› ›

Fortinet 模块

编辑

Fortinet 模块编辑

这是一个用于以 syslog 格式发送的 Fortinet 日志的模块。它支持以下设备

firewall 文件集：支持 FortiOS 防火墙日志。

要配置远程 syslog 目的地，请参阅Fortigate/FortiOS 文档。

选择的 syslog 格式应为默认。

阅读快速入门，了解如何配置和运行模块。

兼容性编辑

此模块已针对 FortiOS 版本 6.0.x 和 6.2.x 进行了测试。高于此版本的版本预计可以工作，但尚未经过测试。

配置模块编辑

您可以通过在modules.d/fortinet.yml文件中指定变量设置，或在命令行中覆盖设置，来进一步优化fortinet模块的行为。

您必须在模块中至少启用一个文件集。 默认情况下禁用文件集。

变量设置编辑

每个文件集都有单独的变量设置，用于配置模块的行为。如果您不指定变量设置，则fortinet模块将使用默认值。

对于高级用例，您还可以覆盖输入设置。请参阅覆盖输入设置。

当您在命令行中指定设置时，请记住在设置前加上模块名称，例如，fortinet.firewall.var.paths而不是firewall.var.paths。

`firewall` 文件集设置编辑

- module: fortinet
  firewall:
    enabled: true
    var.input: udp
    var.syslog_host: 0.0.0.0
    var.syslog_port: 9004

var.paths: 一个基于 glob 的路径数组，用于指定在何处查找日志文件。Go Glob支持的所有模式在此处也受支持。例如，您可以使用通配符从预定义级别的子目录中获取所有文件：/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果将此设置留空，Filebeat 将根据您的操作系统选择日志路径。

时区支持编辑

此模块解析不包含时区信息的日志。对于这些日志，Filebeat 会读取本地时区，并在解析时使用它将时间戳转换为 UTC。用于解析的时区包含在事件的event.timezone字段中。

要禁用此转换，可以使用drop_fields处理器删除event.timezone字段。

如果日志来自与本地时区不同的系统或应用程序，则可以使用add_fields处理器将event.timezone字段覆盖为原始时区。

有关在配置中指定处理器的信息，请参阅处理器。

var.input: 要使用的输入，可以是值tcp、udp或file。
var.syslog_host: 侦听所有 syslog 流量的接口。默认为 localhost。设置为 0.0.0.0 以绑定到所有可用接口。
var.syslog_port: 侦听 syslog 流量的端口。默认为 9004。
var.tags: 要包含在事件中的标签列表。包括forwarded表示事件并非源自此主机，并导致host.name不会添加到事件中。默认为[fortinet-firewall, forwarded]。

Fortinet ECS 字段编辑

这是映射到 ECS 的 FortiOS 字段列表。

Fortinet 字段	ECS 字段
action	event.action
agent	user_agent.original
app	network.application
appcat	rule.category
applist	rule.ruleset
catdesc	rule.category
ccertissuer	tls.client_issuer
collectedemail	source.user.email
comment	rule.description
daddr	destination.address
devid	observer.serial_number
dir	network.direction
direction	network.direction
dst_host	destination.address
dstcollectedemail	destination.user.email
dst_int	observer.egress.interface.name
dstintf	observer.egress.interface.name
dstip	destination.ip
dstmac	destination.mac
dstname	destination.address
dst_port	destination.port
dstport	destination.port
dstunauthuser	destination.user.name
dtype	vulnerability.category
duration	event.duration
errorcode	error.code
event_id	event.id
eventid	event.id
eventtime	event.start
eventtype	event.action
file	file.name
filename	file.name
filesize	file.size
filetype	file.extension
filehash	file.hash.crc32
from	source.user.email
group	source.user.group
hostname	url.domain
infectedfilename	file.name
infectedfilesize	file.size
infectedfiletype	file.extension
ipaddr	dns.resolved_ip
level	log.level
locip	source.ip
locport	source.port
logdesc	rule.description
logid	event.code
matchfilename	file.name
matchfiletype	file.extension
msg	message
error_num	error.code
policyid	rule.id
policy_id	rule.id
policyname	rule.name
policytype	rule.ruleset
poluuid	rule.uuid
profile	rule.ruleset
proto	network.iana_number
qclass	dns.question.class
qname	dns.question.name
qtype	dns.question.type
rcvdbyte	source.bytes
rcvdpkt	source.packets
recipient	destination.user.email
ref	event.reference
remip	destination.ip
remport	destination.port
saddr	source.address
scertcname	tls.client.server_name
scertissuer	tls.server.issuer
sender	source.user.email
sentbyte	source.bytes
sentpkt	source.packets
service	network.protocol
sess_duration	event.duration
srcdomain	source.domain
srcintf	observer.ingress.interface.name
srcip	source.ip
source_mac	source.mac
srcmac	source.mac
srcport	source.port
tranip	destination.nat.ip
tranport	destination.nat.port
transip	source.nat.ip
transport	source.nat.port
tz	event.timezone
unauthuser	source.user.name
url	url.path
user	source.user.name
xid	dns.id

字段编辑

有关模块中每个字段的描述，请参阅导出字段部分。

« Envoyproxy 模块 Google Cloud 模块 »

Fortinet 模块

Fortinet 模块编辑

兼容性编辑

配置模块编辑

变量设置编辑

firewall 文件集设置编辑

时区支持编辑

Fortinet ECS 字段编辑

字段编辑

`firewall` 文件集设置编辑