Sammeln von Fortigate-LOGs in Elasticsearch und Visualisieren in Grafana
Wir fahren mit einem anderen Dokument fort, in dem wir versuchen werden, alle unsere LOGs in Elasticsearch zu zentralisieren, dieses Mal sind wir an der Reihe, die Firewalls von Fortigate zu verstärken. Die Idee wird sein, die LOGs nicht nur zu sammeln, sondern sie auch visuell zu verstehen und Werkzeuge zu haben, die uns in unserem täglichen Leben helfen.
Was ich gesagt habe, Das Ziel lautet wie folgt, Sammeln Sie zuerst die LOGs, die wir in den Firewalls von Fortigate haben, um sie an einem Ort zu haben, das wird unser geliebtes Elasticsearch sein. Sobald wir die LOGs dort haben, können wir Kibana nutzen, um über das Geschehen zu tratschen, Wer besucht welche Website?, welche Anwendungen am häufigsten genutzt werden oder welchen Traffic sie generieren… und abgesehen vom Stöbern, denn die Idee wird auch sein, es in Grafana zu visualisieren, dass wir wissen, dass wir viele Arten von Panels haben, um zu verstehen oder verständlich zu machen, was wir in diesen LOGs aufzeichnen.
Wir können Cheese-Paneele herstellen, Patt, Balkendiagramme, natürlich Typ Sankey, oder platzieren Sie eine Weltkarte und geolokalisieren Sie die IP-Adressen des Ziels oder des Ursprungs, und zu wissen, wer und wann auf unsere Ressourcen zugreift, sowie unsere Nutzer für das, wofür sie das Internet nutzen.
Am bequemsten ist es, dies von Kibana aus zu tun, Dort werden auch bestimmte notwendige Schritte angezeigt, die wir im Folgenden sehen werden, Von Kibana aus gehen wir zu seinem “Heim” > “Hinzufügen von Daten” > “Fortinet-Protokolle”, Das Gute daran ist, dass dieser Assistent überprüft, ob wir die Schritte richtig befolgt haben und Daten sammelt, und es wird der Index erstellt, wenn alles in Ordnung ist.
Installieren von Filebeat,
Wir müssen Filebeat auf einem Windows- oder Linux-Rechner installieren, damit dieser Dienst auf einem Port lauschen kann (an die Fortigate die LOGs sendet), und dann speichert Filebeat die LOGs in dem Elasticsearch-Index, an dem wir interessiert sind. Wenn Sie also nicht wissen, wo Sie es installieren sollen, Die eigene Maschine von ELK kann voll und ganz gültig sein, Die Schritte, die wir befolgen werden, sind, wenn wir von einem Linux, Also, Wir haben Filebeat installiert:
curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.12.0-amd64.deb sudo dpkg -i filebeat-7.12.0-amd64.deb
Wir bearbeiten wie immer zuerst die Filebeat-Konfigurationsdatei “/usw./filebeat/filebeat.yml” und geben Sie mindestens die Verbindungsdaten zu Elasticsearch und Kibana an:
... Ausgabe.elasticsearch: Wirte: ["HTTP (Englisch)://DIRECCION_IP:9200"] ... setup.kibana: Gastgeber: "HTTP (Englisch)://DIRECION_IP:5601" ...
Als Nächstes aktivieren wir das Fortinet-Modul:
Sudo Filebeat-Module aktivieren Fortinet
Wir bearbeiten auch die Konfigurationsdatei des Fortigate-Moduls “/etc/filebeat/modules.d/fortinet.yml”, Wir ermöglichen das Sammeln von "Firewalls"’ und wenn wir Forticlients haben, Auch FortiMail oder FortiManager, sonst, Letzteres lassen wir behindert. Auch die Auswahl der internen und externen Schnittstellen sollte in Betracht gezogen werden; & Natürlich der Listening-Port, den wir haben werden (In diesem Beispiel wird die 9005):
- Modul: Fortinet-Firewall: ermöglichte: Echte Var.Input: UDP-var.syslog_host: 0.0.0.0 var.syslog_port: 9005 var.internal_interfaces: [ "LAN1" ] var.external_interfaces: [ "FAHL" ] var.tags: [Fortinet-Firewall, Stärken Sie sich] clientendpoint: ermöglichte: falsch Fortimail: ermöglichte: Falsch FortiManager: ermöglichte: FALSCH
Und wir haben die Konfiguration getestet:
filebeat test config -c /etc/filebeat/filebeat.yml -e
Wir laden die Indizes und Dashboards für Kibana, Wir starten den Service, Wir aktivieren den automatischen Start und überprüfen, ob der Dienst korrekt gestartet wurde:
Sudo Filebeat setup --pipelines --modules Fortinet sudo systemctl start filebeat sudo systemctl enable filebeat sudo systemctl status filebeat
Aktivieren von LOGs in Fortigate,
Und wir konfigurieren Fortigate, das die Protokolle an ein Syslog ausspuckt, Am besten über die Befehlszeile, da die GUI es uns nicht erlaubt, den Port anzugeben, und per CLI ja:
config log syslogd einstellung status setzen enable set server "DIRECCION_IP_FILEBEAT" Port setzen 9005 Ende
Spielen mit den LOGs,
Was ich gesagt habe, Wenn die Datenerfassung korrekt ist und der Index korrekt erstellt wurde, haben wir nicht mehr viel zu tun (Der Index kann von uns manuell erstellt werden, wenn wir dem von uns erwähnten anfänglichen Assistenten nicht folgen). Von Kibana aus werden wir herausfinden können, was es sammelt, Hinzufügen oder Entfernen von Feldern, Suche im Lucene-Format oder KQL-Format (Kibana-Abfragesprache).
Und wir werden bereits in der Lage sein, zum Beispiel Grafana zu nutzen, um die gesammelten Daten zu interpretieren!! Wir stellen eine Verbindung über eine Datenquelle in Grafana vom Typ Elasticsearch her und geben die Verbindungsdaten an und dann mit den gleichen Lucene-Abfragen, die wir in Kibana durchgeführt haben, weil wir schöne Dashboards erstellen können.
Ich hinterlasse Ihnen ein Beispiel dafür, wie man einen Donut oder einen Käse mit dem höchsten Verbrauch von Apps macht, die von Forti entdeckt wurden.
Und dann ist es an der Zeit, Ihrer Fantasie freien Lauf zu lassen und die Visualisierungen hinzuzufügen, die wir möchten.
Auf dem Blog sehen Sie verschiedene Beispiele für Visualisierungen, wenn im Tree-Map-Format…
Beispiel für eine Tabelle, wo wir in der GUI filtern können…
Beispiel für ein Sankey-Diagramm…
Landkarten der Welt, wo wir eingehende oder ausgehende Verbindungen sehen können, Akzeptiert oder abgelehnt, in Echtzeit oder in der Historie der letzten 24h, 7 Tage, 1 Jahr…
Was ich gesagt habe, In anderen Dokumenten sehen Sie, wie Sie jeden Panel-Typ, den Sie in diesem Beitrag sehen, erstellen, Ich hoffe, es gefällt euch und wie immer danke ich euch für die Likes in den sozialen Netzwerken!