FortiGate メモリロギングと Syslog サーバへのログ送信設定ガイド

本記事について

本記事では、Fortinet 社のファイアウォール製品である FortiGate について、ローカルメモリロギングと Syslog サーバへのログ送信の設定を行う方法について説明します。

動作確認環境

本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。

• FortiGate-60F
  • バージョン 7.4.3

ログに関する基礎知識

ログのシビラティ (severity)

ログには「シビラティ (severity)」という設定があります。シビラティは「重大度」を意味しています。

FortiGate によって出力されるログには種類ごとにシビラティが決められています。

メモリロギング及び Syslog サーバへのログ送信の設定では、ログフィルタ設定としてシビラティを設定する項目があり、どの重大度のログをメモリに保存するか、または Syslog サーバへどの重大度のログを送信するかを決めることになります。

シビラティには以下の 8 段階があります。

ログフィルタ設定にて例えばシビラティとして「⑤warning」を設定した場合、warning 以上のログ、つまり「①emergency～⑤warning」のログが保存されることになります。

トラフィックログのシビラティは informationです。トラフィックログを保存したい場合はシビラティを information にする必要があります。※debugはデバッグ目的以外での設定はお勧めしません

Syslog サーバとは

Syslog サーバとは、ネットワーク機器から出力されるログを長期保存するためのサーバです。

ネットワーク機器内部ではログの保存可能容量が限られていたり、機器再起動によりログが消えてしまったりするため、ログの長期保存には向きません。Syslog サーバにログを転送して保存しておくことで、何か問題が発生した場合に過去にさかのぼって機器のログを確認することができます。

グローバルログ設定

すべてのログ設定に関わるグローバルのログ設定として以下があります。

• イベントロギング設定
  • 保存するイベントログの種類を設定します
• ローカルトラフィックロギング設定
  • 保存するローカルトラフィックログの種類を設定します

これらの設定は GUI の「ログ&レポート > ログ設定」画面で実施できます。

CLI で設定する場合は以下のコンフィグ項目で設定します。

• イベントロギング設定
  • config log eventfilter
• ローカルトラフィックロギング設定
  • config log setting

GUI と CLI での設定項目の対応及びデフォルト値は以下表の通りです。

• イベントロギング設定
  • config log eventfilter

デフォルトのコンフィグは以下の通りです。

config log eventfilter
    set event enable
    set system enable
    set vpn enable
    set user enable
    set router enable
    set wireless-activity enable
    set wan-opt enable
    set endpoint enable
    set ha enable
    set security-rating enable
    set fortiextender enable
    set connector enable
    set sdwan enable
    set cifs enable
    set switch-controller enable
    set webproxy enable
end

• ローカルトラフィックロギング設定
  • config log setting

デフォルトのコンフィグは以下の通りです。

config log setting
    set local-in-allow disable
    set local-in-deny-unicast disable
    set local-in-deny-broadcast disable
    set local-out enable
end

メモリロギング設定

メモリロギングの設定項目

メモリロギングに関する設定項目としては主に以下があります。

• メモリロギングの有効/無効設定
  • デフォルトでは有効になっています
• メモリロギングのフィルタ設定
  • シビラティの設定、及び保存するログの種類を設定します
  • デフォルトのシビラティは information です
  • フィルタ設定は CLI でのみ実施可能です

GUI でのメモリロギングの設定方法

GUI でメモリロギングを有効化する設定方法は以下の通りです。

STEP

ログ設定画面の表示

GUI にログインし左側のメニューから「ログ&レポート > ログ設定」をクリックします。

STEP

メモリロギングの有効化

表示された画面で「ローカルログ」タブを表示し、「メモリ」のトグルスイッチを有効化します。その後「適用」をクリックして設定を確定します。

以上でメモリロギングの有効化は完了です。

CLI でのメモリロギングの設定方法

メモリロギングの有効化

メモリロギングの有効化はconfig log memory settingのset statusで設定します。有効化する場合は以下のコンフィグとなります。

config log memory setting
    set status enable
end

メモリロギングのフィルタ設定

メモリロギングのフィルタ設定はconfig log memory filterで行います。

設定項目は以下の通りです。

デフォルトのコンフィグは以下の通りです。

config log memory filter
    set severity information
    set forward-traffic enable
    set local-traffic disable
    set multicast-traffic enable
    set sniffer-traffic enable
    set ztna-traffic enable
    set anomaly enable
    set voip enable
    set forti-switch enable
end

メモリロギングのバッファサイズの設定

メモリロギングのバッファサイズを変更することができます。

設定項目はconfig log memory global-settingのset max-sizeです。
デフォルトは 20109926 [Byte] です。

config log memory global-setting
    set max-size 20109926
end

FortiGate-60F (global-setting) # set max-size
min:10485760    max:100549632

Syslog サーバへのログ転送設定

Syslog サーバに関する設定項目

Syslog サーバに関する設定項目としては主に以下があります。

• Syslog サーバの設定
  • ログ送信先の Syslog サーバを最大で 4 台まで設定できます
  • Syslog サーバを 2 台以上設定する場合は CLI で設定する必要があります
• Syslog へのログ送信のフィルタ設定
  • シビラティの設定、及び保存するログの種類を設定します
  • デフォルトのシビラティは information です
  • フィルタ設定は CLI でのみ実施可能です

GUI での Syslog サーバの設定方法

GUI での Syslog サーバの設定方法は以下の通りです。

STEP

ログ設定画面の表示

GUI にログインし左側のメニューから「ログ&レポート > ログ設定」をクリックします。

STEP

Syslog サーバの設定

表示された画面で「グローバル設定」タブを表示し、「Syslogロギング」で「有効」を選択します。すると「IPアドレス/FQDN」欄が表示されるため、Syslog サーバのアドレスを入力します。その後「適用」をクリックして設定を確定します。

以上で Syslog サーバの設定は完了です。

CLI での Syslog サーバの設定方法

Syslog サーバアドレスの設定

Syslog サーバの設定はconfig log syslogd settingにて行います。デフォルトでは以下のようにステータスが無効になっています。

config log syslogd setting
    set status disable
end

まずはステータスを有効にしてから各項目を設定します。

config log syslogd setting
    set status enable
end

Syslog サーバの設定項目は以下の通りです。色々ありますが最低限 Syslog サーバアドレスだけ設定すれば OK です。

• ファシリティの選択肢

kernel      Kernel messages.
user        Random user-level messages.
mail        Mail system.
daemon      System daemons.
auth        Security/authorization messages.
syslog      Messages generated internally by syslog.
lpr         Line printer subsystem.
news        Network news subsystem.
uucp        Network news subsystem.
cron        Clock daemon.
authpriv    Security/authorization messages (private).
ftp         FTP daemon.
ntp         NTP daemon.
audit       Log audit.
alert       Log alert.
clock       Clock daemon.
local0      Reserved for local use.
local1      Reserved for local use.
local2      Reserved for local use.
local3      Reserved for local use.
local4      Reserved for local use.
local5      Reserved for local use.
local6      Reserved for local use.
local7      Reserved for local use.

Syslog サーバとして 10.10.11.20 を有効化する場合の設定例は以下の通りです。

config log syslogd setting
    set status enable
    set server "10.10.11.20"
end

Syslog サーバを 2 台以上設定する場合は、以下のコンフィグ項目をconfig log syslogd settingと同様の方法で設定します。

• config log syslogd2 setting
• config log syslogd3 setting
• config log syslogd4 setting

Syslog サーバへのログ送信のフィルタ設定

Syslog サーバへのログ送信のフィルタ設定はconfig log syslogd filterで行います。

設定項目は以下の通りです。

デフォルトのコンフィグは以下の通りです。

config log syslogd filter
    set severity information
    set forward-traffic enable
    set local-traffic enable
    set multicast-traffic enable
    set sniffer-traffic enable
    set ztna-traffic enable
    set anomaly enable
    set voip enable
    set forti-switch enable
end

Syslog サーバを 2 台以上設定する場合は、以下のコンフィグ項目をconfig log syslogd filterと同様の方法で設定します。

• config log syslogd2 filter
• config log syslogd3 filter
• config log syslogd4 filter

HA 構成時は Syslog 送信元インターフェースに注意

これについては以下の記事にまとめています。

あわせて読みたい

FortiGate HA 構成時の NTP,Syslog,SNMP 等の送信元インターフェースがどうなるのか解説 [ha-direct 設定] 本記事について 本記事では、Fortinet 社のファイアウォール製品である FortiGate について、HA 構成時に NTP 通信、Syslog 通信、SNMP 通信等の送信元インターフェース...

ローカルメモリログの確認方法

FortiGate のローカルメモリに保存されたログの確認方法を説明します。

FortiGate でログを表示する場合は、まずログフィルタを設定してどの場所に保存されているどのログを確認するのかを設定し、その後ログ表示を行います。

ログ表示の手順は以下の通りです。

FortiGate-60F # execute log filter device 0

Available devices:
 0: memory
 1: fortianalyzer
 2: fortianalyzer-cloud
 3: forticloud

FortiGate-60F # execute log filter category 1

Available categories:
 0: traffic
 1: event
 2: utm-virus
 3: utm-webfilter
 4: utm-ips
 5: utm-emailfilter
 7: utm-anomaly
 8: utm-voip
 9: utm-dlp
10: utm-app-ctrl
12: utm-waf
15: utm-dns
16: utm-ssh
17: utm-ssl
19: utm-file-filter
20: utm-icap
22: utm-sctp-filter
23: forti-switch
24: utm-virtual-patch
25: utm-casb

FortiGate-60F # execute log filter view-lines 10

FortiGate-60F # execute log display
101 logs found.
10 logs returned.

1: date=2024-03-24 time=09:33:45 eventtime=1711240424394559340 tz="+0900" logid="0100022952" type="event" subtype="system" level="warning" vd="root" logdesc="FortiGate Cloud activation failed" user="auto-join" action="login" msg="FortiCloud service activation failed"

2: date=2024-03-24 time=09:33:44 eventtime=1711240423641259219 tz="+0900" logid="0100022949" type="event" subtype="system" level="notice" vd="root" logdesc="FortiGate Cloud auto-join attempted" user="auto-join" action="login" msg="Attempted to join FortiCloud"

3: date=2024-03-24 time=09:33:41 eventtime=1711240421537703979 tz="+0900" logid="0112053203" type="event" subtype="connector" level="information" vd="root" logdesc="Dynamic address updated." addr="FCTEMS_ALL_FORTICLOUD_SERVERS" msg="Updated tag FCTEMS_ALL_FORTICLOUD_SERVERS"

#以下略

FortiGate-60F # execute log filter reset

以上です。

【おすすめ】FortiGate の設計構築中なら以下の記事も役立つかもです

• 基礎知識
  • FortiGate の設計構築を初めて行う人へ基礎知識を共有します
  • FortiGate メーカー公式マニュアル利用ガイド
  • FortiGate コンフィグの仕組みと CLI 設定変更ガイド
  • 初期設定
    • FortiGate 初期設定を CLI で実施するためのマニュアル
    • FortiGate デフォルトで存在する不要な設定の削除マニュアル
  • 基本操作
    • FortiGate のコンフィグ初期化及びローカルログ削除マニュアル
    • FortiGate コンフィグのバックアップ及びリストア実施マニュアル
    • FortiGate CLI でのコンフィグバックアップ・リストア実行ガイド
    • FortiGate コンフィグのリビジョン管理と設定リストア実行ガイド
    • FortiGate Ping を打ち続けたりソースアドレスを指定したりする方法
  • バージョンアップ
    • 【詳解】FortiGate OS バージョンアップマニュアル
    • FortiGate CLI でのバージョンアップ実施ガイド
    • FortiGate バージョン変更後に Fatal error: Loading FOS fails! となり起動できない場合の対処方法
    • FortiGate HA 構成でのバージョンアップ実施ガイド【動作仕様と断時間】 ※note記事
• HA (冗長構成) 設定
  • FortiGate HA モードの Active-Passive と Active-Active の違いを解説します
  • FortiGate HA(冗長構成)の概要と設定ガイド【詳しく解説】※note記事
  • FortiGate HA 構成時のコンフィグ同期の仕様について解説します
  • FortiGate HA 構成時の NTP,Syslog,SNMP 等の送信元インターフェースを解説 [ha-direct 設定]
  • FortiGate HA 構成時の仮想 MAC アドレスについて解説します
  • FortiGate HA ハートビート送信間隔と障害判定しきい値の設定ガイド
  • FortiGate HA 構成時のバックアップ及びリストア実施ガイド
  • FortiGate HA 構成でのモニタインターフェースダウン時の通信断時間について解説
  • FortiGate HA 構成に関するQ&A 【良くありそうな疑問集】
• VDOM (バーチャルドメイン) 設定
  • FortiGate マルチ VDOM 基本設定ガイド [初心者向けに詳しく説明]
• トランスペアレントモード設定
  • FortiGate トランスペアレントモード基本設定ガイド【L2動作モード】
  • FortiGate トランスペアレントモードで HA 構成時の管理用 IP アドレス設定について解説
  • FortiGate トランスペアレント HA での切り替わり時の GARP 送信の仕様について解説
• システム系設定
  • 管理者アカウント設定
    • FortiGate 管理者アカウントの設定変更及び新規作成ガイド
  • 時刻・NTP 設定
    • FortiGate タイムゾーン、NTP同期、NTPサーバ設定ガイド
  • ロギング・Syslog 送信設定
    • FortiGate メモリロギングと Syslog サーバへのログ送信設定ガイド
    • FortiGate 暗黙の拒否ポリシーのログ及びセッション開始時のログの保存方法
  • SNMP 設定
    • FortiGate SNMP 監視のための設定ガイド [v1,v2c,v3]
  • DHCP サーバ機能設定
    • FortiGate DHCP サーバ機能設定ガイド
    • FortiGate での DHCP リレー設定ガイド
  • Proxy サーバ機能設定
    • FortiGate を Proxy サーバとして使用するための設定ガイド
  • アラートメール送信
    • FortiGate 設定変更発生時のアラートメール送信設定ガイド
• ネットワーク系設定
  • インターフェース設定
    • FortiGate インターフェース基本設定ガイド
    • FortiGate タグVLAN (VLANインターフェース) 設定ガイド
    • FortiGate VLANスイッチを使用したタグVLAN通信設定ガイド
    • FortiGate リンクアグリゲーションによるリンク冗長化設定ガイド
    • FortiGate で PPPoE 接続するための設定ガイド
  • ルーティング設定
    • FortiGate スタティックルート設定ガイド
    • FortiGate リンクモニタによる経路監視と自動経路切替の設定ガイド
    • FortiGate ポリシールート設定ガイド [送信元や宛先でルートを変更]
    • BGP
      • FortiGate BGP 基本設定ガイド AS,Neighbor,Network
      • FortiGate BGPルートのLocal-Preference,MED,AS-Path設定方法
      • FortiGate BGP でデフォルトルートを広報するための設定方法
      • FortiGate BGP ルートフィルタ設定ガイド【Distribute list in,out】
  • DNS 設定
    • FortiGate DNS ルックアップ用 DNS サーバと DNS サーバ機能の設定ガイド
  • NAT 及び NAPT 設定
    • FortiGate 送信元アドレス変換 (送信元 NAT,NAPT) 設定ガイド
    • FortiGate 宛先NAT,NAPT,ポートフォワーディング設定ガイド
    • FortiGate でのヘアピン NAT 設定ガイド
    • FortiGate セントラル NAT による送信元 NAT・宛先 NAT 設定ガイド
• ファイアウォール系設定
  • アドレス設定
    • FortiGate アドレスオブジェクト設定ガイド
  • サービス設定
    • FortiGate サービスオブジェクト設定ガイド
  • ファイアウォールポリシー設定
    • FortiGate ファイアウォールポリシー設定ガイド
    • FortiGate MAC アドレスフィルタリング設定ガイド
    • FortiGate ローカルインポリシーで管理アクセスを制限する方法
  • ゾーンを使用したポリシー設定
    • FortiGate ゾーンを使用したファイアウォールポリシー設定ガイド
• VPN 系設定
  • SSL-VPN 設定
    • FortiGate SSL-VPN 設定ガイド(AD 認証編)-テレワーク環境構築にも
    • FortiGate SSL-VPN 設定ガイド (Azure AD 認証編)
    • FortiGate クライアント証明書認証による SSL-VPN 設定ガイド
    • FortiGate SSL-VPN Email によるワンタイムパスワード設定ガイド
    • FortiClient VPN をインターネット非接続環境で使用する方法
  • IPsec VPN 設定
    • FortiGate 拠点間 IPsec VPN 接続設定ガイド
• Tips
  • FortiGate CLI の状態確認コマンドと情報取得コマンド一覧
  • FortiGate 設計構築時に役立つ Tips

Amazon アフィリエイトリンク

以下は Amazon アフィリエイトリンクです。インフラエンジニアにそこそこおすすめなアイテムです。

monofive RJ45-USB Cisco互換コンソールケーブル コネクタ保護カバー付き FTDIチップ MF-CBRJ45USB

Amazonで詳しくみる

エレコム CAT6中継コネクタ LD-RJ45JJ6Y2

Amazonで詳しくみる

エレコム CAT6 GigabitやわらかLANケーブル (ブルー)

Amazonで詳しくみる

サンワサプライ(Sanwa Supply) RJ-45プラグSOS ADT-RJ45SOS-10

Amazonで詳しくみる

バッファロー BUFFALO 有線LANアダプター LUA4-U3-AGTE-NBK ブラック Giga USB3.0対応 簡易パッケージ

Amazonで詳しくみる

【整備済み品】HP ノートパソコン 830G5/13.3型フルHD/Win 11/MS Office H&B 2019/第7世代i5-7200U 2.50GHz/メモリ 16GB/SSD 512GB/指紋リーダー/USB 3.0/WEBカメラ/初期設定済

Amazonで詳しくみる

note メンバーシップへの参加もお待ちしています！

note（ノート）

Shadowgarden.org -影の構築者集団-｜Shadowgarden.org -影の構築者集団- 陰の構築者集団「Shadowgarden.org」の活動拠点。 ネットワーク・インフラ業界に陰から影響を与えるため活動している。 当組織への問合せは「https://shadowgarden.org/inq...

【アフィリエイト】ブログ始めるならおすすめ

当サイト利用中レンタルサーバ【エックスサーバ】

安定性に定評があります

詳しくみる

当サイト利用中 WordPress テーマ 【SWELL】

シンプル・高機能・高速です

詳しくみる