработки событий с FortiGate необходимо создать коллектор в веб-интерфейсе KUMA. Для этого перейдите на вкладку Ресурсы и нажмите на кнопку Подключить источник. В появившемся окне мастер настройки Создание коллектора:

  • На шаге Подключение источников укажите Имя коллектора и Тенант, к которому будет принадлежать создаваемый коллектор

image.png

  • На шаге Транспорт укажите Тип и Порт в соответствии с настройками на стороне FortiGate

Для распределенной инсталяции укажите hostname:port сервера коллектора в поле URL

image.png

image.png

  • Шаги мастера настройки с четвертого по шестой можно пропустить и вернуться к их настройке позднее.
  • На седьмом шаге Маршрутизация задайте точки назначения. Для хранения событий добавьте точку назначения типа Хранилище. В случае если предполагается также корреляция по событиям добавьте точку назначения типа Коррелятор.

image.png

  • На завершающем шаге Проверка параметров нажмите на кнопку Сохранить и создать сервис. После чего появится строка установки сервиса, которую необходимо скопировать для дальнейшей установки.

image.png

Также после выполнения вышеуказанных действий на вкладке Ресурсы > Активные сервисы появится созданный сервис коллектора.

image.png

Установка коллектора KUMA

Выполните подключение к CLI KUMA (установка коллектора выполняется с правами root).

Перед установкой рекомендуется выполнить из командной строки команду, скопированную на прошлом шаге без ключа --install, чтобы убедиться в отсутствии ошибок.

image.png

В случае отсутствия ошибок в выводе командной строки, прервите исполнение в командной строке, после чего можно переходить к установке.

Для установки сервиса коллектора в командной строке выполните команду, скопированную на прошлом шаге.

image.png

При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы.

firewall-cmd --add-port=<порт, выбранный для коллектора>/udp –permanent
firewall-cmd --reload

После успешной установки сервиса его в статус в веб-интерфейсе KUMA изменится на зеленый.

image.png


Настройка FortiGate

Для настройки отправки событий в формате CEF с FortiGate в KUMA выполните следующие действия:

  • Подключитесь к CLI FortiGate по SSH
  • Перейдите в секцию настройки параметров Syslog:
config log syslogd setting
  • Выполните настройку параметров Syslog:
set status enable # включить отправку событий на удаленный Syslog-сервер
set server <IP-адреса сервера-коллектора KUMA>
set mode udp # отправлять события по TCP
set port <порт, заданный в параметрах коллектора KUMA> 
set source-ip <IP-адрес интерфейса FortiGate, с которого будет выполняться отправка событий> # [опционально]
set format cef # отправлять события в формате CEF
set interface-select-method <auto|sdwan|specify> # если выбран specify указать вручную исходящий интерфейс для взаимодействия с коллектором KUMeA с помощью команды set interface <наименование интерфейса> [опционально]
end

Проверка поступления событий FortiGate в KUMA

Для проверки, что сбор событий с FortiGate успешно настроен перейдите в РесурсыАктивные сервисы > выберите ранее созданный коллектор для FortiGate и нажмите Перейти к событиям.

image.png

В открывшемся окне События убедитесь, что присутствуют события с FortiGate.

image.png


Приложение А. Использование шифрования при передаче событий

Для настройки отправки событий в формате CEF с FortiGate в KUMA выполните следующие действия:

Полезные ссылки

Отправка событий в формате CEF:

https://community.fortinet.com/t5/FortiGate/Technical-Note-FortiGate-Logs-can-be-sent-to-syslog-servers-in/ta-p/190617

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Change-Source-IP-for-SYSLOG/ta-p/230218