教程篇(6.4) 03. 设备注册与通信 ❀ FortiAnalyzer ❀ Fortinet 网络安全专家 NSE 5

 在本课中，你将学习如何在FortiAnalyzer上注册用于日志收集的设备，以及如何排除FortiAnalyzer及其注册设备之间的通信故障。你还将研究FortiAnalyzer磁盘配额（确保收集所有日志的一个重要条件）以及如何管理注册的设备。

 在这节课中，你将探索这张幻灯片上所展示的主题。

  完成本部分后，你应该能够实现这张幻灯片上显示的目标。

　　通过演示设备注册的能力，你将能够配置FortiAnalyzer从注册的设备收集日志。

 为了让FortiAnalyzer从一个设备开始收集日志，它必须成为FortiAnalyzer上的注册设备。

　　对于FortiAnalyzer来说，只有两种类型的外部设备：注册的和未注册的。

　　已注册的设备是被授权在FortiAnalyzer上存储日志的设备，而未注册的设备是请求在FortiAnalyzer上存储日志的设备。

　　有两种方法你可以在FortiAnalyzer注册一个设备。

　　第一种方法涉及从支持的设备请求注册。当FortiAnalyzer管理员收到该请求时，将接受该请求(尽管可以拒绝该请求)。

　　第二种方法涉及到FortiAnalyzer设备注册向导。如果支持该设备，且该设备的所有详细信息都正确，则该设备成功注册。

 管理员可以向管理域(称为ADOM)注册每个设备。然而，设备只能被添加到他们的设备特定的ADOM。例如，FortiMail设备只能注册FortiMail ADOM类型。

　　FortiAnalyzer包括它支持的每个设备的默认ADOM。你可以使用这些ADOM，也可以创建自己的自定义ADOM。当你创建一个自定义ADOM时，它仍然必须与添加到它的设备的ADOM类型相关联。注意，你不能向同一个ADOM添加不同的设备类型。不管是默认的还是自定义的ADOM。

　　默认情况下，ADOM是不启用的。只有一个根ADOM存在，它基于FortiGate ADOM类型。因此，在禁用ADOM的情况下，你无法在FortiAnalyzer上注册任何非FortiGate设备。

 有两种方法可以从支持的设备发起请求。

　　在第一种方法中，FortiGate通过启用远程日志记录并指定FortiAnalyzer IP请求在FortiAnalyzer上注册。请注意，如果你单击Test Connectivity，你将看到连接状态为未授权。这是因为FortiAnalyzer管理员还没有接受注册请求，FortiAnalyzer和FortiGate还没有连接。在这个阶段，FortiGate仍然是一个未注册的设备。

　　受支持的设备发出请求后，请求自动出现在设备管理器的根ADOM下。FortiAnalyzer管理员应该查看未授权设备的详细信息。如果满意，添加设备。

　　在接受注册请求期间，如果启用了ADOM，你可以选择将FortiGate保留在根ADOM中，或将其添加到你可能已配置的任何自定义FortiGate ADOM中。

 在此方法中，FortiGate管理员启用安全结构。通过启用安全结构，默认情况下启用FortiAnalyzer日志记录。通过在上游FortiGate上配置FortiAnalyzer IP，所有通过安全结构连接到上游FortiGate的FortiGate设备将接收到FortiAnalyzer的配置，所有通过安全结构连接的FortiGate设备将请求在FortiAnalyzer上注册。

　　请注意，如果你单击Test Connectivity，你将看到连接状态为未授权。这是因为FortiAnalyzer管理员还没有接受注册请求，FortiAnalyzer和FortiGate还没有连接。在这个阶段，FortiGate仍然是一个未注册的设备。

　　受支持的设备发出请求后，请求自动出现在设备管理器的根ADOM下。FortiAnalyzer管理员应该查看未授权设备的详细信息，如果满意，就添加设备。

　　在接受注册请求期间，如果启用了ADOM，你可以选择将FortiGate保留在根ADOM中，或将其添加到你可能已配置的任何自定义FortiGate ADOM中。

　　注意，建议将所有通过安全结构连接的FortiGate设备添加到一个ADOM下。然而，可以将这些FortiGate设备分开并分配给不同的ADOM。

 使用此方法，你可以使用FortiAnalyzer设备管理器中的设备注册向导。FortiAnalyzer管理员主动发起并最终执行注册。管理员必须了解待注册设备的详细信息，如IP地址、序列号、设备类型、型号和固件版本。如果设备信息验证成功，状态显示为“设备添加成功”，设备显示在“设备管理器”下。

　　如果启用了ADOM，该设备将自动注册到其特定于设备的ADOM。但是，如果你已经创建了一个自定义ADOM，并希望直接将设备添加到该ADOM中，那么请在使用向导添加设备之前切换到ADOM。

 注册各种Fortinet设备后，它们会出现在ADOM的设备管理器选项卡中。你还可以查看有关该ADOM的日志状态和使用存储的详细信息。

　　只有注册并分配给ADOM时，未注册的设备才会出现在根ADOM下。

 当设备注册成功后，如果FortiAnalyzer在FortiGate上开启了以下日志收集功能，则FortiAnalyzer会自动拥有以下日志收集权限：

　　● 日志：详细描述流量、事件、安全等信息。然而，这因设备而异，因为FortiAnalyzer只支持来自每个设备的特定日志类型。

　　● DLP存档：这种日志类型详细描述了试图进入或离开你的网络的任何敏感数据的信息。

　　● 隔离：此日志类型详细说明设备上已放置到隔离中的文件。

　　● IPS报文日志：对命中IPS签名的流量的网络报文进行详细的记录。

 知识检查

 现在你已经了解了如何注册设备。

　　接下来，你将了解如何排除FortiAnalyzer和注册设备之间的通信故障。

 完成本节后，你应该能够对设备通信问题进行故障排除。

　　通过展示通信故障排除的能力，你将能够有效地排除可能阻止收集日志的问题。

 这张幻灯片展示了一些基本的CLI命令，你可以使用这些命令查看系统状态、性能和硬件统计信息。

 当使用get system status命令诊断系统问题时，以下信息可能会有帮助：

　　● 版本：确保FortiAnalyzer固件版本与你正在注册的设备兼容(有关支持的固件版本，请参阅FortiAnalyzer发布说明)

　　● 管理域配置：如果试图注册非FortiGate设备，确保ADOM是启用的。

　　● 当前时间：确保你的日期和时间是根据你的需要设置的。要使许多功能正常工作，包括调度、日志记录和依赖SSL的功能，FortiAnalyzer系统时间必须是准确的。虽然可以手动设置日期和时间，但建议与NTP服务器同步。

　　● 磁盘使用情况：确保你有足够的空闲磁盘空间来接受和存储注册设备的日志。

　　● 许可证状态：确保你有一个有效的许可证。这只适用于虚拟机。

 当使用get system performance命令解决系统故障时，查看CPU、内存的使用空间、硬盘、闪存盘。如果其中任何一个已接近容量，你可能会遇到日志收集方面的问题。在遇到问题之前，已用容量不必达到100%。例如，硬盘配额不能完全用于日志，因为部分空间预留给系统使用和意外的配额溢出。磁盘配额将在本课后面讨论。

　　对于FortiAnalyzer虚拟机，建议内存不低于8GB。

 当使用diagnose hardware info命令对系统问题进行故障诊断时，请查看内存和RAID部分。

　　内存信息部分提供了get system performance命令中提供的更细粒度的内存细分。例如，get system performance的总内存实际上包括总内存加上交换内存。diagnose hardware information命令显示了这种故障。交换内存是指当物理内存已满且系统需要更多内存时可用的空间。在一段临时时期内，内存中的非活动页面被移动到交换空间。

　　当开启RAID并用作高性能存储解决方案时，RAID级别将影响硬盘大小和预留配额级别的确定。

 这张幻灯片展示了FortiAnalvzer CLI命令，你可以运行这些命令来发现哪些设备和IP正在连接到FortiAnalvzer；哪些ADOM已启用和配置；以及哪些设备当前已注册和未注册。

 如果你遇到FortiGate和FortiAnalyzer之间的通信问题，首先要确保两台设备可以相互连接。在任意一台设备上使用execute ping CLI命令，验证设备之间是否能够路由(必须是所有中间防火墙都允许ping)。

　　你还可以在两个设备上运行嗅探器，以查看离开FortiGate的数据包是否到达FortiAnalyzer。如果数据包离开FortiGate，但没有到达FortiAnalyzer，请查看网络中的其他设备，因为中间路由器或防火墙可能阻塞流量或不恰当地路由它。

　　其他需要检查的地方：

　　● FortiGate是否配置为远程登录FortiAnalyzer?

　　● FortiAnalyzer源IP设置在FortiGate上吗?如果通过只允许特定子网的VPN访问FortiAnalyzer，这一点很重要。

　　● 是否在FortiGate上启用了发送到FortiAnalyzer的日志过滤器?

　　● FortiGate能生成日志吗? FortiAnalyzer能接收到它们吗?如果你在FortiGate上没有看到任何日志，在继续排除FortiAnalyzer方面的故障之前，必须检查FortiGate上的日志记录问题。

 你可以同时使用以下命令来排除通信问题：

　　第一步：

　　在FortiAnalyzer上执行以下命令：

　　# diagnose debug enable

　　# diagnose debug application oftpd 8 <FortiGate IP>

　　在FortiGate上执行如下命令：

　　# diagnose log test

　　查看这张幻灯片上显示的输出。

 如果FortiAnalyzer由于任何原因对FortiGate不可用，FortiGate将使用其miglogd进程来缓存日志。缓存大小有一个最大值，并且miglogd进程将删除缓存的日志。当两台设备之间的连接恢复后，migloąd进程开始将缓存的日志发送给FortiAnalyzer。因此，FortiGate缓冲区将保存足够长的日志，以支持你的FortiAnalvzer的重新启动(例如，如果你正在升级固件)，但它不打算用于长时间的FortiAnalyzer停机。

　　在FortiGate上，CLI命令diagnose test application miglogd 6显示miglogd进程的统计信息，包括最大缓存大小和当前缓存大小。

　　如果缓存已满，需要删除日志，CLI命令diagnose log kernel-stats将显示failed-log的增加。

　　使用SSD硬盘的FortiGate有一个可配置的日志缓冲区。当连接到FortiAnalyzer是不可达的，如果内存日志缓冲区已满，FortiGate能够在磁盘上缓存日志。一旦恢复到Fortianalyzer的连接，就可以成功发送磁盘缓冲区中排队的日志。

 知识检查

 知识检查

 很好，现在你了解了如何排除通信问题的故障。

　　接下来，你将了解有关FortiAnalyzer磁盘配额的信息。

 完成本部分后，你应该能够实现这张幻灯片上显示的目标。

　　通过展示理解磁盘配额以及如何修改它的能力，你将能够在你的网络中更有效地使用磁盘配额。

 FortiAnalyzer设备的磁盘空间有限。当分配的日志磁盘空间已满时，会出现以下情况：

　　● 警报消息控制台自动生成警报消息，作为级别为warning的事件日志。

　　● 最老的日志会被覆盖。这是默认设置，但你可以调整此行为，以便在磁盘满时停止日志记录。

　　没有管理员希望丢失有价值的日志数据，并冒与数据保留不符的风险。因此，了解FortiAnalyzer的磁盘配额、如何执行该配额以及保留了哪些空间，从而不能用于存储日志，这一点非常重要。

 磁盘配额包括原始日志、归档文件和SQL数据库表。每一份会消耗配额的一部分。

 通过CLI命令diagnose log device，你可以了解磁盘日志的使用情况，包括每个ADOM的使用情况。

　　配额总量由系统存储总量减去预留空间决定。

　　分配的空间是通过添加所有ADOM的归档和分析配额来确定的。

　　所使用的空间是通过添加归档和分析日志以及挂载在驱动器上的所有系统文件来确定的。用户可以通过CLI命令diagnose system print df获取系统文件值。

 注意，许可证信息小部件显示的值低于配额。这是因为它只报告当天推送到FortiAnalyzer的日志数量。此外，它只报告限制在原始日志部分的输入流量。它不包括日志归档、FortiGate存储和上传日志、FortiAnalyzer聚合日志或FortiClient日志。SQL数据库表也不包括在内，因为这个索引是在收到日志之后由FortiAnalyzer完成的。

 默认情况下，每个ADOM允许在FortiAnalyzer上有1000 MB(或略低于1 GB)的驱动器空间来存储日志数据。但是，这个数字是可以配置的。你不能将最小值设置为低于100 MB，最大值取决于特定FortiAnalyzer设备的磁盘空间分配。FortiAnalyzer系统为压缩文件、上传文件和临时报告文件预留5% ~ 20%的磁盘空间，为设备预留75% ~ 90%的磁盘空间。

　　需要注意的是，如果使用RAID, RAID级别会影响磁盘大小和预留的确定配额水平。

 强制执行磁盘配额由不同的进程执行：

　　● logfiled进程执行原始日志文件大小，并通过监视其他进程负责执行磁盘配额

　　● sqlplugind进程强制SQL数据库的大小

　　● oftpd进程强制存档文件的大小

　　logfiled每两分钟检查一次进程(除非系统资源很高)，并估计SQL数据库所使用的空间。如果磁盘配额(raw + SQL)估计在95%以上，FortiAnalyzer将删除原始日志和归档文件(包含SQL表)中的相应日志，直到它们下降到85%。

 如果启用了ADOM，可以在ALL ADOM页面调整磁盘配额。如果没有启用ADOM，你可以从System Storage中调整配额。

　　磁盘配额计算很困难，应该根据来自每个设备的日志速率进行监控。如果在FortiGate、大型设备或具有高流量和UTM的设备上有大量的日志记录，请考虑增加ADOM磁盘配额。

　　注意，默认情况下，ADOM的磁盘配额设置为最大可用磁盘。

 根据所监视的日志速率，增加磁盘配额是不够的，你可能需要增加总体磁盘空间。使用FortiAnalyzer VM，你可以使用这张幻灯片上显示的过程动态地为你的FortiAnalyzer添加更多的磁盘空间。然而。对于硬件FortiAnalyzer，你必须添加另一个磁盘，因为磁盘空间是固定的。如果你正在使用RAID，如果你添加另一个磁盘，你还必须重建你的RAID阵列。因此，从一开始就正确考虑未来的增长和规模是很重要的。

 知识检查

 知识检查

 很好！现在你了解了FortiAnalyzer磁盘配额。

　　接下来，你将学习如何管理注册的设备。

 完成本部分后，你应该能够实现这张幻灯片上显示的目标。

　　通过展示在ADOM之间移动设备并将它们添加到HA集群的能力，你将能够有效地管理网络中的注册设备。

 在ALL ADOM页面注册后，你可以在ADOM之间移动设备。除非必要，否则不应该在ADOM之间移动设备，一个这样的用例是在一个ADOM中同时拥有低容量和高容量日志率。在这种情况下，建议将低容量日志速率设备放在一个ADOM中，将高容量日志速率设备放在另一个ADOM中。这可以防止执行配额对小容量日志设备产生不利影响。

　　通过编辑要添加设备的自定义ADOM，然后选择要添加的设备，可以在ADOM之间移动设备。

　　请注意，如果你升级了你的FortiGate固件，你不需要将设备移动到一个新的ADOM。

 当在ADOM之间移动设备时，有一些重要的考虑事项，特别是当你正在移动的设备的日志已经被收集：

　　● 新ADOM的磁盘配额是多少?确保新ADOM有足够的空间。

　　● 在新的ADOM中，报告需要设备的分析日志吗?如果是，则需要重新构建新的ADOM SQL数据库。移动设备时，只有归档日志(压缩日志)被迁移到新的ADOM。在重新构建数据库之前，分析日志(索引日志)会一直保存在旧的ADOM中。

　　● 你想在旧ADOM中看到设备的分析日志吗?如果不一致，则需要重建旧的ADOM SQL数据库。否则，根据数据策略将其移除。

 FortiAnalyzer会自动发现一个FortiGate设备是否在HA集群中(其他一些Fortinet设备也是如此)。但是，如果你在将设备添加到集群之前向FortiAnalyzer注册了设备，那么你可以在FortiAnalyzer中手动添加集群。

　　在HA集群中，与FortiAnalyzer通信的唯一设备是集群中的主设备；集群中的其他设备将它们的日志发送到主设备，然后由主设备转发FortiAnalyzer。

　　要启用集群，在“设备管理器”中编辑FortiAnalyzer上注册的设备，并启用HA集群选项。你可以将现有设备添加到集群中，也可以手动输入与每个设备关联的序列号到集群中。

　　FortiAnalyzer根据它们的序列号区分不同的设备。这些可以在所有不同日志消息类型的头中找到。

 知识检查

 恭喜你！你已经完成了这一课。

　　现在，你将回顾你在这节课中涉及的目标。

 这张幻灯片展示了你在这节课中所学到的目标。

　　通过掌握本课涉及的目标，你学习了如何在你网络中添加、管理和维护设备。