暗黙の拒否(暗黙のdeny)ポリシーで拒否したトラフィックのログを取得するための設定方法を記載します。
作業環境
- 型番:FortiGate 60E
- ファームウェアバージョン:v6.0.9
設定手順
GUI で設定する場合
[IPv4ポリシー] 画面にて、[暗黙の拒否] ポリシーをダブルクリックします。
[ポリシーの編集] 画面にて、[違反トラフィックをログ] のラジオボタンをクリックして有効化します。その後 [OK] をクリックして確定します。
[IPv4ポリシー] 画面にて、[暗黙の拒否] ポリシーの [ログ] 欄の表記が [有効化済み] となっていることを確認します。
以上で設定は完了です。
CLI で設定する場合
暗黙の拒否ポリシーのログ取得設定はコンフィグの config log setting で設定します。
設定コマンドは以下の通りです。
config log setting
set fwpolicy-implicit-log enable
end
- fwpolicy-implicit-log が enable ⇒ 暗黙の拒否ポリシーのログを取得する
- fwpolicy-implicit-log が disable ⇒ 暗黙の拒否ポリシーのログを取得しない
となります。
■ 設定後コンフィグの例
FGT # show log setting
config log setting
set fwpolicy-implicit-log enable
set local-in-allow enable
set local-in-deny-unicast enable
set local-in-deny-broadcast enable
set local-out enable
end
fwpolicy-implicit-log が enable となっていることを確認できたら設定完了です。
注意点
- ログ保存先の設定(Syslog サーバ設定など)は別途実施してください
- ネットワーク環境によっては暗黙の拒否ポリシーのログサイズが非常に大きくなりログ保存先の容量を圧迫する可能性があるため注意してください
―――――――――――――