FortiOS 6.2.4 6.2.5で動作確認ずみ。

FortiGateからSYSLOGでログを飛ばす際にWebfilter(URLフィルタ)のログだけ出したいような場合のフィルターの書き方を見つけたのでメモ。

以下の例は2番目のsyslogサーバ(syslogd2)のでwebfilterだけを飛ばす場合。

set forward-traffic enable(デフォルトでenable)のままでもトラフィックログは飛んでこなかった。

ちなみにlogidでフィルタしてもいいのだけど、webfilterだけでいいとかの場合は、↓のほうが楽な気がする。

一応blockもallowも飛んできました。

# show log syslogd2 filter 
config log syslogd2 filter
set filter “webfilter-level(information)”
end

その他filterで使えるもの

Please input the logid list or level (or both) as filters.

[logid(…)] [traffic-level(…)] [event-level(…)] [virus-level(…)] [webfilter-level(…)] [ips-level(…)] [emailfilter-level(…)] [anomaly-level(…)] [voip-level(…)] [dlp-level(…)] [app-ctrl-level(…)] [waf-level(…)] [dns-level(…)] [ssh-level(…)] [ssl-level(…)] [cifs-level(…)] [file-filter-level(…)]

See the following 2 examples.

example 1

set filter “logid(40704,32042)”

example 2

set filter “event-level(information)”

The available levels are as the following:

emergency,alert,critical,error,warning,notice,information,debug

昔は、webfilterとかipsとかの単位でかんたんにenable/disableできたような・・・。