問候!歡迎來到本課程的第九課。 。 上 我們已經研究了控制用戶存取各種資源的主要機制。現在我們有另一項任務——我們需要分析使用者在網路上的行為,以及設定有助於調查各種安全事件的資料接收。因此,在本課中我們將研究日誌記錄和報告機制。為此,我們需要 FortiAnalyzer,我們在課程開始時就部署了它。必要的理論以及視頻課程均可在以下連結中找到。
在FotiGate中,日誌分為三種:流量日誌、事件日誌、安全性日誌。它們又被分成不同的亞型。
流量日誌記錄有關流量的信息,例如請求和回應(如果有)。此類型包含子類型 Forward、Local 和 Sniffer。
Forward 子類型包含有關 FortiGate 根據防火牆策略接受或拒絕的流量的資訊。
本機子類型包含直接來自 FortiGate IP 位址和執行管理的 IP 位址的流量的資訊。例如,與 FortiGate Web 介面的連接。
Sniffer 子類型包含使用流量鏡像取得的流量日誌。
事件日誌包含系統或管理事件,例如新增或變更參數、建立和中斷 VPN 隧道、動態路由事件等。所有子類型如下圖所示。
第三類是安全日誌。這些日誌記錄與病毒攻擊、存取禁止的資源、使用禁止的應用程式等相關的事件。完整清單也如下圖所示。
日誌可以儲存在不同的地方 - 既可以在 FortiGate 內部,也可以在其外部。在 FortiGate 上儲存日誌被視為本機日誌記錄。根據裝置本身,日誌可以儲存在裝置的快閃記憶體或硬碟上。通常,中型型號配有硬碟。帶有硬碟的型號很容易區分 - 它們的末尾都有一個“100”。例如,FortiGate 101E 沒有配備硬碟,而 FortiGate XNUMXE 配備硬碟。
較新和較舊的型號通常沒有硬碟。在這種情況下,使用快閃記憶體來記錄日誌。然而,值得考慮的是,不斷地將日誌寫入快閃記憶體會降低其效率和使用壽命。因此,預設情況下會停用將日誌寫入快閃記憶體。建議僅在解決特定問題時啟用它來記錄事件。
隨著日誌的密集記錄,無論是記錄到硬碟還是閃存,設備的效能都會下降。
將日誌儲存在遠端伺服器上是很常見的。 FortiGate 可以將日誌儲存在 Syslog 伺服器、FortiAnalyzer 或 FortiManager 上。您也可以使用 FortiCloud 雲端服務來儲存日誌。
Syslog 是一個用於集中儲存網路設備日誌的伺服器。
FortiCloud 是一種基於訂閱的安全管理和日誌儲存服務。借助它,您可以遠端儲存日誌並產生相應的報告。如果您的網路相當小,使用此雲端服務而不是購買額外的設備可能是一個很好的解決方案。 FortiCloud 有一個免費版本,其中包括每週日誌儲存。一旦您購買訂閱,日誌可以保存一年。
FortiAnalyzer和FortiManager是外部日誌儲存設備。由於它們都具有相同的作業系統 - FortiOS - 因此將 FortiGate 與這些設備整合非常簡單。
但是,值得注意的是 FortiAnalyzer 和 FortiManager 設備之間的差異。 FortiManager 的主要目的是集中管理多個 FortiGate 設備 - 因此,FortiManager 上用於儲存日誌的記憶體量明顯少於 FortiAnalyzer(當然,如果我們比較相同價位的型號)。
FortiAnalyzer的主要目的是收集和分析日誌。因此,正是與它合作,才是我們在實踐中進一步考慮的。
本影片課程介紹了所有理論以及實作部分:
在下一課中,我們將介紹管理 FortiGate 設備的基礎知識。為了避免錯過,請關注以下頻道的更新:
來源: www.habr.com
