Salom! Kursning to'qqizinchi darsiga xush kelibsiz . O'sha Biz foydalanuvchilarning turli resurslarga kirishini nazorat qilishning asosiy mexanizmlarini ko'rib chiqdik. Endi bizda yana bir vazifa bor - biz tarmoqdagi foydalanuvchilarning xatti-harakatlarini tahlil qilishimiz, shuningdek, turli xil xavfsizlik hodisalarini tekshirishda yordam beradigan ma'lumotlarni qabul qilishni sozlashimiz kerak. Shuning uchun, ushbu darsda biz jurnallar va hisobot berish mexanizmini ko'rib chiqamiz. Buning uchun bizga kurs boshida o'rnatgan FortiAnalyzer kerak bo'ladi. Kesish ostida kerakli nazariya, shuningdek, video dars mavjud.
FotiGate-da jurnallar uch turga bo'linadi: trafik jurnallari, voqealar jurnallari va xavfsizlik jurnallari. Ular, o'z navbatida, kichik turlarga bo'linadi.
Trafik jurnallari, agar mavjud bo'lsa, so'rovlar va javoblar kabi trafik oqimi ma'lumotlarini qayd qiladi. Bu tur Forward, Local va Sniffer kichik turlarini o'z ichiga oladi.
Forward kichik turi xavfsizlik devori siyosati asosida FortiGate qabul qilgan yoki rad etgan trafik haqidagi ma'lumotlarni o'z ichiga oladi.
Mahalliy kichik turda to'g'ridan-to'g'ri FortiGate IP-manzilidan va boshqaruv amalga oshiriladigan IP-manzillardan trafik to'g'risidagi ma'lumotlar mavjud. Masalan, FortiGate veb-interfeysiga ulanishlar.
Sniffer kichik turida trafikni aks ettirish yordamida olingan trafik jurnallari mavjud.
Voqealar jurnallari tizim yoki ma'muriy hodisalarni o'z ichiga oladi, masalan, parametrlarni qo'shish yoki o'zgartirish, VPN tunnellarini o'rnatish va buzish, dinamik marshrutlash hodisalari va boshqalar. Barcha kichik turlar quyidagi rasmda keltirilgan.
Uchinchi tur - xavfsizlik jurnallari. Ushbu jurnallar virus hujumlari, taqiqlangan manbalarga tashriflar, taqiqlangan ilovalardan foydalanish va hokazolar bilan bog'liq voqealarni qayd etadi. To'liq ro'yxat quyidagi rasmda ham keltirilgan.
Siz jurnallarni turli joylarda saqlashingiz mumkin - FortiGate-ning o'zida ham, uning tashqarisida ham. FortiGate-da jurnallarni saqlash mahalliy logging hisoblanadi. Qurilmaning o'ziga qarab, jurnallar qurilmaning flesh-xotirasida yoki qattiq diskda saqlanishi mumkin. Qoida tariqasida, o'rtadagi modellar qattiq diskka ega. Qattiq diskli modellarni ajratish juda oson - oxirida birlik mavjud. Masalan, FortiGate 100E qattiq disksiz, FortiGate 101E esa qattiq disk bilan birga keladi.
Yosh va eski modellarda odatda qattiq disk yo'q. Bunday holda, flesh-xotira jurnallarni yozish uchun ishlatiladi. Biroq, flesh-xotiraga doimiy ravishda jurnallar yozish uning samaradorligi va xizmat muddatini qisqartirishi mumkinligini hisobga olish kerak. Shuning uchun, flesh-xotiraga jurnallarni yozish sukut bo'yicha o'chirib qo'yilgan. Muayyan muammolarni hal qilishda uni faqat hodisalarni qayd qilish uchun yoqish tavsiya etiladi.
Jurnallarni intensiv ravishda yozib olishda, qattiq disk yoki flesh xotira uchun muhim emas, qurilmaning ishlashi pasayadi.
Jurnallarni uzoq serverlarda saqlash juda keng tarqalgan. FortiGate jurnallarni Syslog serverlarida, FortiAnalyzer yoki FortiManagerda saqlashi mumkin. Jurnallarni saqlash uchun FortiCloud bulut xizmatidan ham foydalanishingiz mumkin.
Syslog - bu tarmoq qurilmalaridan jurnallarni markaziy saqlash uchun server.
FortiCloud obunaga asoslangan xavfsizlikni boshqarish va jurnallarni saqlash xizmatidir. Uning yordami bilan siz jurnallarni masofadan saqlashingiz va tegishli hisobotlarni yaratishingiz mumkin. Agar sizda juda kichik tarmoq bo'lsa, qo'shimcha uskunalar sotib olish o'rniga ushbu bulut xizmatidan foydalanish yaxshi yechim bo'lishi mumkin. Haftalik jurnalni saqlashni o'z ichiga olgan FortiCloud-ning bepul versiyasi mavjud. Obunani sotib olgandan so'ng, jurnallar bir yil davomida saqlanishi mumkin.
FortiAnalyzer va FortiManager tashqi jurnallarni saqlash qurilmalari. Ularning barchasi bir xil operatsion tizimga ega bo'lganligi sababli - FortiOS - FortiGate-ning ushbu qurilmalar bilan integratsiyasi hech qanday qiyinchilik tug'dirmaydi.
Biroq, FortiAnalyzer va FortiManager qurilmalari o'rtasida ta'kidlash kerak bo'lgan farqlar mavjud. FortiManager-ning asosiy maqsadi bir nechta FortiGate qurilmalarini markazlashtirilgan boshqarishdir - shuning uchun FortiManager-da jurnallarni saqlash uchun xotira hajmi FortiAnalyzer-ga qaraganda sezilarli darajada kamroq (agar, albatta, biz bir xil narx segmentidagi modellarni taqqoslasak).
FortiAnalyzer-ning asosiy maqsadi jurnallarni to'plash va tahlil qilishdir. Shuning uchun biz u bilan amalda ishlashni ko'rib chiqamiz.
Ushbu video darsda butun nazariya, shuningdek, amaliy qism taqdim etiladi:
Keyingi darsda biz FortiGate blokini boshqarish asoslarini ko'rib chiqamiz. Uni o'tkazib yubormaslik uchun quyidagi kanallardagi yangilanishlarni kuzatib boring:
Manba: www.habr.com