Fortigate firewall'ları FortiOS işletim sistemini kullanır ve son derece detaylı log'lar üretir. Bir traffic event'i içinde 60'a yakın alan bulunabilir. SIEM'de bu alanların hepsini indekslemek hem gereksiz hem de pahalıdır. Doğru seçimi yaparsanız, hem performans iyi olur hem de tespit kaliteniz yüksek kalır.
Bu rehberde FortiOS 7.x syslog çıktısını alan-alan inceleyecek, hangisi kritik, hangisi gürültü ayırt edeceğiz.
Örnek bir Fortigate Log Satırı
date=2026-04-23 time=14:32:05 devname="FG100-HQ" devid="FG100ETK20000123"
eventtime=1714048325 tz="+0300" logid="0000000013" type="traffic"
subtype="forward" level="notice" vd="root" srcip=192.168.1.105
srcport=54332 srcintf="port1" srcintfrole="lan" dstip=203.0.113.45
dstport=443 dstintf="port2" dstintfrole="wan" sessionid=8821334
proto=6 action="deny" policyid=0 policytype="policy" service="HTTPS"
dstcountry="Netherlands" srccountry="Reserved" trandisp="noop"
duration=0 sentbyte=0 rcvdbyte=0 sentpkt=0 appcat="unscanned"
crscore=5 craction=131072 crlevel="low"Bu tek satır 30+ alan içeriyor. Hepsini ayrı ayrı inceleyelim — ama önce öncelik sırasına koyalım.
Kritik Alanlar (her zaman indekslenmeli)
| Alan | Anlamı | Neden Kritik? |
|---|---|---|
date, time |
Timestamp | Her korelasyonun temeli |
devname |
Firewall adı | Multi-device ortamda filtreleme |
srcip |
Kaynak IP | Brute force, scan tespiti |
dstip |
Hedef IP | Target enumerasyonu |
srcport / dstport |
Port numaraları | Port scan, servis tespiti |
action |
deny / accept / dropped | Deny zinciri = saldırı sinyali |
service |
HTTPS, DNS, vs. | Trafik tipi |
proto |
6 (TCP), 17 (UDP), 1 (ICMP) | Protokol analizi |
policyid |
Hangi firewall kuralı tetiklendi | Policy tuning |
srccountry / dstcountry |
GeoIP | Yabancı ülke tespiti |
Önemli Alanlar (çoğu senaryo için gerekli)
srcintf / dstintf |
Giriş/çıkış arayüzü (port1, wan1 vs.) |
srcintfrole / dstintfrole |
lan, wan, dmz — trafik yönü için kritik |
sentbyte / rcvdbyte |
Trafik hacmi — data exfil tespiti için |
duration |
Bağlantı süresi |
appcat / app |
Uygulama kategorisi (Social Media, vs.) |
user |
Auth yapıldıysa kullanıcı adı |
Gürültü Alanları (genelde indekslenmemeli)
Şu alanlar storage'ı boşa doldurur ve tespit için nadiren gereklidir:
logid— FortiOS internal ID, anlamı belirsizdevid— Cihaz seri no, tek cihazda anlamsızeventtime— date/time ile duplicatetz— timezone, genelde sabitvd— virtual domain, çoğu şirkette "root"sessionid— korelasyon için rarely neededtrandisp— translation disposition, çok spesifikcrscore,craction,crlevel— FortiGuard kategorilendirme (indekslemeden saklanabilir)
raw_message içinde metin olarak sakla. Böylece hem performans hem arşiv mümkün olur.
Action Alanının Anlamı
Fortigate'te action alanı saldırı tespitinin kalbidir:
accept |
Trafik izin verildi |
deny |
Policy tarafından reddedildi |
close |
Normal oturum sonu |
timeout |
Oturum timeout |
server-rst / client-rst |
TCP RST paketi |
ip-conn |
IP connection error |
Saldırı tespiti için en değerli: deny, server-rst, ip-conn. Bunların ardışık gelişi port scan veya brute force'un en net sinyalidir.
Log Seviyeleri
Fortigate log seviyeleri Syslog RFC 5424 ile uyumludur:
emergency | 0 — Sistem kullanılamaz |
alert | 1 — Hemen aksiyon gerekli |
critical | 2 — Kritik durum |
error | 3 — Hata |
warning | 4 — Uyarı |
notice | 5 — Önemli ama normal |
information | 6 — Bilgi |
debug | 7 — Debug |
notice ve yukarısını (0-5) gönderin. information ve debug çok fazla yer kaplar ve analitik değeri düşüktür.
Fortigate'ten Syslog Gönderme
CLI ile Fortigate'i SIEM'e log gönderecek şekilde yapılandırma:
config log syslogd setting
set status enable
set server "siem.example.com"
set mode udp
set port 514
set facility local7
set source-ip "192.168.1.1"
set format default
set enc-algorithm disable
end
config log syslogd filter
set severity notice
set forward-traffic enable
set local-traffic disable
set multicast-traffic disable
set sniffer-traffic disable
set anomaly enable
set voip disable
endBu konfigürasyon:
- UDP 514 üzerinden SIEM'e gönderim
- Notice ve yukarısı seviye (filtrelenmiş)
- Forward traffic dahil (WAN'a giden trafik)
- Local, multicast, sniffer trafiği hariç (gürültü)
Log Alanlarını Yeniden Adlandırma Önerisi
Fortigate alanları bazen diğer firewall'larla uyuşmaz. SIEM'de tek tip şema kullanmak için:
| Fortigate | Normalized (önerilen) |
|---|---|
srcip | src_ip |
dstip | dst_ip |
srcport | src_port |
dstport | dst_port |
devname | device_hostname |
srccountry | src_country |
sentbyte | bytes_sent |
rcvdbyte | bytes_received |
Bu adlandırma MikroTik, WatchGuard, Cisco ile de uyumlu olacağından, korelasyon kuralları vendor-agnostic yazılabilir.
Özet
- Fortigate log satırı 60+ alan içerir — hepsi gerekmez
- Kritik 10 alanı indeksleyin:
date, srcip, dstip, srcport, dstport, action, service, policyid, srccountry, devname actionalanı saldırı tespitinin kalbidir- Notice seviyesinin altını göndermeyin — gürültü
- Alan isimlerini normalize edin — vendor-agnostic korelasyon için
- Raw log'u saklayın — audit / deep dive için