Hola, estoy intentado logear el trafico en un pc, pero no consigo que logee nada, he instalado el syslog (kiwi) y he indicado en el firewall la ip, el puerto y la informacion, pero no consigo logear nada de nada como si no tuviera configurado nada, he utilizado el siguiente manual y he realizado todos los pasos. ¿Me falta algun parametro?
[Debes identificarte para poder ver enlaces.]
Un saludo
Problema con Syslog
Re: Problema con Syslog
hola como estas? te da alkgun tipo de error?
si haces un sniffer en el puerto 514 que se ve?
saludos
Gabriel
si haces un sniffer en el puerto 514 que se ve?
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema con Syslog
Hola, acabo de ver que si que lofea, pero ni logea el trafico de la red, ni su uso, unicamente los accesos al firewall, actualizaciones, y problemas con el acceso a internet.
¿Pero se podria logear todo el trafico al igual que lo realize el propio firewall? Es decir, bloqueos de emule, msn, paguinas web, spam, ...
Estoy utilizando el kiwi syslog.
Un saludo
¿Pero se podria logear todo el trafico al igual que lo realize el propio firewall? Es decir, bloqueos de emule, msn, paguinas web, spam, ...
Estoy utilizando el kiwi syslog.
Un saludo
Re: Problema con Syslog
Hola, como estas? el kiwi es un syslog pero nunca se puede comparar con el fortiAnalycer.
si llegaste a ver algun reporte del analycer y podras darte cuenta la diferencia de magnitud y detalles entre el syslog y el analycer.
saludos
Gabriel
si llegaste a ver algun reporte del analycer y podras darte cuenta la diferencia de magnitud y detalles entre el syslog y el analycer.
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema con Syslog
Hola Gabriel, pues tienes toda la razon he visto algunas capturas del fortiAnalyzer y estan muy completos, pero en cuanto a presupuesto ... tengo que tener un equipo logeando trafico y queria saber si hay alguna forma de conseguir logear mas trafico. ¿Porque el syslog viene bastante limitado verdad?
¿Conoces algun software mejor para esta accion?
Un saludo
Antonio
¿Conoces algun software mejor para esta accion?
Un saludo
Antonio
Re: Problema con Syslog
hola, como estas? no conozco otros syslog, sera cuestion de probar algunos mas y comparar.
tambien proba de habilitar el log de lo que el fortigate deniega.
lo haces desde:
Fortigate # config sys global
(global)# set loglocaldeny enable
(global)# end
tambien fijate en consola : config log syslog .....
que este enable lo que necesites.
tambien se puede loguear en un linux, que trae syslog.
saludos
Gabriel
tambien proba de habilitar el log de lo que el fortigate deniega.
lo haces desde:
Fortigate # config sys global
(global)# set loglocaldeny enable
(global)# end
tambien fijate en consola : config log syslog .....
que este enable lo que necesites.
tambien se puede loguear en un linux, que trae syslog.
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema con Syslog
Ok lo probare. Gracias
-
elsa ribeiro
- Mensajes: 5
- Registrado: 22 Jul 2008, 19:58
Re: Problema con Syslog
HOla...leyendo esto realmente habilito el log?
Lo hago desde la consola de forti?
Gracias
Lo hago desde la consola de forti?
Gracias
gabyrossi escribió:hola, como estas? no conozco otros syslog, sera cuestion de probar algunos mas y comparar.
tambien proba de habilitar el log de lo que el fortigate deniega.
lo haces desde:
Fortigate # config sys global
(global)# set loglocaldeny enable
(global)# end
tambien fijate en consola : config log syslog .....
que este enable lo que necesites.
tambien se puede loguear en un linux, que trae syslog.
saludos
Gabriel
Re: Problema con Syslog
Hola, habilitar lo habilitas desde la web, pero para chequear que este bien lo haces tambien desde ahi.
saludos
Gabriel
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema con Syslog
Hola, entonces no es lo mismo? yo via web lo tengo tickado, pero lo mirare mediante consola.
Saludos
Saludos
Re: Problema con Syslog
Ok, miralo y cualquier cosa nos decis.
saludos
Gabriel
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema con Syslog
Hola, solo quería añadir una nota
Me parece que estás confundiendo dos conceptos. El kiwi es un syslog, y por tanto hace el trabajo de acumular los registros en red que le pasa el fortigate. Hace un buen trabajo. Otra cosa es que después obviamente quieras analizar ese tráfico. Para eso puedes usar el RTG o uno de SolarWinds que se puede provar durante un tiempo sin pagar, y lo alimentas des de el/los fichero/s syslog creados por el kiwi.
El fortianalyzer almacena y analiza, las dos cosas. Pero hay una gran cantidad de buen software de análisis gratis (sobretodo linux) que pueden valerte incluso mejor que el fortianalyzer.
Un saludo.
Me parece que estás confundiendo dos conceptos. El kiwi es un syslog, y por tanto hace el trabajo de acumular los registros en red que le pasa el fortigate. Hace un buen trabajo. Otra cosa es que después obviamente quieras analizar ese tráfico. Para eso puedes usar el RTG o uno de SolarWinds que se puede provar durante un tiempo sin pagar, y lo alimentas des de el/los fichero/s syslog creados por el kiwi.
El fortianalyzer almacena y analiza, las dos cosas. Pero hay una gran cantidad de buen software de análisis gratis (sobretodo linux) que pueden valerte incluso mejor que el fortianalyzer.
Un saludo.
Re: Problema con Syslog
Una duda, he probado lo que comentáis un par de post antes sobre activar que se haga log de lo denegado pero tengo la siguiente duda.
¿Esto permite ver en el log intentos de conexión con protocolos no autorizados? Es decir, si yo no tengo permitido el FTP de mi interna a la externa y hago pruebas como un usuario de hacer FTP y veo que el el firewall no me deja ¿por qué luego cuando reviso el log (tengo el kiwi montado y funcionando) no me aparecen como denegados los intentos de FTP desde la IP del cliente donde pruebo
Sólo veo denegaciones en todo el tema de DoS que lo tengo activado pero no en intentos de IPs de mi red interna de uso de protocolos y puertos que no tengo permitidos en el firewall.
¿Esto permite ver en el log intentos de conexión con protocolos no autorizados? Es decir, si yo no tengo permitido el FTP de mi interna a la externa y hago pruebas como un usuario de hacer FTP y veo que el el firewall no me deja ¿por qué luego cuando reviso el log (tengo el kiwi montado y funcionando) no me aparecen como denegados los intentos de FTP desde la IP del cliente donde pruebo
Sólo veo denegaciones en todo el tema de DoS que lo tengo activado pero no en intentos de IPs de mi red interna de uso de protocolos y puertos que no tengo permitidos en el firewall.Re: Problema con Syslog
Hola, el kiwi no te va a almazenar tanto y tan bien como el analizer!
saludos
Gabriel
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema con Syslog
Pero que almacen las denegaciones de protocolos no permitidos o no dados de alta en las políticas no depende del kiwi si no de que el Fortigate le pase esa información, que es lo que creo que no sucede incluso en el nivel "debug". Me resulta muy extraño que no pueda ver por ejemplo que una IP está intentando hacer FTPs cuando no tiene permiso o que una IP externa de Internet está haciendo intentos no válidos.
Cuando dices analyzer te refieres al Fortigate Analyzer? Es que ando loca buscando un software/caja negra con buena relación precio-prestaciones para analizar todo lo que pueda generar el Fortigate.
Muchas gracias por tu tiempo.
Cuando dices analyzer te refieres al Fortigate Analyzer? Es que ando loca buscando un software/caja negra con buena relación precio-prestaciones para analizar todo lo que pueda generar el Fortigate.
Muchas gracias por tu tiempo.