1. Tổng quan.
Logs (ghi chép) là các dòng thông tin ghi lại sự kiện, hoạt động hoặc thông tin quan trọng trong hệ thống máy tính hoặc mạng. Logs có thể bao gồm thông tin về lỗi, cảnh báo, tình trạng hoạt động của các ứng dụng và thiết bị, và nhiều thông tin khác để hỗ trợ việc quản lý, giám sát, và bảo mật hệ thống.
FortiGate là một hệ thống tường lửa và bảo mật mạng sản xuất bởi Fortinet. FortiGate có khả năng tạo và quản lý các loại logs để giám sát và bảo vệ mạng. Dưới đây là một số loại logs phổ biến trên FortiGate:
Traffic Logs: Đây là logs liên quan đến lưu lượng mạng, bao gồm thông tin về các kết nối và gói tin đi qua thiết bị FortiGate. Traffic logs thường bao gồm thông tin về nguồn, đích, giao thức, và các quy tắc áp dụng.
Security Logs: Logs này ghi lại các sự kiện bảo mật quan trọng như các tấn công, cảnh báo vi phạm chính sách bảo mật, hoặc các hoạt động đáng ngờ trên mạng. Điều này bao gồm cả logs về IDS/IPS (Intrusion Detection System/Intrusion Prevention System).
System Logs: Các logs hệ thống chứa thông tin về hoạt động của chính thiết bị FortiGate, bao gồm cả thông báo lỗi, thông tin về hệ thống, và quá trình khởi động.
Event Logs: Logs này ghi lại các sự kiện quan trọng khác nhau trên thiết bị FortiGate, chẳng hạn như thay đổi cấu hình, quản lý người dùng, và các sự kiện liên quan đến quản lý hệ thống.
VPN Logs: Các logs về kết nối VPN, bao gồm thông tin về kết nối IPsec, SSL VPN, và các sự kiện liên quan đến các kết nối này.
Web Filter Logs: Logs về hoạt động của hệ thống lọc web trên FortiGate, bao gồm các trang web đã truy cập và các quy tắc đã áp dụng.
Email Filter Logs: Logs về hoạt động của hệ thống lọc email, bao gồm các email đã quét, các quy tắc đã áp dụng và các cảnh báo liên quan đến email.
Application Control Logs: Logs về việc kiểm soát ứng dụng trên mạng, bao gồm thông tin về các ứng dụng đã sử dụng và các hành vi liên quan đến ứng dụng.
Authentication Logs: Logs liên quan đến quá trình xác thực và đăng nhập người dùng vào hệ thống.
Session Logs: Logs ghi lại thông tin về các phiên kết nối mạng, bao gồm thông tin về thời gian bắt đầu và kết thúc phiên.
2. Thực hành.
Bước 1: Cấu hình Firewall Fortigate gửi logs tới Graylog Server
Bước 2: Cài đặt template Fortigate trên Graylog
Download template định dạng JSON về, ở đây mình sử dụng template này:
Github: https://github.com/seanthegeek/graylog-fortigate-syslog
Bước 3: Import template vừa tải về vào Graylog
Chọn System -> Content Packs -> Upload file template vừa tải về lên.
Sau khi upload thành công, kéo xuống dưới sẽ thấy được Template vừa upload. Chọn Install để cài đặt nó, nếu cài đặt thành công sẽ hiện trạng thái installed
Sau khi cài thành công, chọn tab Search sẽ thấy logs xuất hiện.
Khi import template cũng sẽ có sẵn 1 Dashboard, bạn có thể ấn vào tab Dashboard để xem chi tiết. Bên dưới là kết quả:
