Мэндчилгээ! Хичээлийн ес дэх хичээлд тавтай морил . Дээр Бид янз бүрийн нөөцөд хэрэглэгчийн хандалтыг хянах үндсэн механизмуудыг судалж үзсэн. Одоо бидэнд өөр нэг даалгавар байна - бид сүлжээн дэх хэрэглэгчдийн зан төлөвт дүн шинжилгээ хийх, мөн янз бүрийн аюулгүй байдлын зөрчлийг шалгахад туслах өгөгдөл хүлээн авах тохиргоог хийх хэрэгтэй. Тиймээс бид энэ хичээлээр мод бэлтгэх, тайлагнах механизмыг авч үзэх болно. Үүний тулд бид сургалтын эхэнд суулгасан FortiAnalyzer хэрэгтэй болно. Шаардлагатай онол, түүнчлэн видео хичээлийг захын доор авах боломжтой.
FotiGate-д бүртгэлийг замын хөдөлгөөний бүртгэл, үйл явдлын бүртгэл, аюулгүй байдлын бүртгэл гэсэн гурван төрөлд хуваадаг. Тэд эргээд дэд төрөлд хуваагддаг.
Замын хөдөлгөөний бүртгэл нь хүсэлт, хэрэв байгаа бол хариулт гэх мэт хөдөлгөөний урсгалын мэдээллийг бүртгэдэг. Энэ төрөл нь Forward, Local, Sniffer гэсэн дэд төрлүүдийг агуулдаг.
Forward дэд төрөл нь галт ханын бодлогод үндэслэн FortiGate хүлээн зөвшөөрсөн эсвэл татгалзсан хөдөлгөөний талаарх мэдээллийг агуулдаг.
Local дэд төрөл нь шууд FortiGate IP хаягаас болон удирдлагыг явуулж буй IP хаягуудаас замын хөдөлгөөний талаарх мэдээллийг агуулдаг. Жишээлбэл, FortiGate вэб интерфэйстэй холбогдох.
Sniffer дэд төрөл нь замын хөдөлгөөний толин тусгал ашиглан олж авсан замын хөдөлгөөний бүртгэлийг агуулдаг.
Үйл явдлын бүртгэл нь параметр нэмэх, өөрчлөх, VPN хонгил үүсгэх, эвдэх, динамик чиглүүлэлтийн үйл явдлууд гэх мэт системийн эсвэл захиргааны үйл явдлуудыг агуулдаг. Бүх дэд төрлүүдийг доорх зурагт үзүүлэв.
Гурав дахь төрөл нь аюулгүй байдлын бүртгэл юм. Эдгээр бүртгэлүүд нь вирусын халдлага, хориглосон нөөцөд зочлох, хориотой програм ашиглах гэх мэт үйл явдлуудыг бүртгэдэг. Бүрэн жагсаалтыг мөн доорх зурагт үзүүлэв.
Та логуудыг өөр өөр газар хадгалах боломжтой - FortiGate өөрөө болон гадна талд. FortiGate дээр бүртгэлийг хадгалах нь орон нутгийн бүртгэл гэж тооцогддог. Төхөөрөмжөөс хамааран бүртгэлийг төхөөрөмжийн флаш санах ой эсвэл хатуу диск дээр хадгалах боломжтой. Дүрмээр бол дунд шатны загварууд хатуу дисктэй байдаг. Хатуу дисктэй загваруудыг ялгахад хялбар байдаг - төгсгөлд нь нэгж байдаг. Жишээлбэл, FortiGate 100E нь хатуу дискгүй, FortiGate 101E нь хатуу дисктэй ирдэг.
Залуу болон хуучин загваруудад ихэвчлэн хатуу диск байдаггүй. Энэ тохиолдолд флэш санах ойг лог бичихэд ашигладаг. Гэсэн хэдий ч флэш санах ойд бүртгэлийг байнга бичих нь түүний үр ашиг, ашиглалтын хугацааг бууруулдаг гэдгийг анхаарч үзэх нь зүйтэй. Тиймээс флэш санах ойд бүртгэл бичих нь анхдагчаар идэвхгүй байдаг. Үүнийг зөвхөн тодорхой асуудлыг шийдвэрлэх явцад үйл явдлыг бүртгэхийн тулд идэвхжүүлэхийг зөвлөж байна.
Бүртгэлийг эрчимтэй бүртгэх үед хатуу диск эсвэл флаш санах ойд хамаагүй, төхөөрөмжийн гүйцэтгэл буурах болно.
Логуудыг алсын сервер дээр хадгалах нь нэлээд түгээмэл байдаг. FortiGate нь Syslog сервер, FortiAnalyzer эсвэл FortiManager дээр бүртгэлийг хадгалах боломжтой. Та мөн FortiCloud үүл үйлчилгээг ашиглан бүртгэлээ хадгалах боломжтой.
Syslog нь сүлжээний төхөөрөмжүүдийн бүртгэлийг төвлөрсөн байдлаар хадгалах сервер юм.
FortiCloud нь захиалгат суурилсан аюулгүй байдлын удирдлага, бүртгэл хадгалах үйлчилгээ юм. Үүний тусламжтайгаар та бүртгэлийг алсаас хадгалж, зохих тайлангуудыг үүсгэж болно. Хэрэв танд нэлээн жижиг сүлжээ байгаа бол нэмэлт төхөөрөмж худалдан авахын оронд энэ үүлэн үйлчилгээг ашиглах нь сайн шийдэл байж болох юм. FortiCloud-ийн үнэгүй хувилбар байдаг бөгөөд үүнд долоо хоног тутмын бүртгэл хадгалах боломжтой. Захиалга худалдаж авсны дараа бүртгэлийг нэг жилийн турш хадгалах боломжтой.
FortiAnalyzer болон FortiManager нь гадаад бүртгэл хадгалах төхөөрөмж юм. Тэд бүгд ижил үйлдлийн системтэй байдаг тул FortiOS - FortiGate-ийг эдгээр төхөөрөмжтэй нэгтгэх нь ямар ч хүндрэл учруулахгүй.
Гэхдээ FortiAnalyzer болон FortiManager төхөөрөмжүүдийн хооронд ялгаа бий. FortiManager-ийн гол зорилго нь олон тооны FortiGate төхөөрөмжийн төвлөрсөн удирдлага бөгөөд иймээс FortiManager дээр бүртгэл хадгалах санах ойн хэмжээ нь FortiAnalyzer-ээс хамаагүй бага байдаг (хэрэв мэдээжийн хэрэг бид ижил үнийн сегментийн загваруудыг харьцуулж үзвэл).
FortiAnalyzer-ийн гол зорилго нь лог цуглуулах, дүн шинжилгээ хийх явдал юм. Тиймээс бид практик дээр үүнтэй хамтран ажиллах талаар цаашид авч үзэх болно.
Бүхэл бүтэн онол, мөн практик хэсгийг энэ видео хичээлд үзүүлэв.
Дараагийн хичээлээр бид FortiGate нэгжийг удирдах үндсийг авч үзэх болно. Үүнийг алдахгүйн тулд дараах сувгуудын шинэчлэлтүүдийг дагана уу.
Эх сурвалж: www.habr.com