
Tere! Tere tulemast kursuse üheksandasse tundi. . edasi Oleme käsitlenud põhimehhanisme kasutajate juurdepääsu kontrollimiseks erinevatele ressurssidele. Nüüd on meil ees uus ülesanne - analüüsida kasutajate käitumist võrgus ja seadistada andmete vastuvõtt, mis aitab uurida erinevaid turvaintsidente. Seetõttu käsitleme selles õppetükis logimise ja aruandluse mehhanismi. Selleks vajame FortiAnalyzerit, mille juurutasime kursuse alguses. Vajalik teooria ja videoõpetus on saadaval jaotises.
FotiGate'is jagunevad logid kolme tüüpi: liikluslogid, sündmuste logid ja turvalogid. Need omakorda jagunevad alamtüüpideks.
Liikluslogid salvestavad teavet liiklusvoo kohta, näiteks päringuid ja vastuseid (kui neid on). See tüüp sisaldab alamtüüpe Edasi, Kohalik ja Nuhkimine.
Alamtüüp „Edasi” sisaldab teavet liikluse kohta, mille FortiGate tulemüüripoliitikate kohaselt vastu võttis või tagasi lükkas.
Alamtüüp „Kohalik” sisaldab teavet liikluse kohta otse FortiGate'i IP-aadressilt ja IP-aadressidelt, millelt haldust teostatakse. Näiteks ühendused FortiGate'i veebiliidesega.
Nuhkija alamtüüp sisaldab liikluse peegeldamise abil saadud liikluslogisid.
Sündmuste logid sisaldavad süsteemi- või administratiivseid sündmusi, näiteks parameetrite lisamist või muutmist, VPN-tunnelite loomist ja katkestamist, dünaamilise marsruutimise sündmusi jne. Kõik alatüübid on näidatud alloleval joonisel.
Ja kolmas tüüp on turvalogid. Need logid salvestavad sündmusi, mis on seotud viirusrünnakute, keelatud ressursside külastuste, keelatud rakenduste kasutamisega jne. Täielik loetelu on esitatud ka alloleval joonisel.

Logisid saab salvestada erinevatesse kohtadesse – nii FortiGate'is endas kui ka väljaspool seda. Logide salvestamist FortiGate'is peetakse lokaalseks logimiseks. Sõltuvalt seadmest endast saab logisid salvestada kas seadme välkmällu või kõvakettale. Reeglina on keskmise suurusega mudelitel kõvaketas. Kõvakettaga mudeleid on üsna lihtne eristada – neil on see otsas. Näiteks FortiGate 100E on ilma kõvakettata ja FortiGate 101E kõvakettaga.
Noorematel ja vanematel mudelitel pole tavaliselt kõvaketast. Sellisel juhul kasutatakse logide salvestamiseks välkmälu. Siiski tasub arvestada, et logide pidev salvestamine välkmällu võib vähendada selle efektiivsust ja kasutusiga. Seetõttu on logide salvestamine välkmällu vaikimisi keelatud. Soovitatav on see lubada ainult sündmuste logimiseks konkreetsete probleemide lahendamisel.
Logide intensiivse salvestamise korral, olenemata sellest, kas salvestatakse kõvakettale või välkmällu, väheneb seadme jõudlus.

Logide salvestamine kaugserveritesse on üsna tavaline. FortiGate saab logisid salvestada Syslog-serveritesse, FortiAnalyzerisse või FortiManagerisse. Logide salvestamiseks saate kasutada ka FortiCloudi pilveteenust.

Syslog on server võrguseadmete logide tsentraalseks salvestamiseks.
FortiCloud on tellimusel põhinev turvalisuse haldus- ja logisalvestusteenus, mis võimaldab teil logisid eemalt salvestada ja aruandeid genereerida. Kui teil on üsna väike võrk, võib selle pilveteenuse kasutamine täiendava riistvara ostmise asemel olla hea lahendus. FortiCloudil on tasuta versioon, mis pakub iganädalast logisalvestust. Pärast tellimuse ostmist saab logisid säilitada aasta.
FortiAnalyzer ja FortiManager on välised logisalvestusseadmed. Kuna neil kõigil on sama operatsioonisüsteem – FortiOS – on FortiGate'i integreerimine nende seadmetega lihtne.
Kuid tasub märkida FortiAnalyzeri ja FortiManageri seadmete erinevusi. FortiManageri peamine eesmärk on mitme FortiGate'i seadme tsentraliseeritud haldamine - seetõttu on FortiManageris logide salvestamiseks mõeldud mälumaht oluliselt väiksem kui FortiAnalyzeris (kui muidugi võrrelda sama hinnaklassi mudeleid).
FortiAnalyzeri peamine eesmärk on logide kogumine ja analüüsimine. Seetõttu kaalume selle kasutamist praktikas.
Kogu teooria ja praktiline osa on esitatud selles videoloengus:
Järgmises õppetükis käsitleme FortiGate seadme haldamisega seotud peamisi punkte. Selle maha magamiseks jälgige värskendusi järgmistel kanalitel:
Allikas: www.habr.com
