3. FortiAnalyzer Ag Tosú v6.4. Ag obair le logs

Fáilte go dtí an tríú ceacht den chúrsa FortiAnalyzer Ag Tosú. Ar ceacht deireanach Táimid tar éis úsáid a bhaint as an bréige atá riachtanach chun obair saotharlainne a dhéanamh. Sa cheacht seo féachfaimid ar na bunphrionsabail a bhaineann le hoibriú le logáil isteach Anailíseoir Forti, cuirimis aithne ar láimhseálaithe imeachtaí, agus smaoinímid freisin ar mheicníochtaí chun logaí a chosaint. Tá an chuid teoiriciúil, chomh maith le taifeadadh iomlán an cheachta físe, suite faoin gearrtha.

Chun logaí a bhailiú ó fheistí, ní mór iad a chlárú le FortiAnalyzer. Tá dhá rogha clárúcháin ann.

1. Is é an chéad rogha ná an rogha “seol logs chuig FortiAnalyzer” a ghníomhachtú ar an bhfeiste atá á chlárú agus a sheoladh IP a shonrú. Tar éis seo, seoltar iarratas chuig FortiAnalyzer chun an gléas seo a chlárú. Ní mór don riarthóir an t-iarratas faighte a dhearbhú nó a dhiúltú. Má tá Teicneolaíocht Fearainn Riaracháin cumasaithe, is féidir FortiGate a chur leis an bpríomh ADOM (ar a dtugtar fréamh, ar oibrigh muid leis sa cheacht deireanach) agus le ADOM féin-chruthaithe atá beartaithe le haghaidh feistí FortiGate.
2. Is é an dara rogha an Draoi Clárúcháin Gléas mar a thugtar air. Tarlaíonn clárú gléas ar an FortiAnalyzer féin. Chun clárú, teastaíonn faisnéis uait faoin bhfeiste atá á chlárú - sraithuimhir, seoladh IP, cineál gléis, agus leagan an chórais oibriúcháin. Má éiríonn le fíorú sonraí, cuirtear an gléas leis an liosta FortiAnalyzer. Má tá teicneolaíocht Fearainn Riaracháin cumasaithe, cláróidh an gléas go huathoibríoch leis an bhfearann ​​​​riaracháin cuí. Má tá roinnt fearainn riaracháin den chineál céanna cruthaithe agat, ní mór duit an gléas a chlárú ón bhfearann ​​​​riaracháin ar mian leat é a chur leis.

Gineann gach gléas cineálacha éagsúla logs. Taispeántar na príomhchineálacha logaí is féidir le feistí Fortinet a ghiniúint san fhigiúr thíos.

Labhair muid cheana féin faoi phróiseáil tosaigh na logaí sa cheacht seo caite, ach is dóigh liom gur fiú do chuimhne a athnuachan. Déantar logaí a fhaigheann FortiAnalyzer a chomhbhrú agus a shábháil i gcomhad loga. Nuair a shroicheann an comhad seo méid áirithe, déantar é a fhorscríobh agus a chartlannú. Tugtar logaí den sórt sin i gcartlann. Meastar gur logaí as líne iad toisc nach féidir iad a anailísiú i bhfíor-am. Is féidir iad a fheiceáil i bhformáid RAW amháin. Cinneann beartas coinneála sonraí an fhearainn riaracháin cé chomh fada agus a choimeádfar logaí den sórt sin i gcuimhne FortiAnalyzer.

Ag an am céanna, déantar na logaí a innéacsú i mbunachar sonraí SQL chun tacú le hanailísíocht. Déantar anailís ar na logaí seo in FortiAnalyzer i bhfíor-am ag baint úsáide as meicníochtaí Log View, FortiView agus Reports. Cinneann beartas coinneála sonraí an fhearainn riaracháin cé chomh fada agus a choimeádfar logaí den sórt sin i gcuimhne FortiAnalyzer. Tar éis na logaí seo a scriosadh ó chuimhne FortiAnalyzer, féadfaidh siad fanacht mar logaí cartlainne, ach braitheann sé seo ar bheartas coinneála sonraí an fhearainn riaracháin.

Léirítear próiseas na logaí a phróiseáil go scéimreach san fhigiúr thíos.

Nuair a thagann logaí ar an ngléas, déanann láimhseálaithe imeachtaí iad a sheiceáil. Ligeann siad duit imeachtaí suimiúla a rianú trí úsáid a bhaint as coinníollacha réamhchumraithe. Socraítear na coinníollacha de réir na bparaiméadar atá sna logaí formáid RAW. Tá sraith imeachtaí réamhshainithe ag an gcóras do gach fearann ​​riaracháin, ach más gá, is féidir leat do láimhseálaithe imeachtaí féin a chruthú. Is é an príomhbhuntáiste a bhaineann le láimhseálaithe imeachtaí ná nuair a tharlaíonn teagmhais spéisiúla, gur féidir leis an gcóras fógraí a sheoladh chuig freastalaithe ríomhphoist nó syslog, freisin trí SNMP. Ligeann sé seo duit freagairt go measartha tapa d'imeachtaí a tharlaíonn ar an líonra.

Anois, déanaimis labhairt faoi logaí a chosaint. Ós rud é go stórálann logaí faisnéis thábhachtach faoi cad atá ag tarlú ar an líonra, ní mór iad a chosaint ó chaillteanas féideartha mar thoradh ar theipeanna éagsúla, agus ó chomhréiteach seachtrach. Is é an chéad teicneolaíocht a chabhróidh le logs a chosaint i gcás teipeanna éagsúla ná RAID. Ligeann sé duit an spás ó na dioscaí atá ar fáil a roinnt i roinnt deighleoga loighciúla ionas nach gcailltear sonraí má theipeann ar dhiosca amháin nó níos mó (ag brath ar an gcineál RAID). Taispeántar na príomhchineálacha RAID is féidir a úsáid i FortiAnalyzer san fhigiúr thíos.

• Scaipeann RAID 0 faisnéis ar 2 dhiosca nó níos mó. Is é an príomh-sprioc luas agus feidhmíocht. Má theipeann ar dhiosca amháin nó níos mó, beidh an t-eagar diosca ar fad thíos leis;
• Dáileann RAID 1 cóipeanna faisnéise ar 2 dhiosca nó níos mó. Má theipeann ar dhiosca amháin, leanfaidh an t-eagar diosca ag feidhmiú mar is gnách;
• Dáileann RAID 5 faisnéis ar dhioscaí éagsúla, agus freisin i ngach “slabhra faisnéise” mar a thugtar air leithdháileann sé diosca amháin le haghaidh sonraí a aisghabháil. Má theipeann ar dhiosca amháin, leanfaidh an t-eagar diosca ag feidhmiú mar is gnách;
• Feidhmíonn RAID 6 ar an mbealach céanna, níl ach dhá dhiosca leithdháilte cheana féin le haghaidh sonraí a aisghabháil;
• Comhcheanglaíonn RAID 10 na roghanna RAID 0 agus RAID 1. Ag baint úsáide as seo, is féidir leat leanúint ar aghaidh ag obair le faisnéis má theipeann ar 2 dhiosca (ceann ó gach ruathar, ar shlí eile beidh sé dodhéanta faisnéis a léamh);
• Comhcheanglaíonn RAID 50 feidhmiúlacht RAID 0 agus RAID 5. Sa chás seo, leanfar le hobair chobhsaí le faisnéis, fiú má theipeann ar dhiosca amháin i ngach RAID 5;
• Comhcheanglaíonn RAID 60 feidhmiúlacht RAID 0 agus RAID 6. Sa chás seo, leanfaidh oibriú cobhsaí faisnéise, fiú má theipeann ar 6 dhiosca i ngach RAID 2.

Is é an chéad mheicníocht eile ná cúltacaí logála. Tá roinnt roghanna cúltaca ann - ón roghchlár Log View, áit ar féidir leat scagaire áirithe a úsáid chun na logaí riachtanacha a shábháil, nó Brabhsáil Logála, ónar féidir leat na comhaid logála taifeadta a íoslódáil. Is féidir freisin logaí a chúltaca chuig freastalaithe seachtracha ag baint úsáide as an gcomhéadan CLI.

Meicníocht eile a ligeann duit faisnéis thábhachtach atá i logaí a chosaint ná iomarcaíocht. Tá roinnt roghanna anseo freisin.

1. An chéad cheann, ina seolann feistí logaí chuig 2 FortiAnalyzers ag an am céanna - is é ceann acu an príomhcheann, is cúltaca cúltaca é an ceann eile.
2. Phléamar cheana féin an dara modh sa cheacht seo caite - oibríonn ceann amháin FortiAnalyzer i mód bailitheoir agus bailíonn logs ó fheistí éagsúla. De réir an sceidil, seoltar na logaí bailithe chuig FortiAnalyzer, a oibríonn i mód Anailíseoir. Má theipeann ar an dara ceann, beidh an bailitheoir in ann na logaí a sheoladh chuig FortiAnalyzer eile.
3. Agus is é an tríú rogha ná logaí a aistriú ó FortiAnalyzer chuig freastalaithe seachtracha, mar shampla go Syslog. Sa chás seo, tarlóidh aistriú logs i bhfíor-am.

Chun logaí a chosaint ó chomhréiteach, úsáidtear dhá phríomh-mheicníocht:

1. Criptiú an chainéil tarchurtha sonraí idir FortiAnalyzer agus feistí eile;
2. Cosain logaí ó mhodhnú trí sheic a chur leis.

Cuireann an físeán teagaisc an t-ábhar teoiriciúil a pléadh thuas i láthair, agus pléann sé freisin gnéithe praiticiúla a bhaineann le bheith ag obair le logs - iad a scagadh, iad a fheiceáil ar mhodhanna éagsúla, láimhseálaithe imeachtaí a bhunú. Bain sult as féachaint!

Sa chéad cheacht eile féachfaimid go mion ar ghnéithe den obair le tuairiscí. Chun é a sheachaint, liostáil dár cainéal Youtube.

Is féidir leat na nuashonruithe ar na hacmhainní seo a leanas a leanúint freisin:

Grúpa Vkontakte
Yandex Zen
Ár suíomh
Teileagram canal

Foinse: will.com