問候! 歡迎來到本課程的第九課 。 上 我們研究了控制使用者對各種資源的存取的基本機制。 現在我們有另一個任務 - 我們需要分析使用者在網路上的行為,並配置可以幫助調查各種安全事件的資料接收。 因此,在本課中我們將研究日誌記錄和報告機制。 為此,我們需要 FortiAnalyzer,我們在課程開始時部署了它。 必要的理論以及視訊課程可在剪輯中找到。
在FotiGate中,日誌分為三種:流量日誌、事件日誌、安全性日誌。 反過來,它們又分為亞型。
流量日誌記錄流量訊息,例如請求和回應(如果有)。 此類型包含轉發子類型、本機子類型和嗅探器子類型。
轉送子類型包含有關 FortiGate 根據防火牆策略接受或拒絕的流量的資訊。
本機子類型包含直接來自 FortiGate IP 位址和執行管理的 IP 位址的流量資訊。 例如,與 FortiGate Web 介面的連接。
Sniffer 子類型包含使用流量鏡像取得的流量日誌。
事件日誌包含系統或管理事件,例如新增或變更參數、建立和中斷 VPN 隧道、動態路由事件等。 所有子類型如下圖所示。
第三種是安全日誌。 這些日誌記錄與病毒攻擊、存取禁止資源、使用禁止應用程式等相關的事件。 完整清單也如下圖所示。
您可以將日誌儲存在不同的位置 - 既可以儲存在 FortiGate 本身上,也可以儲存在 FortiGate 外部。 在 FortiGate 上儲存日誌被視為本機日誌記錄。 根據裝置本身,日誌可以儲存在裝置的快閃記憶體或硬碟上。 一般來說,中階型號都有硬碟。 帶硬碟的型號很容易區分 - 末尾有一個單元。 例如,FortiGate 100E 不帶硬碟驅動器,而 FortiGate 101E 則有硬碟。
較新和較舊的型號通常沒有硬碟。 在這種情況下,閃存用於記錄日誌。 然而,值得考慮的是,不斷地將日誌寫入快閃記憶體會降低其效率和使用壽命。 因此,預設情況下會停用將日誌寫入快閃記憶體。 建議僅在解決特定問題時啟用它來記錄事件。
當集中記錄日誌時,無論是硬碟還是閃存,設備的效能都會下降。
將日誌儲存在遠端伺服器上是很常見的。 FortiGate 可以將日誌儲存在 Syslog 伺服器、FortiAnalyzer 或 FortiManager 上。 您也可以使用FortiCloud雲端服務來儲存日誌。
Syslog是一個用於集中儲存來自網路設備的日誌的伺服器。
FortiCloud 是一種基於訂閱的安全管理和日誌儲存服務。 借助它的幫助,您可以遠端儲存日誌並建立適當的報告。 如果您的網路相當小,一個好的解決方案可能是使用此雲端服務而不是購買額外的設備。 FortiCloud 有一個免費版本,其中包括每週日誌儲存。 購買訂閱後,日誌可以儲存一年。
FortiAnalyzer和FortiManager是外部日誌儲存設備。 由於它們都具有相同的作業系統 - FortiOS - FortiGate 與這些設備的整合不會出現任何困難。
但是,FortiAnalyzer 和 FortiManager 設備之間存在一些差異。 FortiManager 的主要目的是集中管理多個 FortiGate 設備 - 因此,FortiManager 上用於儲存日誌的記憶體量明顯少於 FortiAnalyzer(當然,如果我們比較相同價格段的型號)。
FortiAnalyzer的主要目的正是收集和分析日誌。 因此,我們將進一步考慮在實踐中進行合作。
本影片課程介紹了整個理論以及實作部分:
在下一課中,我們將介紹管理 FortiGate 設備的基礎知識。 為了不錯過,請關注以下頻道的更新:
來源: www.habr.com