1. 收到的日志被解压缩并保存在FortiAnalyzer磁盘上的日志文件中。日志文件扩展名为.log。例如,FortiGate日志分别以tlog.log和elog.log的名义保存,分别用于流量和事件日志。请注意,FortiGate安全日志包含在tlog.log文件中。
2. 保存的日志同时在SQL数据库中索引,以支持分析。索引阶段的日志被称为分析日志。这些日志被视为在线,并提供即时的分析支持。你可以使用日志视图、FortiView、FortiSoC和报告查看这些日志。根据ADOM数据策略的规定,从SQL数据库中清除分析日志。
3. 最终,当日志文件达到配置大小或按既定时间表时,它将被滚动。滚动的过程包括重命名文件,添加时间戳,然后压缩它,从而添加gz扩展名。这些文件被称为存档日志,被认为是离线的,因此它们不提供即时的分析支持。结合起来,它们计入存档配额和保留限制,并根据ADOM数据策略删除它们。你可以使用日志浏览查看这些日志。
● 日志视图允许你下载特定的过滤视图。
● 日志浏览允许你下载滚动日志。FortiAnalyzer还提供了定期将日志上传到FTP、SFTP或SCP服务器的选项。
● CLI命令execute backup logs,将所有内容发送到你指定的任何设备。数据在发送前被压缩,因此传输不会立即开始。该设备需要处理日志并将其存储在存档中,这可能需要一些时间。此批量数据转储可能包含大量数据,因此请确保你的服务器有足够的磁盘空间。
你可以使用GUI和CLI恢复日志。
支持此功能需要你在FortiAnalyzer上配置以下组件:
● 为Amazon S3、Microsoft Azure或Google Cloud创建架构连接器。
● 配置云存储
架构连接器还使FortiAnalyzer能够在创建新事件或任何后续更新时向ITSM平台发送通知。这种方法比第三方平台以预定义的时间间隔轮询FortiAnalyzer API的信息更有效,这可能会导致FortiAnalyzer的性能下降。
安全架构连接器丰富了FortiSOC上可用的事件响应相关操作。
● 存储限制:可以上传到云平台的数据量。
● 截止日期:可以发送存储数据的日期。通常有效期为一年。
此许可证不包括云提供商上使用的存储。它只包括你可以传输的数据量。要配置此功能,你必须拥有一个有权访问云存储的帐户。有关更多详细信息,请参阅FortiAnalyzer管理指南。
请注意,如果上传的日志在许可证到期前达到数据存储限制,你必须续订许可证才能继续使用此服务。
上传许可证后,你可以在系统设置>设备日志设置下启用将日志上传到云存储功能,然后选择将数据发送到的云存储平台。
你可以使用diagnose fmupdate dbcontract fds命令来了解许可证的有效性。
diagnose test application upload 63命令提供了详细信息,如使用配额、以GB为单位的总数据上传、上传的文件总数、许可证到期前的剩余天数以及被删除的上传请求数量。
一个选项是配置FortiAnalyzer HA集群。当FortiAnalyzer主设备出现故障时,FortiAnalyzer HA提供实时冗余。如果主设备出现故障,集群中的另一个设备将被选为主设备。它在多个FortiAnalyzer设备之间安全地同步日志和数据。适用于HA的系统和配置设置也是同步的。它还为运行报告等流程提供负载均衡。
第二种选择是配置FortiGate向第二个日志服务器发送一组相同的日志,例如第二个FortiAnalyzer或syslog。请注意,这增加了FortiGate设备的负载,因为日志守护进程必须处理与第二个日志设备的额外TCP连接。然而,在适当的系统尺寸下,这种额外的负载不是一个因素。此选项不适用于不支持第二台设备的小型FortiGate设备。
另一个选项是在聚合模式下设置日志转发。一般来说,你的中央(聚合)设备将是一个更大的FortiAnalyzer,但这不是一个要求。收集器将日志的增量(增量更改)发送到聚合服务器。这两个设备比较他们存储的内容,收集器只发送分析器没有的东西。这不仅减少了发送的流量,而且还提供了一定程度的冗余。如果分析仪设备出现灾难性故障,收集器会发送它拥有的所有数据,并自动重新填充恢复的分析仪。聚合模式仅在两个FortiAnalyzer设备之间支持。
要配置日志转发,你必须完成以下操作:
1. 设置日志转发模式:聚合或转发。
转发模式在收到日志时转发日志。它不会转发内容文件(DLP、防病毒隔离和IPS)。
聚合模式存储日志和内容文件,并在预定时间将其上传到FortiAnalyzer服务器。
2. 配置服务器(日志收件人)。
3. 配置客户端(FortiAnalyzer转发日志)。在这里,你还可以指定要转发的设备日志,并设置日志过滤器,以仅发送符合过滤器条件的日志。
除了转发日志外,FortiAnalyzer客户端还会保留日志的本地副本。日志的本地副本受FortiAnalyzer客户端上存档日志的数据策略设置的约束。
当FortiAnalyzer和FortiGate之间同步信息时,OFTP通过SSL使用。OFTP监听端口TCP/514。端口UDP/514用于未加密的日志通信。
使用上图显示的命令,设备之间的日志通信可以通过所需的加密级别进行加密保护。
SSL通信在FortiAnalyzer和FortiGate之间自动协商,因此OTP服务器仅在连接的FortiGate使用SSL加密的FTP。默认情况下,FortiGate使用高加密级别,FortiAnalyzer使用高加密级别。FortiAnalyzer加密级别必须等于或小于FortiGate设备。
以下日志校验和可用:
● md5:仅记录日志文件MD5哈希值。
● md5-auth:记录日志文件MD5哈希值和身份验证代码。
● none:不要记录日志文件校验和
你还可以使用config system certificate oftp命令将OFTP证书更改为自定义证书。你需要隐私增强邮件(PEM)格式的证书和相关的PEM格式私钥。
你可以:
● 指定全局日志滚动策略,以便在大小超过设置阈值时滚动或上传日志
● 为FortiAnalyzer上的所有日志文件、隔离文件、报告和内容存档文件指定全局自动删除策略
请注意,报告没有提供任何建议,也没有说明任何问题。管理员必须能够超越数据和图表,查看其网络内正在发生的事情。
● 数据集:结构化查询语言(SQL)选择从数据库中提取特定数据的查询
● 格式:数据的显示方式(例如饼图、条形图或表格)
此数据子集填充图表,报告中存在一个或多个图表。
只有在启用ADOM时,才能获得特定Fortinet设备的额外报告。你可以在各自的ADOM中为这些设备配置和生成报告。这些设备还具有特定于设备的图表和数据集。
要使用任何这些外部存储方法,你必须首先设置后端。这包括配置邮件服务器(仅用于电子邮件报告)和输出配置文件。如果启用了ADOM,每个ADOM都有自己的输出配置文件。
输出配置文件指定以下内容:
● 报告的格式,如PDF、HTML、XML、CSV和JSON
● 无论是通过电子邮件发送生成的报告还是上传到服务器。你可以同时指定一个选项,也可以创建多个Outlook配置文件。服务器选项包括FTP、SFTP和SCP。
● 上传到服务器后是否在本地删除报告
为了提高报告性能并缩短报告生成时间,你可以在报告设置中启用自动缓存。在这种情况下,当新日志进入并生成新的日志表时,hcache会自动更新。
请注意,hcache会自动为计划报告启用。如果你没有安排报告,你可能需要考虑启用hcache。这确保了高效生成报告。但是,请注意,此过程使用系统资源(特别是对于需要很长时间来组装数据集的报告),因此你应该监控你的系统,以确保它能够处理它。
此外,你可以选择启用扩展日志过滤来缓存特定日志字段,以获得更快的过滤速度。
1055
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
