fortigate 60e log 備份

fortigate 60e log backup syslog

breakgod 2024-09-11 11:04:32 ‧ 245 瀏覽

分享至

各位專家們好

小弟最近在過iso27001
被查到說防火牆fortigate沒有定期備份log
沒有硬碟版本，最多只會記錄7天份
這樣記錄的代數不足，不符合規範

目前想針對這塊把他補強起來
查詢過一些方法

設定備份到Fotigate Cloud，但該服務要看分析與管理功能，需付費訂閱。
Fortigate可以與AWS作備份，但會使用到AWS的空間服務，使用空間就要付費，付費是以使用空間大小與時數(小時)在計費的。

是還有找到另一個方案是說可以備份到wiki syslog ng，但這是試用版，過期後也要付費

想請教一下有沒有什麼方法是可以0成本或低成本方案
可以將fortigate 60e的所有事件、防火牆設定檔作備份到本地主機(FTP)或免費雲上
如有要安裝軟體，希望是免費版本的

還請各位專家們指點一下
或有其他業界上可行的方案分享
謝謝大家

===============================================

以下是用chatgpt產生的備份防火牆conf的指令，其中有部分無法執行
不知道該如何修正？還請大大們指點一下，謝謝
不確定是否與韌體有關，先附上我的版本：v6.0.4 build0231 (GA)

建立備份腳本

config system auto-script
edit "backup_logs"
set interval 1
set repeat 0
set script "execute backup config ftp 192.168.1.119 fortigate *Abcd1234 backup_\`date +%Y%m%d_%H%M\`.conf"
next
end

設定自動排程

config system automation-trigger
edit "backup_twice_a_day"
set event "schedule"
set schedule "06:00,20:00"
set action "execute auto-script backup_logs"
next
end

在這裡的set event "schedule"
會發生錯誤，無法執行這段指令

驗證設定
show system automation-trigger

測試
execute auto-script backup_logs

看更多先前的討論...收起先前的討論...

froce iT邦大師 1 級 ‧ 2024-09-11 12:39:22 檢舉

沒實際做過，不過幫你查了一下:
graylog去抓
https://seanthegeek.net/1270/how-to-create-a-single-node-graylog-instance-and-analyze-fortigate-logs/

應該可以。

竹本立里 iT邦好手 1 級 ‧ 2024-09-11 13:04:07 檢舉

我是讀門神文章長大的
半個月前才問過門神相關問題....XDDD 但我公司的防火牆是 FG-200E
https://ithelp.ithome.com.tw/articles/10340644
https://www.ublink.org/index.php/service/tech-know/vigor-tech/使用synology-nas日誌中心接收vigor-route-syslog
https://www.ublink.org/index.php/component/finder/search?q=syslog&Itemid=101

breakgod iT邦新手 2 級 ‧ 2024-09-11 15:16:13 檢舉

wow!
感覺門神大大的這個似乎可行喔
現在一直在吃到一堆資料了哈哈
再來觀查看看，感謝!

breakgod iT邦新手 2 級 ‧ 2024-09-11 15:24:13 檢舉

不過還想請教一下，fortigate防火牆的設定檔，是否有辨法可以作定期的備份？
有一定要cli指令嗎？還是ui介面有地方可以設定(找不到)？
萬分謝謝

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

mathewkl

iT邦高手 1 級 ‧ 2024-09-11 11:47:10

可以建FortiAnalyzer VM去接Fortigate的log

https://docs.fortinet.com/document/fortianalyzer/7.6.0/vm-trial-license-guide/131614/licensing
免費授權許可證限制：
只能連美國主機
最多三個設備/VDOMs
最多2個ADOMs
最多1GB/每天的Log收集量

試用授權的FortiGuard IOC和FortiAnalyzer Security Automation會在一年後到期
我的FAZ建未滿一年，不知道過期後是否還會繼續收Log

回應 3
分享
檢舉

breakgod iT邦新手 2 級 ‧ 2024-09-11 11:58:04 檢舉

A trial license does not include access to Fortinet services or Technical Support for a FortiAnalyzer VM with a free trial license.
試用授權不包括使用免費試用授權存取 Fortinet 服務或FortiAnalyzer VM 的技術支援。

太可惜了，公司…沒有買授權…就只有硬體
這個方法應該也就不能用了QQ
稽核員也有說要買授權或是單買更新檔T_T

bluegrass iT邦高手 1 級 ‧ 2024-09-11 12:49:02 檢舉

你目的只是儲LOG, VM免費授權應該夠用了

你隨便找個SI朋友報價"零"元的FAZ免費授權

不就"買"授權了嗎?

mathewkl iT邦高手 1 級 ‧ 2024-09-11 14:39:40 檢舉

你的FortiGate有買授權就有權去Fortinet support下載FortiAnalyzer的檔案來裝，然後啟用試用授權

登入發表回應

kobecho

iT邦新手 3 級 ‧ 2024-09-11 11:52:30

我印象中可以自行建立LogServer來進行防火牆LOG紀錄存放
可以詢問貴司配合的廠商確認項內容

回應 3
分享
檢舉

breakgod iT邦新手 2 級 ‧ 2024-09-11 11:55:58 檢舉

只有買設備，沒有合作的廠商耶
log server我也有想說往這方面去試試
但log server的軟體都要付費制的
所以這點在公司內部會議上就較難被通過了…
偏向於免費方案的，感謝您

froce iT邦大師 1 級 ‧ 2024-09-11 13:57:48 檢舉

所以這點在公司內部會議上就較難被通過了…

給個建議啦，難通過也是要在會議上提。提完決議要自建再自建。
稽核事項總要有個回答，會議上不通過稽核不過問題不是在你身上，但自建建不出來或很不穩定無法改進，責任一定在你身上。
自由軟體方案是有，但哪天fortigate進版不能用了，社群又還沒改，這責任還不是在你身上?
會議上有開決議你還可以分攤點責任，下次如果又出問題，可以再提商業方案，自己就自建下去了那責任一定完全是你的。

kobecho iT邦新手 3 級 ‧ 2024-09-11 14:19:31 檢舉

Logserver架設就看你有沒有能力可以以現有或閒置設備來進行架設，如樓上所言自由軟體方案很多，基本上也可趁這次機會提出解決方案及建議改善內容

登入發表回應

DennisLu

iT邦好手 1 級 ‧ 2024-09-11 15:41:57

linux的 rsyslog 支援把log送進去關聯式資料庫內，
也有提供建立database的schema的範例檔案。

把一堆Server跟設備的syslog，丟到rsyslog服務再轉送到關聯式資料庫就好了。

還可以寫SQL設計報表，可以利用一些技巧封存比較老舊的資料減少負擔。

Linux 免費
Linux安裝rsyslog 免費
關聯式資料庫(MySQL、PostgreSQL) 免費
效能還可以的汰換電腦免費
會寫程式也懂資料庫跟SQL語法連方便管理跟查詢都可以免費
fortinet的log很好分析寫成SQL調出vpn驗證出入紀錄，DHCP發配紀錄等等以報表呈現。
懂寫php還可以做到網頁查詢系統。

懂得設計封存方式，放二十年都沒問題，機器不夠強，熱資料就保留少天一點會比較好查詢，其他時間太久的就輸出封存起來，真的要調閱冷資料再匯入到其他資料庫就好了。

只是自己的技能樹要點很多很廣就是了...