Comunidad FORTIGATE.es

Buenos dias,
QUeria consultar si existe alguna manera mantener activo el "logtraffic" en una politica y que no lo envie al fortianalyzer. Por otro lado queria saber tambien como hago para que no me envie el trafico que matchea la policy id 0

Muchas gracias!!!

Hola, o logueas elk trafico o no lo logueas...
no es posible no loguear un trafico de una politica en particular en el analyzer y las demas si.
lo unico que podes hacer es desactivar en la politica erl log traffic, pero ahi no lo logueras ni en memoria.. ni nada.


para loguear todo lo que esta denegado tenes varias formas..
o haces una politica abajo de todas denegando y logueando(esto en mr2 y versiones anteriores)

o logueas la politica que viene implicita (4.0 mr3)

saludos

Gracias Gaby.
En este momento tengo desactivado el logtraffic en la politica implicita(policyid 0) y igualmente me continua logueando..... Me pasa lo mismo con otras polticas. tengo V4 MR3

Con respecto a enviar el trafico al analyzer a lo que me referia era si es posible enviar logueo solo de UTM al analyzer y no asi el de trafico.

hola, si podes habilitar lo que quieras

config log fortianalyzer filter


saludos

Asi como deshabilitar el log traffic solo para una regla, seria deshabiltandole el log a la regla directamente desde la politica.
si puedes dejar de enviar logs de la pestaña traffic para todo el fw, esta opcion sirve cuando tienes hartos dispositivos un analyzer pequeño, asi puedes recepcionar eventos, cpu e ips.
En si el traffic en algunos casos es una duplicidad de los otros, por lo que utilizas espacio innecesario y almacenas una cantidad mayor de logs/segundos, con esto mejoras el rendimiento.
esto lo deshabilitas con :

# config log fortianalyzer filter
(filter) # set traffic disable

Si quieres ver que otras cosas puedes deshabilitar antes de de hacer el set traffic puede hacer un get y te mostrara el listado completo.
Ojala sirva la ayuda