Buena tarde colegas,
Me atrevo a solicitar apoyo de su conocimiento, verán tengo un Fortigate 200D donde observando la consola de alertas me aparecen intentos de inicio de sesión con usuarios admin, adm, administrador, etc, pero no me indica de que IP es proveniente, ya he buscado en los informes y no encuentro nada donde me indique que equipo hace esos intentos, ¿me podrían indicar cómo puedo obtener esta información?
Desde ya, agradezco su apoyo.
Apoyo para identificar IP de ataque
Re: Apoyo para identificar IP de ataque
Buenas,
Si estás guardando los logs en disco en la versión 5.2.3 puedes buscar esos intentos en Log & Report -> Event Log -> System filtrando por el level alert. En caso de que utilices la memoria dependerá de si no se ha producido todavía la rotación de los logs.
Otras opciones es un servidor syslog o si dispones de un Fortinalyzer.
En mi caso tengo activado el envío de correo electrónico a mi cuenta en caso de que se produzcan accesos (autorizados o no) al firewall. Para ello:
Log & Report -> Log Config -> Alert E-mail
Escribes las dirección o direcciones destino y escoges las alertas que quieres recibir o el nivel mínimo de las mismas.
En el mensaje que te envía te indica el motivo y la IP origen.
Espero que te sirva de ayuda.
Si estás guardando los logs en disco en la versión 5.2.3 puedes buscar esos intentos en Log & Report -> Event Log -> System filtrando por el level alert. En caso de que utilices la memoria dependerá de si no se ha producido todavía la rotación de los logs.
Otras opciones es un servidor syslog o si dispones de un Fortinalyzer.
En mi caso tengo activado el envío de correo electrónico a mi cuenta en caso de que se produzcan accesos (autorizados o no) al firewall. Para ello:
Log & Report -> Log Config -> Alert E-mail
Escribes las dirección o direcciones destino y escoges las alertas que quieres recibir o el nivel mínimo de las mismas.
En el mensaje que te envía te indica el motivo y la IP origen.
Espero que te sirva de ayuda.