4
Suche Log Traffic Inbound bei Fortigate
Hallo zusammen,
wir testen gerade eine Fortigate 61F und finden das Inbound log nicht, wo sozusagen der gesamte Traffic geloggt wird, der von außen kommt.
Bspw. , ein Online Port Scanning oder ein ICMP von außen.
Beim Forward Logging sieht man alle zugriff von Intern nach außer, soweit so gut, aber wo findet man das ganz normale Firewall Log?( Anfragen von außen)
Im Internet finde ich nur Details über das Forward Log.
Vielleicht könnt Ihr mir einen Tipp geben?
Des Weiteren gibt es eigentlich eine Möglichkeit, Real Time Logs einzusehen oder müssen die Logs immer händisch aktualisiert werden?
Vielen Dank!
wir testen gerade eine Fortigate 61F und finden das Inbound log nicht, wo sozusagen der gesamte Traffic geloggt wird, der von außen kommt.
Bspw. , ein Online Port Scanning oder ein ICMP von außen.
Beim Forward Logging sieht man alle zugriff von Intern nach außer, soweit so gut, aber wo findet man das ganz normale Firewall Log?( Anfragen von außen)
Im Internet finde ich nur Details über das Forward Log.
Vielleicht könnt Ihr mir einen Tipp geben?
Des Weiteren gibt es eigentlich eine Möglichkeit, Real Time Logs einzusehen oder müssen die Logs immer händisch aktualisiert werden?
Vielen Dank!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1291359986
Url: https://administrator.de/contentid/1291359986
Ausgedruckt am: 19.11.2024 um 07:11 Uhr
4 Kommentare
Neuester Kommentar
Hi,
Forward Log ist schon das richtige. Da schlägt jeglicher Log auf.
Die Frage ist nur, ob ihr eingehenden Traffic überhaupt logged. Das muss auf den Regeln aktiviert werden. Also auf jeder einzeln
Und rechts oben bei den filtern ist der Knopf wo du das auf Realtime umschalten kannst
Forward Log ist schon das richtige. Da schlägt jeglicher Log auf.
Die Frage ist nur, ob ihr eingehenden Traffic überhaupt logged. Das muss auf den Regeln aktiviert werden. Also auf jeder einzeln
Und rechts oben bei den filtern ist der Knopf wo du das auf Realtime umschalten kannst
Hallo SeaStorm,
Ja, logging ist eingeschaltet. Ich sehe höchstens nun ein paar logs bei local traffic. Sicher, dass dies nicht im local Traffic stehen muss?
Im Forward Traffic sehe ich ausschließlich Traffice, der nach außen geht.
Vielen Dank!
Ja, logging ist eingeschaltet. Ich sehe höchstens nun ein paar logs bei local traffic. Sicher, dass dies nicht im local Traffic stehen muss?
Im Forward Traffic sehe ich ausschließlich Traffice, der nach außen geht.
Vielen Dank!
local traffic ist der traffic der an die Forti selbst gerichtet ist, also an eines ihrer Management Interfaces, sekundäre IPs, VIPs etc.
Forward ist alles was durch die ganzen Interfaces "durch" geht und entsprechend von diesen "weitergeleitet" wird und es eine entsprechende Regel dazu gibt.
Wenn du jetzt von aussen eingehenden Traffic hast, der am Ziel ankommt (und somit zugelassen wurde), dann fehlt der Regel das Logging.
Wenn das Traffic ist der nicht durchgeht und somit geblockt wurde, dann wahrscheinlich weil es in die Deny-All Regel läuft, die im default glaube ich erst mal kein Logging hat. Das muss man dann auf "Log Violation Traffic" gestellt werden.
Es gibt da noch ein paar Sonder-Dinger wenn es impliziter Traffic ist oder der np6 genutzt wird, aber das wird es wahrscheinlich nicht sein.
Wenn du mal ein bisschen ausholst wie das Ding konfiguriert ist und von wo nach wo du traffic verursachst, den du nicht siehst, wird das vielleicht ein bisschen klarer
Forward ist alles was durch die ganzen Interfaces "durch" geht und entsprechend von diesen "weitergeleitet" wird und es eine entsprechende Regel dazu gibt.
Wenn du jetzt von aussen eingehenden Traffic hast, der am Ziel ankommt (und somit zugelassen wurde), dann fehlt der Regel das Logging.
Wenn das Traffic ist der nicht durchgeht und somit geblockt wurde, dann wahrscheinlich weil es in die Deny-All Regel läuft, die im default glaube ich erst mal kein Logging hat. Das muss man dann auf "Log Violation Traffic" gestellt werden.
Es gibt da noch ein paar Sonder-Dinger wenn es impliziter Traffic ist oder der np6 genutzt wird, aber das wird es wahrscheinlich nicht sein.
Wenn du mal ein bisschen ausholst wie das Ding konfiguriert ist und von wo nach wo du traffic verursachst, den du nicht siehst, wird das vielleicht ein bisschen klarer
Die FW ist Out of the Box, Loggings sind eingeschaltet. Aktuell gibt es nur die default deny all implicit und eine ausgehende Internal -> WAN NATmit logging. Auf der sieht man auch alles und das passt soweit für rausgehenden Traffic.
Reinkommenden, der geblockt wird, sehe ich da nicht.
Mittlerweile sehe ich diesen aber auf dem local Traffic, wenn ich als Destination die öffentliche IP der FW eingebe.
Mich wundert es jetzt bloß, dass du diesen Traffic auf dem Forwarded Log siehst.
Vermutlich passt da bei mir noch etwas nicht so ganz.
Wobei, wenn du schreibst, dass traffic, welcher an die Forti selbst gerichtet ist im Local Log geloggt wird, dann pass das doch oder?
Vielen Dank!
Reinkommenden, der geblockt wird, sehe ich da nicht.
Mittlerweile sehe ich diesen aber auf dem local Traffic, wenn ich als Destination die öffentliche IP der FW eingebe.
Mich wundert es jetzt bloß, dass du diesen Traffic auf dem Forwarded Log siehst.
Vermutlich passt da bei mir noch etwas nicht so ganz.
Wobei, wenn du schreibst, dass traffic, welcher an die Forti selbst gerichtet ist im Local Log geloggt wird, dann pass das doch oder?
Vielen Dank!
