ElasticsearchでFortigate LOGを収集し、Grafanaで視覚化する
引き続き、すべてのLOGをElasticsearchに一元化しようとする別のドキュメントに進みます, 今回はFortigateファイアウォールの番です. LOGを収集するだけでなく、LOGを視覚的に理解し、日常生活に役立つツールを持つことも考えます.
私が言ったこと, 目的は次のとおりです, まず、FortigateのファイアウォールにあるLOGを収集します, それらを1か所にまとめる, それが私たちの愛するElasticsearchになります. LOGがそこにあると、Kibanaを使用して何が起こっているかについての噂話をすることができます, 誰がどのウェブサイトにアクセスしたか, 最も使用されているアプリケーションや、それらが生成するトラフィック… そして、それを閲覧するだけでなく, なぜなら、Grafanaで視覚化するというアイデアもあるからです, 私たちは、これらのLOGに記録している内容を理解したり理解したりするための多くの種類のパネルがあることを知っています.
チーズタイプのパネルが作れます, 行き詰り, 棒グラフ, もちろんサンキータイプ, または、世界地図を配置して、目的地または出発地のIPアドレスを地理的に特定します, そして、誰がいつリソースにアクセスしているかを知ること, また、ユーザーがインターネットを何のために使用しているかについても説明します.
最も快適なことは、Kibanaからそれを行うことです, そこでは、以下に示す特定の必要な手順も示します, Kibanaから私たちはその場所に行きます “家” > “データの追加” > “フォーティネットのログ”, 良い点は、このウィザードが手順を正しく実行し、データを収集しているかどうかを確認することです, そして、すべてがOKであればインデックスを作成します.
Filebeatのインストール,
このサービスがポートでリッスンするには、WindowsまたはLinuxマシンにFilebeatをインストールする必要があります (FortigateがLOGを送信する), 次に、FilebeatはLOGを関心のあるElasticsearchインデックスに保存します. したがって、どこにインストールすればよいかわからない場合, ELK自身の機械は完全に有効である場合もあります, 私たちが従う手順は、Linuxから収集する場合です, だから, Filebeatをインストールしました:
カール -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.12.0-amd64.deb sudo dpkg -i filebeat-7.12.0-amd64.deb
いつものように、まずFilebeat設定ファイルを編集します “/etc/filebeat/filebeat.yml” 少なくともElasticsearchとKibanaへの接続データを示します:
... output.elasticsearchと入力します。: ホスト: ["HTTPの://DIRECCION_IP:9200"] ... setup.kibana さん: ホスト: "HTTPの://DIRECION_IP:5601" ...
次に、Fortinetモジュールを有効にします:
Sudo Filebeatモジュールがフォーティネットを実現
また、Fortigateモジュールの設定ファイルも編集します “/etc/filebeat/modules.d/fortinet.yml”, 「ファイアウォール」の収集を有効にします’ Forticlientsがある場合, FortiMailまたはFortiManagerも同様, 然も無くば, 後者は無効のままにします. また、内部インターフェイスと外部インターフェイスの選択も検討してください; & もちろん、私たちが持つリスニングポート (この例では、 9005):
- モジュール: フォーティネットファイアウォール:
有効: True Var.Input: UDPのvar.syslog_host: 0.0.0.0
var.syslog_port: 9005
var.internal_interfaces: [ "LAN1の" ]
var.external_interfaces: [ "WANについて" ]
var.tagsの: [フォーティネットファイアウォール, 自分を強くする]
クライアントエンドポイント:
有効: 偽のfortimail:
有効: FortiManagerの誤り:
有効: 偽
そして、構成をテストしました:
ファイルビートテスト構成 -c /etc/filebeat/filebeat.yml -e
Kibanaのインデックスとダッシュボードを読み込みます, サービスを開始します, 自動的に開始できるようにし、サービスが正しく開始されたことを確認します:
sudo Filebeat setup --pipelines --modules Fortinet sudo systemctl start filebeat sudo systemctl enable filebeat sudo systemctl status filebeat
FortigateでのLOGの有効化,
また、ログをsyslogに吐き出すFortigateを設定します, コマンドラインによる最適, GUIではポートを指定できないため, およびCLIでははい:
config log syslogd setting set status enable set server "DIRECCION_IP_FILEBEAT"
ポートの設定 9005
終わり
LOGで遊ぶ,
私が言ったこと, データ収集が正しく、インデックスが正しく作成されていれば、これ以上やることはほとんどありません (インデックスは、前述の最初のウィザードに従わない場合、手動で作成できます). Kibanaから、収集したものを発見することができます, フィールドを追加または削除する, Lucene 形式または KQL 形式で検索 (Kibana クエリ言語).
そして、私たちはすでに、例えば、収集されたデータを解釈するためにGrafanaを楽しむことができるでしょう!! ElasticsearchタイプのGrafanaデータソースを使用して接続を行い、接続データを示してから、Kibanaで行ったのと同じLuceneクエリを使用します, なぜなら、私たちは美しいダッシュボードを作ることができるからです.
Fortiが発見したアプリの上位消費でドーナツやチーズを作る方法の例を残します.
そして、あなたの想像力を駆り立てて、私たちが望む視覚化を追加する時が来ました.
ブログでは、視覚化のさまざまな例を見ることができます, ツリーマップ形式の場合…
テーブルの例, GUIでフィルタリングを実行できる場所…
サンキーダイアグラムの例…
世界地図, 着信接続または発信接続を確認できる場所, 承認または拒否, リアルタイムまたは過去24時間の履歴, 7 日, 1 年…
私が言ったこと, 他のドキュメントでは、この投稿で紹介している各タイプのパネルの作り方をご紹介します, 私はあなたがそれを好きであることを願っています、そしていつものようにソーシャルネットワーク上のそれらのいいねに感謝します!
