Para obtener los logs de VPN en Fortinet no es tarea fácil, a fin de implementar un control de sesiones para RRHH, debía generar un reporte SIN el FortiAnalyzer 😔
Me interesa saber desde que se establece el tunel hasta que finaliza de un cierto usuario especifico
Después de varios intentos ya que la documentación de Fortinet es muy escueta para CLI, logro descifrar:
Las sentencias del comando filter actuá como sentencias AND (se suman por cada ejecución)
- Selecciono los registros de event (donde se encuentra la actividad de VPN), de no hacerlo nos devuelve por default los correspondiente a traffic
- exec log filter category 1
- Agrego las condiciones para filtrar el log
- exec log filter field subtype "vpn" exact
- exec log filter field user "usuario" exact
- exec log filter field msg "SSL tunnel shutdown" or msg "SSL tunnel established"
- Ver resultados
- exec log display
- Para ver el filtro actual que tenemos aplicado
- exec log filter dump
Para reset del filtro (dos opciones)
- corto la sesión (brusco pero efectivo) ya que se mantiene únicamente durante la sesión
- exec log filter reset
Para exportarlo a un archivo (CSV) ... dede CLI no lo halle, por lo que toca exportarlo directamente desde el output de pantalla 😔
Luego en la parte II desarrollo un script para hacerlo human read la salida del log
0 comments:
Publicar un comentario