본문 바로가기
IT/Fortinet

Fortigate log filter 특정 로그 예외 처리하는 방법

by youngjunboy 2022. 3. 16.
반응형

Fortigate log filter 특정 로그 예외 처리하는 방법

해당 명령어를 사용하여

특정 log만 syslog 서버 또는 fortianalyzer(Fortinet log 저장 장치)로 보내거나

특정 log를 저장하지 않게 설정이 가능

log filter 설정 필요 상황 예시

특정 불필요한 log가 많이 저장돼서 다른 log 확인이 힘들 때

해당 설정을 적용시켜 불필요한 log 예외 처리

테스트 시나리오

1. 내부 네트워크 대역이 8.8.8.8로 ping 차단 정책 설정

2. 해당 정책으로 인한 차단 log 확인 후 log-filter 설정

3. 차단 시 log가 저장되지 않는지 확인

먼저 내부 네트워크 대역이 목적지 8.8.8.8 ICMP 차단 정책을 만들어 줍니다.

 

그 다음

내부 PC에서 8.8.8.8로 Ping을 시도해봅니다.

차단이 되고

Fortigate GUI > Log & Report > Foward Traffic에서 deny log를 확인합니다.

거의 바로 차단되는 log 확인이 가능

해당 log를 더블클릭해 보면 자세한 내용 확인이 가능합니다

여기서 제가 필요한건 log filter를 걸기 위해 event level과 log id

log id = 13

event level = notice

log id는 직설적으로 확인이 가능하지만

security level의 경우 표시해 놓은 것처럼 칸수로 나오는데

저기에 마우스를 올리면 notice라고 표시됨

 

filter를 걸기 위해 CLI (해당 설정은 CLI에서만 가능)

config log <memory> filter

위 이미지는 기본 설정입니다.

filter-type이 include로 설정되어 있고 모든 log를 저장

 여기에 filter를 걸어주면 filter에 걸린 log만 memory에 저장

<> 친 이유는 테스트를 memory에 저장되는 log로 테스트 했기 때문

syslog나 fortianalyzer에 적용시키고 싶다면 <>부분만 바꿔주신 후 설정하시면 됩니다.

테스트 설정

filter > 아까 확인한 logid와 event level 설정

filter 설정 방법 관련 링크

filter type > exclude 변경

참고사항

- filter-type만 exclude로 변경 시 모든 log가 예외 처리되지 않는다. 이 땐 filter에 걸어 놓고 매칭되는 log만 예외 처리 -

설정 후 내부 PC에서 8.8.8.8 Ping 시도

차단이 되지만 log를 저장하지 않는다.

이렇게만 올리면 의심이 갈 수 있어 debug 내용까지 첨부하려 했지만.. 테스트 해보시기를 바라며^^

 

Fortigate log filter 특정 로그 예외 처리하는 방법

반응형