收集 Fortinet FortiSASE 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何通过设置 Bindplane 代理来导出 Fortinet FortiSASE 日志。
如需了解详情,请参阅 Google SecOps 数据提取概览。
典型部署包括配置为将日志转发到安全专用接入 FortiGate 集线器后面的 FortiAnalyzer 的 FortiSASE。FortiAnalyzer 已配置为使用 syslog 将日志转发到 Bindplane 代理。Bindplane 代理会将日志转发到 Google SecOps。每个客户部署都可能有所不同,并且可能更复杂。
部署包含以下组件:
FortiSASE:您从中收集日志的平台。
FortiAnalyzer:用于导出 FortiSASE 日志的日志汇总目标位置。
Bindplane 代理:Bindplane 代理从 Fortinet FortiSASE 中提取日志,并将日志发送到 Google SecOps。
Google SecOps:保留并分析日志。
注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于带有 FORTINET_FORTIANALYZER 标签的解析器。
将 FortiSASE 日志导出到 FortiAnalyzer
- 按照 Fortinet 文档中的将日志转发到外部服务器配置 FortiSASE,以将日志发送到 FortiAnalyzer。
在 FortiAnalyzer 平台上配置 syslog
- 按照收集 Fortinet FortiAnalyzer 日志文档中的说明,将 FortiAnalyzer 配置为将日志数据导出到 Bindplane 代理。
如果您在创建 Feed 时遇到问题,请与 Google SecOps 支持团队联系。
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。