excluyendo los registros de tráfico intermedios en el informe

Bienvenidos 👋, por aquí César Sánchez y hoy os vengo a contar: ⏬ excluyendo los registros de tráfico intermedios en el informe

Descripción
Este artículo describió cómo excluir el registro de tráfico intermedio enviado por FortiGate mediante el ajuste fino del conjunto de datos de consulta SQL en FortiAnalyzer.
Los registros adicionales son registros ‘interinos’ para sesiones de larga duración, se generan cada 2 minutos y se identifican en los registros como logid=20 con acción=aceptar.

Este tipo de registro se introdujo después de la versión 5.6 y posteriores de FortiGate.

Si no se excluyen, esos registros pueden generar estadísticas de tráfico incorrectas en el informe generado.
Si no hay tráfico en FortiGate en 2 minutos, el próximo paquete recibido activará el registro.
Cuando se cierra una sesión, la entrada de registro aparecerá justo antes del mensaje de registro esperado con una acción de firewall igual a acción=cerrar.

Solución
1) Para filtrar estos registros en el conjunto de datos, se debe agregar lo siguiente a la instrucción de la cláusula WHERE de la consulta SQL.
Para FortiAnalyzer, el conjunto de datos de la versión anterior a la 6.2, como la versión 5.6 y 6.0, no tiene esto agregado, es posible clonar el conjunto de datos predefinido o agregar el conjunto de datos personalizado.

Esta es una cadena especial en la que excluirá los registros intermedios de sesión larga, los registros de inicio de sesión y otros tipos de registros que se excluyen de las estadísticas de tráfico.

…
where $filter and (logflag&1>0)
…

Ejemplo:

select shapersentname, shapingpolicyid, sum(coalesce(shaperdroprcvdbyte, 0)) as dropped_rcvd, sum(coalesce(shaperdropsentbyte, 0)) as dropped_sent, (sum(coalesce(shaperdroprcvdbyte, 0))+sum(coalesce(shaperdropsentbyte, 0))) as dropped_total
from $log where $filter and (logflag&1>0) and shapingpolicyid is not null
group by shapersentname, shapingpolicyid
order by dropped_total desc
limit 20

2) Alternativamente, es posible hacerlo desde FortiGate para filtrar este ID de registro para que no se envíe a FortiAnalyzer.

# config log fortianalyzer filter
set filter «logid(00020)»
set filter-type exclude
end

☑️ Para terminar, felicitarte por haber leído hasta abajo del post. Esperamos que haya servido para solucionar tus problemas y que nos guardes en tus favoritos.
Si no consigues encontrar solución a tu problema escribe en la barra de búsqueda o contacta con nosotros en el cuadro de comentarios.
¡Nos vemos!

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre FortiAnalyzer

copia de seguridad manual mediante SFTP
Hola amig@s 👍, por si no me conocéis soy Mila Jiménez y hoy vamos a aprender sobre: ⬇️ copia de seguridad manual mediante SFTP Descripción Solución de problemas de copia de seguridad manual en un FortiManager/FortiAnalyzer. Alcance FortiManager, FortiAnalyzer. Solución Solución de problemas generales: Es importante asegurarse de que FortiManager/FortiAnalyzer no tenga errores en el Leer
cómo investigar la visibilidad de los registros después de la integración de EMS y FortiClient en FortiAnalyzer
Buenas 🙌, me llamo César Sánchez y vengo a ayudaros con: 🔽 cómo investigar la visibilidad de los registros después de la integración de EMS y FortiClient en FortiAnalyzer Descripción Este artículo describe cómo investigar la visibilidad de registros después de la integración de EMS y FortiClient en FortiAnalyzer. Solución 1 Verifique la compatibilidad del Leer
Sugerencia para la solución de problemas: «FortiAnalyzer Registros en cola debido a un número de serie FAZ_VM incorrecto en FGT (FAZ-VM0000000001)»
Buenas 👍, para los que nos os acordéis de mí soy Mila Jiménez y hoy os vengo a contar: ⏬ Sugerencia para la solución de problemas: «FortiAnalyzer Registros en cola debido a un número de serie FAZ_VM incorrecto en FGT (FAZ-VM0000000001)» Para resolver el problema, hay dos soluciones propuestas:una. Primera solución: Deshabilite la verificación de Leer
Sugerencia para la solución de problemas: se pierden los registros históricos en FortiAnalyzer
Hola amig@s 👍, por si no me conocéis soy César Sánchez y hoy nos toca tratar con: ⤵️ Sugerencia para la solución de problemas: se pierden los registros históricos en FortiAnalyzer Descripción Este artículo describe cómo resolver la pérdida de registros históricos en Fortianalyzer debido al límite de cuota de ADOM. Alcance FortiAnalyzer Investigación: Leer
informe de calificación de seguridad e informe de cumplimiento de PCI-DSS
Bienvenidos 👏, para los que nos os acordéis de mí soy César Sánchez y hoy nos toca tratar con: ⤵️ informe de calificación de seguridad e informe de cumplimiento de PCI-DSS Sin embargo, se agregan conjuntos de datos y gráficos predefinidos en FortiAnalyzer versión 7.2.0 GA en adelante. Es posible crear un informe personalizado con Leer