Bienvenue à la deuxième leçon du cours . Aujourd'hui, nous allons parler du mécanisme des domaines administratifs sur , nous discuterons également du processus de traitement des journaux - comprendre les principes de fonctionnement de ces mécanismes est nécessaire pour les réglages initiaux . Et après cela, nous discuterons de la mise en page que nous utiliserons pendant le cours, ainsi que réaliserons la configuration initiale. . La partie théorique, ainsi que l'enregistrement complet de la leçon vidéo, se trouvent sous le montage.
Tout d’abord, parlons à nouveau des domaines administratifs. Il y a quelques choses que vous devez savoir à leur sujet avant de commencer à les utiliser :
- La possibilité de créer des domaines administratifs est activée et désactivée de manière centralisée.
- Un domaine administratif distinct est requis pour enregistrer tout appareil autre que FortiGate. Autrement dit, si vous souhaitez enregistrer plusieurs appareils FortiMail sur un appareil, vous avez besoin d'un domaine administratif distinct pour le faire. Mais cela n'annule pas le fait que pour faciliter le regroupement des appareils FortiGate, vous pouvez créer différents domaines administratifs.
- Le nombre maximum de domaines administratifs pris en charge dépend du modèle d'unité FortiAnalyzer.
- Lorsque vous activez la possibilité de créer des domaines administratifs, vous devez sélectionner leur mode de fonctionnement - Normal ou Avancé. En mode Normal, vous ne pouvez pas ajouter différents domaines virtuels (ou autrement VDOM) du même FortiGate à différents domaines administratifs du périphérique FortiAnalyzer. Ceci est possible en mode avancé. Le mode avancé vous permet de traiter les données de divers domaines virtuels et de recevoir des rapports distincts sur ceux-ci. Si vous avez oublié ce que sont les domaines virtuels, jetez un œil , il y est décrit de manière assez détaillée.
Nous verrons la création de domaines administratifs et la répartition de la mémoire entre eux un peu plus tard dans le cadre de la partie pratique de la leçon.
Parlons maintenant du mécanisme d'enregistrement et de traitement des journaux arrivant sur FortiAnalyzer.
Les journaux reçus par FortiAnalyzer sont compressés et enregistrés dans un fichier journal. Lorsque ce fichier atteint une certaine taille, il est écrasé et archivé. Ces journaux sont appelés archivés. Ils sont considérés comme des journaux hors ligne car ils ne peuvent pas être analysés en temps réel. Ils sont disponibles pour visualisation uniquement au format brut. La politique de stockage des données dans le domaine administratif détermine la durée pendant laquelle ces journaux seront stockés dans la mémoire de l'appareil.
Parallèlement, les logs sont indexés dans la base de données SQL. Ces journaux sont utilisés pour l'analyse des données à l'aide des mécanismes Log View, FortiView et Reports. La politique de stockage des données dans le domaine administratif détermine la durée pendant laquelle ces journaux seront stockés dans la mémoire de l'appareil. Une fois ces journaux supprimés de la mémoire de l'appareil, ils peuvent rester sous forme de journaux archivés, mais cela dépend de la politique de stockage des données dans le domaine administratif.
Pour comprendre les réglages initiaux, cette connaissance nous suffit amplement. Parlons maintenant de notre disposition :
Vous y voyez 6 appareils - FortiGate, FortiMail, FortiAnalyzer, un contrôleur de domaine, l'ordinateur d'un utilisateur externe et l'ordinateur d'un utilisateur interne. FortiGate et FortiMail sont nécessaires pour générer des journaux pour divers appareils Fortinet afin d'utiliser un exemple pour considérer les aspects du travail avec divers domaines administratifs. Des utilisateurs internes et externes, ainsi qu'un contrôleur de domaine sont nécessaires pour générer divers trafics. Windows est installé sur l'ordinateur de l'utilisateur interne et Kali Linux est installé sur l'ordinateur de l'utilisateur externe.
Dans cet exemple, FortiMail fonctionne en mode Serveur, ce qui signifie qu'il s'agit d'un serveur de messagerie distinct via lequel les utilisateurs internes et externes peuvent échanger des messages électroniques. Les paramètres nécessaires tels que les enregistrements MX sont configurés sur le contrôleur de domaine. Pour un utilisateur externe, le serveur DNS est le contrôleur de domaine interne – cela se fait à l'aide de la redirection de port (ou d'une autre technologie IP virtuelle) sur le FortiGate.
Ces paramètres ne sont pas abordés pendant la leçon car ils ne sont pas pertinents par rapport au sujet du cours. Le déploiement et la configuration initiale de l'unité FortiAnalyzer seront abordés. Les éléments restants de la configuration actuelle ont été préparés à l’avance.
La configuration système requise pour divers appareils est présentée ci-dessous. Pour moi, cette mise en page fonctionne sur une machine pré-préparée dans l'environnement virtuel VMWare Workstation. Les caractéristiques de cette machine sont également répertoriées ci-dessous.
Appareil
Go de RAM
Processeur virtuel
Disque dur, Go
Contrôleur de domaine
6
3
40
Utilisateur interne
4
2
32
Utilisateur externe
2
2
8
FortiGate
2
2
30
Analyseur Forti
8
4
80
FortiMail
2
4
50
Machine de mise en page
28
19
280
La configuration système requise répertoriée dans ce tableau est minimale ; dans des scénarios réels, davantage de ressources seront généralement nécessaires. Des informations supplémentaires sur la configuration système requise peuvent être trouvées sur .
Le didacticiel vidéo présente le matériel théorique discuté ci-dessus, ainsi que la partie pratique - avec la configuration initiale de l'appareil FortiAnalyzer. Bon visionnage !
Dans la prochaine leçon, nous examinerons en détail les aspects du travail avec les journaux. Pour ne pas le manquer, abonnez-vous à notre .
Vous pouvez également suivre les mises à jour sur les ressources suivantes :
Source: habr.com