プロホスト > ブログ > 行政 > 9. フォーティネット スタート ガイド v6.0。 ロギングとレポート作成

9. フォーティネット スタート ガイド v6.0。 ロギングとレポート作成

9. フォーティネット スタート ガイド v6.0。 ロギングとレポート作成

こんにちは! コースの XNUMX 番目のレッスンへようこそ フォーティネット入門。 上の 最後の授業 さまざまなリソースへのユーザー アクセスを制御するための基本メカニズムを検討しました。 ここで、別のタスクが必要になります。ネットワーク上のユーザーの行動を分析し、さまざまなセキュリティ インシデントの調査に役立つデータの受信を構成する必要もあります。 したがって、このレッスンでは、ログ記録とレポートのメカニズムを見ていきます。 このためには、コースの最初にデプロイした FortiAnalyzer が必要になります。 必要な理論とビデオレッスンは、カットの下で利用できます。

FotiGate では、ログはトラフィック ログ、イベント ログ、セキュリティ ログの XNUMX 種類に分類されます。 さらに、それらはサブタイプに分類されます。

トラフィック ログには、リクエストや応答などのトラフィック フロー情報が記録されます (存在する場合)。 このタイプには、Forward、Local、および Sniffer のサブタイプが含まれます。

Forward サブタイプには、FortiGate がファイアウォール ポリシーに基づいて受け入れまたは拒否したトラフィックに関する情報が含まれています。

Local サブタイプには、FortiGate IP アドレスからの直接のトラフィックと、管理が実行される IP アドレスからのトラフィックに関する情報が含まれます。 たとえば、FortiGate Web インターフェイスへの接続です。

スニッファー サブタイプには、トラフィック ミラーリングを使用して取得されたトラフィックのログが含まれています。

イベント ログには、パラメータの追加または変更、VPN トンネルの確立と切断、動的ルーティング イベントなどのシステム イベントまたは管理イベントが含まれます。 すべてのサブタイプを以下の図に示します。

XNUMX 番目のタイプはセキュリティ ログです。 これらのログには、ウイルス攻撃、禁止されたリソースへのアクセス、禁止されたアプリケーションの使用などに関連するイベントが記録されます。 完全なリストは下の図にも示されています。

9. フォーティネット スタート ガイド v6.0。 ロギングとレポート作成

ログは、FortiGate 自体とその外部の両方のさまざまな場所に保存できます。 FortiGate にログを保存することは、ローカル ログとみなされます。 デバイス自体に応じて、ログはデバイスのフラッシュ メモリまたはハード ドライブに保存できます。 原則として、中期以降のモデルにはハードドライブが搭載されています。 ハードドライブを備えたモデルは非常に簡単に区別できます。最後にユニットがあります。 たとえば、FortiGate 100E にはハード ドライブが付属していませんが、FortiGate 101E にはハード ドライブが付属しています。

新しいモデルや古いモデルには通常、ハードドライブがありません。 この場合、ログの記録にはフラッシュ メモリが使用されます。 ただし、ログをフラッシュ メモリに継続的に書き込むと、フラッシュ メモリの効率と寿命が低下する可能性があることを考慮する価値があります。 したがって、フラッシュ メモリへのログの書き込みはデフォルトで無効になっています。 特定の問題を解決する際のイベントのログ記録のみを有効にすることをお勧めします。

集中的にログを記録すると、ハードドライブやフラッシュメモリに関係なく、デバイスのパフォーマンスが低下します。

9. フォーティネット スタート ガイド v6.0。 ロギングとレポート作成

ログをリモート サーバーに保存するのは非常に一般的です。 FortiGate は、Syslog サーバー、FortiAnalyzer、または FortiManager にログを保存できます。 FortiCloud クラウド サービスを使用してログを保存することもできます。

9. フォーティネット スタート ガイド v6.0。 ロギングとレポート作成

Syslog は、ネットワーク デバイスからのログを一元的に保存するサーバーです。
FortiCloud は、サブスクリプションベースのセキュリティ管理およびログ ストレージ サービスです。 これを利用すると、ログをリモートで保存し、適切なレポートを作成できます。 かなり小規模なネットワークの場合は、追加の機器を購入するのではなく、このクラウド サービスを使用するのが良い解決策になる可能性があります。 毎週のログ ストレージを含む FortiCloud の無料バージョンがあります。 サブスクリプションを購入すると、ログは XNUMX 年間保存できます。

FortiAnalyzer と FortiManager は外部ログ ストレージ デバイスです。 これらはすべて同じオペレーティング システムである FortiOS を使用しているため、FortiGate とこれらのデバイスの統合に問題はありません。

ただし、FortiAnalyzer デバイスと FortiManager デバイスの間には注意すべき違いがあります。 FortiManager の主な目的は、複数の FortiGate デバイスを集中管理することです。したがって、FortiManager でログを保存するためのメモリの量は、FortiAnalyzer よりも大幅に少なくなります (もちろん、同じ価格セグメントのモデルを比較した場合)。

FortiAnalyzer の主な目的は、まさにログを収集して分析することです。 したがって、実際にそれを活用することをさらに検討していきます。

理論全体と実践的な部分は、このビデオ レッスンで説明されています。


次のレッスンでは、FortiGate ユニットの管理の基本について説明します。 見逃さないように、次のチャンネルで最新情報をフォローしてください。

出所: habr.com

コメントを追加します