Suche Log Traffic Inbound bei Fortigate
Hallo zusammen,
wir testen gerade eine Fortigate 61F und finden das Inbound log nicht, wo sozusagen der gesamte Traffic geloggt wird, der von außen kommt.
Bspw. , ein Online Port Scanning oder ein ICMP von außen.
Beim Forward Logging sieht man alle zugriff von Intern nach außer, soweit so gut, aber wo findet man das ganz normale Firewall Log?( Anfragen von außen)
Im Internet finde ich nur Details über das Forward Log.
Vielleicht könnt Ihr mir einen Tipp geben?
Des Weiteren gibt es eigentlich eine Möglichkeit, Real Time Logs einzusehen oder müssen die Logs immer händisch aktualisiert werden?
Vielen Dank!
wir testen gerade eine Fortigate 61F und finden das Inbound log nicht, wo sozusagen der gesamte Traffic geloggt wird, der von außen kommt.
Bspw. , ein Online Port Scanning oder ein ICMP von außen.
Beim Forward Logging sieht man alle zugriff von Intern nach außer, soweit so gut, aber wo findet man das ganz normale Firewall Log?( Anfragen von außen)
Im Internet finde ich nur Details über das Forward Log.
Vielleicht könnt Ihr mir einen Tipp geben?
Des Weiteren gibt es eigentlich eine Möglichkeit, Real Time Logs einzusehen oder müssen die Logs immer händisch aktualisiert werden?
Vielen Dank!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1291359986
Url: https://administrator.de/forum/suche-log-traffic-inbound-bei-fortigate-1291359986.html
Ausgedruckt am: 22.12.2024 um 07:12 Uhr
4 Kommentare
Neuester Kommentar
local traffic ist der traffic der an die Forti selbst gerichtet ist, also an eines ihrer Management Interfaces, sekundäre IPs, VIPs etc.
Forward ist alles was durch die ganzen Interfaces "durch" geht und entsprechend von diesen "weitergeleitet" wird und es eine entsprechende Regel dazu gibt.
Wenn du jetzt von aussen eingehenden Traffic hast, der am Ziel ankommt (und somit zugelassen wurde), dann fehlt der Regel das Logging.
Wenn das Traffic ist der nicht durchgeht und somit geblockt wurde, dann wahrscheinlich weil es in die Deny-All Regel läuft, die im default glaube ich erst mal kein Logging hat. Das muss man dann auf "Log Violation Traffic" gestellt werden.
Es gibt da noch ein paar Sonder-Dinger wenn es impliziter Traffic ist oder der np6 genutzt wird, aber das wird es wahrscheinlich nicht sein.
Wenn du mal ein bisschen ausholst wie das Ding konfiguriert ist und von wo nach wo du traffic verursachst, den du nicht siehst, wird das vielleicht ein bisschen klarer
Forward ist alles was durch die ganzen Interfaces "durch" geht und entsprechend von diesen "weitergeleitet" wird und es eine entsprechende Regel dazu gibt.
Wenn du jetzt von aussen eingehenden Traffic hast, der am Ziel ankommt (und somit zugelassen wurde), dann fehlt der Regel das Logging.
Wenn das Traffic ist der nicht durchgeht und somit geblockt wurde, dann wahrscheinlich weil es in die Deny-All Regel läuft, die im default glaube ich erst mal kein Logging hat. Das muss man dann auf "Log Violation Traffic" gestellt werden.
Es gibt da noch ein paar Sonder-Dinger wenn es impliziter Traffic ist oder der np6 genutzt wird, aber das wird es wahrscheinlich nicht sein.
Wenn du mal ein bisschen ausholst wie das Ding konfiguriert ist und von wo nach wo du traffic verursachst, den du nicht siehst, wird das vielleicht ein bisschen klarer