メインコンテンツへスキップ
  1. Posts/

オレオレFortiAnalyzerその3

FortiGate elasticsearch fluentd kibana3

のさらに続きです。 FortiOS を 4 から 5 にあげたらログのフォーマットというかカラム名(?)が変わったので fluentd plugin もそれに合わせて変更しました。 ついでに GitHub に上げました。 https://github.com/yteraoka/fluent-plugin-fortigate-log-parser gem にする予定はないので td-agent だったら /etc/td-agent/plugin/ にコピーして使ってください。 FortiOS 4 で使う場合は

fortios_version 4

を指定してください。GeoIP (World Map) を使わないなら関係ないですけど。 country_map_file オプションを使う場合は http://dev.maxmind.com/geoip/legacy/geolite/ から GeoIPCountryCSV.zip をダウンロードして

$ ruby mkCountryMap.rb GeoIPCountryWhois.csv > country.map

で Japan => JP, United States => US などの変換(フィールドの追加)ができるので Kibana で World Map を使って地図表示できます。 FortiOS 5 からは Web インターフェースからは syslog 設定ができなくなったみたいですね。 そして、CSV 出力時の time のフォーマットがバグってる問題も修正されてませんでした。将来的に syslog 出力なくなったら悲しいな。 Kibana 便利ですよ、誰か FortiAnalyzer と比べてみてください。 # FortiAnalyzer 使ったことないから比べられない…