Fortigate Firewall Üzerinden Syslog Server’a Log Göndermek

* English versions are added below each paragraph *

Fortigate Firewall Cihazlarımızın loglarını syslog olarak bir syslog sunucumuza gönderebilmekteyiz. Bu makalemde syslog sunucusu olarak Crypttech’in SIEM ürününü kullanıyor olacağım. Test amaçlı bir adet ekran görüntüsü paylaşıyor olacağım.

We can send the logs of our Fortigate Firewall Devices as syslog to a syslog server. In this article, I will be using Crypttech's SIEM product as the syslog server. I will be sharing a screenshot for testing purposes.

Fortigate Firewall cihazlarımızda Syslog ayarlarını yaptıktan sonra log gönderdiğimizi düşünebiliriz ancak bazı zamanlarda log gönderemiyor olabilir, syslog basıp basmadığını test ettimizde log gelmediğini görebiliriz.

After making Syslog settings on our Fortigate Firewall devices, we may think that we are sending logs, but sometimes it may not be able to send logs. When we test whether syslog prints, we can see that there is no log.

Sizlere Fortigate Firewall cihazınız üzerinde aşağıdaki komutları çalıştırmanızı tavsiye ederim, “set source-ip” bazen yazılmadığı için syslog gönderemediği durumlarla fazlasıyla karşılaştığım için paylaşmak istedim.

I would recommend you to run the following commands on your Fortigate Firewall device, I wanted to share it because I encountered many situations where "set source-ip" could not send syslog because sometimes it was not written.

GUI üzerinden de syslog gönderebiliyorsunuz elbette fakat version kaynaklı GUI üzerinden gönderemiyor olabilirsiniz veya hedef(syslog server) IP adresini girseniz bile bazı durumlarda “source-ip” boş gelebileceği için syslog basamayabilirsiniz.

You can send syslog via GUI, of course, but you may not be able to send version-based GUI or even if you enter the destination (syslog server) IP address, in some cases, you may not be able to print syslog because the “source-ip” may be empty.

Yukarıdaki ekran görüntüsünde de yer aldığı gibi “config log syslogd setting” diyerek hemen peşinden” show full-configuration” komutu ile bahsetmiş olduğum “source-ip” bilgisini kontrol edebilirsiniz.

As in the screenshot above, you can check the "source-ip" information I mentioned by saying "config log syslogd setting" and then using the "show full-configuration" command.

Akabinde aşağıdaki ekran görüntüsünde de görebileceğimiz gibi “set source-ip xxx.xxx.xxx.xxx” komutumuzla fortigate için bir “source-ip” tanımı girmiş olmamız gerekecektir. Burada “xxx.xxx.xxx.xxx” yerine yazmamız gereken IP adresimiz, Fortigate Firewall cihazımızın management IP adresi olması gereklidir. Bunu unutmamanızı tavsiye ederim, normal şartlarda syslog basmamız için girmemiz gereken kaynak IP adresimiz, syslog servera en yakın IP adresi olması gerekecektir fakat benim bu örneğimde, network segmentasyonumdan kaynaklı Fortigate Firewall’umun management IP adresini girmem gerekmiştir.

Then, as we can see in the screenshot below, we will need to enter a "source-ip" definition for the fortigate with our "set source-ip xxx.xxx.xxx.xxx" command. Here, the IP address we need to write instead of “xxx.xxx.xxx.xxx” should be the management IP address of our Fortigate Firewall device. I recommend you to remember this, under normal circumstances, the source IP address we need to enter to print syslog will need to be the closest IP address to the syslog server, but in my example, I had to enter the management IP address of my Fortigate Firewall due to my network segmentation.

Bu komutumuzu da yazdıktan sonra, tekrar “show full-configuration” diyerek “source-ip” alanımın Fortigate Firewall’umun management IP adresi ile dolup dolmadığını kontrol ediyorum.

After typing this command, I check if my "source-ip" field is filled with the management IP address of my Fortigate Firewall by saying "show full-configuration" again.

Bahsetmiş olduğum gibi, GUI üzerinden bu syslog ayarını yapıp syslog serverımızın IP adresini girebiliyoruz fakat yine bahsettiğim gibi bir sorunla karşılaşmanız durumunda, buraya sadece serverınızın IP adresini girmeniz yeterli olmayabilir. Bir örnek olması açısından aşağıda ekran görüntüsünü de paylaşıyorum;

As I mentioned, we can set this syslog setting and enter the IP address of our syslog server via the GUI, but in case you encounter a problem like I mentioned, it may not be enough to just enter your server's IP address here. I am sharing the screenshot below as an example;

Bu işlemler neticesinde, Fortigate Firewall cihazımdan artık syslog serverıma log gönderebilir duruma geliyorum. Bunun testini de yine aşağıda ekran görüntüsünü paylaştığım komutumuzla gerçekleştirip, syslog serverımızdan da testin sonucunu görebiliriz. Bu örneğinde, syslog sunucum benim için Cryttech firmasının SIEM ürünü olduğu için, buradaki ekran görüntüsünü aşağıda paylaşıyor olacağım;

As a result of these processes, I am now able to send logs to my syslog server from my Fortigate Firewall device. We can also test this with our command, which I have shared the screenshot below, and see the result of the test from our syslog server. In this example, since my syslog server is a SIEM product of Cryttech company, I will share the screenshot below;

Aşağıdaki komutumla “diagnose log test” diyip test logu gönderiyorum;

With the command below, I say "diagnose log test" and send the test log;

Hemen peşinden de, syslog server olarak kullandığım SIEM ürünümün loglarını kontrol ettiğimde, syslog ile log alabildiğimi görüyorum Fortigate Firewall cihazımın üzerinden. Bunun ekran görüntüsünü de yine örnek olması açısından aşağıda sizlerle paylaşıyorum;

Right after that, when I check the logs of my SIEM product, which I use as a syslog server, I see that I can log with syslog over my Fortigate Firewall device. I am sharing the screenshot of this with you below as an example;

Tüm bu işlemlerden sonra, Fortigate Firewall cihazım için, syslog ayarlamalarımu bitirmiş oluyorum.

After all these processes, I have finished my syslog settings for my Fortigate Firewall device.

Bu makalede yer alabilecek bir konu değil ancak Cisco Switchlerimden de iki satır komut ile yine, syslog serverıma log gönderebildiğimi bir iki ekran görüntüsüyle paylaşmak istedim.

It is not a topic that can be included in this article, but I wanted to share with a couple of screenshots that I was able to send logs to my syslog server with two lines of command from my Cisco Switches.

Bunun için de, Cisco Switchlerim üzerinde girmem gereken sadece iki komutu aşağıda paylaşıyorum;

For this, I share only two commands below that I need to enter on my Cisco Switches;

“logging source-interface Vlan1” Bu komutumuzla hangi vlanımız üzerinden logları göndereceğimizi belirtiyoruz.

“logging source-interface Vlan1” With this command, we specify which vlan we will send the logs through.

“logging host xxx.xxx.xxx.xxx” Bu komutumuzla da switchimizin bir önceki komutta belirttiğimiz vlanı üzerindeki IP adresi üzerinden syslog basacağımızı belirtiyoruz. Bunun için belirttiğimiz vlanımız üzerinde IP tanımlaması yapmış olmamız gerekecektir, bu örneğimde Vlan1 switchimin management vlanı olduğu için, switchimin management IP adresini belirtip, switchim üzerindeki işlemleri tamamlıyorum bu iki satırlık komutum ile.

“logging host xxx.xxx.xxx.xxx” With this command, we specify that we will print syslog over the IP address of our switch's vlan that we specified in the previous command. For this, we will need to define IP on our vlan that we have specified. In this example, since Vlan1 is the management vlan of my switch, I specify the management IP address of my switch and complete the operations on my switch with this two-line command.

Bunun akabinde ise, yine syslog serverımda loglarımı kontrol ediyorum ve switchimi kaynak olarak ekledikten sonra da, switchimin loglarının syslog serverıma geldiğini görebiliyorum, bunun için de yine örnek bir ekran görüntüsünü aşağıda sizlerle paylaşıyorum;

After that, I check my logs on my syslog server again and after adding my switch as a source, I can see that the logs of my switch are coming to my syslog server, for this I am sharing a sample screenshot with you below;

Syslog ile ilgili hazırlamış olduğum bu basit makalem umarım faydası dokunacak kişilere ulaşacaktır.

I hope this simple article I have prepared about Syslog will reach people who will be useful.

Okuduğunuz için teşekkür ederim.

Thank you for reading.