iT邦幫忙

0

fortigate 60e log 備份

  • 分享至 

  • xImage

各位專家們好

小弟最近在過iso27001
被查到說防火牆fortigate沒有定期備份log
沒有硬碟版本,最多只會記錄7天份
這樣記錄的代數不足,不符合規範

目前想針對這塊把他補強起來
查詢過一些方法

  • 設定備份到Fotigate Cloud,但該服務要看分析與管理功能,需付費訂閱。
  • Fortigate可以與AWS作備份,但會使用到AWS的空間服務,使用空間就要付費,付費是以使用空間大小與時數(小時)在計費的。

是還有找到另一個方案是說可以備份到wiki syslog ng,但這是試用版,過期後也要付費

想請教一下有沒有什麼方法是可以0成本或低成本方案
可以將fortigate 60e的所有事件、防火牆設定檔作備份到本地主機(FTP)或免費雲上
如有要安裝軟體,希望是免費版本的

還請各位專家們指點一下
或有其他業界上可行的方案分享
謝謝大家

===============================================

以下是用chatgpt產生的備份防火牆conf的指令,其中有部分無法執行
不知道該如何修正?還請大大們指點一下,謝謝
不確定是否與韌體有關,先附上我的版本:v6.0.4 build0231 (GA)

建立備份腳本

config system auto-script
edit "backup_logs"
set interval 1
set repeat 0
set script "execute backup config ftp 192.168.1.119 fortigate *Abcd1234 backup_\`date +%Y%m%d_%H%M\`.conf"
next
end

設定自動排程

config system automation-trigger
edit "backup_twice_a_day"
set event "schedule"
set schedule "06:00,20:00"
set action "execute auto-script backup_logs"
next
end

在這裡的set event "schedule"
會發生錯誤,無法執行這段指令

驗證設定
show system automation-trigger

測試
execute auto-script backup_logs

看更多先前的討論...收起先前的討論...
froce iT邦大師 1 級 ‧ 2024-09-11 12:39:22 檢舉
沒實際做過,不過幫你查了一下:
graylog去抓
https://seanthegeek.net/1270/how-to-create-a-single-node-graylog-instance-and-analyze-fortigate-logs/

應該可以。
我是讀門神文章長大的
半個月前才問過門神相關問題....XDDD 但我公司的防火牆是 FG-200E
https://ithelp.ithome.com.tw/articles/10340644
https://www.ublink.org/index.php/service/tech-know/vigor-tech/使用synology-nas日誌中心接收vigor-route-syslog
https://www.ublink.org/index.php/component/finder/search?q=syslog&Itemid=101
breakgod iT邦新手 2 級 ‧ 2024-09-11 15:16:13 檢舉
wow!
感覺門神大大的這個似乎可行喔
現在一直在吃到一堆資料了 哈哈
再來觀查看看,感謝!
breakgod iT邦新手 2 級 ‧ 2024-09-11 15:24:13 檢舉
不過還想請教一下,fortigate防火牆的設定檔,是否有辨法可以作定期的備份?
有一定要cli指令嗎?還是ui介面有地方可以設定(找不到)?
萬分謝謝
pitswang iT邦新手 4 級 ‧ 2024-09-12 09:54:09 檢舉
設定檔定期備份請用自動化動作去跑cli 指令
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
mytiny
iT邦超人 1 級 ‧ 2024-09-11 22:04:23
最佳解答

在下也是推薦門神大大的文章
但是前面已經有人提過,不再贅述

為了通過ISO27001
樓主接下來要遇到的事還不少
版本v6.0.4這麼舊還能用嗎?
有買保固維護嗎?
如果沒有,機器壞了的備援方案呢?
如果有,系統的漏洞修補了沒有
接下來還有大約一萬題等著答

紀錄Log儲存是一回事
可讀性又是另一回事
不能判讀的資訊叫垃圾
相信大家都知道
如果什麼都不會又還希望知識技術都免錢
會不會想的太美好了
何不自己花錢去上上課呢

至於ChatGPT,可以很負責任地說關於操作Fortigate
免費版的是問不出正確結果
付費版的答案也不會讓樓主滿意

0
mathewkl
iT邦高手 1 級 ‧ 2024-09-11 11:47:10

可以建FortiAnalyzer VM去接Fortigate的log

https://docs.fortinet.com/document/fortianalyzer/7.6.0/vm-trial-license-guide/131614/licensing
免費授權許可證限制:
只能連美國主機
最多三個設備/VDOMs
最多2個ADOMs
最多1GB/每天的Log收集量

試用授權的FortiGuard IOC和FortiAnalyzer Security Automation會在一年後到期
我的FAZ建未滿一年,不知道過期後是否還會繼續收Log

breakgod iT邦新手 2 級 ‧ 2024-09-11 11:58:04 檢舉

A trial license does not include access to Fortinet services or Technical Support for a FortiAnalyzer VM with a free trial license.
試用授權不包括使用免費試用授權存取 Fortinet 服務或FortiAnalyzer VM 的技術支援。

太可惜了,公司…沒有買授權…就只有硬體
這個方法應該也就不能用了QQ
稽核員也有說要買授權或是單買更新檔T_T

bluegrass iT邦高手 1 級 ‧ 2024-09-11 12:49:02 檢舉

你目的只是儲LOG, VM免費授權應該夠用了

你隨便找個SI朋友報價"零"元的FAZ免費授權

不就"買"授權了嗎?

mathewkl iT邦高手 1 級 ‧ 2024-09-11 14:39:40 檢舉

你的FortiGate有買授權就有權去Fortinet support下載FortiAnalyzer的檔案來裝,然後啟用試用授權

0
kobecho
iT邦新手 2 級 ‧ 2024-09-11 11:52:30

我印象中可以自行建立LogServer來進行防火牆LOG紀錄存放
可以詢問貴司配合的廠商確認項內容

看更多先前的回應...收起先前的回應...
breakgod iT邦新手 2 級 ‧ 2024-09-11 11:55:58 檢舉

只有買設備,沒有合作的廠商耶
log server我也有想說往這方面去試試
但log server的軟體都要付費制的
所以這點在公司內部會議上就較難被通過了…
偏向於免費方案的,感謝您

froce iT邦大師 1 級 ‧ 2024-09-11 13:57:48 檢舉

所以這點在公司內部會議上就較難被通過了…

給個建議啦,難通過也是要在會議上提。提完決議要自建再自建。
稽核事項總要有個回答,會議上不通過稽核不過問題不是在你身上,但自建建不出來或很不穩定無法改進,責任一定在你身上。
自由軟體方案是有,但哪天fortigate進版不能用了,社群又還沒改,這責任還不是在你身上?
會議上有開決議你還可以分攤點責任,下次如果又出問題,可以再提商業方案,自己就自建下去了那責任一定完全是你的。

kobecho iT邦新手 2 級 ‧ 2024-09-11 14:19:31 檢舉

Logserver架設就看你有沒有能力可以以現有或閒置設備來進行架設,如樓上所言自由軟體方案很多,基本上也可趁這次機會提出解決方案及建議改善內容

同意,log server其實有不少開源/免費的選項可以自建;如果log不多,也可以使用一些商業軟體的免費版本

0
DennisLu
iT邦好手 1 級 ‧ 2024-09-11 15:41:57

linux的 rsyslog 支援把log送進去關聯式資料庫內,
也有提供建立database的schema的範例檔案。

把一堆Server跟設備的syslog,丟到rsyslog服務再轉送到關聯式資料庫就好了。

還可以寫SQL設計報表,可以利用一些技巧封存比較老舊的資料減少負擔。

Linux 免費
Linux安裝rsyslog 免費
關聯式資料庫(MySQL、PostgreSQL) 免費
效能還可以的汰換電腦 免費
會寫程式也懂資料庫跟SQL語法 連方便管理跟查詢都可以免費
fortinet的log很好分析寫成SQL調出vpn驗證出入紀錄,DHCP發配紀錄等等以報表呈現。
懂寫php還可以做到網頁查詢系統。

懂得設計封存方式,放二十年都沒問題,機器不夠強,熱資料就保留少天一點會比較好查詢,其他時間太久的就輸出封存起來,真的要調閱冷資料再匯入到其他資料庫就好了。

只是自己的技能樹要點很多很廣就是了...

1
Ivan Cheng
iT邦研究生 5 級 ‧ 2024-09-12 09:02:16

如何設定自動排程來進行每日的組態備份到 SFTP 或者 USB 裝置。
https://medium.com/@jieshiun/%E5%A6%82%E4%BD%95%E8%87%AA%E5%8B%95%E5%82%99%E4%BB%BD-fortigate-%E9%98%B2%E7%81%AB%E7%89%86%E8%A8%AD%E5%AE%9A-2d28a70721ca

若想要備份日誌的話,可以使用下面的指令替換,請參考下面的文章。

execute log backup /usb/log.tar

https://docs.fortinet.com/document/fortigate/7.6.0/administration-guide/872548/backing-up-log-files-or-dumping-log-messages

日誌儲存的合規只是第一步,因為你連第一點就不符合了。

接下來肯定會問這些日誌您們有定期分析與主管簽核嗎?

最重要的是當分析發現異常時,你們的作為與處理的流程是什麼。

FortiAnalyzer VM 對您可能會是比較好的選擇

若公司的網管人員沒有足夠的技術能力,建議把風險委外給有負責安全營運中心 SOC 的 SI 廠商。

對您來說整體的成本可能會是最低的...

0
ming9900
iT邦新手 4 級 ‧ 2024-09-16 09:37:43

貴公司是否有使用 NAS,比如 Synology 或 QNAP?
這二家的NAS 上,都可以啟用 syslog Server 服務。

如果只是要Log 事後稽核,用 NAS 很方便,就不用自建了。

PS:只是Log 要找特定字串可能要先匯出 CSV 了,UI上功能有限。

我要發表回答

立即登入回答