салам! Курстун тогузунчу сабагына кош келиңиздер . боюнча Биз колдонуучулардын ар кандай ресурстарга жетүүсүн көзөмөлдөөнүн негизги механизмдерин карап чыктык. Эми бизде дагы бир милдет бар - биз тармактагы колдонуучулардын жүрүм-турумун талдап, ошондой эле ар кандай коопсуздук инциденттерин иликтөөгө жардам бере турган маалыматтарды алууну конфигурациялашыбыз керек. Ошондуктан, бул сабакта биз каротаждоо жана отчеттуулук механизмин карап чыгабыз. Бул үчүн биз курстун башында орноткон FortiAnalyzer керек болот. Керектүү теория, ошондой эле видео сабак, кесип астында жеткиликтүү.
FotiGate'те журналдар үч түргө бөлүнөт: трафик журналдары, окуялар журналдары жана коопсуздук журналдары. Алар, өз кезегинде, субтиптерге бөлүнөт.
Трафик журналдары, эгерде бар болсо, суроо-талаптар жана жооптор сыяктуу трафик агымынын маалыматын жазат. Бул түр Forward, Local жана Sniffer подтиптерин камтыйт.
Forward чакан түрү FortiGate брандмауэр саясатынын негизинде кабыл алган же четке каккан трафик жөнүндө маалыматты камтыйт.
Local подтипи түздөн-түз FortiGate IP дарегинен жана башкаруу жүргүзүлүп жаткан IP даректерден трафик жөнүндө маалыматты камтыйт. Мисалы, FortiGate веб интерфейсине туташуулар.
Sniffer чакан түрү трафиктин чагылдырылышы аркылуу алынган трафиктин журналдарын камтыйт.
Окуя журналдары тутумдук же административдик окуяларды камтыйт, мисалы, параметрлерди кошуу же өзгөртүү, VPN туннелдерин түзүү жана бузуу, динамикалык маршруттоо окуялары жана башкалар. Бардык субтиптер төмөндөгү сүрөттө берилген.
Ал эми үчүнчү түрү - коопсуздук журналдары. Бул журналдар вирус чабуулдарына, тыюу салынган ресурстарга барууга, тыюу салынган тиркемелерди колдонууга жана башкаларга байланыштуу окуяларды жазат. Толук тизме дагы төмөндөгү сүрөттө берилген.
Сиз журналдарды ар кандай жерлерде сактай аласыз - FortiGateтин өзүндө да, анын сыртында да. FortiGate'де журналдарды сактоо локалдык журнал деп эсептелет. Түзмөктүн өзүнө жараша, журналдар аппараттын флеш эстутумунда же катуу дискте сакталышы мүмкүн. Эреже катары, орто моделдер катуу дискке ээ. Катуу диски бар моделдерди айырмалоо оңой - аягында бирдик бар. Мисалы, FortiGate 100E катуу дисксиз келет, ал эми FortiGate 101E катуу диск менен келет.
Жаш жана улгайган моделдерде, адатта, катуу диск жок. Бул учурда флеш эс тутум журналдарды жазуу үчүн колдонулат. Бирок, флэш эстутумга журналдарды тынымсыз жазуу анын натыйжалуулугун жана кызмат мөөнөтүн кыскарта аларын эске алуу керек. Ошондуктан, флеш эстутумга журналдарды жазуу демейки боюнча өчүрүлгөн. Аны конкреттүү маселелерди чечүүдө окуяларды каттоо үчүн гана иштетүү сунушталат.
Журналдарды интенсивдүү түрдө жаздырганда, бул катуу диск же флеш эстутум үчүн маанилүү эмес, аппараттын иштеши төмөндөйт.
Алыскы серверлерде журналдарды сактоо кеңири таралган. FortiGate журналдарды Syslog серверлеринде, FortiAnalyzer же FortiManagerде сактай алат. Ошондой эле журналдарды сактоо үчүн FortiCloud булут кызматын колдоно аласыз.
Syslog – тармактык түзүлүштөрдөн журналдарды борборлоштурган сактоочу сервер.
FortiCloud жазылууга негизделген коопсуздукту башкаруу жана журналды сактоо кызматы. Анын жардамы менен сиз журналдарды алыстан сактап, тиешелүү отчетторду түзө аласыз. Эгер сизде кичинекей тармак болсо, кошумча жабдууларды сатып алуунун ордуна, бул булут кызматын колдонуу жакшы чечим болушу мүмкүн. FortiCloud'тун жумалык журнал сактагычын камтыган акысыз версиясы бар. Жазылууну сатып алгандан кийин, журналдар бир жыл бою сакталышы мүмкүн.
FortiAnalyzer жана FortiManager тышкы журнал сактоочу түзмөктөр. Алардын бардыгы бирдей операциялык тутумга ээ болгондугуна байланыштуу - FortiOS - FortiGateтин бул түзмөктөр менен интеграциясы эч кандай кыйынчылыктарды туудурбайт.
Бирок, FortiAnalyzer жана FortiManager түзмөктөрүнүн ортосунда белгилей турган айырмачылыктар бар. FortiManagerтин негизги максаты бир нече FortiGate түзмөктөрүн борборлоштурулган башкаруу болуп саналат - ошондуктан, FortiManager'де журналдарды сактоо үчүн эстутумдун көлөмү FortiAnalyzerге караганда бир топ азыраак (эгерде, албетте, бир эле баа сегментиндеги моделдерди салыштырсак).
FortiAnalyzerтин негизги максаты — журналдарды чогултуу жана талдоо. Ошондуктан, биз аны менен иш жүзүндө мындан ары иштөөнү карайбыз.
Бардык теория, ошондой эле практикалык бөлүгү бул видео сабакта берилген:
Кийинки сабакта биз FortiGate бирдигин башкаруунун негиздерин карап чыгабыз. Аны өткөрүп жибербөө үчүн төмөнкү каналдардагы жаңылыктарга көз салыңыз:
Source: www.habr.com