Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
3095 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Analyser un fichier log de FORTIGATE

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Analyser un fichier log de FORTIGATE

n°122664
pierra56
Posté le 22-07-2014 à 17:21:31  profilanswer
 

Bonjour,
 
J'ai un fichier log à analyser. J'ai essayé d'utiliser Splunk et Manage Engine FireWall Analyzer.  
Sauf que je n'ai pas la même interprétation avec les deux outils.  
 
Mais je me demande si Splunk est vraiment bien adapter pour se type de log. Je ne comprends pas à quoi sert la "count" qu'il y a à chaque variable.
Enfaite je voudrais faire apparaitre le volume de paquet  envoyé ou en réception suivant les adresses IP source.  
Avez-vous une idée pour faire cela?
 
Merci

mood
Publicité
Posté le 22-07-2014 à 17:21:31  profilanswer
 

n°122681
teflon
Et si le luxe c'était l'espace
Posté le 23-07-2014 à 11:07:36  profilanswer
 

hmm, à l'arrache tu pourrais créer une adresse dans "firewall objects" et tu rattaches une policy à cet objet en activant le count.
A mettre avant les autres policy plus générales bien évidemment sinon ça ne va jamais taper dedans.

n°122696
pierra56
Posté le 23-07-2014 à 14:30:32  profilanswer
 

Merci de ta réponse.  
Mais j'ai pas très bien compris. Ou se trouve le "firewall objects"  
Je suppose que tu parle de la zone "New Search".
Par exemple: sourcetype="20140416-traffic"| top limit=20 src rcvd
pour moi ça sa devrait afficher le nombre de bytes  qui reçoivent les top 20 adresses IP.  
ça te dit quelque chose ?

n°122698
teflon
Et si le luxe c'était l'espace
Posté le 23-07-2014 à 15:11:38  profilanswer
 

Je pense que tu vas chercher cette indication dans Log&Report où tu peux filtrer suivant une source/destination/autre.
Le problème de Log&Report c'est que c'est limité dans le temps par la mémoire du FG et en plus je ne suis pas sûr que tu puisses obtenir l'information que tu souhaites.
Et je ne trouve pas de Log (sur mon 60C) qui le permette non plus.
 
Ma solution consiste à visualiser le total de packets (émission/réception sans distinction) et la volumétrie globale dans la vue des règles du firewall.
Pour cela tu dois définir une règle avec une IP (qu'il faut préalablement configurer dans les Firewall Objects). Cette doit/peut être la même que ta règle générale permettant l'accès au net à tout ton réseau. Il faut juste qu'elle soit traitée avant cette dernière pour qu'elle soit prise en compte et que le compteur tourne.

n°122699
teflon
Et si le luxe c'était l'espace
Posté le 23-07-2014 à 15:18:54  profilanswer
 

Et dans la pratique ça donne ça :
https://dl.dropboxusercontent.com/u/14975636/fortigate_count.png
Ou l'objet dans "Source" serait ton adresse ip configurée dans Firewall Objects.


Message édité par teflon le 23-07-2014 à 15:19:57
n°122702
pierra56
Posté le 23-07-2014 à 16:14:03  profilanswer
 

Ok dac. Mais toi tu analyse en direct les flux sur ton fortigate ou c'est un fichier extrait en .log  
Parce que j'ai pas la même interface que toi j'ai l'impression. Le log&report pour moi se serait Search&report.
Je récupère se fichier sur l'extranet de sfr.  
Un exemple graphique:
http://img11.hostingpics.net/pics/465745splunk.jpg
 
Pour ma source c'est une adresse IP local et donc elle reçoit des bytes (pour rcvd: received) mais je vois pas à quoi correspond le "count" ?  
Est ce qu'il faut faire comme ça ou je suis complétement à coté de la plaque?

n°122703
teflon
Et si le luxe c'était l'espace
Posté le 23-07-2014 à 16:20:52  profilanswer
 

Heu, je fais ces manips en direct sur notre Fortigate.
Là ton logiciel je ne connais pas du tout.
Le count c'est un compteur, faudrait savoir à quoi correspond le "1626" pour comprendre ce à quoi fait référence son compteur.
Le compteur dans les policy Fortigate c'est le nombre de packets ayant transités + la volumétrie associée.

n°122704
pierra56
Posté le 23-07-2014 à 16:26:45  profilanswer
 

bah oui voilà c'est bien se que je pensais. J'ai pas accès au Fortigate. :/  
Donc ça va être compliqué. Tu ne connais pas de logiciel d'analyse de log?

n°122706
teflon
Et si le luxe c'était l'espace
Posté le 23-07-2014 à 17:17:54  profilanswer
 

heu nop :/

n°122710
remi_
Posté le 23-07-2014 à 18:23:59  profilanswer
 

Salut,
 
pour l'analyse de logs, tu as le trio Elasticsearch/Kibana/Logstash.
 
Ca demande un peu de configuration mais ça tourne pas mal. On a mis ça en place chez nous pour l'analyse d'un équipement Netasq, et la on installe aussi du Fortinet et on verra ce que ça donne ;)

mood
Publicité
Posté le 23-07-2014 à 18:23:59  profilanswer
 

n°122740
pierra56
Posté le 24-07-2014 à 19:06:56  profilanswer
 

Merci rémi. Mais la sa demande pas mal de taf or je n'ai plus grand temps pour faire ça. Je voulais continuer sur l'outil SPLUNK qui est assez complet.

n°122806
rancor
Posté le 28-07-2014 à 15:11:05  profilanswer
 

Bonjour pierra56,
 
En fait, la colonne Count correspond au nombre de paquets ayant la valeur à gauche de cette colonne sur ta capture. C'est juste un compteur.
 
Tu as donc 15867 paquets avec une valeur de la variable rcvd égale à 1626.
 
Pour ta recherche tu peux faire host="Pierra-PC" src="10.240.10.29" | stats sum(sent) as sent sum(rcvd) as rcvd
 
Ca doit te retourner la somme des variables sent et rcvd.
Le as ... ne sert qu'à donner un nom plus convivial lors du retour du tableau de résultat.
 
Si tu veux savoir à qui cette ip parle le plus tu peux rajouter by dst | sort -sent ou by dst | sort -rcvd en fonction de quelle colonne tu veux trier.
 
Dans un deuxième temps, tu pourras certainement être intéressé d'installer l'application splunk for fortigate disponible ici
http://apps.splunk.com/app/1063/


Message édité par rancor le 28-07-2014 à 15:19:15
n°122832
pierra56
Posté le 29-07-2014 à 11:45:56  profilanswer
 

Merci Rancor de ta réponse. J'ai eu exactement la même sur le forum officiel de splunk.
 
Pour ce qui est de l'appli fortigate je l'ai installé mais je sais pas comment l'utiliser. J'ai l'impression qu'elle fonctionne quand live sur le fortigate. Or moi c'est des fichiers .log que l'on me donne.  
Tu l'as déjà utilisé !?

n°122834
rancor
Posté le 29-07-2014 à 14:32:01  profilanswer
 

Oui je l'ai déja utilisé mais seulement avec envoie direct des logs depuis le fortigate.
 
Tu peux essayer de spécifier le source type à fortigate lorsque tu importes ton fichier de log. C'est dans more settings, set sourcetype --> manuel puis source type, fortigate.

n°122835
pierra56
Posté le 29-07-2014 à 15:03:53  profilanswer
 

Merci, j'ai une erreur quand j'essaie d'injecter mon fichier de log:
 
Your entry was not saved. The following error was reported: SyntaxError: JSON.parse: unexpected character at line 1 column 1 of the JSON data.
 
Sait tu ce que ça veut dire?

n°122882
rancor
Posté le 31-07-2014 à 16:03:21  profilanswer
 

Malheureusement, pas du tout. Désolé.

n°122936
xhark
Posté le 04-08-2014 à 20:10:29  profilanswer
 

Je conseille aussi Elasticsearch/Kibana/Logstash, sinon Graylog2 :)


---------------
Blogueur HighTech Indépendant (blogmotion.fr)

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Analyser un fichier log de FORTIGATE

 

Sujets relatifs
Solution de dépot de fichier pour les clients[Fortigate] Bypass ONT Orange
Fichier de configuration d'une application "codée"Transferer la connexion (ou fichier) du serveur a son pc
Désactiver mode protégé pour fichier Excel d'un intranetPare-Feu Fortigate FG60C et déconnexion sessions RDP
Un fichier recupere avec EaseUS file recovery -- ShitInTheFileScan-port depuis Fortigate ???
Win File server 2003 - Connaitre les dernier fichier copiésRecherche contenu fichier Windows Srv 2012
Plus de sujets relatifs à : Analyser un fichier log de FORTIGATE


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR