Filebeat로 fortinet 장비 로그 수집하기

최근 버전에서 Filebeat에서 fortinet 장비 로그를 수집할 수 있는 모듈이 추가되었습니다.

7.8.0에는 기본 포함되어 있고, 그 이하 버전에서도 아래 두개 디렉토리만 복사하면 사용할 수 있습니다.

modules.d/fortinet.yml, module/fortinet

파일비트 다운로드 및 설치
이 부분은 워낙 많이 자료가 많이 나와 있어서 생략하겠습니다.

  • filebeat의 output 설정

  • filebeat의 kibana 설정

  • modules.d/fortinet.yml 파일 수정

  • filebeat modules list

설치된 모듈 리스트에서 fortinet이 활성화 되어 있는지 확인

  • filebeat modules enable fortinet

만약 활성화되어 있지 않으면 enable 명령어로 활성화 시키면 됩니다.

  • filebeat setup -e 실행

setup을 실행하면 index template, Kibana dashboards, ingest pipelines 이 3가지를 Elasticsearch에 Load하게 됩니다.

  • filebeat -e 실행

  • 이렇게 하면 한후 포티넷 장비에서 설정을 수정하면 됩니다.

 

와우 이렇게 쉽게 수집을 할 수 있다니,, 이제 SIEM 앱에서 어떻게 보이는지 확인해봐야겠네요.

 

참고로 내 장비가 워낙 옛날꺼라 파싱이 제대로 안된다. 그래서 pipeline.yml 파일을 아래처럼 수정을 해줘야 한다. 일단 eventtime 이 없기 때문에 그부분 삭제해주고, timezone을 강제로 지정해줘버렸다.