系统事件日志触发器
系统事件日志触发器
简介
FortiGate 可以配置系统事件日志作为自动化的触发器(Trigger),在发生特定系统事件日志 ID 时触发。配置时可以选择多个系统事件日志 ID,还可以自定义日志字段筛选器。
重要
每个自动化工作流最多可以配置 16 个系统事件日志 ID 作为触发器(Trigger)。
系统事件日志触发器可以从“Security Fabric → 自动化 → 触发”页面进行配置。也可以在“日志和报告 → 系统事件 → 日志”页面上右键点击某个日志进行快速配置。
网络需求
用户想使用管理员名称为fgt-user1,且登录 IP 为 192.168.100.77 的管理员登录、登出日志作为触发器。
在 Security Fabric 中创建
进入 FortiGate 的“Security Fabric → 自动化 → 触发”页面,点击新建按钮。
在“其他条件”分类中选择“FortiOS 事件日志”。
在“事件”中选择“Admin login successful”(Log ID 32001)和“Admin logout successful”(Log ID 32003)两个日志类型。
在字段过滤器中,指定第一个日志字段
user的值为fgt-user1,指定第二个日志字段srcip的值为192.168.100.77,点击确认下发配置。重要
日志字段可以从相关日志文本中获取,根据需求进行配置。
date=2024-03-11 time=17:03:18 eventtime=1710147798720951460 tz="+0800" logid="0100032003" type="event" subtype="system" level="information" vd="root" logdesc="Admin logout successful" sn="1710147790" user="fgt-user1" ui="https(192.168.100.77)" method="https" srcip=192.168.100.77 dstip=10.10.12.1 action="logout" status="success" duration=8 state="Config-Changed" reason="exit" msg="Administrator fgt-user logged out from https(192.168.100.77)"
config system automation-trigger edit "admin_login_logout" set event-type event-log set logid 32002 32001 32003 config fields edit 1 set name "user" set value "fgt-user1" next edit 2 set name "srcip" set value "192.168.100.77" next end next end参考 Security Fabric → 自动化 → 工作流章节继续配置对应的 Action 和 Stitch。
在日志中快捷创建
重要
该功能在 7.4.0 及更新版本支持。
需求:用户在浏览 VPN 事件日志时,发现有Received ESP packet with unknown SPI.的错误日志,直接通过正在浏览的该日志创建自动化的触发器。
进入“日志 & 报表 → 系统事件 → 日志”页面,找到需要创建自动化触发器的日志,右键点击该日志,并选择“Create Automation Trigger”按钮。
在弹出的新建“自动化工作流触发器”窗口中,配置触发器的名称,可自定义字段过滤器,点击确认即可下发该触发器。
config system automation-trigger edit "ESP_unknown_SPI" set event-type event-log set logid 37131 next end参考 Security Fabric → 自动化 → 工作流章节继续配置对应的 Action 和 Stitch。