はじめに
FortiGate はトラフィック・イベント・セキュリティと多様なログを記録しますが、既定の保存先や保存期間のままでは、再起動でログが消えたり、インシデント発生時に追跡に必要な記録が残っていなかったりすることがあります。ログを消えない形で残し、外部に集約しておくことは、運用監視だけでなく、侵害が疑われた際のフォレンジックの前提になります。
本記事では、FortiGate のログ管理を、ログ種別と保存先の違いから外部保存・監査ログ・フォレンジック運用までまとめます。設定全体の優先度は『FortiGate ハードニングの優先度と確認手順』で扱っています。
- FortiGate のログ種別と保存先(メモリ・ディスク・外部)の違い
- FortiAnalyzer・FortiGate Cloud・Syslog への外部保存と暗号化送信
- イベントログと監査証跡の有効化
- Security Rating を使ったログ・監査設定の確認
- フォレンジックに備えた保存期間の設計と記録すべきログ
ログ管理は、揮発しやすいメモリロギングに頼らず、外部のログ基盤へ暗号化して集約し、監査証跡を有効化したうえで、フォレンジックに必要な期間だけ保存する、という流れで整理できます。以降では各設定を順に扱います。
FortiGate のログ種別と保存先
FortiGate のログは、通信の許可・拒否を記録するトラフィックログ、システムや管理操作を記録するイベントログ、脅威検知を記録するセキュリティログに大別されます。これらをどこに保存するかで、保存期間や可用性が変わります。
メモリ・ディスクと外部保存の違い
保存先は大きく 3 つに分かれます。
メモリ: 書き込みが速い一方、揮発性で再起動するとログが消えます。容量も限られ、古いログから上書きされます。一時的な確認には向きますが、長期保存やフォレンジックには適しません。
ディスク: 再起動をまたいで保持できますが、ディスクロギングに対応しない機種や、フラッシュ保護のため既定で無効の機種があります。利用可否は show で確認します。
外部保存(FortiAnalyzer・FortiGate Cloud・Syslog): ログを機器の外へ集約するため、機器の故障や侵害でログを失うリスクを下げられます。長期保存・横断検索・フォレンジックの基盤になります。
侵害時に管理画面のログが消去・改ざんされる可能性を考えると、フォレンジックを見据えるなら外部保存を基本と位置づけることをおすすめします。

ログの外部保存(FortiAnalyzer・FortiGate Cloud・Syslog)
外部のログ基盤へ送信することで、ログを長期に保持し、複数台の FortiGate を横断して分析できます。送信経路の保護のため、暗号化と信頼性のある転送を組み合わせます。
FortiAnalyzer への暗号化送信
FortiAnalyzer へ送信する基本設定は次のとおりです。enc-algorithm で SSL 暗号化を有効にし、reliable で信頼性のある転送(TCP ベースの OFTP)を使います。
config log fortianalyzer setting
set status enable
set server <faz-ip>
set enc-algorithm high
set reliable enable
set upload-option realtime
endenc-algorithmはhigh-medium・high・low・disableから選べます。暗号化を有効にすると、ログ送信経路の盗聴リスクを下げられます。reliableを有効にすると、既定の UDP ではなく信頼性のある転送になり、転送中のログ欠落を抑えられます。upload-optionは、ディスクに蓄積してからアップロードするstore-and-uploadと、リアルタイム送信のrealtimeなどから選べます。
送信するログの範囲は config log fortianalyzer filter で重大度(severity)や種別を指定できます。GUI では「ログとレポート」>「ログ設定」で FortiAnalyzer・FortiGate Cloud の送信先と暗号化を設定できます。
確認: show full-configuration log fortianalyzer setting
参考: Fortinet「config log fortianalyzer setting」
“Enable/disable sending FortiAnalyzer log data with SSL encryption”
(FortiAnalyzer へのログ送信を SSL 暗号化する設定)
https://docs.fortinet.com/document/fortigate/7.6.5/cli-reference/269170403/config-log-fortianalyzer-setting
FortiAnalyzer を持たない環境では、FortiGate Cloud(FortiGate クラウドログ)や Syslog サーバーへの送信も選べます。
config log fortiguard setting
set status enable
endSyslog へ送信する場合は、信頼性のある転送を指定し、必要に応じて TLS を使います。Syslog サーバーは最大 4 つ(syslogd・syslogd2・syslogd3・syslogd4)まで設定できます。
config log syslogd setting
set status enable
set server <syslog-ip>
set mode reliable
set port 514
end確認: show full-configuration log syslogd setting
イベントログと監査ログの有効化
イベントログは、システムの動作や管理操作を記録するログで、設定変更や管理者のログイン・ログアウトといった監査証跡(誰が・いつ・何を変更したか)を含みます。侵害調査や変更管理の観点で重要なため、必要なカテゴリを有効化します。
イベントログのカテゴリは config log eventfilter で制御します。ログを受け取りたいカテゴリを有効にします。
config log eventfilter
set event enable
set system enable
set user enable
set vpn enable
set router enable
set ha enable
set security-rating enable
endsystem には管理操作や設定変更などの監査証跡が含まれます。カテゴリは FortiOS のバージョンで増減するため、利用環境で選べる項目を確認します。複数 VDOM を使っている場合は、VDOM ごとに同じ設定を行います。GUI では「ログとレポート」>「ログ設定」のイベントログで、記録するカテゴリを選べます。
監査証跡は、メモリやディスクに残しただけでは、侵害時に消去・改ざんされる可能性があります。前述の外部保存(FortiAnalyzer・FortiGate Cloud・Syslog)と組み合わせ、監査証跡を機器の外にも残すことをおすすめします。
確認: show full-configuration log eventfilter
参照: イベントログのカテゴリは FortiOS CLI Reference の config log eventfilter を確認しています。
https://docs.fortinet.com/document/fortigate/7.4.1/cli-reference/432620/config-log-eventfilter
Security Rating によるログ・監査設定の確認
設定の抜け漏れ確認には、Security Rating が活用できます。FOS 6.2.0 以降で利用でき、セキュリティ態勢を複数の観点で点検します。ログや管理まわりの設定も点検対象に含まれるため、本記事で扱った設定が反映されているかの確認に使えます。
Security Rating の結果は、イベントログにも記録できます。security-rating を有効にすると、ルートの FortiGate にレーティング結果を要約したイベントログ(監査スコアや、重大度別の合否件数)が作成され、点検結果を時系列で追えます。
config log eventfilter
set security-rating enable
end結果は A〜F のランクとスコアで示され、スコアは B 以上を目安にすると到達度を把握しやすくなります。レポートは FSBP・PCI・CIS に沿った形で取得できます。標準機能と有償ライセンスで点検項目数が異なり、項目は更新されるため、利用環境での項目数は GUI 上で確認します。Security Rating を使った設定全体の自己監査の進め方は、『FortiGate ハードニングの優先度と確認手順』で扱っています。本記事はログ・監査設定の確認に絞っています。
確認: 「セキュリティファブリック」>「セキュリティレーティング」で結果のランク・スコアと、項目別の合否を確認します。
参考: Fortinet「Logging the security rating」
“event logs are created on the root FortiGate that summarize the results”
(ルートの FortiGate にレーティング結果を要約したイベントログが作成される)
https://docs.fortinet.com/document/fortigate/7.6.3/administration-guide/34361/logging-the-security-rating

フォレンジックに備えるログ運用
ログを残す目的の 1 つは、侵害が疑われた際に「いつ・どこから・何が起きたか」を追跡できる状態を保つことです。設定を入れただけで終わらせず、フォレンジックに耐える運用へつなげます。
保存期間と記録範囲の設計
保存期間は、社内規程や業界の要件に応じて設計します。短すぎると侵害の発覚時にさかのぼれず、長すぎると保管コストや個人情報の取り扱いの負担が増えます。要件に合わせて、トラフィックログ・イベントログ・セキュリティログそれぞれの保存期間を決め、外部のログ基盤側で世代管理します。記録範囲は、監査証跡(イベントログ)と、通信の許可・拒否(トラフィックログ)を基本に、検知が必要なセキュリティログを加えます。
時刻同期によるログの正確性
複数機器のログを突き合わせるフォレンジックでは、各機器の時刻がずれていると事象の前後関係を誤ります。NTP による時刻同期を整えておくことで、ログのタイムスタンプの一貫性を保てます。時刻同期の設定は関連記事『FortiGate 暗号化と物理アクセスの堅牢化』の NTP セクションで扱います。
インシデント発生時のログの保全
侵害が疑われる場合、まず既存のログを保全します。機器の初期化(出荷時リセット)はログや設定を失わせるため、調査が終わるまでは避けることをおすすめします。 外部のログ基盤に集約していれば、機器側のログが消去・改ざんされても、外部側に記録が残ります。脆弱性に起因する事象かどうかの確認は、関連記事『FortiGate PSIRT の確認手順』で扱う公開情報とあわせて進めます。
参考: Fortinet「Configuring log settings」
“Sending logs to FortiGate Cloud improves the local log capabilities of the FortiGate”
(FortiGate Cloud へのログ送信は、FortiGate のローカルログ機能を補強する)
https://docs.fortinet.com/document/fortigate/7.0.0/ngfw-deployment/260503/configuring-log-settings
まとめ
FortiGate のログ管理は、揮発しやすいメモリロギングに頼らず、外部のログ基盤へ暗号化して集約し、監査証跡を残したうえで、フォレンジックに耐える保存期間と記録範囲を設計する作業です。時刻同期を整え、侵害時にはログを保全することで、追跡可能な状態を保てます。設定後は Security Rating でログ・監査まわりの抜け漏れを確認します。
- 揮発するメモリロギングに頼らない外部保存の基本化
- FortiAnalyzer・FortiGate Cloud・Syslog への暗号化送信
- イベントログによる設定変更・管理操作の監査証跡の確保
- Security Rating でのログ・監査設定の確認
- フォレンジックを見据えた保存期間と記録範囲の設計
- 時刻同期によるログの時系列の正確性の担保
- 侵害時の初期化を避けたログの保全
以上、最後までお読みいただきありがとうございました。
