今天早上登入graylog時出現了通知訊息
有新版
立馬進行更新
可是更新完出現几個問題
一個是 elasticsearch 的message出現暴量
導致graylog預設的Disk Journal (1G)也爆了 所以到config先調大為5G 等消化完再看看要不要調回來
第二個問題是forti的log几乎全部不見了
這很奇怪
之前的几次更新並沒有出現這個問題
找了一下官方的blog看到從這一版開始直接支援fortiget的log
而且在少數出現的log裡也看到欄位被辨認出來
這個不錯 雖然很吃資源
但卻只有出現少數几條log
畫面右上的 in/out message也一直有值
用tcpdump去捉封包也沒問題
看來應該是syslog4j有bug了
只能先試一下進forti改一下丟log的方式
先把log調到之前有開的tcp port
可是並沒有出現
於是再syslog上再開另一個udp port
再改一下forti的設定
終於可以了
先醬用吧
5 則留言:
可以分享一下怎麼讓graylog2.2.3收到fortigate 的syslog,我這麼怎麼試都不行,我的Fortigate OS是5.2.9,非常感謝。
在graylog上再開另一個 Raw/Plaintext UDP 的 udp port
再改一下forti的設定 把syslog吐到這個port來
抱歉,照你的設定,我還是無法收到Fortigate Log,請你的Fortigate版本是5.4嗎?
這是我的Fortigate syslog 設定,可以請幫我看跟你的有什麼差別嗎?非常感謝你的幫忙。
config log syslogd setting
set status enable
set server "192.168.8.8"
set reliable disable
set port 5044
set csv disable
set facility syslog
set source-ip 10.1.1.1
end
server上跑tcpdump有看到資料過來嗎?
我現在可以收Fortigate log了,原來一定用UDP去收,假如用TCP去收Fortigate log會有資訊不完整,而且收的格式一定要Raw/Plaintext UDP, 真的非常感謝你的幫忙,謝謝。
張貼留言