オレオレFortiAnalyzerその3

のさらに続きです。

FortiOS を 4 から 5 にあげたらログのフォーマットというかカラム名(?)が変わったので fluentd plugin もそれに合わせて変更しました。

ついでに GitHub に上げました。
https://github.com/yteraoka/fluent-plugin-fortigate-log-parser

gem にする予定はないので td-agent だったら /etc/td-agent/plugin/ にコピーして使ってください。

FortiOS 4 で使う場合は

fortios_version 4

を指定してください。GeoIP (World Map) を使わないなら関係ないですけど。

country_map_file オプションを使う場合は http://dev.maxmind.com/geoip/legacy/geolite/ から GeoIPCountryCSV.zip をダウンロードして

$ ruby mkCountryMap.rb GeoIPCountryWhois.csv > country.map

で Japan => JP, United States => US などの変換(フィールドの追加)ができるので Kibana で World Map を使って地図表示できます。

FortiOS 5 からは Web インターフェースからは syslog 設定ができなくなったみたいですね。
そして、CSV 出力時の time のフォーマットがバグってる問題も修正されてませんでした。将来的に syslog 出力なくなったら悲しいな。

Kibana 便利ですよ、誰か FortiAnalyzer と比べてみてください。
# FortiAnalyzer 使ったことないから比べられない…

コメント