[Information]/[Fortinet] Fortigate

[Fortinet] Fortigate log filter 특정 로그 예외 처리하는 방법

starterr 2024. 10. 23. 18:30
반응형

- Fortigate log filter 특정 로그 예외 처리하는 방법

해당 명령어를 사용하여 특정 log만 syslog 서버 또는 fortianalyzer(Fortinet log 저장 장치)로 보내거나

특정 log를 저장하지 않게 설정이 가능

 

log filter 설정 필요 상황 예시

- 특정 불필요한 log가 많이 저장돼서 다른 log 확인이 힘들 때 해당 설정을 적용시켜 불필요한 log 예외 처리

 

 

테스트 시나리오

1. 내부 네트워크 대역이 8.8.8.8로 ping 차단 정책 설정

2. 해당 정책으로 인한 차단 log 확인 후 log-filter 설정

3. 차단 시 log가 저장되지 않는지 확인

 

Fortigate log filter 특정 로그 예외 처리
Fortigate log filter 특정 로그 예외 처리

 

먼저 내부 네트워크 대역이 목적지 8.8.8.8 ICMP 차단 정책을 만들어 줍니다.

 

Fortigate log filter 특정 로그 예외 처리
Fortigate log filter 특정 로그 예외 처리

 

그다음

 

차단이 되고 Fortigate GUI > Log & Report > forward Traffic에서 deny log를 확인합니다.

 

거의 바로 차단되는 log 확인이 가능

 

Fortigate log filter 특정 로그 예외 처리
Fortigate log filter 특정 로그 예외 처리

 

해당 log를 더블클릭해 보면 자세한 내용 확인이 가능합니다

 

여기서 필요한 건 log filter를 걸기 위해 event level과 log id

- log id = 13

- event level = notice

 

log id는 직설적으로 확인이 가능하지만 security level의 경우 표시해 놓은 것처럼 칸수로 나오는데

저기에 마우스를 올리면 notice라고 표시됨

 

Fortigate log filter 특정 로그 예외 처리
Fortigate log filter 특정 로그 예외 처리

 

filter를 걸기 위해 CLI (해당 설정은 CLI에서만 가능)

 

config log <memory> filter

위 이미지는 기본 설정입니다.

 

filter-type이 include로 설정되어 있고 모든 log를 저장

여기에 filter를 걸어주면 filter에 걸린 log만 memory에 저장

 

<> 친 이유는 테스트를 memory에 저장되는 log로 테스트했기 때문

syslog나 fortianalyzer에 적용시키고 싶다면 <> 부분만 바꿔주신 후 설정하시면 됩니다.

 

Fortigate log filter 특정 로그 예외 처리
Fortigate log filter 특정 로그 예외 처리

테스트 설정

 

filter > 아까 확인한 logid와 event level 설정

filter 설정 방법 관련 링크

filter type > exclude 변경

 

참고사항

- filter-type만 exclude로 변경 시 모든 log가 예외 처리되지 않는다. 이땐 filter에 걸어 놓고 매칭되는 log만 예외 처리

 

Fortigate log filter 특정 로그 예외 처리
Fortigate log filter 특정 로그 예외 처리

 

설정 후 내부 PC에서 8.8.8.8 Ping 시도

 

차단이 되지만 log를 저장하지 않는다.

반응형

[CCNA] STP(Spanning Tree Protocol) - 개념, 동작원리, 버전, 검증, Portfast, BPDU guard, Root guard

 

[CCNA] STP(Spanning Tree Protocol) - 개념, 동작원리, 버전, 검증, Portfast, BPDU guard, Root guard

A. Spanning Tree Protocol 개념1. 개요제2계층 네트워크 전반에 걸쳐 루프를 방지하는 기술이다.3 계층은 IP 헤더에 TTL 값으로 인해 루프방지가 된다. TTL은 패킷이 라우터를 통과할 때마다 TTL 값을 1씩

infoofit.tistory.com

 

[용어/개념] XSS (Cross-Site Scripting) - 악성 스크립트을 이용한 공격 기법

 

[용어/개념] XSS (Cross-Site Scripting) - 악성 스크립트을 이용한 공격 기법

I. 개인정보 추출 해킹기법 XSS에 대한 개요 가. XSS(Cross-Site Scripting)의 정의게시판에 악성 스크립트를 작성하여 다른 공격 대상자가 그 글을 보았을 때 사용자 정보를 획득하는 공격 기법나. XSS

infoofit.tistory.com

 

[용어/개념] HTTP 상태 코드/에러 코드 100~500 정리

 

[용어/개념] HTTP 상태 코드/에러 코드 100~500 정리

HTTP(Hypertext Transfer Protocol)는 웹 서버와 웹 클라이언트 사이에서 데이터를 주고받기 위해 사용하는 통신 방식으로 TCP/IP 프로토콜 위에서 동작합니다. 즉, 우리가 웹을 이용하려면 웹 서버와 웹 클

infoofit.tistory.com

 

 

반응형