FortiOS 6.2.4 6.2.5で動作確認ずみ。
FortiGateからSYSLOGでログを飛ばす際にWebfilter(URLフィルタ)のログだけ出したいような場合のフィルターの書き方を見つけたのでメモ。
以下の例は2番目のsyslogサーバ(syslogd2)のでwebfilterだけを飛ばす場合。
set forward-traffic enable(デフォルトでenable)のままでもトラフィックログは飛んでこなかった。
ちなみにlogidでフィルタしてもいいのだけど、webfilterだけでいいとかの場合は、↓のほうが楽な気がする。
一応blockもallowも飛んできました。
# show log syslogd2 filter
config log syslogd2 filter
set filter “webfilter-level(information)”
end
その他filterで使えるもの
Please input the logid list or level (or both) as filters.
[logid(…)] [traffic-level(…)] [event-level(…)] [virus-level(…)] [webfilter-level(…)] [ips-level(…)] [emailfilter-level(…)] [anomaly-level(…)] [voip-level(…)] [dlp-level(…)] [app-ctrl-level(…)] [waf-level(…)] [dns-level(…)] [ssh-level(…)] [ssl-level(…)] [cifs-level(…)] [file-filter-level(…)]
See the following 2 examples.
example 1
set filter “logid(40704,32042)”
example 2
set filter “event-level(information)”
The available levels are as the following:
emergency,alert,critical,error,warning,notice,information,debug
昔は、webfilterとかipsとかの単位でかんたんにenable/disableできたような・・・。