Descripción
Este artículo está destinado a guiar a los administradores en la resolución de problemas de conectividad entre FortiGate y sus servidores FortiAnalyzer y/o Syslog.
Esto incluirá sugerencias para capturas de paquetes, comandos de depuración y otros consejos iniciales para la resolución de problemas.
Tenga en cuenta que esto no pretende ser una guía exhaustiva de solución de problemas, ya que está escrita con el fin de investigar problemas de conectividad desde la perspectiva de FortiGate.
Si se requiere una resolución de problemas más profunda, se recomienda crear un ticket con FortiGate TAC o FortiAnalyzer TAC, según la naturaleza específica de la consulta/problema.
Alcance
FortiGate, FortiAnalyzer (limitado).
Tabla de contenido
1) Comandos de solución de problemas de uso frecuente
2) Pasos generales para la resolución de problemas
3) Pasos para la solución de problemas: FortiAnalyzer
4) Pasos para la resolución de problemas: Syslog
Comandos de solución de problemas de uso frecuente
# diagnose sniffer packet <interface OR any> ‘<filters>’ <verbosity> <packet count> <local vs. absolute time>
– Herramienta de captura de paquetes CLI disponible en FortiOS. Útil para verificar los aspectos básicos del flujo de paquetes, como IP/puertos de origen y destino, así como también qué interfaces de entrada/salida se utilizan en FortiGate.
– Una herramienta de captura de paquetes GUI también está disponible en Red -> Diagnóstico -> Captura de paquetes (Red -> Captura de paquetes en FortiOS 7.0 y anteriores).
# diagnose test application miglogd <#>
# diagnose test application miglogd 1 <—– Show global log setting.
# diagnose test application miglogd 2 <—– Show VDOM log setting.
– Depuraciones instantáneas que leen y generan información del miglod proceso (el comando se puede ejecutar sin argumentos numéricos para producir una lista de opciones permitidas).
– Los ejemplos anteriores mostrarán estados de conexión a FortiAnalyzer y Syslog, así como ciertos indicadores que corresponden a la configuración subyacente.
# diagnose debug application miglogd -1
# diagnose debug enable
– Salida de depuración en vivo del proceso miglogd a medida que ocurre.
Información diferente pero complementaria a los comandos instantáneos anteriores.
# execute log fortianalyzer test-connectivity
– Prueba la conectividad y genera información sobre varios aspectos de la conexión FortiAnalyzer.
Pasos generales para la solución de problemas
Esta sección analiza algunas sugerencias que son comunes para solucionar problemas de conexión desde FortiGate a servidores FortiAnalyzer y syslog.
Estas sugerencias ayudan a descartar los problemas más comunes que un administrador podría observar durante o después de la instalación.
El material de referencia relacionado con los siguientes pasos se incluirá en el Artículos relacionados sección, consulte a continuación para obtener más información/temas.
1) Ejecute capturas de paquetes para confirmar que FortiGate está enviando tráfico al servidor de registro.
– FortiAnalyzer recibe tráfico usando TCP/514 y UDP/514 (si de confianza no está habilitado), mientras que syslog escuchará en TCP/514 o UDP/514 dependiendo del modo siendo utilizado.
– Utilice la captura de paquetes para comprobar qué interfaz de salida está utilizando FortiGate, qué direcciones IP de origen y destino se están especificando y si hay o no alguna respuesta del servidor FortiAnalyzer/syslog remoto (por ejemplo, el protocolo de enlace de tres vías TCP).
– Con eso en mente, el siguiente es un comando de muestra para el rastreador de paquetes CLI:
# diag sniff pack any ‘host <log server IP address> and port 514’ 4 0 1
– El comando anterior captura el tráfico en cualquier interfaz que incluya tanto la dirección IP del servidor de registros como el puerto 514 (ya sea UDP o TCP). Captura en el nivel de detalle 4, incluye un conteo ilimitado de paquetes y especifica el formato de hora para que coincida con la zona horaria del administrador.
2) Compruebe la IP de origen que se está utilizando si FortiGate utiliza un túnel IPsec para llegar al servidor de registro.
– FortiGate utilizará la dirección IP de la interfaz de salida como fuente al iniciar el tráfico a un recurso externo (es decir, tráfico de origen propio).
– Muchos administradores optarán por no establecer una dirección IP de túnel (junto con la dirección de túnel remoto) en sus túneles IPsec, ya que no es estrictamente necesario para una configuración funcional.
– Sin embargo, esto significa que el túnel IPsec no tendrá una dirección IP fácilmente disponible para que FortiGate la use al generar su propio tráfico.
– Cuando esto ocurre, FortiGate seleccionará una dirección IP de la primera interfaz disponible en su lista indexada, generalmente una interfaz ‘mgmt’ o ‘wan’ cuya dirección IP no está permitida en la VPN o será eliminada por enrutamiento/ conflictos de política.
– Esto se puede resolver a) configurando un túnel y direcciones IP remotas en la interfaz del túnel IPsec en FortiGate(s) o b) usando el IP de origen opción disponible en la configuración del registro CLI:
# config log fortianalyzer setting
set source-ip <IP address on the FortiGate>
end
# config log syslogd setting
set source-ip <IP address on the FortiGate>
end
Pasos para la solución de problemas: FortiAnalyzer
Esta sección incluye sugerencias específicas para las conexiones de FortiAnalyzer.
1) Verifique que FortiGate esté autorizado por FortiAnalyzer.
– El FortiGate debe estar autorizado por el FortiAnalyzer antes de que pueda usarlo como una instalación de registro.
– Si la prueba de captura de paquetes anterior indica que hay conectividad de red en funcionamiento entre FortiGate y FortiAnalyzer, entonces uno podría usar los comandos en el Comandos de solución de problemas de uso frecuente sección para verificar si la autorización es el problema de FortiGate.
– Las siguientes capturas de pantalla muestran ejemplos de lo que puede mostrar un FortiGate desconectado y no autorizado:
La GUI web de FortiGate muestra No autorizado en Registro e informe -> Configuración de registro.
CLI de FortiGate que muestra la configuración habilitada pero desconectada para FortiAnalyzer.
La GUI web de FortiAnalyzer informa sobre un dispositivo no autorizado.
FortiAnalyzer Web GUI que demuestra cómo autorizar un FortiGate no autorizado
2) FortiGate y FortiAnalyzer-VM tienen conectividad de red en funcionamiento, pero la verificación del certificado falla debido a un número de serie de FortiAnalyzer incorrecto.
– De forma predeterminada, FortiGate realizará la verificación del certificado contra FortiAnalyzer cuando se configure por primera vez en la GUI. Este proceso implica verificar el certificado presentado del FortiAnalyzer, específicamente el número de serie que contiene.
– Sin embargo, es posible que los archivos de licencia anteriores en la máquina virtual FortiAnalyzers (2018 y anteriores) no incluyan el número de serie real de FortiAnalyzer-VM, lo que puede generar problemas de verificación.
– Consulte el siguiente artículo de Community KB para conocer los pasos sobre cómo se puede resolver esto: tittleonlyel certificado de FortiAnalyzer no refleja el número de serie correcto
Pasos para la resolución de problemas: Syslog
1) FortiGate ha confirmado la conectividad de red con el servidor Syslog, pero los registros no están en el formato correcto.
– FortiGate admite varios formatos con syslog, incluidos predeterminado, CSV, CEF, y RFC5424 (agregado en FortiOS 6.4.6, 7.0.0 y posteriores).
– Consulte con el vendedor/proveedor del servidor syslog de destino para ver qué formatos son compatibles, luego ajuste el formato en FortiGate usando la siguiente configuración de CLI:
# config log syslogd setting
set format <default | csv | cef | rfc5424>
end
2) FortiGate ha confirmado la conectividad de la red con el servidor Syslog utilizando un syslog confiable (basado en TCP), pero los múltiples registros recibidos en el servidor syslog no se separan correctamente en entradas individuales.
– Una explicación para este problema podría ser que el servidor syslog no admite entramado contado por octetosuna función especificada en RFC6587 sección 3.4.1.
– Como introducción, FortiGate enviará múltiples registros por paquete al servidor syslog cuando se usa syslog basado en TCP. En comparación, el syslog basado en UDP genera un mensaje de registro enviado por paquete.
– Para distinguir los registros individuales dentro de esa carga útil de TCP, FortiGate sigue RFC6587 y utiliza tramas de conteo de octetos para especificar cuánto dura cada entrada de registro para que el servidor syslog receptor pueda interpretar cada registro correctamente.
– Sin embargo, algunos servidores syslog (como rsyslog) pueden usar de manera predeterminada el ‘Encuadre no transparente’ tradicional, lo que da como resultado que estas entradas de registro se malinterpreten al recibirlas.
– La solución es modificar el servidor Syslog y habilitar el encuadre de conteo de octetos para que sea compatible con FortiGate en modo confiable.
Más información
Varias opciones de CLI
Una referencia CLI completa para ambos configuración de registro de configuración fortianalyzer y configuración de registro de configuración syslogd están vinculados a continuación en el Artículos relacionados pero esta sección discutirá algunas opciones notables en la configuración y lo que hacen:
certificate-verification (FortiAnalyzer) – ‘Habilitar/deshabilitar la verificación de identidad de FortiAnalyzer mediante el uso del certificado.’
– FortiAnalyzer presentará un certificado con su número de serie a FortiGate, en el que el administrador puede optar por confiar como método de autenticación.
– Al configurar FortiAnalyzer en la GUI, la verificación de certificados ya está habilitada de forma predeterminada a menos que ‘Permitir el acceso a la API REST de FortiGate’ está desactivado.
reliable (FortiAnalyzer) – ‘Habilitar/deshabilitar el registro confiable en FortiAnalyzer.’
– Deshabilitado de forma predeterminada, al habilitar esta opción, FortiGate usa TCP/514 para cargar registros en FortiAnalyzer, en lugar de UDP/514.
mode (Registro del sistema) – ‘Registro de syslog remoto a través de UDP/TCP confiable.’
– Las opciones incluyen uppheredado confiable (TCP y basado en el antiguo RFC3195), y fiable (TCP y basado en el nuevo RFC6587).
facility (Registro del sistema) – ‘Facilidad de syslog remoto.’
– La instalación Syslog se define dentro RFC5424 y se usa para determinar qué procesos en el cliente crearon el mensaje, y se pueden usar como una forma de filtrar qué mensajes se enviarán al servidor syslog remoto (el valor predeterminado es local7)
format (Registro del sistema) – ‘Formato de registro.’
– Se utiliza para establecer qué formato de Syslog utilizará FortiGate al enviar al servidor de syslog remoto.
– Como se mencionó anteriormente, las opciones incluyen predeterminado, csv, cef, y rfc5424.
source-ip (Ambas cosas) – ‘Dirección IPv4 o IPv6 de origen utilizada para comunicarse con FortiAnalyzer.’
– Esta configuración está presente en muchas de las configuraciones de ‘tráfico de origen propio’ de FortiGate, incluidos DNS, FortiGuard, SNMP, RADIUS, etc.
– Muy útil cuando se necesita una IP de origen específica para una comunicación exitosa a través de la red.
interface-select-method (Ambas cosas) – ‘Especifique cómo seleccionar la interfaz de salida para llegar al servidor.’
– De forma predeterminada, FortiGate sigue la tabla de enrutamiento para determinar la interfaz utilizada para llegar a FortiAnalyzer.
– Esta opción puede permitir que el administrador use reglas SD-WAN para controlar el enrutamiento al servidor de registro, o también puede configurar una interfaz manual estática (suponiendo que haya varias opciones válidas disponibles).
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!