Transferencia de logs desde FortiGate a FortiAnalyzer

Durante instalaciones o pilotos se nos puede dar el caso de necesitar transferir el histórico de logs de un Fortigate a un Fortianalyzer para su tratamiento (reporte de resultados, fortiview, instalación de un FAZ en el cliente etc…). Esta operativa es fácilmente aplicable disponiendo de un servidor FTP intermedio y el uso de alguna herramienta que extraiga los logs enviados desde el Fortigate en formato LZ4 a formato TXT procesable por FortiAnalyzer. O bien bajándonos los logs de forma directa desde la GUI del Fortigate en cuyo caso no estarán comprimidos en LZ4.

Los comandos básicos para esta operativa (utilizándose CLI) serían:

EXTRAER LOGS FORTIGATE:

# execute backup disk alllogs ftp <ip ftp server> <user ftp server> <passwd ftp server>

USO DE LA HERRAMIENTA DE EXTRACCIÓN DE LOGS:

Transformar los logs bajados del Fortigate con la herramienta de conversión LZ4 en formato TXT

Renombrar los logs en formato .TXT a .LOG (**importante**) 

La herramienta de conversión puede ser descargada de la siguiente nota técnica donde se explica el proceso al completo.

Dicha herramienta no tiene soporte oficial por parte de Fortinet con lo cual es provista “tal cual”.

IMPORTAR LOGS DESDE EL SERVIDOR FTP A FORTIANALYZER:

#execute log import ftp <ip ftp server> <user ftp server> <passwd ftp server> <Xlog_FGTSERIALNUMBER_vdom_fecha.log> <FGTSERIALNUMBER>