Wir untersuchen die über 60 Felder in der FortiOS-Syslog-Ausgabe, isolieren diejenigen, die für SIEM von entscheidender Bedeutung sind, und erklären, welche Felder für was in der realen Welt nützlich sind.
FortiGate-Firewalls verwenden das FortiOS-Betriebssystem undäußerst detailliertproduziert Protokolle. Ein Verkehrsereignis kann fast 60 Felder umfassen. Die Indizierung all dieser Felder in SIEM ist sowohl unnötig als auch teuer. Wenn Sie die richtige Wahl treffen, ist sowohl die Leistung gut als auch die Erkennungsqualität hoch.
In diesem Leitfaden untersuchen wir die Syslog-Ausgabe von FortiOS 7.x Feld für Feld und unterscheiden, was kritisch und was Rauschen ist.
date=23.04.2026 time=14:32:05 devname="FG100-HQ" teilen="FG100ETK20000123"
Veranstaltungszeit=1714048325 tz="+0300" logid="0000000013" type="traffic"
subtype="forward" level="beachten" vd="root" srcip=192.168.1.105
srcport=54332 srcintf="port1" srcintfrole="lan" dstip=203.0.113.45
dstport=443 dstintf="port2" dstintfrole="wan" Sitzungs-ID=8821334
proto=6 Aktion="deny" Policyid=0 Policytype="policy" Service="HTTPS"
dstcountry="Niederlande" srccountry="Reserviert" transp="noop"
Dauer=0 sentbyte=0 rcvdbyte=0 sentpkt=0 appcat="ungescannt"
crscore=5 Extraktion=131072 crlevel="low"Diese einzelne Zeile enthält mehr als 30 Felder. Lassen Sie uns jeden einzeln untersuchen – aber zuerst sollten wir Prioritäten setzen.
| Alan | Bedeutung | Warum kritisch? |
|---|---|---|
Datum, Uhrzeit |
Zeitstempel | Die Basis jeder Korrelation |
devname |
Firewall-Name | Filterung in einer Umgebung mit mehreren Geräten |
srcip |
Quell-IP | Brute Force, Scan-Erkennung |
dstip |
Ziel-IP | Target enumerasyonu |
srcport / dstport |
Portnummern | Port-Scan, Diensterkennung |
Aktion |
deny / accept / dropped | Kette verweigern = Angriffssignal |
Service |
HTTPS, DNS, vs. | Verkehrstyp |
proto |
6 (TCP), 17 (UDP), 1 (ICMP) | Protokollanalyse |
Richtlinien-ID |
Welche Firewall-Regel wurde ausgelöst | Richtlinienoptimierung |
srccountry / dstcountry |
GeoIP | Erkennung fremder Länder |
srcintf/dstintf |
Ein-/Ausgabeschnittstelle (Port1, WAN1 usw.) |
srcintfrole / dstintfrole |
LAN, WAN, DMZ – entscheidend für die Verkehrsrichtung |
sentbyte / rcvdbyte |
Verkehrsaufkommen – zur Datenexfil-Erkennung |
Dauer |
Verbindungszeit |
appcat / app |
Anwendungskategorie (Social Media usw.) |
user |
Benutzername, wenn die Authentifizierung abgeschlossen ist |
Die folgenden Bereichefüllt den Speicherund wird selten zur Erkennung benötigt:
logid – Interne FortiOS-ID, Bedeutung unklarteilen — Die Seriennummer des Geräts ist bei einem einzelnen Gerät bedeutungslosVeranstaltungszeit — Duplikat mit Datum/Uhrzeittz — Zeitzone, normalerweise festvd — virtuelle Domäne, „Root“ in den meisten UnternehmenSitzungs-ID – wird für die Korrelation selten benötigttransp — Übersetzungsdisposition, sehr spezifischcrscore, Extraktion, crlevel — FortiGuard-Kategorisierung (kann ohne Indizierung gespeichert werden)raw_message Speichern Sie es als Text darin. Somit sind sowohl Performance als auch Archivierung möglich.
In FortiGate ist der Aktionsbereich das Herzstück der Einbruchserkennung:
accept |
Verkehr erlaubt |
deny |
Von der Richtlinie abgelehnt |
close |
Normal oturum sonu |
Auszeit |
Sitzungszeitüberschreitung |
Server-RST / Client-RST |
TCP-RST-Paket |
IP-Verbindung |
IP-Verbindungsfehler |
Am wertvollsten für die Einbruchserkennung: deny, server-rst, IP-Verbindung. Ihr sukzessives Eintreffen ist das deutlichste Signal für einen Port-Scan oder Brute-Force-Angriff.
FortiGate-Protokollebenen entsprechen Syslog RFC 5424:
emergency | 0 – System kann nicht verwendet werden |
alert | 1 – Es ist sofortiges Handeln erforderlich |
kritisch | 2 – Kritische Situation |
error | 3 — Hata |
Warnung | 4 – Warnung |
beachten | 5 – Wichtig, aber normal |
Information | 6 – Informationen |
debug | 7 — Debug |
beachten Senden und höher (0-5). Informationunddebug Es nimmt viel Platz ein und hat einen geringen analytischen Wert.
Konfigurieren Sie FortiGate zum Senden von Protokollen an SIEM mit CLI:
config log syslogd-Einstellung
Status aktivieren setzen
Setze den Server „siem.example.com“
Modus udp einstellen
Stellen Sie Port 514 ein
Einrichtung lokal einstellen7
Quell-IP „192.168.1.1“ festlegen
Formatstandard festlegen
Enc-Algorithmus deaktiviert setzen
Ende
config log syslogd-Filter
Schweregradhinweis festlegen
Aktivieren Sie den Weiterleitungsverkehr
Stellen Sie den lokalen Verkehr deaktiviert ein
Multicast-Verkehr deaktiviert setzen
Sniffer-Traffic deaktiviert setzen
Anomalie aktivieren
VoIP deaktiviert setzen
EndeDiese Konfiguration:
FortiGate-Domänen stimmen manchmal nicht mit anderen Firewalls überein. So verwenden Sie ein einheitliches Schema in SIEM:
| FortiGate | Normalisiert (empfohlen) |
|---|---|
srcip | src_ip |
dstip | dst_ip |
srcport | src_port |
dstport | dst_port |
devname | Gerätehostname |
srccountry | src_country |
sentbyte | bytes_sent |
rcvdbyte | bytes_received |
Da diese Benennung auch mit den Korrelationsregeln von MikroTik, WatchGuard, Cisco und anderen kompatibel sein wirdHerstellerunabhängigkann geschrieben werden.
Datum, srcip, dstip, srcport, dstport, Aktion, Service, Policyid, srccountry, DevnameAktion Das Feld ist das Herzstück der Einbruchserkennung