Merhabalar,
Bu yazıda size Fortigate diskli modellerde log Zaman,Upload Ayarlamaları hakkında bilgi verilecektir.
Hepimizin bildiği üzere bir kısım Fortigate güvenlik duvarlarında disk opsiyonu bulunmakta olup, bu özelliği açtığımız zaman logları diskte belirli bir süre (genelde 7 gün, 7. günden sonra eskilerin üzerine yazmaya başlar) tutabilmektedir.
Diskteki loglarla ilgili birçok işlem yapabiliriz. Öncelikle disk üzerinde log tutulmasını açmamız gerekmektedir. Bu durumu web arayüzünden veya CLI’dan yapabiliriz. Örnek vermek gerekirse;
config log disk setting
set status enable
set maximum-log-age 100
end

bu kod ile logun diskte tutulması aktif edilir ve 100 gün boyunca loglarımız diskte tutulur ve 100 gün sonra eski logların üzerine yazmaya başlar.
Şimdi belirli bir boyuta ulaşan logların hangi periyotlarda dışarıda bir FTP sunucusuna nasıl yükleneceğini gösteren CLI komutlarını yazalım:
config log disk setting
set status enable
set upload enable
set upload-destination {ftp-server}
set uploadip {ipv4 address}
set uploaduser{string}
set uploadpass {password_string}
set uploaddir {string}
end

Eğer tüm parametreleri ile Log disk ayarlarını görmek isterseniz:

config log disk setting

Aşağıda bu konu ile ilgili detyalı opsiyonları içeren makaleyi bulabilirsiniz.

config log disk setting
set status {enable | disable} logu diskte tutmayı etkinleştirme / devre dışı bırakma.
set ips-archive {enable | disable} Yerel diske IPS paket arşivlemeyi etkinleştirme / devre dışı bırakma
set max-log-file-size {integer} Başka bir yere yüklemeden(roll) önceki maksimum günlük dosyası boyutu (1-100 Mbayt). aralığı [1-100]
set max-policy-packet-capture-size {integer} MB cinsinden maksimum politika sniffer boyutu (0 sınırsız anlamına gelir). aralığı [0-4294967295]
set roll-schedule {daily | weekly} Log dosyasının Başka bir yere yüklemeden(roll) önce kontrolü yapma sıklığı.
daily Log dosyasını günde bir kez kontrol edin.
weekly Log dosyasını haftada bir kez kontrol edin.
set roll-day {option} Log dosyasının alınacağı haftanın günü.
sunday pazar
monday pazartesi
tuesday salı
wednesday çarşamba
thursday perşembe
friday cuma
saturday cumartesi
set roll-time {string} Log dosyasını başka bir yere yüklemek (roll) için günün saati (ss: dd).
set diskfull {overwrite | nolog} Disk dolduğunda yapılacak eylem. Disk dolduğunda sistem en eski logların üzerine yazabilir veya logları kaydetmeyi durdurabilir (varsayılan = üzerine yazma).
overwrite log diski dolduğunda en eski logların üzerine yazın.
nolog log diski dolduğunda loga kaydetmeyi durdurun.
set log-quota {integer} log diski kotası (MB). aralığı [0-4294967295]
set dlp-archive-quota {integer} DLP arşiv kotası (MB). aralığı [0-4294967295]
set report-quota {integer} Rapor kotası (MB). aralığı [0-4294967295]
set maximum-log-age {integer} belirli bir günden daha eski log dosyalarını silin. aralığı [0-3650]
set upload {enable | disable} log dosyalarını alındıklarında yüklemeyi etkinleştirin / devre dışı bırakın.
set upload-destination {ftp-server} log dosyalarının yükleneceği sunucunun türü. Şu anda yalnızca FTP desteklenmektedir.
ftp-server FTP sunucusuna yükleyin.
set uploadip {ipv4 address} log dosyalarını yüklenecek FTP sunucusunun IP adresi.
set uploadport {integer} FTP sunucusuyla iletişim kurmak için kullanılacak TCP bağlantı noktası (varsayılan = 21). aralığı [0-65535]
set source-ip {ipv4 address} log dosyalarını yüklemek için kullanılacak kaynak IP adresi.
set uploaduser {string} log dosyalarını yüklemek için FTP sunucusunda oturum açmak için kullanıcı adı gerekir. boyut [35]
set uploadpass {password_string} log dosyalarını yüklemek için FTP sunucusunda oturum açmak için gereken parola. boyutu [128]
set uploaddir {string} log dosyalarını karşıya yüklemek için FTP sunucusundaki uzak dizin. boyut [63]
set uploadtype {option} Yüklenecek log dosyası türleri. Birden çok girişi boşlukla ayırın.
traffic Upload traffic log.
event Upload event log.
virus Upload anti-virus log.
webfilter Upload web filter log.
IPS Upload IPS log.
spamfilter Upload spam filter log.
dlp-archive Upload DLP archive.
anomaly Upload anomaly log.
voip Upload VoIP log.
dlp Upload DLP log.
app-ctrl Upload application control log.
waf Upload web application firewall log.
netscan Upload network vulnerability scanning log.
gtp Upload GTP log.
dns Upload DNS log.
set uploadsched {disable | enable} log dosyalarını FTP sunucusuna yükleme zamanlamasını ayarlayın (varsayılan = devre dışı bırakma = aktarma sırasında yükleme).
set uploadtime {string} Karşıya yükleme etkinse log dosyalarının yükleneceği günün saati (ss: dd veya ss).
set upload-delete-files {enable | disable} Yükledikten sonra log dosyalarını silin (default = enable).
set upload-ssl-conn {default | high | low | disable} log dosyalarını yüklemek için şifreli FTPS iletişimini etkinleştirin / devre dışı bırakın.
default Yüksek ve orta şifreleme algoritmalı FTPS.
high Yüksek şifreleme algoritmalarına sahip FTPS.
low Düşük şifreleme algoritmalı FTPS.
disable FTPS iletişimini devre dışı bırakın.
set full-first-warning-threshold {integer} İlk uyarı eşiğinin tamamını yüzde olarak günlüğe kaydet (1 - 98, varsayılan = 75). aralığı [1-98]
set full-second-warning-threshold {integer} Tam ikinci uyarı eşiğini yüzde olarak günlüğe kaydedin (2 - 99, varsayılan = 90). aralığı [2-99]
set full-final-warning-threshold {integer} Tam son uyarı eşiğini yüzde olarak günlüğe kaydet (3 - 100, varsayılan = 95). aralığı [3-100]

end

NOT: Yüklenen log dosyaları FLZ4 formatında olup direkt okunabilir durumda değildir, okumak için Fortianalyzer veya Fortimanager gibi yazılımlara ihtiyaç duyarız.


Kaynak: https://docs.fortinet.com/document/fortigate/6.0.6/cli-reference/253067/log-disk-setting