Network & Security Story

fortigate # config system admin fortigate (admin) # delete adminuser Cannot delete admin while 'adminuser' is logged in! command_cli_delete:5238 delete table entry hobumnim unset oper error ret=-14 Command fail. Return code -14 fortigate (admin) # 위와 같은 로그가 발생하면서 Fortigate 관리자 계정 삭제가 되지 않는 경우 다음과 같이 해결이 가능합니다. 먼저 get system info admin status 명령어를 통해 admin 상태 정보를 확인합니다. fortigate #get system info..

이번시간에는 ELK 를 활용하여 Fortigate 방화벽 로그를 수집하고 구성하는 방법에 대해서 알아보도록 하겠습니다. 로그 수집시 중요한 것은 장비 밴더사나 로그 특성등에 따라서 형식이 다 다르기 때문에 수집한 로그에 대해서 적절한 필터링을 통해 정형화 해 주어야 로그 분석 및 탐지가 용이하게 됩니다. 여기서는 방화벽에서 ELK Stack으로 로그를 전송을 Logstash.conf 필터를 통해서 로그 데이터 파싱하고 인덱싱하는 부분에 대해서 살펴보도록 하겠습니다. . 1. Fortigate 방화벽 Syslog 설정. 우선 Fortigate 방화벽 장비 CLI 접속하여 Logstash 서버로 로그 데이터를 전송하도록 설정을 해 줍니다. syslog 설정은 최대 4개까지 설정이 가능하며, Fortigate..