コースの XNUMX 番目のレッスンへようこそ 。 上の 実験室での作業に必要なモックアップを展開しました。 このレッスンでは、ログを操作する基本原則を見ていきます。 、イベント ハンドラーについて学び、ログを保護するメカニズムについても検討してみましょう。 理論的な部分とビデオレッスンの完全な録画はカットの下にあります。
デバイスからログを収集するには、デバイスを FortiAnalyzer に登録する必要があります。 登録オプションは XNUMX つあります。
- 最初のオプションは、登録されているデバイスで「ログを FortiAnalyzer に送信」オプションを有効にし、その IP アドレスを指定することです。 この後、このデバイスを登録するリクエストが FortiAnalyzer に送信されます。 管理者は、受信したリクエストを確認または拒否する必要があります。 管理ドメイン テクノロジが有効な場合、FortiGate をメイン ADOM (ルートと呼ばれ、前回のレッスンで作業しました) と FortiGate デバイス用に自己作成された ADOM の両方に追加できます。
- XNUMX 番目のオプションは、いわゆるデバイス登録ウィザードです。 デバイスの登録は FortiAnalyzer 自体で行われます。 登録するには、登録するデバイスに関する情報 (シリアル番号、IP アドレス、デバイスの種類、オペレーティング システムのバージョン) が必要です。 データ検証が成功すると、デバイスが FortiAnalyzer リストに追加されます。 管理ドメイン テクノロジーが有効になっている場合、デバイスは適切な管理ドメインに自動的に登録されます。 同様の管理ドメインを複数作成している場合は、追加先の管理ドメインからデバイスを登録する必要があります。
各デバイスはさまざまな種類のログを生成します。 フォーティネット デバイスが生成できる主なタイプのログを次の図に示します。
ログの初期処理については前回のレッスンですでに説明しましたが、思い出していただく価値があると思います。 FortiAnalyzer が受信したログは圧縮され、ログ ファイルに保存されます。 このファイルは一定のサイズに達すると上書きされ、アーカイブされます。 このようなログはアーカイブ済みと呼ばれます。 これらはリアルタイムで分析できないため、オフライン ログとみなされます。 これらは RAW 形式でのみ表示できます。 管理ドメインのデータ保持ポリシーによって、そのようなログが FortiAnalyzer メモリに保持される期間が決まります。
同時に、分析をサポートするために、ログは SQL データベース内でインデックス付けされます。 これらのログは、ログ ビュー、FortiView、およびレポートのメカニズムを使用して、FortiAnalyzer でリアルタイムに分析されます。 管理ドメインのデータ保持ポリシーによって、そのようなログが FortiAnalyzer メモリに保持される期間が決まります。 これらのログは FortiAnalyzer メモリから削除された後、アーカイブ ログとして残る場合がありますが、これは管理ドメインのデータ保持ポリシーによって異なります。
ログを処理するプロセスを次の図に概略的に示します。
ログがデバイスに到着すると、イベント ハンドラーによってチェックされます。 事前設定された条件を使用して、関心のあるイベントを追跡できます。 条件はRAW形式のログに含まれるパラメータに設定されます。 システムには管理ドメインごとに事前定義されたイベントのセットがありますが、必要に応じて独自のイベント ハンドラーを作成できます。 イベント ハンドラーの主な利点は、対象のイベントが発生したときに、システムが SNMP 経由で電子メールまたは syslog サーバーに通知を送信できることです。 これにより、ネットワーク上で発生するイベントに非常に迅速に対応できます。
次に、ログの保護について説明します。 ログにはネットワーク上で何が起こっているかに関する重要な情報が保存されているため、さまざまな障害の結果として発生する可能性のある損失と、外部からの侵害の両方からログを保護する必要があります。 さまざまな障害が発生した場合にログを保護するのに役立つ最初のテクノロジーは RAID です。 これにより、使用可能なディスクのスペースを複数の論理セグメントに分割できるため、XNUMX つ以上のディスクに障害が発生しても (RAID タイプに応じて) データが失われずに済みます。 FortiAnalyzer で使用できる主な RAID タイプを次の図に示します。
- RAID 0 は、2 つ以上のディスクに情報を分散します。 主な目標はスピードとパフォーマンスです。 XNUMX つ以上のディスクに障害が発生すると、ディスク アレイ全体が影響を受けます。
- RAID 1 は、情報のコピーを 2 つ以上のディスクに分散します。 XNUMX つのディスクに障害が発生しても、ディスク アレイは通常どおり動作し続けます。
- RAID 5 は情報を複数のディスクに分散し、いわゆる「情報チェーン」ごとにリカバリ用のデータに XNUMX つのディスクを割り当てます。 XNUMX つのディスクに障害が発生しても、ディスク アレイは通常どおり動作し続けます。
- RAID 6 も同様に動作します。リカバリ データには XNUMX つのディスクだけがすでに割り当てられています。
- RAID 10 は RAID 0 と RAID 1 のオプションを組み合わせたもので、これを使用すると、2 つのディスクに障害が発生した場合でも情報の処理を続行できます (各 RAID から XNUMX つずつ、そうでない場合は情報を読み取ることができません)。
- RAID 50 は、RAID 0 と RAID 5 の機能を組み合わせたものです。この場合、各 RAID 5 の XNUMX つのディスクに障害が発生しても、情報の安定した作業が継続されます。
- RAID 60 は、RAID 0 と RAID 6 の機能を組み合わせたものです。この場合、各 RAID 6 の 2 台のディスクに障害が発生しても、情報の安定した運用が継続されます。
次のメカニズムはログのバックアップです。 バックアップ オプションはいくつかあります。[ログ ビュー] メニューでは特定のフィルターを使用して必要なログを保存でき、[ログ 参照] では記録されたログ ファイルをダウンロードできます。 CLI インターフェイスを使用して、ログを外部サーバーにバックアップすることもできます。
ログに含まれる重要な情報を保護できるもう XNUMX つのメカニズムは冗長性です。 ここにもいくつかのオプションがあります。
- 2 つ目は、デバイスが一度に XNUMX つの FortiAnalyzer にログを送信します。そのうちの XNUMX つはメイン、もう XNUMX つはバックアップです。
- XNUMX 番目の方法については、前回のレッスンですでに説明しました。XNUMX つの FortiAnalyzer はコレクター モードで動作し、さまざまなデバイスからログを収集します。 収集されたログはスケジュールに従って FortiAnalyzer に送信され、FortiAnalyzer はアナライザー モードで動作します。 XNUMX 番目のものが失敗した場合、コレクターはログを別の FortiAnalyzer に送信できます。
- XNUMX 番目のオプションは、FortiAnalyzer から外部サーバー (Syslog など) にログを転送することです。 この場合、ログの転送はリアルタイムで行われます。
ログを侵害から保護するために、次の XNUMX つの主要なメカニズムが使用されます。
- FortiAnalyzer と他のデバイス間のデータ伝送チャネルの暗号化。
- チェックサムを追加して、ログが変更されないように保護します。
ビデオ チュートリアルでは、上で説明した理論的な内容を示し、ログのフィルタリング、さまざまなモードでの表示、イベント ハンドラーの設定など、ログの操作に関する実践的な側面についても説明します。 見るのを楽しむ!
次のレッスンでは、レポートの操作方法について詳しく見ていきます。 見逃さないように、定期購読してください .
次のリソースの更新情報をフォローすることもできます。
出所: habr.com
