آموزش ارسال لاگ (Log) فورتیگیت به اسپلانک (Splunk)

چگونه Log های Fortigate را به Splunk بفرستیم؟ امروزه بررسی و مدیریت رخداد های مختلف که در شبکه رخ میدهد بسیار مهم میباشد در این محتوا قصد داریم به چگونگی ارسال رخداد ها و Log های فایروال سخت افزاری FortiGate به یکی از قدرتمند ترین SIEM های موجود در جهان ارسال کنیم بپردازیم. به صورت عادی امکان ارسال Log های FortiGate به سمت Splunk شدنی نیست زیرا این فایروال Log های خود را فقد به سمت Syslog, FortiCloud و FortiAnalyzer ارسال میکند اما نگران نباشید ما با استفاده از Syslog میتوانیم Log های خود را به سمت Splunk هدایت کنیم
بررسی FortiGate
-
پیاده سازی Filtering های مختلف مثله Web Filtering و E-Mail Filtering
-
جلوگیری از حملات DoS در لایه 3 و 4 شبکه
-
پیاده سازی محدودیت های دسترسی به منابع بیرون شبکه
-
پیاده سازی Routing
-
پیاده سازی Remote Access Service
-
پیاده سازی Anti Virus
-
پیاده سازی Traffic Inspection به چندین حالت مختلف
-
جلوگیری از حملات مختلف تحت شبکه و تحت وب
بررسی Splunk
-
جمع آوری داده ها از هر منبعی در زمان حقیقی
-
امکان جستجوی قدرتمند و استخراج اطلاعات
-
تحلیل جامع و بررسی ارتباط بین رویدادها
-
امکان دریافت گزارشات مختلف بر اساس چارت های متنوع
-
امکان تنظیمات لازم به جهت نمایش هشدار در هنگام وقوع رخداد
-
محیط کاربر پسند Splunk
-
در دسترس بودن Splunk به دو صورت نرم افزاری و در فضای Cloud
-
و خیلی از ویژگی های دیگه موجود در Splunk
بررسی SySLog
ارسال Log فایروال FortiGate به سمت Splunk
کانفیگ Splunk
وارد Web Console محیط Splunk میشویم و بروی قسمت مشخص شده در عکس در بالای صفحه کلیک میکنیم
پس از آن بر روی قسمت Browse more apps کلیک کنید و با دادن UserName و Password اکانت خود در وب سایت splunk افزونه Fortinet FortiGate Add-On for splunk را دانلود و نصب کنید
پس از آن از قسمت settings وارد بخش Data inputs شوید
از قسمت Local Input وارد قسمت UDP شوید
در قسمت ظاهر شده Port را بر روی 514 قرار دهید و برو روی گزینه Next کلیک کنید
پس از آن در قسمت بعد Source-Type را fgt_log قرار دهید و Preview را بزنید و پس از ان بر روی گزینه Submit کلیک کنید
کانفینگ FortiGate
پس از وارد شدن به محیط Web Console فایروال FortiGate از قسمت Log & Report وارد Log Setting شوید
پس از باز شدن Tab جدید بر روی گرینه Send Logs To Syslog کلیک کنید و در قسمت IP Address/FQDN آدرس IP سرور Splunk خود را قرار دهید
تنظیمات بالا به صورت Cli در FortiGate: