Sistem yönetimi ve güvenlik analitiği açısından, ağ cihazlarından toplanan günlükler (loglar) çok değerlidir. FortiGate güvenlik duvarları, ağ trafiğini ve olayları izlemek için Syslog sunucuları kullanarak bu verileri merkezi bir yere aktarabilir. Bu makalede, FortiGate cihazınızda birden fazla Syslog sunucusunu nasıl yapılandırabileceğinizi açıklayacağım ve kullanılan komutları detaylandıracağım.
Syslog Nedir ve Neden Kullanılır?
Syslog, bir cihazın olaylarını ve mesajlarını merkezi bir sunucuya gönderen standart bir protokoldür. FortiGate cihazlarında syslog kullanmak, ağ güvenliği için kritik öneme sahip olan olayların izlenmesini ve analiz edilmesini sağlar. Özellikle merkezi log yönetimi ve korelasyon araçları kullanan büyük ağlarda syslog, ağdaki tehditlerin ve anomalilerin hızlı bir şekilde tespit edilmesine yardımcı olur.
FortiGate’de Birden Fazla Syslog Sunucusu Yapılandırması
FortiGate cihazlarında 4 adede kadar Syslog sunucusu yapılandırılabilir. Ayrıca, birden fazla VDOM (Virtual Domain) kullanıyorsanız, her VDOM için ayrı Syslog sunucuları tanımlayabilirsiniz. Bu esneklik, ağ yapısına göre farklı günlüklerin farklı sunuculara gönderilmesini sağlayarak verilerin yönetimini kolaylaştırır.
CLI ile Syslog Sunucusu Yapılandırma
FortiGate firewall üzerinde birden fazla syslog sunucusu komut satırı arayüzü (CLI) kullanılarak yapılandırılabilir. Syslog sunucusu eklemek ve yapılandırmak için aşağıdaki adımlar izleyin:
config log {syslogd | syslogd2 | syslogd3 | syslogd4} setting
set status {enable | disable}
set csv {enable | disable}
set facility {alert | audit | auth | authpriv | clock | cron | daemon | ftp | kernel | local0 | local1 | local2 | local3 | local4 | local5 | local6 | local7 | lpr | mail | news | ntp | syslog | user | uucp}
set port <port_integer>
set reliable {enable | disable}
set server <address_ipv4 | FQDN>
set source-ip <address_ipv4>
end
Burada, her bir syslog sunucusu için syslogd, syslogd2, syslogd3 ve syslogd4 gibi farklı seçenekler bulunur. Bu, her bir sunucu için ayrı ayrı yapılandırma yapmanıza olanak tanır. Aşağıdaki parametreler, Syslog sunucusunun çalışma şeklini belirler:
set status {enable | disable}: Syslog sunucusunun aktif olup olmadığını belirler. “Enable” komutu, sunucunun etkinleştirilmesini sağlar.
set csv {enable | disable}: Logların CSV formatında gönderilip gönderilmeyeceğini ayarlar. CSV formatı, logların daha düzenli ve analiz edilebilir bir formatta olmasını sağlar.
set facility: Logların hangi kategoride gönderileceğini belirler. Örneğin, “auth” ile kimlik doğrulama loglarını, “kernel” ile çekirdek (kernel) loglarını, “mail” ile e-posta loglarını seçebilirsiniz.
set port : Syslog sunucusunun dinleyeceği port numarasını belirler. Genellikle varsayılan syslog portu olan 514 kullanılır.
set reliable {enable | disable}: Güvenilir bir bağlantı (TCP) kullanıp kullanmayacağınızı ayarlayın. Bu, logların kaybolmadan sunucuya ulaştırılmasını sağlar.
set server : Syslog sunucusunun IP adresini veya tam etki alanı adını (FQDN) belirtir.
set source-ip : Syslog mesajlarının hangi kaynak IP adresinden gönderileceğini belirler. Bu, özellikle çoklu arayüzlere sahip cihazlarda logların hangi arayüzden gönderileceğini kontrol eder.
FortiGate cihazlarında birden fazla Syslog sunucusunun yapılandırılması, ağ yönetimi ve güvenliği için oldukça faydalıdır. Her bir Syslog sunucusunun doğru bir şekilde yapılandırılması, ağınızdaki olayların izlenmesi ve analiz edilmesini kolaylaştırır. Bu makalede, Syslog yapılandırmasında kullanılan temel komutlar hakkında bilgi verdim. FortiGate cihazlarınızdaki Syslog yapılandırmalarını ihtiyacınıza göre özelleştirerek daha verimli bir log yönetimi sağlayabilirsiniz.
Top comments (0)