Descargamos el "Fortigate_Content_Pack"
https://github.com/juiceman84/Fortigate_Content_Pack
Seguimos las instrucciones
1.- Importamos el content pack
Creamos el Input en el Graylog
Seleccionamos el Syslogudp y le damos click en Launch new input
En la nueva ventana seleccionamos global, le ponemos un nombre y el puerto udp
Ahora importamos los extractores "extractors"
vamos a "Manage extractors"
Le damos click en Import extractors
En la pantalla siguiente copiamos el contenido del archivo que descargamos previamente
Fortigate_Content_Pack-master\extractors\fortigate.txt
Una vez terminado hay que darle en el "Add extractors to input"
En la imagen anterior en el puerto le indicamos 12345
hay que crear una linea de iptables para redirigir ese trafico que viene al puerto 12345
#iptables -t nat -A PREROUTING -i eth0 -p udp -m udp --dport 514 -j REDIRECT --to-ports 12345
Una vez realizado estos cambios hay que ir al fortinet y apuntarlo al syslog
Una vez que el fortigate apunte al graylog, se empieza a recibir los mensajes en el graylog
hacemos click en Show received messages
Fuentes:
https://github.com/alias454/graylog-fortinet-content-pack
https://github.com/juiceman84/Fortigate_Content_Pack
https://github.com/Graylog2/graylog2-server/issues/3706
https://advanxer.com/blog/2014/10/graylog2-could-not-bind-udp-syslog-input-to-address-0-0-0-0514-failed-to-bind-to-0-0-0-0514-address-already-in-use/
No hay comentarios:
Publicar un comentario