En este artículo abordaremos un problema común que enfrentan los usuarios de FortiGate: la ausencia de registros de tráfico local en los logs de memoria. Este tema es crucial ya que impacta en la capacidad de supervisión y análisis de tráfico en tiempo real. A continuación, explicaremos las razones detrás de este problema y proporcionaremos una solución paso a paso para habilitar los registros de tráfico local.
Índice
Descripción del problema
Por defecto, FortiGate no registra el tráfico local en los logs de memoria. Sin embargo, la razón varía dependiendo de si la unidad tiene o no un disco.
Alcance
Este artículo se aplica a dispositivos FortiGate.
Diagnóstico paso a paso
Para determinar el estado de los registros, es fundamental comprender las configuraciones que afectan cómo se manejan y almacenan los logs en la memoria. Los dispositivos sin disco tienen configuraciones predeterminadas que filtran el tráfico local, mientras que aquellos con disco tienen el logging de memoria deshabilitado.
Solución recomendada
Para habilitar el registro de tráfico local en la memoria, es necesario asegurarse de que el logging de memoria esté activado y que el tráfico local no esté filtrado.
Comandos para dispositivos con disco
config log memory setting
set status disable <--- configuración predeterminada para unidades con disco.
end
Comandos para dispositivos sin disco
config log memory filter
set local-traffic disable <--- configuración predeterminada para unidades sin disco.
end
Para habilitar el registro de tráfico local, use el siguiente conjunto de comandos:
config log memory setting
set status enable
end
config log memory filter
set local-traffic enable
end
Comandos CLI utilizados
A continuación se detalla el propósito de cada comando utilizado:
config log memory setting: Accede a la configuración de logging de memoria.set status enable: Activa el registro de memoria en unidades que soportan esta funcionalidad.config log memory filter: Define los criterios de filtrado de logs en memoria.set local-traffic enable: Habilita el registro de tráfico local en la memoria.
Buenas prácticas y recomendaciones
Es recomendable revisar regularmente la configuración del logging, así como mantener actualizados los perfiles de seguridad y las políticas del firewall. Asegúrate de que los eventos que son críticos para la seguridad y el rendimiento estén adecuadamente configurados para ser registrados.
Notas adicionales
Recuerda que todos los eventos deben cumplir con el proceso de generación, envío y filtrado de logs para ser registrados correctamente. En caso de realizar cambios en la configuración, verifica que los registros de sesión de tráfico local ahora aparezcan en los logs de memoria.
Los registros de rendimiento son una excepción; aunque pueden ser enviados a la memoria y ubicaciones de registro remoto como FortiAnalyzer, nunca se almacenan en el disco de FortiGate.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!