一、需求
对于不带硬盘的设备,例如FortGate60D和FortGate500D,可以将防火墙上产生的日志:流量日志、事件日志和安全日志,暂时记录在内存上。本案例以记录"允许流量日志"、"事件日志"为例,完成内存记录日志的方式。
注意:由于"记录全部会话日志"日志量非常大,所以记录内存将带来设备性能损耗,以及减少内存寿命;推荐采用日志发送至第三方服务器方式,请参考"日志发送syslog方式"
二、配置要点
1、首先需在 防火墙-策略下,编辑具体策略,勾选" 记录全部会话日志 "
2、在日志与报告-日志配置-日志设置中:
日志与存档,勾选'Memory',GUI选择'内存',勾选要记录的事件日志、本地流量日志类型即可。
说明: 各UTM安全功能日志启用(默认不启用),请参考通用典型功能>>UTM安全应用功能日志;
3、设置内存存储日志参数(仅CLI方式)
FortiGate # config log
memory setting
FortiGate (setting) # set
status enable //开启内存日志存储
FortiGate (setting) #
end
FortiGate # config log
memory filter
FortiGate (filter) # set
forward-traffic disable //关闭forward-traffic;
FortiGate (filter) #
end
说明: forward-traffic为策略中"记录允许流量"日志;强烈建议关闭;
4、查看内存存储日志参数(仅CLI方式)
1)查看内存记录日志的参数
FortiGate # get log memory setting
status : enable
diskfull : overwrite
2)查看内存记录日志的选项
FortiGate # get log memory filter
severity : information
traffic : enable
forward-traffic :disable
local-traffic : enable
attack : enable
web : enable
netscan : enable
dlp : enable
virus : enable
email : enable
voip : enable
app-ctrl : enable
multicast-traffic : enable
signature : enable
anomaly : enable
web-content : enable
url-filter : enable
ftgd-wf-block : enable
ftgd-wf-errors : enable
web-filter-activex : enable
web-filter-cookie : enable
web-filter-applet : enable
web-filter-script-other: enable
web-filter-ftgd-quota-counting: enable
web-filter-ftgd-quota-expired: enable
web-filter-ftgd-quota: enable
web-filter-command-block: enable
discovery : enable
vulnerability : enable
dlp-all : enable
dlp-docsource : enable
infected : enable
blocked : enable
scanerror : enable
suspicious : enable
analytics : enable
oversized : enable
switching-protocols : enable
email-log-smtp : enable
email-log-pop3 : enable
email-log-imap : enable
email-log-msn : enable
email-log-yahoo : enable
email-log-google : enable
app-ctrl-all : enable
三、配置验证
以上配置完成后,WEB登陆
日志与报告>>转发流量、本地流量和系统事件 查看具体日志。
