- Fortigate Log Severity
Fortigate 기준으로 disk가 있는 장비와 없는 장비가 있다.
Ex) Fortigate-100F와 Fortigate-101F
=> 뒤에 1이 있는 장비가 disk가 있는 장비
- disk가 있는 장비는 로그를 쌓고 리부팅하여도 로그가 삭제되지 않는다.
- disk가 없는 장비의 경우는 따로 저장소가 없어 memory에 로그를 쌓게 되는데 리부팅 시 삭제되고 로그를 쌓는것도 아주 제한적이어서 실시간으로 트래픽이 많아 로그가 많이 쌓이게 되면 오버라이드되면서 로그 확인이 힘들 수도 있다.
Fortigate log severity 관련 설정은 CLI에서만 가능하다.
CLI > config log memory filter > set serverity
disk나 fortianalyzer(포티넷 로그 저장 장치)는 memory 부분만 바꿔서 넣어주면 설정 변경 가능
- emergency : 시스템이 비정상 상태에 대한 로그
- alert - 즉각 조치가 필요(Security탐지등)한 로그
- critical - 기능에 영향 주는 로그
- error - 오류에 대한 로그
- warning - 기능에 영향을 줄 수 있는 로그
- notification - 이벤트에 관한 일반적인 로그
- information - fortigate 설정변경에 대한 로그
- debug - 디버깅을 위한 상세 로그
이 설정을 관련하여 포스팅하는 이유는 disk가 없는 포티게이트는 severity 설정이 default로 warning으로 되어 있을 수 있는데
이렇게 되어 있으면 일반적인 traffic로그는 쌓이지 않기 때문에 포티게이트를 처음 다뤄보는 입장에서 로그가 왜 안 쌓이지?라는 생각을 할 수 있다. 그땐 해당 설정을 information으로 바꿔주면 일반적인 traffic로그도 위에서 말씀드린 것처럼 보이는데 적재량이 아주 적고 리부팅 시 지워진다.
메모리에 로그가 계속 쌓이면 메모리에 부하를 줄 수 있어 시스템적인 장애를 발생 시킬 수 있다. 그래서 disk가 없는 장비에 severity를 낮게 설정해서 사용하는건 권장하지 않는다. 그래서 처음 장비 구매 시 로그에 대한 부분을 잘 고려해서 구매하는 게 좋다.
[Fortinet] CLI Command - Fortigate FQDN address IP list 확인
[보안] 03. 악성코드 대유형 - 바이러스(Virus), 웜(Worm), 트로이목마(Trojan), PUP(Potentially Unwanted Program)
[CCNA] IP주소 - 서브넷 마스크, IP클래스, 서브네팅, VLSM