Problema con logs syslog vía TCP en FortiGate v5.6.4
Publicado: 03 Oct 2024, 20:22
Hola,
Estoy teniendo problemas al enviar logs desde un dispositivo FortiGate 60E con FortiOS v5.6.4 a un servidor de Logstash utilizando syslog vía TCP. Al revisar los paquetes que llegan al servidor de logs, noto que el tráfico está llegando correctamente, pero los logs contienen mensajes de tipo
en lugar de los datos completos que necesito (ACK, hostnames, etc.).
El mismo setup funciona sin problemas en otro dispositivo FortiGate que envía logs vía UDP, pero en este caso, no tengo disponible la opción de configurar el modo de transporte como UDP en el dispositivo de Caseros. He intentado diversas configuraciones, incluyendo ajustes en la severidad y los filtros de log, pero el problema persiste.
Mi pregunta es:
¿Es posible configurar correctamente el envío de logs vía TCP en esta versión de FortiOS?
Si no es posible, ¿hay alguna forma de forzar el uso de UDP sin la opción explícita set mode udp?
O se les ocurre alguna otra manera para resolverlo?
Mi config actual es esta
Agradecería mucho cualquier orientación sobre cómo proceder, ya que es crucial para la correcta recolección de logs en mi infraestructura.
Gracias por su ayuda.
Saludos,
Agustín
Estoy teniendo problemas al enviar logs desde un dispositivo FortiGate 60E con FortiOS v5.6.4 a un servidor de Logstash utilizando syslog vía TCP. Al revisar los paquetes que llegan al servidor de logs, noto que el tráfico está llegando correctamente, pero los logs contienen mensajes de tipo
Código: Seleccionar todo
2024-10-03T18:06:49.773760+00:00 169.254.106.82 <greeting />#015
2024-10-03T18:06:59.924314+00:00 169.254.106.82 <greeting />#015
2024-10-03T18:07:10.093023+00:00 169.254.106.82 <greeting />#015El mismo setup funciona sin problemas en otro dispositivo FortiGate que envía logs vía UDP, pero en este caso, no tengo disponible la opción de configurar el modo de transporte como UDP en el dispositivo de Caseros. He intentado diversas configuraciones, incluyendo ajustes en la severidad y los filtros de log, pero el problema persiste.
Mi pregunta es:
¿Es posible configurar correctamente el envío de logs vía TCP en esta versión de FortiOS?
Si no es posible, ¿hay alguna forma de forzar el uso de UDP sin la opción explícita set mode udp?
O se les ocurre alguna otra manera para resolverlo?
Mi config actual es esta
Código: Seleccionar todo
config log syslogd setting
set status enable
set server "10.102.139.28"
set reliable disable
set port 514
set facility local7
set source-ip "169.254.106.82"
set format csv
endAgradecería mucho cualquier orientación sobre cómo proceder, ya que es crucial para la correcta recolección de logs en mi infraestructura.
Gracias por su ayuda.
Saludos,
Agustín