Comunidad FORTIGATE.es

Web NO OFICIAL de soporte en español
https://www.fortigate.es/

Problema con Email Alert Trigger

https://www.fortigate.es/viewtopic.php?t=4414

Página 1 de 1

Problema con Email Alert Trigger

Publicado: 21 Ene 2014, 20:15
por azkel
Estimados,

Se me presenta el siguiente inconveniente con un FortiAnalyzer v5.0.2.

Tengo configurado el Alert Trigger de la siguiente forma;

Log Filters (Add Filter);
Level Greater Than or Equal to Critical
UTM Event Contains severity=critical

Send Alerts To: Email Address
Severity: Critical


Necesito que solo me lleguen al mail las alertas criticas, pero me llegan alertas de cualquier severidad.


Es posible que se trate de algun bug en la version del firmware?



Saludos cordiales.

Re: Problema con Email Alert Trigger

Publicado: 21 Ene 2014, 20:39
por gabyrossi
hola, y el que te la envias en el fortianalyzer o el fortigate?

Re: Problema con Email Alert Trigger

Publicado: 22 Ene 2014, 15:04
por azkel
Hola gabyrossi, te pido mil disculpas pero no entendí bien tu pregunta. Si te referís cual es el equipo que envía el mail, es el mismo FortiAnalyzer quien lo envía.


Saludos y gracias!

Re: Problema con Email Alert Trigger

Publicado: 22 Ene 2014, 15:31
por gabyrossi
mostras la pantalla de config. de la alerta y el mensaje de alerta que llega?

Re: Problema con Email Alert Trigger

Publicado: 23 Ene 2014, 14:57
por azkel
Adjunto la captura de la configuración del Alert Trigger. Me faltaria la de los mensajes generales que llegan que en cuento bien pueda lo hago.


Saludos y muchas gracias.

Re: Problema con Email Alert Trigger

Publicado: 23 Ene 2014, 15:02
por gabyrossi
y el alerta que llega cual es?¡??

que version estas usando de analyzer?

Re: Problema con Email Alert Trigger

Publicado: 30 Ene 2014, 14:01
por azkel
Gabriel;

El equipo es un FortiAnalyzer 100C, v5.0.2


Una de las alerta que llega es la siguiente;

Time: Wed Jan 26 13:40:41 ART 2014
Type: alert
Severity: high
From: FortiAnalyzer-100C(FL100C3910003883)
Trigger: HighAlert
Threshold: more than 1 event(s) occurred within last 6 minutes
Return-Path: log@etherincoll.com
Message-ID:
<WLSP-O0169aZbLAX3cf00000005@wlsp-o01.GLOBAL.etherincoll.com>
X-OriginalArrivalTime: 29 Jan 2014 13:40:01.0233 (UTC)
FILETIME=[F382BA90:01CD7D0B]
Date: 26 Jan 2014 13:40:41 -0300

Log message:
date=2014-01-26 time=13:40:41 itime=1391024859 devid=FG300B3910600945
logid=16385 type=ips subtype=signature pri=alert vd=Portmirror
severity=medium srcip=10.10.15.38 dstip=10.10.52.8 srcintf="port4"
policyid=1 identidx=0 sessionid=0 status=detected proto=1 service=icmp
count=1 attackname="Multiple.Vendor.ICMP.Remote.DoS" icmpid=0x0000
icmptype=0x04 icmpcode=0x00 attackid=13244 sensor="ruleipspmirror"
ref="http://www.fortinet.com/ids/VID13244" incidentserialno=1719070378
msg="DoS: Multiple.Vendor.ICMP.Remote.DoS,"



Si bien, como indica la regla, el parametro "Severity" esta seteado en "high". Dentro de "log message" figura severity=medium


Disculpas por la demora en la respuesta Gabriel, te agradeceria mucho la ayuda.


Saludos cordiales.

Re: Problema con Email Alert Trigger

Publicado: 30 Ene 2014, 14:19
por gabyrossi
hola, en el fortigate no tenes seteado alertas tambien?
lo revisaste?

Re: Problema con Email Alert Trigger

Publicado: 31 Ene 2014, 13:25
por azkel
Gabriel, todos los Alert Email de los vdoms estan configurados de la misma manera, adjunto dicha configuración.


Saludos y muchas gracias.
Todos los horarios son UTC+02:00
Página 1 de 1

Desarrollado por phpBB® Forum Software © phpBB Limited

Traducción al español por phpBB España