Sammeln von Fortigate-LOGs in Elasticsearch und Anzeigen in Grafana

/ , / , , , , , , , , , , , , , /

Wir fahren mit einem weiteren Dokument fort, in dem wir versuchen werden, alle unsere LOGs in Elasticsearch zu zentralisieren, Diesmal liegt es an unseren Fortigate-Firewalls. Die Idee wird nicht nur sein, die LOGs zu sammeln, sondern sie auch visuell zu verstehen und über Tools zu verfügen, die uns täglich helfen..

ich sagte:, Das Ziel ist das Folgende, Sammeln Sie zuerst die LOGs, die wir in den Fortigate-Firewalls haben, sie an einem Ort zu haben, Was wird unsere liebe Elasticsearch sein?. Sobald wir die LOGs dort haben, können wir Kibana verwenden, um zu klatschen, was los ist, Wer besucht welche Website?, Welche Anwendungen werden am häufigsten verwendet oder welchen Datenverkehr generieren sie?… und abgesehen davon, es zu durchsuchen, denn die Idee wird auch sein, es in Grafana zu visualisieren, Wir wissen, dass wir viele Arten von Panels haben, um zu verstehen oder zu verstehen, was wir in diesen LOGs registrieren.

Wir können Quesito-Paneele herstellen, Bretter, Balkendiagramme, wie nicht Sankey Typ, oder platzieren Sie eine Weltkarte und suchen Sie die Ziel- oder Ursprungs-IP-Adressen, und wissen, wer und wann auf unsere Ressourcen zugreifen, sowie wofür unsere Benutzer das Internet nutzen.

Am bequemsten ist es, es von Kibana aus zu machen, Dort werden auch einige notwendige Schritte angezeigt, die wir unten sehen werden, Von Kibana gehen wir zu dir “Zuhause” > “Daten hinzufügen” > “Fortinet-Protokolle”, Das Gute ist, dass dieser Assistent überprüft, ob wir die Schritte gut befolgt haben und Daten sammeln, und es wird der Index erstellt, wenn alles in Ordnung ist.

Filebeat-Installation,

Wir müssen Filebeat auf einem Windows- oder Linux-Computer installieren, damit dieser Dienst einen Port überwacht (an die das Fortigate die LOGs sendet), und dann speichert Filebeat die LOGs im Elasticsearch-Index, der uns interessiert. Wenn Sie also nicht wissen, wo Sie es installieren sollen, Die eigene Maschine von ELK kann für uns völlig gültig sein, Die Schritte, die wir befolgen werden, sind, wenn wir von einem Linux sammeln, so, Wir installieren Filebeat:

locken -L -O https://artefakts.elastic.co/downloads/beats/filebeat/filebeat-7.12.0-amd64.deb
sudo dpkg -i filebeat-7.12.0-amd64.deb

Bearbeiten Sie zunächst die Filebeat-Konfigurationsdatei wie gewohnt. “/etc / filebeat / filebeat.yml” und wir werden zumindest die Verbindungsdaten zu Elasticsearch und Kibana angeben:

...
output.elasticsearch:
  Gastgeber: ["http://ip_adresse:9200"]
...
setup.kibana:
  Gastgeber: "http://DIRECION_IP:5601"
...

Als nächstes werden wir das Fortinet-Modul aktivieren:

Sudo Filebeat-Module aktivieren Fortinet

Wir bearbeiten auch die Konfigurationsdatei des Fortigate-Moduls “/etc / filebeat / modules.d / fortinet.yml”, Wir ermöglichen die Erfassung von Firewall’ und wenn wir Forticlients haben, FortiMail oder FortiManager auch, andernfalls, Letzteres lassen wir sie deaktiviert. También a considerar seleccionar cuáles son las interfaces Internas y las Externas; & por supuesto el puerto de escucha que tenremos (in diesem Beispiel der 9005):

- Modul: fortinet
  firewall:
    aktiviert: true
    var.input: udp
    var.syslog_host: 0.0.0.0
    var.syslog_port: 9005
    var.internal_interfaces: [ "lan1" ]
    var.external_interfaces: [ "wan" ]
    var.tags: [fortinet-firewall, festigen]
  clientendpoint:
    aktiviert: false
  fortimail:
    aktiviert: false
  fortimanager:
    aktiviert: falsch

Y probamos la configuración:

filebeat test config -c /etc/filebeat/filebeat.yml -e

Cargamos los índices y los dashboards para Kibana, iniciamos el servicio, lo habilitamos para que arranque de manera automática y verificamos que el servicio arrancó de manera correcta:

sudo filebeat setup --pipelines --modules fortinet

sudo systemctl start filebeat
sudo systemctl enable filebeat
sudo systemctl status filebeat

Aktivieren Sie die LOGs im Fortigate,

Und wir konfigurieren das Fortigate, das die LOGs in ein Syslog ausspuckt, das Beste per Kommandozeile, da die GUI es uns nicht erlaubt, den Port anzugeben, und per CLI ja:

Konfigurationsprotokoll Syslogd-Einstellung
    Status aktivieren aktivieren
    Server einstellen "DIRECTION_IP_FILEBEAT"
    Port einstellen 9005
Ende

Mit den LOGs spielen,

ich sagte:, Wenn die Datenerfassung korrekt ist und der Index korrekt erstellt wurde, müssen wir sonst wenig tun (Den Index können wir manuell erstellen, wenn wir nicht dem anfänglichen Assistenten folgen, den wir kommentieren). In Kibana können wir entdecken, was es sammelt, Felder hinzufügen oder entfernen, Suche im Lucene-Format oder im KQL-Format (Kibana-Abfragesprache).

Und wir können zum Beispiel bereits Grafana genießen, um die gesammelten Daten zu interpretieren!! Wir werden eine Verbindung über eine Datenquelle in Grafana vom Typ Elasticsearch herstellen und die Verbindungsdaten angeben und dann mit denselben Lucene-Abfragen, die wir in Kibana durchgeführt haben, Nun, wir können wunderschöne Dashboards erstellen.

Ich hinterlasse Ihnen ein Beispiel für die Herstellung eines Donuts oder eines Käses mit den von Forti entdeckten Top Consumer Apps.

Und dann geht es darum, der Fantasie freien Lauf zu lassen und die gewünschten Visualisierungen hinzuzufügen.

Auf dem Blog sehen Sie verschiedene Anzeigebeispiele, Ja, im Tree Map-Format…

Tabellenbeispiel, wo wir in der GUI filtern können…

Beispiel eines Sankey-Diagramms…

Einige Karten der Welt, wo wir die eingehenden oder ausgehenden Verbindungen sehen können, akzeptiert oder abgelehnt, in Echtzeit oder in der Geschichte der letzten 24 Stunden, 7 Tage, 1 Jahr…

ich sagte:, In anderen Dokumenten erfahren Sie, wie Sie die einzelnen Paneltypen erstellen, die Sie in diesem Beitrag sehen, Ich hoffe es gefällt euch und wie immer danke ich euch für diese Likes in sozialen Netzwerken!

empfohlene Beiträge:

Hector Herrero
Letzte Artikel von Hector Herrero (Alle anzeigen)