FortiGate 集成
本指南介绍如何配置 Fortinet FortiGate 防火墙通过 syslog 将安全日志转发到 KYRA MDR Collector。
支持版本: FortiOS 6.4、7.0、7.2、7.4+
前提条件
- 已安装并运行的 KYRA MDR Collector(安装指南)
- FortiGate 管理员访问权限(CLI 或 GUI)
- FortiGate 到收集器端口 514 的网络连接
步骤 1:在 FortiGate 上启用 Syslog(GUI)
- 登录 FortiGate Web 控制台
- 导航到 Log & Report > Log Settings
- 在 Remote Logging and Archiving 下,启用 Send Logs to Syslog
- 配置以下内容:
| 设置 | 值 |
|---|---|
| IP Address/FQDN | 您的 KYRA Collector IP(例如 10.0.1.50) |
| Port | 514 |
| Server Type | Syslog |
| Minimum Log Level | Information |
| Facility | local7(推荐) |
- 点击 Apply
步骤 2:在 FortiGate 上启用 Syslog(CLI)
连接到 FortiGate CLI 并运行:
config log syslogd setting set status enable set server "10.0.1.50" set port 514 set facility local7 set source-ip "" set format default set mode udpend使用 TCP 进行可靠传输:
config log syslogd setting set status enable set server "10.0.1.50" set port 514 set mode reliableend注意:
reliable模式使用 TCP,可防止网络拥塞期间的日志丢失。推荐用于生产环境。
步骤 3:配置日志类别
启用对安全监控重要的日志类型:
config log syslogd filter set severity information set forward-traffic enable set local-traffic enable set multicast-traffic enable set anomaly enable set voip disable set filter "" set filter-type includeend推荐日志类型
| 日志类型 | CLI 设置 | 重要性 |
|---|---|---|
| 流量 | forward-traffic enable | 网络流量可见性、横向移动检测 |
| UTM/安全 | 默认启用 | IPS、AV、Web 过滤、应用控制事件 |
| 事件 | 默认启用 | 管理员登录、配置变更、HA 故障切换 |
| 异常 | anomaly enable | DoS 检测、协议异常 |
| DNS | dns enable(FortiOS 7.0+) | DNS 隧道、C2 检测 |
启用 DNS 日志(FortiOS 7.0+)
config log syslogd filter set dns enableend步骤 4:配置第二个 Syslog 服务器(可选)
FortiGate 最多支持四个 syslog 服务器。将 KYRA 添加为辅助目标:
config log syslogd2 setting set status enable set server "10.0.1.50" set port 514 set mode reliableend步骤 5:验证日志是否在流动
在 FortiGate 上
检查 syslog 是否活跃:
diagnose log test这将发送一条测试日志。然后验证连接状态:
get log syslogd setting确认 server 和 status 正确。
在 KYRA Collector 上
检查事件是否到达:
# 查看传入的 syslog 流量sudo tcpdump -i any port 514 -c 10
# 检查收集器日志sudo journalctl -u kyra-collector --since "5 minutes ago" | grep -i forti在 KYRA 控制台中
- 前往 日志搜索
- 搜索
source_type:fortigate或按 FortiGate 的 IP 地址过滤 - 您应看到防火墙流量、UTM 事件和系统事件
- 前往 仪表板 确认事件采集指标正在增加
FortiGate 日志格式参考
KYRA MDR 自动解析 FortiGate 日志格式。提取的关键字段:
| FortiGate 字段 | KYRA MDR 字段 | 描述 |
|---|---|---|
srcip | source.ip | 源 IP 地址 |
dstip | destination.ip | 目标 IP 地址 |
action | event.action | allow、deny、drop 等 |
attack | threat.name | IPS 签名名称 |
severity | event.severity | critical、high、medium、low |
logid | event.id | FortiGate 日志标识符 |
devname | observer.name | FortiGate 主机名 |
policyid | rule.id | 防火墙策略 ID |
检测规则
KYRA MDR 包含针对 FortiGate 事件的内置检测规则:
| 检测 | MITRE ATT&CK | 描述 |
|---|---|---|
| 暴力管理员登录 | T1110 | 多次失败的管理员登录尝试 |
| 配置变更 | T1562.001 | 防火墙策略或设置修改 |
| IPS 严重告警 | 多种 | 高严重性 IPS 签名匹配 |
| VPN 异常 | T1133 | 异常的 VPN 登录模式(地理位置、时间) |
| DNS 隧道 | T1071.004 | 可疑的 DNS 查询模式 |
| 策略拒绝峰值 | T1046 | 被拒绝流量突然增加(端口扫描) |
故障排除
未收到日志
- 防火墙规则:确保 FortiGate 和收集器之间没有 ACL 阻止端口 514
- Syslog 状态:运行
get log syslogd setting— 确认status为enable - 正确 IP:验证 syslog 服务器 IP 与您的收集器 IP 匹配
- 日志级别:如果设置为
warning或以上,信息级事件将被丢弃。设置为information
部分日志
- 缺少流量日志:检查 syslog 过滤器中的
forward-traffic是否为enable - 缺少 DNS 日志:DNS 日志需要 FortiOS 7.0+ 并显式启用
- 缺少 UTM 日志:确保安全配置文件(IPS、AV、Web Filter)已应用到防火墙策略
日志量过大
FortiGate 可能产生大量日志。要减少噪音:
config log syslogd filter set severity warning set forward-traffic disable set anomaly enableend警告: 禁用流量日志会降低检测覆盖率。仅在日志量是问题时才这样做。考虑升级您的 KYRA MDR 计划以获得更高的 EPS 限制。