问候! 欢迎来到本课程的第九课 。 上 我们研究了控制用户对各种资源的访问的基本机制。 现在我们有另一个任务 - 我们需要分析用户在网络上的行为,并配置可以帮助调查各种安全事件的数据接收。 因此,在本课中我们将研究日志记录和报告机制。 为此,我们需要 FortiAnalyzer,我们在课程开始时部署了它。 必要的理论以及视频课程可在剪辑中找到。
在FotiGate中,日志分为三种类型:流量日志、事件日志和安全日志。 反过来,它们又分为亚型。
流量日志记录流量信息,例如请求和响应(如果有)。 该类型包含转发子类型、本地子类型和嗅探器子类型。
转发子类型包含有关 FortiGate 根据防火墙策略接受或拒绝的流量的信息。
本地子类型包含直接来自 FortiGate IP 地址和执行管理的 IP 地址的流量信息。 例如,与 FortiGate Web 界面的连接。
Sniffer 子类型包含使用流量镜像获取的流量日志。
事件日志包含系统或管理事件,例如添加或更改参数、建立和中断 VPN 隧道、动态路由事件等。 所有子类型如下图所示。
第三种是安全日志。 这些日志记录与病毒攻击、访问禁止资源、使用禁止应用程序等相关的事件。 完整列表也如下图所示。
您可以将日志存储在不同的位置 - 既可以存储在 FortiGate 本身上,也可以存储在 FortiGate 外部。 在 FortiGate 上存储日志被视为本地日志记录。 根据设备本身,日志可以存储在设备的闪存或硬盘上。 一般来说,中端型号都有硬盘。 带硬盘的型号很容易区分 - 末尾有一个单元。 例如,FortiGate 100E 不带硬盘驱动器,而 FortiGate 101E 则带硬盘驱动器。
较新和较旧的型号通常没有硬盘。 在这种情况下,闪存用于记录日志。 然而,值得考虑的是,不断地将日志写入闪存会降低其效率和使用寿命。 因此,默认情况下禁用将日志写入闪存。 建议仅在解决特定问题时启用它来记录事件。
当集中记录日志时,无论是硬盘还是闪存,设备的性能都会下降。
将日志存储在远程服务器上是很常见的。 FortiGate 可以将日志存储在 Syslog 服务器、FortiAnalyzer 或 FortiManager 上。 您还可以使用FortiCloud云服务来存储日志。
Syslog是一个用于集中存储来自网络设备的日志的服务器。
FortiCloud 是一种基于订阅的安全管理和日志存储服务。 借助它的帮助,您可以远程存储日志并构建适当的报告。 如果您的网络相当小,一个好的解决方案可能是使用此云服务而不是购买额外的设备。 FortiCloud 有一个免费版本,其中包括每周日志存储。 购买订阅后,日志可以存储一年。
FortiAnalyzer和FortiManager是外部日志存储设备。 由于它们都具有相同的操作系统 - FortiOS - FortiGate 与这些设备的集成不会出现任何困难。
但是,FortiAnalyzer 和 FortiManager 设备之间存在一些差异。 FortiManager 的主要目的是集中管理多个 FortiGate 设备 - 因此,FortiManager 上存储日志的内存量明显少于 FortiAnalyzer(当然,如果我们比较相同价格段的型号)。
FortiAnalyzer的主要目的正是收集和分析日志。 因此,我们将进一步考虑在实践中进行合作。
本视频课程介绍了整个理论以及实践部分:
在下一课中,我们将介绍管理 FortiGate 设备的基础知识。 为了不错过,请关注以下渠道的更新:
来源: habr.com