Fortinet製品サポートトップ > Fortinet製品FAQ(よくあるご質問)トップ > 管理 / 運用
FortiGate FAQ - 管理 / 運用
ID
:
FG-75-0060
公開日
:
2019/05/27
更新日
:
2024/06/17
OS Ver
:
6.2, 6.4, 7.0, 7.2, 7.4
AntiVirusやIPSの検知結果は、Syslogの他、SNMP TrapやEmailで通知することができます。
・SNMP Trap 通知
SNMP Trapでは、AntiVirusとIPSの検知結果はそれぞれ以下のOIDで通知されます。
尚、SNMP Trapで通知する場合、SNMP Trap のイベント設定でAntiVirus、IPSの攻撃検知イベントを有効(デフォルト)にしている必要があります。
CLIの場合は、show full-configuration system snmp community コマンドを実行し、下図赤字部分の通り、Trapを送信する対象のコミュニティ設定の set events 項で ips-signature と av-virus が表示されている必要があります。
GUIの場合は、左メニューの System 配下の SNMP のページを表示し、対象のコミュニティを Edit ボタンで表示します。ここで表示されるSNMP Events項で、IPS detected an attack 及び AV detected virus 項のチェックがそれぞれ入っている必要があります。
※ 項目名は、WebUIの表示言語設定によって異なります。本例の言語設定は English です。
・Email 通知
Email による通知では、SMTPサーバの設定と送信するイベントを設定します。
先ず、左メニューの System 配下の Settings ページ下部にある、Email Service 項に、SMTPサーバを登録します。
※ 項目名は、WebUIの表示言語設定によって異なります。本例の言語設定は English です。
続いて、CLIから送信するイベントを設定します。
config alertemail setting 項でusername, mailto1 に送信元メールアドレス、送信先メールアドレスを登録します。
また、IPS-logs と antivirus-logs を有効にし、IPSとAVの検知結果を送信する設定を行います。
通知されたメールは、スパムメール、フィッシングメール等に誤分類されないよう、メールサーバ側の設定も必要に応じて確認、設定ください。
・SNMP Trap 通知
SNMP Trapでは、AntiVirusとIPSの検知結果はそれぞれ以下のOIDで通知されます。
検知機能
SNMP Trap名
OID
AntiVirus
fgTrapAvVirus
1.3.6.1.4.1.12356.101.2.0.601
IPS
fgTrapIpsSignature
1.3.6.1.4.1.12356.101.2.0.503
尚、SNMP Trapで通知する場合、SNMP Trap のイベント設定でAntiVirus、IPSの攻撃検知イベントを有効(デフォルト)にしている必要があります。
CLIの場合は、show full-configuration system snmp community コマンドを実行し、下図赤字部分の通り、Trapを送信する対象のコミュニティ設定の set events 項で ips-signature と av-virus が表示されている必要があります。
FGT60EXXXXXXXXXX # show full-configuration system snmp community
config system snmp community
edit 1
set name "public"
set status enable
config hosts
edit 1
set source-ip 0.0.0.0
set ip 192.168.1.182 255.255.255.255
set ha-direct disable
set host-type any
next
end
(中略)
set trap-v1-status enable
set trap-v1-lport 162
set trap-v1-rport 162
set trap-v2c-status enable
set trap-v2c-lport 162
set trap-v2c-rport 162
set events cpu-high (中略) ips-signature ips-anomaly av-virus av-oversize av-pattern (以下略)
next
end
GUIの場合は、左メニューの System 配下の SNMP のページを表示し、対象のコミュニティを Edit ボタンで表示します。ここで表示されるSNMP Events項で、IPS detected an attack 及び AV detected virus 項のチェックがそれぞれ入っている必要があります。
※ 項目名は、WebUIの表示言語設定によって異なります。本例の言語設定は English です。
・Email 通知
Email による通知では、SMTPサーバの設定と送信するイベントを設定します。
先ず、左メニューの System 配下の Settings ページ下部にある、Email Service 項に、SMTPサーバを登録します。
※ 項目名は、WebUIの表示言語設定によって異なります。本例の言語設定は English です。
続いて、CLIから送信するイベントを設定します。
config alertemail setting 項でusername, mailto1 に送信元メールアドレス、送信先メールアドレスを登録します。
また、IPS-logs と antivirus-logs を有効にし、IPSとAVの検知結果を送信する設定を行います。
FGT60EXXXXXXXXXX # config alertemail setting
set username "送信元メールアドレス"
set mailto1 "送信先メールアドレス"
set IPS-logs enable
set antivirus-logs enable
end
通知されたメールは、スパムメール、フィッシングメール等に誤分類されないよう、メールサーバ側の設定も必要に応じて確認、設定ください。