Назад | Перейти на главную страницу

Как Fortigate 100D отправляет логи в Splunk

У меня Fortigate 100D с FortiOS 5.06, это моя настройка

config log syslogd setting
set status enable
set server “192.168.7.4″
set reliable disable
set port 515
set csv disable
set facility alert
set source-ip 192.168.9.2
end

У меня есть сервер Splunk 192.168.7.4, который прослушивает порт 515 TCP, мои коммутаторы могут нормально пересылать свои журналы в Splunk, но я не могу заставить Fortigate работать. Сервер Splunk не получает журналы от Fortigate.

Устанавливать reliable disable = UDP, вам нужно установить reliable enable = tcp

Из справочника по интерфейсу командной строки fortinet:

надежный {отключить | enable} Включить надежную доставку сообщений системного журнала на сервер системного журнала. Если этот параметр включен, блок FortiGate реализует профиль RAW согласно RFC 3195, отправляя сообщения журнала с использованием протокола TCP.

Системный журнал обычно UDP 514, и Splunk работает нормально, если настроен на его использование.