FortiGateのAV/IPS定義ファイル更新

Fortigate
Published: 2014-05-02

メモ。

定義ファイルの更新を確認する方法

1.イベントログ

FortiGate® Log Message Referenceより。41000(成功)はよく見るけど、42000(失敗)は見たことがない。

Event-pattern Event-pattern logs are recorded whenever an administrator updates virus, IPS, and antispam databases from the FortiGuard network. 41000 41001

2.GUI

システム>設定>FortiGuardで確認する

3.CLI

diagnose autoupdate status で自動更新を行った時間とその結果が分かる。我が家のFortiGateはFortiGuardが切れているので、ResultがUnauthorizedになっている。

Virus Definitions

Version: 14.00000 Contract Expiry Date: Wed Feb 29 00:00:00 2012 Last Updated using manual update on Wed Aug 24 17:17:00 2011 Last Update Attempt: Fri May 2 01:55:13 2014 Result: Unauthorized

Attack Definitions

Version: 3.00295 Contract Expiry Date: Wed Feb 29 00:00:00 2012 Last Updated using manual update on Wed Jan 30 19:23:00 2013 Last Update Attempt: Fri May 2 01:55:13 2014 Result: Unauthorized

定義ファイルの更新を監視する方法

1.syslogログ監視

自動更新の結果がログに出力されるわけですから、syslogを利用してそのログを監視する。syslogサーバにそのままsyslogを送ってしまうと、イベントログだけでなくトラフィックログも流れてしまう。これを避けるために、監視サーバのsyslog設定をCLIから個別に設定し、不要なログをフィルタする。

2.SNMP監視

何かしらの原因により自動更新が止まってしまった場合、失敗のログすら出ない可能性がある。それに備えて、定義ファイルのバージョンそのものを監視する。1.3.6.1.4.1.12356.101.4.2配下に以下のOIDがあり、定義ファイルのバージョンがSTRINGで格納されている。

  • fgSysVersionAv
  • fgSysVersionIps

SNMPv2-SMI::enterprises.12356.101.4.2.1.0 = STRING: “14.00000(2011-08-24 17:17)” SNMPv2-SMI::enterprises.12356.101.4.2.2.0 = STRING: “3.00295(2013-01-30 19:23)”

デフォルトの設定だと、FortiGateは1日1回FortiGuardのサーバにアクセスし定義ファイルを更新する。そのため、1日1回下記のOIDにアクセスし、取得したあたいが前回値と同一であれば定義ファイルが更新できていないことになる。※定義ファイルが作られていないというケースもありうるが。。。