У меня Fortigate 100D с FortiOS 5.06, это моя настройка
config log syslogd setting
set status enable
set server “192.168.7.4″
set reliable disable
set port 515
set csv disable
set facility alert
set source-ip 192.168.9.2
end
У меня есть сервер Splunk 192.168.7.4, который прослушивает порт 515 TCP, мои коммутаторы могут нормально пересылать свои журналы в Splunk, но я не могу заставить Fortigate работать. Сервер Splunk не получает журналы от Fortigate.
Устанавливать reliable disable = UDP
, вам нужно установить reliable enable = tcp
Из справочника по интерфейсу командной строки fortinet:
надежный {отключить | enable} Включить надежную доставку сообщений системного журнала на сервер системного журнала. Если этот параметр включен, блок FortiGate реализует профиль RAW согласно RFC 3195, отправляя сообщения журнала с использованием протокола TCP.
Системный журнал обычно UDP 514, и Splunk работает нормально, если настроен на его использование.