Comunidad FORTIGATE.es

Web NO OFICIAL de soporte en español
https://www.fortigate.es/

Tipos de Log a Correlacionar

https://www.fortigate.es/viewtopic.php?t=4127

Página 1 de 1

Tipos de Log a Correlacionar

Publicado: 02 Sep 2013, 21:36
por jr_loc@hotmail.com
Hola a todos.
Tal ves alguien ya haya pasado por esto: Estoy intentando correlacionar eventos de un FortiGate 310B, que actualmente lo uso prioritariamente como WebFilter, lo malo es que me generan taaaantos log que se hace engorroso reconocer los log relevantes para la seguridad. Es por ello que pregunto si alguien tiene identificado los log que son relevantes para la correlación.

Agradecería vuestro apoyo.
Gracias
Jorge

Re: Tipos de Log a Correlacionar

Publicado: 02 Sep 2013, 22:37
por gabyrossi
hola, estas logueando donde?
revisa si en la politica logueas trafico, deberias loguear solo utm webfilter

saludos.

Re: Tipos de Log a Correlacionar

Publicado: 03 Sep 2013, 15:52
por jr_loc@hotmail.com
Hola
Lo malo que en el último upgrade que se hizo, ya no sale la configuración de un syslog remoto, por lo que revisando con comandos, tengo la siguiente configuración:

config log syslogd setting
set status enable
set server "10.15.1.55"
set facility kernel
end

config log syslogd filter
set severity information
end

Será esto conforme a lo que me dices, o habrá algo mas?
Gracias.

Re: Tipos de Log a Correlacionar

Publicado: 03 Sep 2013, 16:28
por gabyrossi
Hola,
revisa el settings del suslog
facilicty por default siempre es local7... (ptrobalo)
y el minimum log lvel es information


en el filter deberias tener habiliotado lo refenrete a web o lo que necesites.

saludos.
Todos los horarios son UTC+02:00
Página 1 de 1

Desarrollado por phpBB® Forum Software © phpBB Limited

Traducción al español por phpBB España