Collecter les journaux Fortinet FortiSASE

Ce document explique comment exporter les journaux Fortinet FortiSASE en configurant l'agent Bindplane.

Pour en savoir plus, consultez Présentation de l'ingestion de données dans Google SecOps.

Un déploiement type consiste en un FortiSASE configuré pour transférer les journaux vers un FortiAnalyzer derrière un hub FortiGate Secure Private Access. FortiAnalyzer est configuré pour transférer les journaux vers un agent Bindplane à l'aide de syslog. L'agent Bindplane transfère les journaux vers Google SecOps. Chaque déploiement client peut être différent et plus complexe.

Le déploiement contient les composants suivants :

• FortiSASE : plate-forme à partir de laquelle vous collectez les journaux.

• FortiAnalyzer : destination d'agrégation des journaux pour l'exportation des journaux FortiSASE.

• Agent Bindplane : l'agent Bindplane récupère les journaux de Fortinet FortiSASE et les envoie à Google SecOps.

• Google SecOps : conserve et analyse les journaux.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur portant le libellé FORTINET_FORTIANALYZER.

Configurer l'exportation des journaux FortiSASE vers FortiAnalyzer

• Suivez la documentation Fortinet sur le transfert de journaux vers un serveur externe pour configurer FortiSASE afin qu'il envoie les journaux à FortiAnalyzer.

Configurer syslog sur la plate-forme FortiAnalyzer

• Configurez FortiAnalyzer pour exporter les données de journaux vers un agent BindPlane en suivant la documentation Collecter les journaux Fortinet FortiAnalyzer.

Si vous rencontrez des problèmes lors de la création de flux, contactez l'assistance Google SecOps.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.