Stoïk MDR
      Revenir à l'accueil
      1. Centre d'aide
      2. Stoïk Protect
      3. Stoïk MDR

      Mise en place de la collecte des journaux Fortinet

      Guide d'intégration des logs FortiGate vers XDR

      Ce guide détaille les étapes requises pour configurer la redirection des logs FortiGate vers votre solution XDR via le protocole Syslog. Cette configuration est nécessaire pour que nos équipes puissent collecter ces journaux de manière sécurisée dans votre environnement.

      1. Prérequis pour l'intégration de votre pare-feu

      Pour garantir l'intégration optimale de votre pare-feu avec le serveur syslog, vous devez disposer des éléments suivants, qui vous seront fournis par nos équipes au sein d'une archive.

      Vous devriez y retrouver :

      • Un certificat client valide et sa clé privée (sous la forme d'un fichier au format "stoik-CLIENT.p12")
      • Le certificat d'une autorité racine (un fichier nommé "StoikCA.crt")
      • Le nom de domaine complet du serveur syslog (dans le fichier "README.txt")
      • Le numéro de port de communication du serveur syslog (dans le fichier "README.txt")

      Le fichier au format p12 est protégé par un mot de passe qui vous sera transmis par un canal alternatif.

      En fonction de votre contexte, notre équipe vous fournira également la liste des types d'événements à transmettre au serveur syslog. Cette liste sera nécessaire à l'étape 2.3 de cet article.

       

      Note importante: Si certains de ces éléments ne vous ont pas été communiqués ou si vous rencontrez des difficultés, veuillez contacter notre équipe technique qui vous accompagnera dans cette démarche.


      2. Configuration dans FortiGate

      2.1 Importation du certificat utilisateur

      1. Accédez à System > Certificates > Create/Import > Certificate > File
      2. Importez le certificat au format p12 fourni dans les prérequis et renseignez le mot de passe fourni par notre équipe
      3. Vérifiez que le certificat apparaît bien dans la liste des certificats

      2.2 Configuration du serveur Syslog

      Configurez les paramètres Syslog via l'interface CLI de FortiGate:

      1. Accédez à l'interface CLI (via console ou SSH)
      2. Exécutez les commandes suivantes en adaptant l'adresse IP du serveur:
       config log syslogd setting
          set status enable
          set server "x.x.x.x"    # Remplacez x.x.x.x par le nom d'hote du serveur syslog fourni
          set mode reliable
          set port yyyy           # Remplacez yyyy par le port du serveur syslog fourni
          set enc-algorithm high
          set certificate "zzzzz" # Remplacez zzzzz par le nom du certificat importé
      end

      2.3 Configuration des logs à envoyer

      Configurez les types de logs à envoyer au serveur Syslog sur la base de ceux indiqués dans les prérequis partagés par notre équipe technique. La commande exacte a utiliser vous sera communiquée.

      3. Vérification de la configuration

      Après avoir configuré votre FortiGate:

      1. Vérifiez l'état de la connexion Syslog avec la commande:
       diagnose test application syslogd 1
       2. Confirmez que les logs sont bien envoyés au serveur:
      diagnose debug application syslogd -1
      diagnose debug enable
      3. Après quelques secondes, arrêtez le debug:
      diagnose debug disable

      Une fois la configuration terminée, merci de nous l'indiquer pour la bonne activation de l'offre XDR.