elastalert을 설치하는 방법은 아래 글 참조
https://dirt-spoon.tistory.com/58
https://dirt-spoon.tistory.com/19
elastalert을 이용하여 알람 설정하는 방법은 아래 게시글 참조
https://dirt-spoon.tistory.com/61
fortigate login 시 알람 설정 룰
name: firewall_console_login
type: any
index: logstash-fortigate-event*
filter:
- query:
query_string:
query: logdesc:"Admin login successful" AND action:"login"
doc_type: _doc
alert:
- "slack"
slack:
# 슬랙 웹훅 주소
slack_webhook_url: "https://hooks.slack.com/services/----------------------------삭제-------"
# 슬랙 채널에 메시지 전달할 이름
slack_username_override: "ElastAlert-Bot"
# 슬랙 메시지를 보낼 채널
slack_channel_override: "#security_alert"
# 슬랙 메시지에 타이틀 지정
# 지정하지 않을 경우 rule의 절대 경로 명이 찍힘: /opt/elastalert/rules/firewall_login_success.yaml
slack_title: FIREWALL_LOGIN_SUCCESS
# 슬랙 메시지 색
slack_msg_color: "good"
alert_text: "FIREWALL_CONSOLE_LOGIN: 접속시간: {0} / 접속계정: {1} / 접속자IP: {2}"
alert_text_type: "alert_text_only"
alert_text_args: ["TIMESTAMP", "user", "srcip"] # 해당 field 명은 kibana에서 로그 확인
알람 수신 내역
'기술 노트 > fortigate' 카테고리의 다른 글
| syslog 전달 시 _gateway를 IP로 변경하는 방법 (0) | 2023.06.15 |
|---|---|
| 웹 페이지 접근 보호 (0) | 2023.05.23 |
| fortigate 6.2.X버전의 logstash 설정 (0) | 2023.04.04 |
| interface https http ssh 접속 허용 cli (0) | 2023.03.24 |
| interface status cli (0) | 2023.03.24 |