FortiGate/Log38 SIEM과의 syslog 연동 문제 FortiGate에서 IBM QRadar 같은 SIEM으로 Syslog 전송시 여러 페이로드가 하나의 페이로드로 병합되어 전송되는 경우가 있어, 파서가 메시지 경계를 제대로 처리하지 못하는 문제가 있다. (로그를 제대로 인지하지 못하게 된다.) 이는 TCP를 이용하여 로그를 보내기 때문에 발생하는 문제이다,. 아래와 같이 UDP로 변환하면 로그를 개별 데이터그램으로 전송하여 서버가 개별적으로 처리할 수 있게 된다.config log syslogdsetting set mode udpen 2025. 5. 19. Traffic log에서 방화벽 정책 바로 생성하기 FortiOS v7.6에서 FortiView Source에서와 함께 Traffic Forward Log에서 방화벽 정책을 바로 생성할 수 있다. 단, Log의 Source Address에 대해서만 자동 생성된다. 2025. 1. 17. 트래픽 로그에서 세션의 시작 시간 확인하는 방법 일반적으로 로그는 세션이 마무리되고 로그를 생성하며, 시간은 세션의 시작시간이 아니라 로그발생 (세션이 끝난) 시간이다.따라서 세션 시작 시간은 로그발생시간 - 세션유지시간(duration) 이다.위 로그의 경우 14시 15분 41초 - 155초 = 14시 13분 06초가 세션 시작시간이 된다. 만약 방화벽 정책에 "set logtraffic-start enable" 하게 되면 아래와 같이 하나의 세션에 대해 2개의 로그를 발생하게 된다. 위 로그의 경우 동일한 세션에 대해 duaration=0인 로그를 포함하여 2개의 세션을 생성하게 된다.위 예의 세션 시작시간은 14:34:40 이며 끝난 시간은 14:36:46 이다. 2024. 12. 30. FortiGate Cloud의 로그 표시 수 FortiCloud 포털에 접속하여 로그를 보는 경우, 한 번에 올수 있는 최대 로그수는 2,000개 이다. FortiGate Cloud로 로그를 전송하여 1년동안 보존할 수 있는 라이선스를 구독한 경우도 동일하다. 표시되는 2,000개 내에서 표시되지 않는 로그를 검색하려면 필터 기능을 이용해서 원하는 로그를 볼 수 있다. FortiGate에서 'FortiGate Cloud'에 저장된 로그를 보는 경우, 최대 로그수는 40,000개 이다. 수동으로 계속 스크롤 해서 볼수 있다. 이 경우 FortiCloud로부터 로그를 수신하는데 시간이 오래 걸려 TCP timeout으로 표시가 되지 않는 경우도 있다. 이런 경우는 TCP timeout을 조정 해야 한다. 2024. 1. 8. FortiGate Cloud 라이선스가 만료된 후 로그 보존 기간 FortiGate Cloud 라이선스를 구독하면 1년 분량의 로그를 저장할 수 있다. 라이선스가 만료되면 FortiGate Cloud에 수집된 모든 로그(최대 1년 분량)는 추가로 30일 동안 데이터베이스에 유지된다. 이 유예기간동안 라이선스를 갱신하거나, 로그를 다운로드 받아 저장 가능하다. 30일의 유예기간이 지나면 최근 7일의 로그만 남기고 오래된 로그는 모두 삭제된다. 2023. 12. 22. 이전 1 2 3 4 ··· 8 다음
