Technischer Leitfaden

FortiGate Log-Normalisierung

Rohe FortiGate-Logs reichen allein nicht aus. Ohne Normalisierung von Quelle, Ziel, Dienst, Benutzer, Geo-IP und Richtlinienkontext wird verlassliche Korrelation schwierig.

Was sollte normalisiert werden?

Quell- und Ziel-IP, Ports, Policy-ID, Benutzername, VPN-Typ, Aktion, Gerateidentitat und Ereignisklasse sollten auf Standardfelder abgebildet werden.

Warum es wichtig ist

Normalisierung erleichtert die Verknupfung derselben Sitzung uber mehrere Logtypen hinweg und reduziert Fehlalarme.

Case Study

30-Tage-FortiGate-Fallstudie

Gesamtzahl Ereignisse

4.0M+

Normalisierte Felder

120+

Alarmreduktion

%72

Uber 30 Tage FortiGate-Logs haben wir mehr als 4 Millionen Ereignisse normalisiert und das Alarmvolumen um 72% reduziert. Dadurch sank der manuelle Analyseaufwand und der Fokus auf echte Bedrohungen stieg.

FAQ

Was geht ohne Normalisierung verloren?

Konsistenz, Korrelationsqualitat und Geschwindigkeit gehen verloren. Wenn verschiedene Logtypen dasselbe Ereignis unterschiedlich beschreiben, verliert das Team die Ubersicht.

FortiGate Log-Normalisierung | Bivoxy