欢迎来到本课程的第二课 。 今天我们就来说说管理域的机制 ,我们也会讨论处理日志的过程——了解这些机制的运作原理对于初始设置是必要的 。 之后我们将讨论我们将在课程中使用的布局,以及进行初始配置 。 理论部分以及视频课程的完整录音位于剪辑下方。
首先,我们再谈谈管理域。 在开始使用它们之前,您需要了解一些关于它们的事情:
- 集中启用和禁用创建管理域的功能。
- 注册 FortiGate 以外的任何设备都需要单独的管理域。 也就是说,如果您想在一台设备上注册多个 FortiMail 设备,则需要一个单独的管理域来执行此操作。 但这并不能否定这样一个事实:为了方便对FortiGate设备进行分组,您可以创建不同的管理域。
- 支持的最大管理域数量取决于 FortiAnalyzer 单元型号。
- 当启用创建管理域的功能时,您必须选择其操作模式 - 普通或高级。 在正常模式下,您不能将同一 FortiGate 的不同虚拟域(或 VDOM)添加到 FortiAnalyzer 设备的不同管理域。 这在高级模式下是可能的。 高级模式允许您处理来自各个虚拟域的数据并接收有关它们的单独报告。 如果您忘记了什么是虚拟域,请看一下 ,那里有一些详细的描述。
稍后我们将讨论创建管理域并在它们之间分配内存,作为本课程实践部分的一部分。
现在我们来谈谈 FortiAnalyzer 记录和处理日志的机制。
FortiAnalyzer 接收到的日志被压缩并保存在日志文件中。 当该文件达到一定大小时,它将被覆盖并存档。 此类日志称为归档日志。 它们被视为离线日志,因为它们无法实时分析。 它们只能以原始格式查看。 管理域中的数据存储策略决定了此类日志将在设备内存中存储多长时间。
同时,日志在SQL数据库中建立索引。 这些日志用于使用日志视图、FortiView 和报告机制进行数据分析。 管理域中的数据存储策略决定了此类日志将在设备内存中存储多长时间。 这些日志从设备内存中删除后,可能会以归档日志的形式保留,但这取决于管理域中的数据存储策略。
要了解初始设置,这些知识对我们来说已经足够了。 现在让我们讨论一下我们的布局:
在上面您可以看到 6 台设备 - FortiGate、FortiMail、FortiAnalyzer、域控制器、外部用户的计算机和内部用户的计算机。 需要 FortiGate 和 FortiMail 为各种 Fortinet 设备生成日志,以便使用示例来考虑使用各种管理域的各个方面。 需要内部和外部用户以及域控制器来生成各种流量。 Windows安装在内部用户的计算机上,Kali Linux安装在外部用户的计算机上。
在此示例中,FortiMail 在服务器模式下运行,这意味着它是一个单独的邮件服务器,内部和外部用户可以通过它交换电子邮件消息。 MX记录等必要的设置是在域控制器上配置的。 对于外部用户,DNS 服务器是内部域控制器 - 这是使用 FortiGate 上的端口转发(或其他虚拟 IP 技术)完成的。
这些设置在课程中不会涉及,因为它们与课程主题无关。 将涵盖 FortiAnalyzer 单元的部署和初始配置。 当前布局的其余组件已提前准备好。
下面列出了各种设备的系统要求。 对我来说,这种布局适用于 VMWare Workstation 虚拟环境中预先准备好的计算机。 下面还列出了该机器的特点。
设备
内存 GB
虚拟CPU
硬盘、GB
域控制器
6
3
40
内部用户
4
2
32
外部用户
2
2
8
FortiGate设备
2
2
30
强化分析仪
8
4
80
富蒂邮件
2
4
50
排版机
28
19
280
此表中列出的系统要求是最低要求;在实际场景中,通常需要更多资源。 有关系统要求的更多信息,请访问 .
该视频教程介绍了上面讨论的理论材料,以及实践部分 - 以及 FortiAnalyzer 设备的初始配置。 喜欢看!
在下一课中,我们将详细了解使用日志的各个方面。 为了避免错过,请订阅我们的 .
您还可以关注以下资源的更新:
来源: habr.com