چگونه Log های Fortigate را به Splunk بفرستیم؟ امروزه بررسی و مدیریت رخداد های مختلف که در شبکه رخ میدهد بسیار مهم میباشد در این محتوا قصد داریم به چگونگی ارسال رخداد ها و Log های فایروال سخت افزاری FortiGate به یکی از قدرتمند ترین SIEM های موجود در جهان ارسال کنیم بپردازیم. به صورت عادی امکان ارسال Log های FortiGate به سمت Splunk شدنی نیست زیرا این فایروال Log های خود را فقد به سمت Syslog, FortiCloud و FortiAnalyzer ارسال میکند اما نگران نباشید ما با استفاده از Syslog میتوانیم Log های خود را به سمت Splunk هدایت کنیم
وارد Web Console محیط Splunk میشویم و بروی قسمت مشخص شده در عکس در بالای صفحه کلیک میکنیم
پس از آن بر روی قسمت Browse more apps کلیک کنید و با دادن UserName و Password اکانت خود در وب سایت splunk افزونه Fortinet FortiGate Add-On for splunk را دانلود و نصب کنید
پس از آن از قسمت settings وارد بخش Data inputs شوید
از قسمت Local Input وارد قسمت UDP شوید
در قسمت ظاهر شده Port را بر روی 514 قرار دهید و برو روی گزینه Next کلیک کنید
پس از آن در قسمت بعد Source-Type را fgt_log قرار دهید و Preview را بزنید و پس از ان بر روی گزینه Submit کلیک کنید
پس از وارد شدن به محیط Web Console فایروال FortiGate از قسمت Log & Report وارد Log Setting شوید
پس از باز شدن Tab جدید بر روی گرینه Send Logs To Syslog کلیک کنید و در قسمت IP Address/FQDN آدرس IP سرور Splunk خود را قرار دهید
تنظیمات بالا به صورت Cli در FortiGate: