Análise de Logs Fortigate

Aqui está um guia completo para analisar logs no FortiGate, cobrindo os seis cenários mais comuns, tanto pela interface web (GUI) quanto pela linha de comando (CLI).

Tutorial para a Interface Web (GUI)

Esta é a forma mais amigável e visual de analisar os logs.

1. Acessar a Seção de Logs:

   • No menu principal, navegue até Log & Report.

   • Aqui, você verá várias opções. As mais importantes são Traffic, Security Events e System Events.

2. Analisando os Cenários:

   • Cenário 1: Tráfego Bloqueado por Política de Firewall

     • Vá para Log & Report > Traffic.

     • No campo "Filter", digite action="deny".

     • Analise as entradas para ver o Source IP, Destination IP, Service e o Policy ID que bloqueou o tráfego. Isso ajuda a identificar qual regra de firewall está causando o bloqueio.

   • Cenário 2: Tráfego Bloqueado por IPS/Antivírus

     • Vá para Log & Report > Security Events.

     • Filtre por action="blocked".

     • No painel à esquerda, selecione Intrusion Prevention ou Antivirus para ver os eventos correspondentes. O log mostrará detalhes da ameaça e o nome da assinatura que a identificou.

   • Cenário 3: Autenticação de Usuário (VPN/Proxy)

     • Vá para Log & Report > System Events.

     • No campo "Filter", digite subtype="vpn" ou subtype="user".

     • Procure por entradas que mostrem "user logged in" ou "authentication failed" para entender as sessões de usuário e possíveis tentativas de acesso negadas.

   • Cenário 4: Quedas de VPN IPsec (Tunel)

     • Vá para Log & Report > System Events.

     • No campo "Filter", digite subtype="vpn".

     • Procure por mensagens como "IPsec tunnel down", "SA expired" ou erros de negociação (phase 1 negotiation failed). Isso ajuda a entender a causa da desconexão.

   • Cenário 5: Erros de DNS ou Web Filtering

     • Vá para Log & Report > Security Events.

     • Selecione Web Filter no painel esquerdo.

     • Filtre por action="blocked" para ver quais sites ou categorias de sites foram impedidos de serem acessados.

     • Para DNS, você pode encontrar entradas em Security Events ou Traffic se houver um perfil de filtro de DNS configurado.

   • Cenário 6: Desligamento (Shutdown) do FortiGate

     • Vá para Log & Report > System Events.

     • No campo "Filter", digite subtype="system".

     • Procure por mensagens como "FortiGate had experienced a scheduled shutdown" ou "FortiGate had experienced an unexpected power off". Isso diferencia um desligamento planejado de uma queda de energia ou falha.

Tutorial para a Linha de Comando (CLI)

A CLI oferece um controle mais granular e é indispensável para automação e diagnósticos avançados.

1. Conectar-se à CLI:

   • Use um cliente SSH (como PuTTY) ou o console diretamente para se conectar ao FortiGate.

2. Comandos de Análise:

   • Cenário 1: Tráfego Bloqueado por Política de Firewall

     • Use o comando execute log filter para definir os filtros e depois execute log display.

     • Exemplo:

execute log filter category 2  <-- Categoria de tráfego (2)

execute log filter action deny  <-- Filtra por ação "negar"

execute log filter field srcip 192.168.1.50  <-- Opcional: filtra pelo IP de origem

execute log display

2. • • 
       

     • O resultado mostrará logs de sessões negadas.

   • Cenário 2: Tráfego Bloqueado por IPS/Antivírus

     • Use execute log filter com a categoria de eventos de segurança.

     • Exemplo:

execute log filter category 1 <-- Categoria de eventos de segurança (1)

execute log filter field subtype av  <-- Filtra por antivírus

execute log display

2. • • 
       

     • Para IPS, mude av para ips.

   • Cenário 3: Autenticação de Usuário (VPN/Proxy)

     • Use o filtro de categoria de eventos do sistema.

     • Exemplo:

execute log filter category 0  <-- Categoria de eventos do sistema (0)

execute log filter field subtype vpn  <-- Filtra por VPN

execute log filter field msg "user logged in"  <-- Opcional: filtra pela mensagem

execute log display

2. • • 
       

   • Cenário 4: Quedas de VPN IPsec (Tunel)

     • Siga o mesmo procedimento do Cenário 3, filtrando por VPN.

     • Exemplo:

execute log filter category 0

execute log filter field subtype vpn

execute log display

2. • • 
       

     • Procure por mensagens como negotiate fail, tunnel down ou auth fail.

   • Cenário 5: Erros de DNS ou Web Filtering

     • Para Web Filtering, use a categoria de segurança.

     • Exemplo:

execute log filter category 1

execute log filter field subtype webfilter

execute log display

2. • • 
       

     • Para DNS, use o subtipo dns na categoria de eventos de segurança.

   • Cenário 6: Desligamento (Shutdown) do FortiGate

     • Use a categoria de eventos do sistema.

     • Exemplo:

execute log filter category 0

execute log filter field subtype system

execute log display

2. • • 
       

     • Procure por mensagens que mencionam "power off" ou "shutdown".

Dica Extra: Após cada análise, limpe os filtros da CLI com execute log filter clear antes de iniciar uma nova busca. Para ver os últimos 1000 logs sem filtros, use o comando execute log filter view-lines 1000 seguido de execute log display.