- Fortigate log filter 특정 로그 예외 처리하는 방법
해당 명령어를 사용하여 특정 log만 syslog 서버 또는 fortianalyzer(Fortinet log 저장 장치)로 보내거나
특정 log를 저장하지 않게 설정이 가능
log filter 설정 필요 상황 예시
- 특정 불필요한 log가 많이 저장돼서 다른 log 확인이 힘들 때 해당 설정을 적용시켜 불필요한 log 예외 처리
테스트 시나리오
1. 내부 네트워크 대역이 8.8.8.8로 ping 차단 정책 설정
2. 해당 정책으로 인한 차단 log 확인 후 log-filter 설정
3. 차단 시 log가 저장되지 않는지 확인
먼저 내부 네트워크 대역이 목적지 8.8.8.8 ICMP 차단 정책을 만들어 줍니다.
그다음
차단이 되고 Fortigate GUI > Log & Report > forward Traffic에서 deny log를 확인합니다.
거의 바로 차단되는 log 확인이 가능
해당 log를 더블클릭해 보면 자세한 내용 확인이 가능합니다
여기서 필요한 건 log filter를 걸기 위해 event level과 log id
- log id = 13
- event level = notice
log id는 직설적으로 확인이 가능하지만 security level의 경우 표시해 놓은 것처럼 칸수로 나오는데
저기에 마우스를 올리면 notice라고 표시됨
filter를 걸기 위해 CLI (해당 설정은 CLI에서만 가능)
config log <memory> filter
위 이미지는 기본 설정입니다.
filter-type이 include로 설정되어 있고 모든 log를 저장
여기에 filter를 걸어주면 filter에 걸린 log만 memory에 저장
<> 친 이유는 테스트를 memory에 저장되는 log로 테스트했기 때문
syslog나 fortianalyzer에 적용시키고 싶다면 <> 부분만 바꿔주신 후 설정하시면 됩니다.
테스트 설정
filter > 아까 확인한 logid와 event level 설정
filter type > exclude 변경
참고사항
- filter-type만 exclude로 변경 시 모든 log가 예외 처리되지 않는다. 이땐 filter에 걸어 놓고 매칭되는 log만 예외 처리
설정 후 내부 PC에서 8.8.8.8 Ping 시도
차단이 되지만 log를 저장하지 않는다.
[CCNA] STP(Spanning Tree Protocol) - 개념, 동작원리, 버전, 검증, Portfast, BPDU guard, Root guard
[용어/개념] XSS (Cross-Site Scripting) - 악성 스크립트을 이용한 공격 기법
[용어/개념] HTTP 상태 코드/에러 코드 100~500 정리