Página 1 de 1
Envia el Fortigate las URL's visitadas?
Publicado: 06 Nov 2007, 21:22
por David
Saludos, Tengo un Fortigate 200A sin FortiAnalyzer. El Fortigate funciona perfectamente pero quisiera (como todo administrador) reportar las paginas visitadas de todo el personal. Para esto ya habilite la opción de Syslog, tengo un programa Kiwi que me captura la información y ya la puedo ver, aunque sea en Excel pero ya la veo, sin embargo no se donde configurar para que me envíe las url visitadas, quisiera sugerencias (exceptuando la compra de fortiAnalyzer). Feliz día.
Re: Envia el Fortigate las URL's visitadas?
Publicado: 07 Nov 2007, 14:06
por gabyrossi
Hola, como estas?
1- En el protection profile que utilizas para la navegacion de esa politica si estas usando FortiGuard Web Filtering pone a loguear todas las categorias.
2- En la politica que usas para que puedan navegar la pones a loguear tambien.
3-en el protection profile utilizado en la seccion de Logging tambien pones a luguear lo referente a webfiltering.
4- Por ultimo, en la seccion de Log$reporting ->Log Config ->Event Log ahi pones a loguear Firewall authentication event.
saludos
Gabriel
David escribió:Saludos, Tengo un Fortigate 200A sin FortiAnalyzer. El Fortigate funciona perfectamente pero quisiera (como todo administrador) reportar las paginas visitadas de todo el personal. Para esto ya habilite la opción de Syslog, tengo un programa Kiwi que me captura la información y ya la puedo ver, aunque sea en Excel pero ya la veo, sin embargo no se donde configurar para que me envíe las url visitadas, quisiera sugerencias (exceptuando la compra de fortiAnalyzer). Feliz día.
Publicado: 07 Nov 2007, 19:36
por David
Gracias por tu respuesta Gabriel
Quiero contarte que casi todas las cosas que me escribiste ya las tenia puestas, sin embargo el log que recibo no contiene la URL, envia una direccion ip pero asi es diferente, no se si tengo que utilizar alguna otra herramienta para verificar las URL.
Aqui les mando una linea de mi log.
2007-11-07 12:25:42 Local0.Notice 192.168.0.1 date=2007-11-07 time=12:16:29 devname=FG200A3907500147 device_id=FG200A9999990147 log_id=0099999901 type=traffic subtype=allowed pri=notice vd=root SN=19999999 duration=120 user=N/A group=N/A policyid=13 proto=6 service=80/tcp app_type=N/A status=accept src=192.168.0.97 srcname=192.168.0.97 dst=64.154.19.32 dstname=64.154.19.32 src_int=internal dst_int=wan1 sent=164 rcvd=600 sent_pkt=3 rcvd_pkt=5 src_port=49630 dst_port=80 vpn=N/A tran_ip=---.---.---.--- tran_port=40548 dir_disp=org tran_disp=snat
en ninguna parte encuentro la URL. Agradezco mucho sus comentarios, Feliz Dia.
Publicado: 07 Nov 2007, 21:52
por gabyrossi
hola, como estas? te fijaste en el log config donde configuras el syslog que diga esto:
Syslog
Name/IP: Port:
Minimum severity level: Information
que tenga information y local 7
saludos
Gabriel
David escribió:Gracias por tu respuesta Gabriel
Quiero contarte que casi todas las cosas que me escribiste ya las tenia puestas, sin embargo el log que recibo no contiene la URL, envia una direccion ip pero asi es diferente, no se si tengo que utilizar alguna otra herramienta para verificar las URL.
Aqui les mando una linea de mi log.
2007-11-07 12:25:42 Local0.Notice 192.168.0.1 date=2007-11-07 time=12:16:29 devname=FG200A3907500147 device_id=FG200A9999990147 log_id=0099999901 type=traffic subtype=allowed pri=notice vd=root SN=19999999 duration=120 user=N/A group=N/A policyid=13 proto=6 service=80/tcp app_type=N/A status=accept src=192.168.0.97 srcname=192.168.0.97 dst=64.154.19.32 dstname=64.154.19.32 src_int=internal dst_int=wan1 sent=164 rcvd=600 sent_pkt=3 rcvd_pkt=5 src_port=49630 dst_port=80 vpn=N/A tran_ip=---.---.---.--- tran_port=40548 dir_disp=org tran_disp=snat
en ninguna parte encuentro la URL. Agradezco mucho sus comentarios, Feliz Dia.
Publicado: 07 Nov 2007, 23:32
por David
Ok Gabriel lo hice y el log sale asi: (obviamente por seguridad cambie algunas cosas)
2007-11-07 16:20:36 Local7.Notice 192.168.0.1 date=2007-11-07 time=16:11:21 devname=FG200A9999990147 device_id=FG200A99999947 log_id=0021010001 type=traffic subtype=allowed pri=notice vd=root SN=15557901 duration=425 user=N/A group=N/A policyid=14 proto=6 service=80/tcp app_type=N/A status=accept src=192.168.0.15 srcname=192.168.0.15 dst=209.85.237.104 dstname=209.85.237.104 src_int=internal dst_int=wan1 sent=2277 rcvd=946 sent_pkt=8 rcvd_pkt=7 src_port=3206 dst_port=80 vpn=N/A tran_ip=999.999.999.999 tran_port=49999 dir_disp=org tran_disp=snat
Aqui puedo ver la direccion ip a la que se conecto pero no puedo ver la URL.
tambien me saca algunos que si tiene URL, pero es porque bloqueo un servicio.
2007-11-07 16:20:39 Local7.Warning 192.168.0.1 date=2007-11-07 time=16:11:23 devname=FG200A9999990147 device_id=FG200A9999990147 log_id=0212063000 type=virus subtype=filename pri=warning vd=root serial=15560340 user="N/A" group="N/A" src=192.168.0.34 sport=3500 src_int=internal dst=206.82.140.163 dport=80 dst_int=wan1 service=http status=blocked file="incrediappserver.dll" url="http:///incrediappserver.dll" ref="n/a" msg="File is blocked."
--Ya vi las demostraciones de FortiAnalyzer pero veo que tampoco estan las URL, Hay algun comando para agregar esta columna aqui?
--Lo que me anima es que en la pagina de status estan las transacciones mas recientes, pero solo me muestra 64 ¿alguna idea de donde encuentro URL o hostname?
Publicado: 08 Nov 2007, 13:36
por gabyrossi
hola, david, hice un par de pruebas y efectivamente, el syslog no muestra las url, porque no resuelve ip. Solo obtendras las ips visitadas.
En este caso tendras que resolverlo vos para hacer algun top ten de paginas o lo que necesites.
Si, el forianalyzer resuelve ip, y te muestra la url completa visitadas.
En el analyzer tenes una opcion de darla grados de detalles, para que te resuelva estos casos.
Obiamente te hace top ten, por dia, semana, mes..,. ect.
saludos
Gabiel
David escribió:Ok Gabriel lo hice y el log sale asi: (obviamente por seguridad cambie algunas cosas)
2007-11-07 16:20:36 Local7.Notice 192.168.0.1 date=2007-11-07 time=16:11:21 devname=FG200A9999990147 device_id=FG200A99999947 log_id=0021010001 type=traffic subtype=allowed pri=notice vd=root SN=15557901 duration=425 user=N/A group=N/A policyid=14 proto=6 service=80/tcp app_type=N/A status=accept src=192.168.0.15 srcname=192.168.0.15 dst=209.85.237.104 dstname=209.85.237.104 src_int=internal dst_int=wan1 sent=2277 rcvd=946 sent_pkt=8 rcvd_pkt=7 src_port=3206 dst_port=80 vpn=N/A tran_ip=999.999.999.999 tran_port=49999 dir_disp=org tran_disp=snat
Aqui puedo ver la direccion ip a la que se conecto pero no puedo ver la URL.
tambien me saca algunos que si tiene URL, pero es porque bloqueo un servicio.
2007-11-07 16:20:39 Local7.Warning 192.168.0.1 date=2007-11-07 time=16:11:23 devname=FG200A9999990147 device_id=FG200A9999990147 log_id=0212063000 type=virus subtype=filename pri=warning vd=root serial=15560340 user="N/A" group="N/A" src=192.168.0.34 sport=3500 src_int=internal dst=206.82.140.163 dport=80 dst_int=wan1 service=http status=blocked file="incrediappserver.dll" url="http:///incrediappserver.dll" ref="n/a" msg="File is blocked."
--Ya vi las demostraciones de FortiAnalyzer pero veo que tampoco estan las URL, Hay algun comando para agregar esta columna aqui?
--Lo que me anima es que en la pagina de status estan las transacciones mas recientes, pero solo me muestra 64 ¿alguna idea de donde encuentro URL o hostname?
Publicado: 09 Nov 2007, 23:15
por David
Muchas gracias por tu ayuda Gabriel, Feliz Dia.