Computer Geak | Network Engineer And Security Architect

آموزش ارسال لاگ (Log) فورتیگیت به اسپلانک (Splunk)

امروزه بررسی و مدیریت رخداد های مختلف که در شبکه رخ می‌دهد بسیار مهم می‌باشد در این محتوا قصد داریم به چگونگی ارسال رخداد ها و Log های فایروال سخت افزاری FortiGate به یکی از قدرتمند ترین SIEM های موجود در جهان ارسال کنیم بپردازیم. به صورت عادی امکان ارسال Log های FortiGate به سمت Splunk شدنی نیست زیرا این فایروال Log های خود را فقد به سمت Syslog, FortiCloud و FortiAnalyzer ارسال می‌کند اما نگران نباشید ما با استفاده از Syslog می‌توانیم Log های خود را به سمت Splunk هدایت کنیم

بررسی FortiGate

فایروال سخت افزاری شرکت FortiNet می‌باشد که در راستای امن سازی شبکه و جلوگیری از حملات و داشتن مدیریت بر روی شبکه خود توسعه پیدا کرده است

پیاده سازی Filtering های مختلف مثله Web Filtering و E-Mail Filtering
جلوگیری از حملات DoS در لایه 3 و 4 شبکه
پیاده سازی محدودیت های دسترسی به منابع بیرون شبکه
پیاده سازی Routing
پیاده سازی Remote Access Service
پیاده سازی Anti Virus
پیاده سازی Traffic Inspection به چندین حالت مختلف
جلوگیری از حملات مختلف تحت شبکه و تحت وب

بررسی Splunk

بطور کلی Splunk توانایی جمع آوری log ها و رخداد های نرم افزار ها، محیط های Cloud و رایانش ابری، دیوایس ها و تجهیزات شبکه و کامپیوتر های شخصی را دارد از این رو Splunk با پس از جمع آوری رخداد ها توانایی لیست کردن آن ‌ها، تحلیل و نظارت بر روی آن هارا به ما میدهد.نرم افزار Splunk دارای امکانات و ویژگیهای متعددی می باشد که با برخی از آنها آشنا می شویم:

جمع آوری داده ها از هر منبعی در زمان حقیقی
امکان جستجوی قدرتمند و استخراج اطلاعات
تحلیل جامع و بررسی ارتباط بین رویدادها
امکان دریافت گزارشات مختلف بر اساس چارت های متنوع
امکان تنظیمات لازم به جهت نمایش هشدار در هنگام وقوع رخداد
محیط کاربر پسند Splunk
در دسترس بودن Splunk به دو صورت نرم افزاری و در فضای Cloud
و خیلی از ویژگی های دیگه موجود در Splunk

بررسی SySLog

SySLog مخفف System-Log می باشد یک استاندارد به منظور ارسال رخداد ها، پیغام‌ها، رویدادها و خطاهای مختلف درون یک شبکه یا یک Host به سمت یک سرور که به اختصار به آن SySLog Server میگویند می باشد. این استاندارد کمک های شایان و بسزایی را به ما در حل مشکلات، شناسایی حملات و رخداد های خوب و بد درون سیستم و شبکه را خواهد کرد. امروزه SySLog در اکثر شبکه ها و حتی سیستم های شخصی مورد استفاده قرار می‌گیرد حتی ممکن است یک فرد از اینکه درون سیستم خود یک Sys-Log Server فعال دارد آگاهی نداشته باشد چون که معمولا در اکثر سیستم ها به صورت By-Default نصب می باشد زیرا از مهم ترین اجزای یک شبکه و یا سیستم به حساب می آید.

ارسال Log فایروال FortiGate به سمت Splunk

کانفیگ Splunk

وارد Web Console محیط Splunk می‌شویم و بروی قسمت مشخص شده در عکس در بالای صفحه کلیک می‌کنیم

پس از آن بر روی قسمت Browse more apps کلیک کنید و با دادن UserName و Password اکانت خود در وب سایت splunk افزونه Fortinet FortiGate Add-On for splunk را دانلود و نصب کنید

پس از آن از قسمت settings وارد بخش Data inputs شوید

از قسمت Local Input وارد قسمت UDP شوید

در قسمت ظاهر شده Port را بر روی 514 قرار دهید و برو روی گزینه Next کلیک کنید

پس از آن در قسمت بعد Source-Type را fgt_log قرار دهید و Preview را بزنید و پس از ان بر روی گزینه Submit کلیک کنید

کانفینگ FortiGate

پس از وارد شدن به محیط Web Console فایروال FortiGate از قسمت Log & Report وارد Log Setting شوید

پس از باز شدن Tab جدید بر روی گرینه Send Logs To Syslog کلیک کنید و در قسمت IP Address/FQDN آدرس IP سرور Splunk خود را قرار دهید

تنظیمات بالا به صورت Cli در FortiGate:

نویسنده: امیرحسین تنگسیری نژاد

برای ارسال نظر باید وارد شوید.

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

افرادی که این مطلب را خواندند مطالب زیر را هم خوانده اند