Fortinet FortiSASE-Logs erfassen
In diesem Dokument wird beschrieben, wie Sie Fortinet FortiSASE-Logs exportieren, indem Sie den Bindplane-Agent einrichten.
Weitere Informationen finden Sie unter Datenaufnahme in Google SecOps – Übersicht.
Eine typische Bereitstellung besteht aus FortiSASE, das so konfiguriert ist, dass Logs an einen FortiAnalyzer hinter einem Secure Private Access-FortiGate-Hub weitergeleitet werden. Der FortiAnalyzer ist so konfiguriert, dass er Logs über Syslog an einen BindPlane-Agent weiterleitet. Der BindPlane-Agent leitet die Logs an Google SecOps weiter. Jede Kundenbereitstellung kann unterschiedlich sein und komplexer ausfallen.
Die Bereitstellung enthält die folgenden Komponenten:
FortiSASE: Die Plattform, von der Sie Logs erfassen.
FortiAnalyzer: Das Ziel für die Logaggregation zum Exportieren von FortiSASE-Logs.
Bindplane-Agent: Der Bindplane-Agent ruft Logs von Fortinet FortiSASE ab und sendet sie an Google SecOps.
Google SecOps: Die Logs werden beibehalten und analysiert.
Ein Erfassungslabel identifiziert den Parser, der Rohdaten in das strukturierte UDM-Format normalisiert.
Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Label FORTINET_FORTIANALYZER.
FortiSASE-Logexport für FortiAnalyzer konfigurieren
- Folgen Sie der Fortinet-Dokumentation zum Weiterleiten von Logs an einen externen Server, um FortiSASE so zu konfigurieren, dass Logs an FortiAnalyzer gesendet werden.
Syslog auf der FortiAnalyzer-Plattform konfigurieren
- Konfigurieren Sie FortiAnalyzer so, dass Logdaten an einen BindPlane-Agenten exportiert werden. Folgen Sie dazu der Dokumentation unter Fortinet FortiAnalyzer-Logs erfassen.
Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google SecOps-Support.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten