Contents Previous Next

Configuração do mtmon_checklog.conf

Quando o Fortifate é configurado para gerar mensagens na syslog, a mensagem será no formato abaixo :

Jun  3 15:26:51 date=2013-06-03 time=14: 27:04 devname=IDUFGFW01 device_id=FGT60C3G12015686 log_id=0104032002 type=event subtype=admin pri=alert vd=root user="soporte" ui=ssh(200.68.44.244) action=login status=failed reason="name_invalid" msg="Administrator soporte login failed from ssh(200.68.44.244) because of invalid user name"

Para que o plugin do MTMON (mtmon_checklog.pl) possa processar a mensagem, é necessário que o mesmo esteja configurado no mtmon_cron.pl:

[mon_syslog]
   aplicacao=mon_syslog
   comando=mtmon_checklog.pl --arquivo /var/log/mtmon.log --zeralog
   intervalo=* */2

No arquivo de configuração do plugin, inclua a seguinte sessão :

[FGT60C3G12015686]
  servidor=idufgfw01
  severidade=1
  padrao=^... [\s\d]\d \d\d:\d\d:\d\d .+dev(ice_)?id=FGT60C3G12015686.+(pri|level)=(\w+).+msg=\"([^\"]+)\"?
  mensagem={p3}: {p4}
  ignorar=Administrator a login failed from .+ because of invalid user name
  ignorar=Administrator admin login failed from
  ignorar=Configuration is changed in the admin session
  ignorar=Disk logs exceed full final warning threshold. Deleted rolled log file
  ignorar=Log disk is 100% full
  ignorar=Login disabled from IP .+seconds because of \d+ bad attempts
  ignorar=progress IPsec phase
  ignorar=iprope_in_check.. check failed, drop

onde :

FGT60C3G12015686 - é o nome do device que está gerando o evento. idufgfw01 - nome do dispositivo no MTMON.

Se o Fortigate é configurado com log rotate automático, inclua a linha abaixo, pois a mensagem informa que parte do log será perdido :

  ignorar=Log disk failure is imminent, logs should be backed up

Contents Previous Next