leo-le
Goto Top

Suche Log Traffic Inbound bei Fortigate

Hallo zusammen,

wir testen gerade eine Fortigate 61F und finden das Inbound log nicht, wo sozusagen der gesamte Traffic geloggt wird, der von außen kommt.
Bspw. , ein Online Port Scanning oder ein ICMP von außen.

Beim Forward Logging sieht man alle zugriff von Intern nach außer, soweit so gut, aber wo findet man das ganz normale Firewall Log?( Anfragen von außen)
Im Internet finde ich nur Details über das Forward Log.

Vielleicht könnt Ihr mir einen Tipp geben?

Des Weiteren gibt es eigentlich eine Möglichkeit, Real Time Logs einzusehen oder müssen die Logs immer händisch aktualisiert werden?


Vielen Dank!

Content-ID: 1291359986

Url: https://administrator.de/forum/suche-log-traffic-inbound-bei-fortigate-1291359986.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

SeaStorm
SeaStorm 22.09.2021 aktualisiert um 11:45:55 Uhr
Goto Top
Hi,

Forward Log ist schon das richtige. Da schlägt jeglicher Log auf.
Die Frage ist nur, ob ihr eingehenden Traffic überhaupt logged. Das muss auf den Regeln aktiviert werden. Also auf jeder einzeln

Und rechts oben bei den filtern ist der Knopf wo du das auf Realtime umschalten kannst
Leo-le
Leo-le 22.09.2021 um 15:57:35 Uhr
Goto Top
Hallo SeaStorm,

Ja, logging ist eingeschaltet. Ich sehe höchstens nun ein paar logs bei local traffic. Sicher, dass dies nicht im local Traffic stehen muss?

Im Forward Traffic sehe ich ausschließlich Traffice, der nach außen geht.

Vielen Dank!
SeaStorm
SeaStorm 22.09.2021 um 16:50:59 Uhr
Goto Top
local traffic ist der traffic der an die Forti selbst gerichtet ist, also an eines ihrer Management Interfaces, sekundäre IPs, VIPs etc.
Forward ist alles was durch die ganzen Interfaces "durch" geht und entsprechend von diesen "weitergeleitet" wird und es eine entsprechende Regel dazu gibt.
Wenn du jetzt von aussen eingehenden Traffic hast, der am Ziel ankommt (und somit zugelassen wurde), dann fehlt der Regel das Logging.
Wenn das Traffic ist der nicht durchgeht und somit geblockt wurde, dann wahrscheinlich weil es in die Deny-All Regel läuft, die im default glaube ich erst mal kein Logging hat. Das muss man dann auf "Log Violation Traffic" gestellt werden.

Es gibt da noch ein paar Sonder-Dinger wenn es impliziter Traffic ist oder der np6 genutzt wird, aber das wird es wahrscheinlich nicht sein.

Wenn du mal ein bisschen ausholst wie das Ding konfiguriert ist und von wo nach wo du traffic verursachst, den du nicht siehst, wird das vielleicht ein bisschen klarer
Leo-le
Leo-le 24.09.2021 um 09:02:23 Uhr
Goto Top
Die FW ist Out of the Box, Loggings sind eingeschaltet. Aktuell gibt es nur die default deny all implicit und eine ausgehende Internal -> WAN NATmit logging. Auf der sieht man auch alles und das passt soweit für rausgehenden Traffic.

Reinkommenden, der geblockt wird, sehe ich da nicht.
Mittlerweile sehe ich diesen aber auf dem local Traffic, wenn ich als Destination die öffentliche IP der FW eingebe.

Mich wundert es jetzt bloß, dass du diesen Traffic auf dem Forwarded Log siehst.


Vermutlich passt da bei mir noch etwas nicht so ganz.
Wobei, wenn du schreibst, dass traffic, welcher an die Forti selbst gerichtet ist im Local Log geloggt wird, dann pass das doch oder?

Vielen Dank!