01 Juli 2026
Administratoraktivitäten zählen zu den wichtigsten Indicators of Compromise (IoCs) auf einem System. Dazu gehören insbesondere das Anlegen neuer Administratorkonten sowie das Ändern oder Löschen bestehender Administratoren.
FortiAnalyzer, als Log-Aggregator, hat die Information, ob es solche Aktivitäten gibt, und kann diverse Aktionen starten. Beispielsweise können Incidents erstellt, Playbooks ausgelöst, Benachrichtigungen per E-Mail versendet oder weitere Sicherheitsmaßnahmen angestoßen werden.
Um diese Kette zu starten, benötigen wir aber zuerst einen Event Handler und das, lieber Leser, werden wir uns in diesem Artikel anschauen.
Das Setup
- FortiGate 70G mit 7.6.7
- FortiAnalyzer mit 7.6.7
- FortiManager mit 7.6.7
- FortiClient EMS mit 7.4.7
Alle Geräte senden Logs an FortiAnalyzer.
Für das Einrichten von FortiAnalyzer Logging ist die offizielle Fortinet Dokumentation die beste Wahl:
FortiGate:
- Configuring FortiAnalyzer | FortiGate / FortiOS 8.0.0 | Fortinet Document Library
- Zusätzlich sollen REST API Events geloggt werden. Log REST API events 7.0.4 | FortiGate / FortiOS 7.0.0 | Fortinet Document Library
FortiManager:
FortiClient EMS (nicht für FortiClient):
Der Event Handler
Für eine leichte Konfiguration gibt es den Event Handler zum Download unter folgendem Link: Exclusive Networks Downloadlink für Konfigurationen. Nach dem Download kann der Event Handler über den Import Button im Event Handlers Menü von FortiAnalyzer importiert werden.
Exclusive Networks übernimmt keine Haftung für jegliche Probleme, die von zur Verfügung gestellten Konfigurationen verursacht werden.
Der Event Handler deckt im Moment, FortiGate, FortiManager, FortiAnalyzer und FortiClient EMS ab und für jedes System gibt es eine eigene Regel im Format „SYSTEM-ADMIN-ACTION“, z.B. „FGT-ADMIN-ACTION“.
Nach dem Import sollten Events erstellt werden, wenn folgende Aktionen auf einem System passieren und die Logs an FortiAnalyzer ankommen:
- FortiGate:
- Lokale, Remote, SSO-, und API-Administratoren werden erstellt, geändert oder gelöscht
- Neue Keys werden für API-Administratoren generiert
- Aktiviertes REST API Eventlogging wird hierfür benötigt
- FortiManager/FortiAnalyzer:
- Lokale, Remote, SSO-, und API-Administratoren werden erstellt, geändert oder gelöscht
- FortiClient EMS:
- Lokale, Remote, SSO-, und API-Administratoren werden erstellt, geändert oder gelöscht
- Das Logging für Administratorenevents ist bei EMS etwas komisch, da hier sehr viel in der Log ID 6 passiert, inklusive Logins (fehlerhaft und erfolgreich) und die relevanten Events für diesen Artikel. Wenn man sich so einen Administratorlog ansieht, bemerkt man auch, dass das Message Feld nicht vorhanden ist, was das Filtern schwierig macht. Es ist uns nicht bekannt, wofür diese Log-ID überall verwendet wird, aber Logins wurden mittels Regular Expressions ausgenommen.

Wenn nun relevante Logs ankommen, werden Events erstellt. Den Event Handler kann man natürlich abändern und Notification Profiles hinzufügen, um E-Mails zu versenden, oder man kann ihn in Playbooks als Trigger verwenden.
Der Event Handler erstellt keine Incidents.
Im Event werden im Additional Info Feld je nach System auch Informationen mitgegeben:
- FortiGate: Die komplette Message, also was geändert wurde und von welcher IP diese Änderung kommt
- FortiManager/FortiAnalyzer: Der Änderungspfad und von welcher IP diese Änderungen kommt
![]()
![]()
Session Close
Eine schnelle Thematik und ich hoffe, der Event Handler kann Ihnen, liebe Leser, in Zukunft helfen.
Wenn Sie Vorschläge für zukünftige Beträge haben, Konfigurationen sehen wollen, auch in Videoformat, oder Sie Feedback haben, bitte ich Sie, diese an techxperts_central@exclusive-networks.com zu schicken.
Neueste Blogs
Alle Blogs anzeigenAusgewählt
Blogs
FortiGate Software Switch Offloading
Ausgewählt
Blogs
FortiAnalyzer Admin Action Event Handler
Ausgewählt
Blogs
FortiClient EMS Let’s Encrypt Security
Ausgewählt
Blogs
FortiGate FortiLink VLAN Migration
Ausgewählt
Blogs
Fortinet Cybersecurity Skills Gap Report 2026
Ausgewählt
Blogs