Kursning uchinchi darsiga xush kelibsiz . O'sha Biz laboratoriya ishlarini bajarish uchun zarur bo'lgan maketni joylashtirdik. Ushbu darsda biz loglar bilan ishlashning asosiy tamoyillarini ko'rib chiqamiz , keling, voqea ishlov beruvchilari bilan tanishamiz, shuningdek, jurnallarni himoya qilish mexanizmlarini ko'rib chiqamiz. Nazariy qism, shuningdek, video darsning to'liq yozib olinishi kesma ostida joylashgan.
Qurilmalardan jurnallarni yig'ish uchun ular FortiAnalyzer bilan ro'yxatdan o'tgan bo'lishi kerak. Ro'yxatdan o'tishning ikkita varianti mavjud.
- Birinchi variant - ro'yxatdan o'tayotgan qurilmada "FortiAnalyzer-ga jurnallarni yuborish" opsiyasini faollashtirish va uning IP-manzilini ko'rsatish. Shundan so'ng, ushbu qurilmani ro'yxatdan o'tkazish uchun FortiAnalyzer-ga so'rov yuboriladi. Administrator qabul qilingan so'rovni tasdiqlashi yoki rad etishi kerak. Ma'muriy domen texnologiyasi yoqilgan bo'lsa, FortiGate asosiy ADOMga (biz oxirgi darsda ishlagan root deb ataladi) va FortiGate qurilmalari uchun mo'ljallangan o'z-o'zidan yaratilgan ADOM-ga qo'shilishi mumkin.
- Ikkinchi variant - bu qurilmani ro'yxatga olish ustasi. Qurilmani ro'yxatdan o'tkazish FortiAnalyzerning o'zida sodir bo'ladi. Ro'yxatdan o'tish uchun sizga ro'yxatdan o'tayotgan qurilma haqida ma'lumot kerak - seriya raqami, IP manzili, qurilma turi va operatsion tizim versiyasi. Agar ma'lumotlarni tekshirish muvaffaqiyatli bo'lsa, qurilma FortiAnalyzer ro'yxatiga qo'shiladi. Ma'muriy domenlar texnologiyasi yoqilgan bo'lsa, qurilma avtomatik ravishda tegishli ma'muriy domenda ro'yxatdan o'tadi. Agar siz bir nechta shunga o'xshash ma'muriy domenlarni yaratgan bo'lsangiz, uni qo'shmoqchi bo'lgan ma'muriy domendan qurilmani ro'yxatdan o'tkazishingiz kerak.
Har bir qurilma har xil turdagi jurnallarni yaratadi. Fortinet qurilmalari yaratishi mumkin bo'lgan jurnallarning asosiy turlari quyidagi rasmda ko'rsatilgan.
Biz oxirgi darsda jurnallarni dastlabki qayta ishlash haqida gapirgan edik, lekin menimcha, bu sizning xotirangizni yangilashga arziydi. FortiAnalyzer tomonidan qabul qilingan jurnallar siqiladi va jurnal faylida saqlanadi. Ushbu fayl ma'lum hajmga yetganda, u qayta yoziladi va arxivlanadi. Bunday jurnallar arxivlangan deb ataladi. Ular oflayn jurnallar hisoblanadi, chunki ularni real vaqtda tahlil qilib bo'lmaydi. Ularni faqat RAW formatida ko'rish mumkin. Ma'muriy domenning ma'lumotlarni saqlash siyosati bunday jurnallar FortiAnalyzer xotirasida qancha vaqt saqlanishini belgilaydi.
Shu bilan birga, jurnallar tahlilni qo'llab-quvvatlash uchun SQL ma'lumotlar bazasida indekslanadi. Ushbu jurnallar FortiAnalyzer-da Log View, FortiView va Reports mexanizmlari yordamida real vaqtda tahlil qilinadi. Ma'muriy domenning ma'lumotlarni saqlash siyosati bunday jurnallar FortiAnalyzer xotirasida qancha vaqt saqlanishini belgilaydi. Ushbu jurnallar FortiAnalyzer xotirasidan o'chirilgandan so'ng, ular arxivlangan jurnallar sifatida qolishi mumkin, ammo bu ma'muriy domenning ma'lumotlarni saqlash siyosatiga bog'liq.
Jurnallarni qayta ishlash jarayoni sxematik tarzda quyidagi rasmda ko'rsatilgan.
Jurnallar qurilmaga kelganda, ular voqea ishlovchilar tomonidan tekshiriladi. Ular sizni qiziqtirgan voqealarni oldindan tuzilgan shartlardan foydalanib kuzatish imkonini beradi. Shartlar RAW formati jurnallarida mavjud bo'lgan parametrlarga o'rnatiladi. Tizimda har bir maʼmuriy domen uchun oldindan belgilangan voqealar toʻplami mavjud, ammo agar kerak boʻlsa, siz oʻzingizning hodisa ishlov beruvchilaringizni yaratishingiz mumkin. Hodisalarni qayta ishlash vositalarining asosiy afzalligi shundaki, qiziqarli voqealar sodir bo'lganda, tizim elektron pochta yoki syslog serverlariga, shuningdek, SNMP orqali bildirishnomalarni yuborishi mumkin. Bu tarmoqda sodir bo'layotgan voqealarga juda tez javob berishga imkon beradi.
Endi jurnallarni himoya qilish haqida gapiraylik. Jurnallar tarmoqda sodir bo'layotgan voqealar haqida muhim ma'lumotlarni saqlaganligi sababli, ular turli xil nosozliklar natijasida yuzaga kelishi mumkin bo'lgan yo'qotishlardan ham, tashqi murosalardan ham himoyalangan bo'lishi kerak. Turli xil nosozliklar yuz berganda jurnallarni himoya qilishga yordam beradigan birinchi texnologiya bu RAID. U mavjud disklardagi bo'sh joyni bir nechta mantiqiy segmentlarga bo'lish imkonini beradi, shunda bir yoki bir nechta disklar ishlamay qolsa (RAID turiga qarab), ma'lumotlar yo'qolmaydi. FortiAnalyzer-da ishlatilishi mumkin bo'lgan asosiy RAID turlari quyidagi rasmda ko'rsatilgan.
- RAID 0 ma'lumotni 2 yoki undan ortiq disklar bo'ylab tarqatadi. Asosiy maqsad - tezlik va ishlash. Agar bir yoki bir nechta disk ishlamay qolsa, butun disk massivi zarar ko'radi;
- RAID 1 ma'lumotlar nusxalarini 2 yoki undan ortiq disklar bo'ylab tarqatadi. Agar bitta disk ishlamay qolsa, disk massivi odatdagidek ishlashda davom etadi;
- RAID 5 ma'lumotni bir nechta disklar bo'ylab tarqatadi, shuningdek, har bir "axborot zanjiri" deb ataladigan ma'lumotni tiklash uchun bitta disk ajratadi. Agar bitta disk ishlamay qolsa, disk massivi odatdagidek ishlashda davom etadi;
- RAID 6 xuddi shunday ishlaydi, faqat ikkita disk ma'lumotlarni tiklash uchun ajratilgan;
- RAID 10 RAID 0 va RAID 1 opsiyalarini birlashtiradi.Bundan foydalanib, agar 2 ta disk ishlamay qolsa (har bir reyddan bittadan, aks holda ma'lumotni o'qib bo'lmaydi) ma'lumot bilan ishlashni davom ettirishingiz mumkin;
- RAID 50 RAID 0 va RAID 5 funksiyalarini birlashtiradi. Bunday holda, har bir RAID 5 da bitta disk ishlamay qolsa ham, axborot bilan barqaror ishlash davom etadi;
- RAID 60 RAID 0 va RAID 6 funksiyalarini birlashtiradi. Bunday holda, har bir RAID 6 da 2 ta disk ishlamay qolsa ham, axborotning barqaror ishlashi davom etadi.
Keyingi mexanizm - jurnalning zaxira nusxalari. Bir nechta zaxira variantlari mavjud - kerakli jurnallarni saqlash uchun ma'lum bir filtrdan foydalanishingiz mumkin bo'lgan Log View menyusidan yoki yozib olingan jurnal fayllarini yuklab olishingiz mumkin bo'lgan Log Browse. Bundan tashqari, CLI interfeysi yordamida tashqi serverlarga jurnallarni zaxiralash mumkin.
Jurnallardagi muhim ma'lumotlarni himoya qilish imkonini beruvchi yana bir mexanizm - ortiqcha. Bu erda ham bir nechta variant mavjud.
- Birinchisi, qurilmalar jurnallarni birdaniga 2 ta FortiAnalyzerga yuboradi - ulardan biri asosiy, ikkinchisi zaxira.
- Biz oxirgi darsda ikkinchi usulni muhokama qildik - bitta FortiAnalyzer kollektor rejimida ishlaydi va turli qurilmalardan jurnallarni to'playdi. Jadvalga ko'ra, to'plangan jurnallar Analyzer rejimida ishlaydigan FortiAnalyzer-ga yuboriladi. Agar ikkinchisi muvaffaqiyatsiz bo'lsa, kollektor jurnallarni boshqa FortiAnalyzerga yuborishi mumkin bo'ladi.
- Uchinchi variant esa jurnallarni FortiAnalyzer-dan tashqi serverlarga, masalan, Syslog-ga o'tkazishdir. Bunday holda, jurnallarni uzatish real vaqtda sodir bo'ladi.
Jurnallarni murosadan himoya qilish uchun ikkita asosiy mexanizm qo'llaniladi:
- FortiAnalyzer va boshqa qurilmalar o'rtasida ma'lumotlarni uzatish kanalini shifrlash;
- Tekshirish summasini qo'shish orqali jurnallarni o'zgartirishdan himoya qiling.
Video darslikda yuqorida muhokama qilingan nazariy materiallar taqdim etilgan, shuningdek, jurnallar bilan ishlashning amaliy jihatlari - ularni filtrlash, ularni turli rejimlarda ko'rish, hodisalarni qayta ishlash vositalarini sozlash masalalari muhokama qilinadi. Tomosha qilishdan zavqlaning!
Keyingi darsda hisobotlar bilan ishlash jihatlarini batafsil ko'rib chiqamiz. Uni o'tkazib yubormaslik uchun bizning kanalimizga obuna bo'ling .
Shuningdek, siz quyidagi manbalardagi yangilanishlarni kuzatishingiz mumkin:
Manba: www.habr.com
