Fortinet FortiManager 集成

版本	2.13.0 (查看全部)
兼容的 Kibana 版本	8.3.0 或更高版本
支持的无服务器项目类型这是什么？	安全可观测性
订阅级别这是什么？	基本
支持级别这是什么？	Elastic

Fortinet FortiManager 集成允许您监视以 syslog 格式发送的日志。Fortinet FortiManager 是一个网络运营中心 (NOC) 和安全运营中心 (SOC) 的运营工具，它以安全角度构建。它为整个 Fortinet 安全架构提供了一个单一的管理界面。

Fortinet FortiManager 集成可以在三种不同的输入模式下使用

文件流模式：它从活动日志文件中读取行。要配置此输入，请指定必须爬网以查找和获取日志行的基于 glob 的路径列表。
TCP 模式：Fortinet FortiManager 将日志直接推送到 Elastic Agent 托管的 TCP 端口。
UDP 模式：Fortinet FortiManager 将日志直接推送到 Elastic Agent 托管的 UDP 端口。

数据流

编辑

Fortinet FortiManager 集成收集不同事件子类型的日志

FortiManager	FortiAnalyzer
系统管理器 (system)	日志文件 (logfile)
FortiGuard 服务 (fgd)	日志记录状态 (logging)
安全控制台 (scply)	日志记录设备 (logdev)
固件管理器 (fmwmgr)	日志记录数据库 (logdb)
日志守护程序 (logd)	FortiAnalyzer 系统 (fazsys)
调试 IO 日志 (iolog)	报告 (report)
FortiGate-FortiManager 协议 (fgfm)
设备管理器 (devmgr/dvm)
部署管理器 (dm)
对象更改 (objcfg)
脚本管理器 (scrmgr)

根据日志可用性，我们仅支持上表中给出的事件子类型。有关更多详细信息，请参阅日志参考。

兼容性

编辑

此集成已针对 FortiManager & FortiAnalyzer 7.2.2 进行了测试。预计高于此版本的版本也可以工作，但尚未经过测试。

要求

编辑

您需要 Elasticsearch 来存储和搜索您的数据，以及 Kibana 来可视化和管理它。您可以使用我们托管在 Elastic Cloud 上的 Elasticsearch Service，这是推荐的，或者在您的硬件上自行管理 Elastic Stack。

设置

编辑

请按照此Fortinet FortiManager VM 安装指南进行操作

日志参考

编辑

log 数据集收集 Fortinet FortiManager 日志。

示例

log 的示例事件如下

{
    "@timestamp": "2023-02-19T22:20:11.000Z",
    "agent": {
        "ephemeral_id": "8937d089-d80c-4225-9177-d6286824defd",
        "id": "1c091add-3dae-4323-a5e8-648158c83b7b",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.10.2"
    },
    "data_stream": {
        "dataset": "fortinet_fortimanager.log",
        "namespace": "ep",
        "type": "logs"
    },
    "device": {
        "id": "FMGVMSTM23000100"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "1c091add-3dae-4323-a5e8-648158c83b7b",
        "snapshot": false,
        "version": "8.10.2"
    },
    "event": {
        "action": "roll",
        "agent_id_status": "verified",
        "dataset": "fortinet_fortimanager.log",
        "ingested": "2023-10-03T09:57:15Z",
        "kind": "event",
        "original": "<134>date=2023-02-20 time=03:20:11 tz=\"+0500\" devname=Crest-Elastic-FMG-VM64 device_id=FMGVMSTM23000100 log_id=0031040026 type=event subtype=logfile pri=information desc=\"Rolling disk log file\" user=\"system\" userfrom=\"system\" msg=\"Rolled log file glog.1676746501.log of device SYSLOG-0A32041A [SYSLOG-0A32041A] vdom root.\" operation=\"Roll logfile\" performed_on=\"\" changes=\"Rolled log file.\" action=\"roll\"",
        "timezone": "+0500",
        "type": [
            "info"
        ]
    },
    "fortimanager": {
        "log": {
            "action": "roll",
            "changes": "Rolled log file.",
            "date": "2023-02-19T22:20:11.000Z",
            "desc": "Rolling disk log file",
            "dev": {
                "name": "Crest-Elastic-FMG-VM64"
            },
            "device": {
                "id": "FMGVMSTM23000100"
            },
            "id": "0031040026",
            "msg": "Rolled log file glog.1676746501.log of device SYSLOG-0A32041A [SYSLOG-0A32041A] vdom root.",
            "operation": "Roll logfile",
            "pri": "information",
            "priority_number": 134,
            "product": "fortianalyzer",
            "subtype": "logfile",
            "type": "event",
            "user": {
                "from": "system",
                "name": "system"
            }
        }
    },
    "host": {
        "hostname": "Crest-Elastic-FMG-VM64"
    },
    "input": {
        "type": "tcp"
    },
    "log": {
        "source": {
            "address": "192.168.224.5:58676"
        }
    },
    "message": "Rolled log file glog.1676746501.log of device SYSLOG-0A32041A [SYSLOG-0A32041A] vdom root.",
    "related": {
        "hosts": [
            "Crest-Elastic-FMG-VM64"
        ],
        "user": [
            "system"
        ]
    },
    "tags": [
        "preserve_original_event",
        "preserve_duplicate_custom_fields",
        "forwarded",
        "fortinet_fortimanager-log"
    ],
    "user": {
        "name": "system"
    }
}

导出的字段

字段	描述	类型
@timestamp	事件时间戳。	date
container.id	唯一的容器 ID。	keyword
data_stream.dataset	数据流数据集。	constant_keyword
data_stream.namespace	数据流命名空间。	constant_keyword
data_stream.type	数据流类型。	constant_keyword
event.dataset	事件数据集。	constant_keyword
event.module	事件模块。	constant_keyword
fortimanager.log.action	记录采取的行动。	keyword
fortimanager.log.address	登录用户的 IP 地址。	ip
fortimanager.log.admin_prof	登录用户管理员配置文件。	keyword
fortimanager.log.adom.lock	锁定/解锁的 ADOM 的名称。	keyword
fortimanager.log.adom.name	管理员 ADOM 的名称。	keyword
fortimanager.log.adom.oid	目标 ADOM 的 OID。	keyword
fortimanager.log.app	应用程序名称。	keyword
fortimanager.log.appcat	应用程序类别。	keyword
fortimanager.log.apprisk	应用程序风险。	keyword
fortimanager.log.attribute_name	值已更改的变量名称。	keyword
fortimanager.log.auth_msg	SSH 身份验证消息。	keyword
fortimanager.log.bid	BID。	keyword
fortimanager.log.capacity	已使用的内存容量百分比。	long
fortimanager.log.category	日志类别。	keyword
fortimanager.log.cause	导致 HA 状态关闭的原因。	keyword
fortimanager.log.cert.name	证书名称。	keyword
fortimanager.log.cert.type	证书类型。	keyword
fortimanager.log.changes	在 fortimanager 子类型上完成的更改。	match_only_text
fortimanager.log.cli_act	CLI 命令操作。	keyword
fortimanager.log.cmd_from	来自的 CLI 命令。	keyword
fortimanager.log.comment	此策略包的描述。	keyword
fortimanager.log.condition	DVM 设备条件。	keyword
fortimanager.log.conf_status	配置同步状态。	keyword
fortimanager.log.connect_status	到设备的连接状态。	keyword
fortimanager.log.const_msg	常量消息。	keyword
fortimanager.log.cpu_usage	CPU 使用率。	long
fortimanager.log.crlevel	CR 级别。	keyword
fortimanager.log.crscore	CR 分数。	long
fortimanager.log.date	事件发生的年份、月份和日期，格式为：YY-MM-DD。	date
fortimanager.log.db.status	DVM 设备状态。	keyword
fortimanager.log.db.ver	服务数据库版本。	keyword
fortimanager.log.desc	FortiManager 设备记录的活动或事件的描述。	keyword
fortimanager.log.detail	任务详细信息。	keyword
fortimanager.log.dev.grps	设备组。	keyword
fortimanager.log.dev.id	记录事件的设备的标识号。	keyword
fortimanager.log.dev.log	设备名称。	keyword
fortimanager.log.dev.name	记录事件的设备的名称。	keyword
fortimanager.log.dev.oid	目标设备的 OID。	keyword
fortimanager.log.device.id	记录事件的设备的标识号。	keyword
fortimanager.log.device.name	设备名称。	keyword
fortimanager.log.device_log.id	设备日志 ID。	keyword
fortimanager.log.device_log.last_logging	上次日志记录设备。	keyword
fortimanager.log.device_log.name	设备日志名称。	keyword
fortimanager.log.device_log.offline_duration	设备的离线持续时间。	keyword
fortimanager.log.direction	方向。	keyword
fortimanager.log.disk.label	Raid 磁盘标签。	long
fortimanager.log.disk.status.before	更改前的 RAID 磁盘状态。	keyword
fortimanager.log.disk.status.current	更改后的 RAID 磁盘状态。	keyword
fortimanager.log.dm_state	部署管理器状态。	keyword
fortimanager.log.dstcountry	目标国家/地区。	keyword
fortimanager.log.dste.pid	目标端点的标识号。	keyword
fortimanager.log.dste.uid	目标最终用户的标识号。	keyword
fortimanager.log.dstip	目标 IP。	ip
fortimanager.log.dstname	目标名称。	keyword
fortimanager.log.dvid	设备 ID。	keyword
fortimanager.log.dvmdb_obj	Dvm_db 对象类型。	keyword
fortimanager.log.end_time	报告的结束时间。	date
fortimanager.log.epid	端点的标识号。	keyword
fortimanager.log.err_code	错误代码。	keyword
fortimanager.log.error	错误详情。	keyword
fortimanager.log.euid	目标最终用户的标识号。	keyword
fortimanager.log.event.id	事件 ID。	keyword
fortimanager.log.event.type	记录的事件类型。	keyword
fortimanager.log.expiration	许可证的到期时间。	date
fortimanager.log.extra_info	SSH 身份验证额外信息。	keyword
fortimanager.log.file	程序包/日志文件的文件名。	keyword
fortimanager.log.fips.err	FIPS 测试错误代码。	keyword
fortimanager.log.fips.method	FIPS 自我测试方法。	keyword
fortimanager.log.function	函数调用的名称。	keyword
fortimanager.log.id	一个十位数，用于标识日志类型。前两位数字表示日志类型，后两位数字表示日志子类型。最后六位数字表示消息 ID 号。	keyword
fortimanager.log.importance	dvm_db 元字段 mtype。	keyword
fortimanager.log.inst.adom	包含目标设备的 ADOM 的名称。	keyword
fortimanager.log.inst.dev	安装策略的设备的名称。	keyword
fortimanager.log.inst.pkg	已安装的策略包的名称。	keyword
fortimanager.log.intfname	接口名称。	keyword
fortimanager.log.itime	指令时间。	date
fortimanager.log.level	事件的严重性级别或优先级。	keyword
fortimanager.log.license_type	许可证类型。	long
fortimanager.log.lickey_type	许可证密钥类型。	keyword
fortimanager.log.lnk_path	正在传输到服务器的链接文件的名称。	keyword
fortimanager.log.local_file	包含其路径的本地文件。	keyword
fortimanager.log.max_mb	许可证允许的最大容量（以 MB 为单位）。	long
fortimanager.log.mem_usage	内存使用率。	long
fortimanager.log.meta_field.leng	Dvm_db 元字段值大小。	long
fortimanager.log.meta_field.name	Dvm_db 元字段名称。	keyword
fortimanager.log.meta_field.stat	Dvm_db 元字段状态。	keyword
fortimanager.log.module	HA 同步模块的标识符。	long
fortimanager.log.msg	FortiManager 设备记录的活动或事件。	keyword
fortimanager.log.msg_rate	消息速率。	long
fortimanager.log.new.name	正在重命名为的新对象名称。	keyword
fortimanager.log.new.value	更改后值的字符串表示形式。	keyword
fortimanager.log.new.version	请求的对象的新可用版本。	keyword
fortimanager.log.obj.attr	CMDB 配置对象属性。	keyword
fortimanager.log.obj.name	对象名称。	keyword
fortimanager.log.obj.path	CMDB 配置对象路径。	keyword
fortimanager.log.obj.type	对象类型。	keyword
fortimanager.log.object	请求的对象的文件名。	keyword
fortimanager.log.offline_stat	启用或禁用离线模式。	keyword
fortimanager.log.old_value	更改前值的字符串表示形式。	keyword
fortimanager.log.oper_stat	操作的结果。	keyword
fortimanager.log.operation	操作名称。	keyword
fortimanager.log.osname	操作系统名称。	keyword
fortimanager.log.package.desc	程序包描述。	keyword
fortimanager.log.package.name	已安装的程序包的名称。	keyword
fortimanager.log.package.type	程序包类型的标识符。	keyword
fortimanager.log.path	原始日志文件。	keyword
fortimanager.log.peer	HA 对等的序列号。	keyword
fortimanager.log.percent	此任务的运行百分比。	long
fortimanager.log.performed_on	执行操作的详细信息。	keyword
fortimanager.log.pid	进程 ID。	long
fortimanager.log.pkg.adom	此策略程序包所属的 ADOM 的名称。	keyword
fortimanager.log.pkg.gname	分配的全局策略包的名称。	keyword
fortimanager.log.pkg.name	锁定/解锁的策略包的名称。	keyword
fortimanager.log.pkg.oid	要安装的程序包的 OID。	keyword
fortimanager.log.pre_version	请求的对象的先前版本。	keyword
fortimanager.log.pri	事件的严重性级别或优先级。	keyword
fortimanager.log.priority_number	Syslog 优先级号。	long
fortimanager.log.product	Fortinet 产品名称。	keyword
fortimanager.log.prof_name	设备配置文件对象名称。	keyword
fortimanager.log.protocol	用于备份所有设置的传输协议。	keyword
fortimanager.log.pty.err	Pty 操作错误编号。	keyword
fortimanager.log.pty.oper	Pty 操作类型，获取或放置。	keyword
fortimanager.log.pty.sess	Pty 会话服务器类型。	keyword
fortimanager.log.pty.step	Pty 操作步骤。	keyword
fortimanager.log.quota	磁盘配额比率（以百分比表示）。	long
fortimanager.log.raid_state.before	更改前的 RAID 状态。	keyword
fortimanager.log.raid_state.current	更改后的 RAID 状态。	keyword
fortimanager.log.rate	每分钟处理的请求数。	long
fortimanager.log.rate_limit	日志速率限制。	long
fortimanager.log.rate_peak	日志速率峰值。	long
fortimanager.log.rate_value	日志速率。	long
fortimanager.log.rcvdbyte	接收的字节数。	long
fortimanager.log.reboot_reason	系统重启的原因。	keyword
fortimanager.log.remote.filename	服务器端的远程文件名。	keyword
fortimanager.log.remote.host	字符串形式的远程主机名或主机 IP。	keyword
fortimanager.log.remote.ip	字符串形式的远程对等 IP。	ip
fortimanager.log.remote.path	服务器端的远程路径。	keyword
fortimanager.log.remote.port	远程对等端口号。	long
fortimanager.log.result	操作的结果。	keyword
fortimanager.log.revision	所操作的修订版本的 ID。	long
fortimanager.log.rolling.cur_number	当前达到的日志滚动编号。	long
fortimanager.log.rolling.max_allowed	允许的最大日志滚动编号。	long
fortimanager.log.run_from	报告运行的来源。	keyword
fortimanager.log.rundb_ver	正在运行的数据库的版本。	keyword
fortimanager.log.script	脚本名称。	keyword
fortimanager.log.sensor.name	传感器名称。	keyword
fortimanager.log.sensor.st	传感器状态。	keyword
fortimanager.log.sensor.val	传感器值。	keyword
fortimanager.log.sentbyte	发送的字节数。	long
fortimanager.log.serial	设备的序列号。	keyword
fortimanager.log.service	正在启动的服务的名称。	keyword
fortimanager.log.session_id	会话标识号。	keyword
fortimanager.log.setup	是否需要设置。	long
fortimanager.log.shutdown_reason	系统关闭的原因。	keyword
fortimanager.log.size	正在滚动和上传的日志文件的大小。	long
fortimanager.log.srcip	源 IP。	ip
fortimanager.log.srcname	源名称。	keyword
fortimanager.log.srcport	源端口。	long
fortimanager.log.start_time	报告的开始时间。	date
fortimanager.log.state	任务的状态。	keyword
fortimanager.log.status	接口/操作状态。	keyword
fortimanager.log.subtype	每个日志消息的子类型。	keyword
fortimanager.log.sw_version	当前的固件软件版本。	keyword
fortimanager.log.time	事件发生的小时、分钟和秒。	keyword
fortimanager.log.title	任务标题。	keyword
fortimanager.log.to_build	升级到的固件构建号。	long
fortimanager.log.to_release	升级到的固件版本。	keyword
fortimanager.log.to_version	升级到的固件版本。	keyword
fortimanager.log.type	日志类型。	keyword
fortimanager.log.tz	事件时区。	keyword
fortimanager.log.uid	FortiClient 安装的 UID。	keyword
fortimanager.log.unauthuser	未经身份验证的用户。	keyword
fortimanager.log.upddb_ver	正在更新的数据库的版本。	keyword
fortimanager.log.upg_act	失败的操作。	keyword
fortimanager.log.upgrade.adom	要升级的 ADOM 的名称。	keyword
fortimanager.log.upgrade.from	升级前的版本、mr、构建或分支点。	keyword
fortimanager.log.upgrade.to	升级后的版本、mr、构建或分支点。	keyword
fortimanager.log.uploading.cur_number	当前达到的上传进程数。	long
fortimanager.log.uploading.max_allowed	允许的最大上传进程数。	long
fortimanager.log.uploading.oper	上传操作。	keyword
fortimanager.log.uploading.pid	上传子进程的进程 ID。	keyword
fortimanager.log.uploading.server_type	接受上传日志的服务器类型。	keyword
fortimanager.log.url	Web 过滤请求的 URL。	keyword
fortimanager.log.use_mb	以 MB 为单位的已用容量。	long
fortimanager.log.user.from	登录会话用户的来源。	keyword
fortimanager.log.user.id	PTY 操作登录用户 ID。	keyword
fortimanager.log.user.name	用户名。	keyword
fortimanager.log.user.type	会话管理员配置文件的访问限制。	keyword
fortimanager.log.ustr	额外的日志信息。	keyword
fortimanager.log.valid	SSH 用户是否有效。	long
fortimanager.log.vdom	设备的虚拟域。	keyword
fortimanager.log.vdoms	安装修订版本的 VDOM 列表。	keyword
fortimanager.log.version	更新对象的新的版本。	keyword
fortimanager.log.whitelist_size	白名单表的大小。	keyword
fortimanager.log.zip_path	正在传输到服务器的 gzip 文件的名称。	keyword
input.type	Filebeat 输入的类型。	keyword
log.file.device_id	包含文件所在文件系统的设备的 ID。	keyword
log.file.fingerprint	启用指纹识别时文件的 sha256 指纹标识。	keyword
log.file.idxhi	与文件关联的唯一标识符的高位部分。（仅限 Windows）	keyword
log.file.idxlo	与文件关联的唯一标识符的低位部分。（仅限 Windows）	keyword
log.file.inode	日志文件的索引节点号。	keyword
log.file.path	此事件来源的日志文件的完整路径。	keyword
log.file.vol	包含文件的卷的序列号。（仅限 Windows）	keyword
log.flags	日志文件的标志。	keyword
log.offset	日志偏移量。	long
log.source.address	从中读取/发送日志事件的源地址。	keyword
tags	用户定义的标签。	keyword

更新日志

编辑

更新日志

版本	详细信息	Kibana 版本
2.13.0	增强功能 (查看拉取请求) 添加更多 ECS 字段映射。	8.3.0 或更高版本
2.12.0	增强功能 (查看拉取请求) 从 KV 切换到脚本处理器以提高摄取性能。	8.3.0 或更高版本
2.11.1	错误修复 (查看拉取请求) 解决了字段的 ignore_malformed 问题。	8.3.0 或更高版本
2.11.0	增强功能 (查看拉取请求) 将软件包规范更新至 3.0.3。	8.3.0 或更高版本
2.10.2	增强功能 (查看拉取请求) 已更改所有者	8.3.0 或更高版本
2.10.1	错误修复 (查看拉取请求) 修复 exclude_files 模式。	8.3.0 或更高版本
2.10.0	增强功能 (查看拉取请求) ECS 版本已更新至 8.11.0。	8.3.0 或更高版本
2.9.0	增强功能 (查看拉取请求) 改进了 event.original 检查，以避免在设置时出现错误。	8.3.0 或更高版本
2.8.0	增强功能 (查看拉取请求) 调整字段以适应文件系统信息的更改	8.3.0 或更高版本
2.7.0	增强功能 (查看拉取请求) ECS 版本已更新至 8.10.0。	8.3.0 或更高版本
2.6.0	增强功能 (查看拉取请求) 软件包清单中的 format_version 从 2.11.0 更改为 3.0.0。从软件包清单中删除了点分隔的 YAML 键。在软件包清单中添加了 owner.type: elastic。	8.3.0 或更高版本
2.5.0	增强功能 (查看拉取请求) 添加 tags.yml 文件，以便集成的仪表板和已保存的搜索标记为“安全解决方案”，并在安全解决方案 UI 中显示。	8.3.0 或更高版本
2.4.0	增强功能 (查看拉取请求) 将软件包更新至 ECS 8.9.0。	8.3.0 或更高版本
2.3.1-next	错误修复 (查看拉取请求) 放宽了用于测试的日期值的约束。	—
2.3.0	增强功能 (查看拉取请求) 将软件包更新至 ECS 8.8.0。	8.3.0 或更高版本
2.2.0	增强功能 (查看拉取请求) 将软件包规范版本更新至 2.7.0。	8.3.0 或更高版本
2.1.0	增强功能 (查看拉取请求) 将软件包更新至 ECS 8.7.0。	8.3.0 或更高版本
2.0.0	增强功能 (查看拉取请求) 将 RSA2ELK 替换为 Syslog 集成。	8.3.0 或更高版本
1.3.1	增强功能 (查看拉取请求) 添加了类别和/或子类别。	7.14.1 或更高版本 8.0.0 或更高版本
1.3.0	增强功能 (查看拉取请求) 将软件包更新至 ECS 8.6.0。	7.14.1 或更高版本 8.0.0 或更高版本
1.2.0	增强功能 (查看拉取请求) 将软件包更新至 ECS 8.5.0。	7.14.1 或更高版本 8.0.0 或更高版本
1.1.3	错误修复 (查看拉取请求) 删除重复的字段。	7.14.1 或更高版本 8.0.0 或更高版本
1.1.2	错误修复 (查看拉取请求) 删除重复的字段。	7.14.1 或更高版本 8.0.0 或更高版本
1.1.1	增强功能 (查看拉取请求) 使用 ECS geo.location 定义。	7.14.1 或更高版本 8.0.0 或更高版本
1.1.0	增强 (查看拉取请求) 使用观察者字段更新摄取管道	7.14.1 或更高版本 8.0.0 或更高版本
1.0.0	增强 (查看拉取请求) 作为单独软件包的 Fortinet FortiManager 的初始版本	7.14.1 或更高版本 8.0.0 或更高版本

« Fortinet FortiMail Fortinet FortiProxy 集成 »