在大型的网络中,管理员往往需要面对N台设备,其中可能包括路由器、交换机、防火墙、入侵检测、Windows、Linux……等不同类型的设备、系统、应用,如何对日志进行有效的管理是一个大问题。
还好,有SYSLOG(关于什么是syslog,请自行搜索)!
FortiWiFi-20C是支持SYSLOG输出的,记录的日志种类也比较多,如下图:
当然,如果选择了“Send Logs to FortiCloud”后,会收到详细的分析报告,在此不赘述。配置好的话,你会每天在邮箱收到分析邮件,游侠这里放一个样本,您可以下载分析:
SummaryReport_daily_2013-07-20_2013-07
当然,上面配置好之后,还得执行一步,必须在CLI中输入下列命令:
config log syslogd setting
set status enable
set csv enable
set port 514
set server 192.168.1.20
end
其实比较简单,照着输入就是了,514是syslog的默认端口号,下面的set server后输入你的SYSLOG服务器地址,然后就可以收到syslog信息了,如下图:
后面黑色背景、绿色字体的,即为设备发送过来的syslog信息,我在这里放上几条做分析:
Message meets Alert condition
date=2013-08-06 time=22:53:37 devname=FWF20C3X12003208 devid=FWF20C3X12003208 logid=0100032001 type=event subtype=system level=information user="admin" ui=http(192.168.1.20) action=login status=success reason=none profile="super_admin" msg="Administrator admin logged in successfully from http(192.168.1.20)"
//帐号admin从192.168.1.20成功登录
Message meets Alert condition
logid=0000000013 type=traffic subtype=forward level=notice vd=root srcip=192.168.1.20 srcport=64183 srcintf="internal" dstip=183.60.18.111 dstport=8000 dstintf="wan" sessionid=3208 status=deny policyid=1 dstcountry="China" srccountry="Reserved" trandisp=snat transip=113.138.28.161 transport=64183 service=8000/udp proto=17 appid=108855300 app="QQ" appcat="IM" applist="default" appact=drop-session duration=180 sentbyte=0 rcvdbyte=0 crscore=30 craction=131072
//QQ聊天工具被阻断
Message meets Alert condition
date=2013-08-08 time=23:38:25 devname=FWF20C3X12003208 devid=FWF20C3X12003208 logid=0316013056 type=webfilter subtype=ftgd_blk level=warning policyid=1 identidx=0 sessionid=8321 srcip=192.168.1.20 srcport=6254 srcintf="internal" dstip=202.100.73.29 dstport=80 dstintf="wan" service="http" hostname="www.jiathis.com" profiletype="Webfilter_Profile" profile="default" status="blocked" reqtype="referral" url="/code/swf/m.swf" sentbyte=392 rcvdbyte=0 msg="URL belongs to a denied category in policy" method=domain cat=26 catdesc="Malicious Websites"
//www.jiathis.com被当做恶意网站阻断
似乎在老的版本中,配置syslog只需要通过web页面就可以了,但是游侠在升级FortiWiFi-20C到最新版后,似乎页面没有配置syslog转发的地方,只能通过命令配置了。游侠在网上找到一个此前的图,可以借鉴:
只需要选中“syslog服务器设置”输入IP、端口,就OK咯!简单、快速、国际范!期待下个版本的改进。
其实FortiWiFi-20C的syslog配置还是比较简单的,并且信息也比较详细,如果通过“格式化”后的日志审计系统,也会具备不错的可读性。
作者:张百川(网路游侠)www.youxia.org 转载请注明来源!谢谢
测评全文:
