教程篇(5.4) 02. 日志与监控 ❀ FortiGate 基础 ❀ Fortinet 网络安全专家 NSE 4

在这节课中将介绍如何检查FortiGate中的日志和监控。

完成本课课程后你可以学习到如何通过日志记录和监控来更好地保护你的网络，掌握下列操作：

• 描述日志类型和子类型

• 描述日志严重性级别

• 描述日志格式(头和主体)

• 识别日志存储位置

• 配置日志设置

• 配置远程日志

• 启用防火墙策略的日志记录

• 查看、过滤、下载和导出日志

• 监控你的网络

• 配置报警邮件

• 配置、运行和查看报告

当流量通过FortiGate进入你的网络时，FortiGate扫描流量，然后根据防火墙的策略采取行动。这个活动被记录下来，信息包含在一个日志消息中。日志消息存储在一个日志文件中，然后存储在一个能够存储日志的设备上，比如FortiGate或外部存储设备。

　　日志的目的是帮助你监控你的网络流量、定位问题、建立基准线等等。日志为你提供了一个更大的网络视角，允许你在必要时对网络安全进行调整。

　　当涉及到日志记录时，一些组织有法律需求，所以在配置过程中了解组织的策略是很重要的。

在本节中，我们将简要地检查日志，包括日志类型和子类型、日志严重性级别和日志消息布局。

在FortiGate，有三种不同类型的日志，流量日志、事件日志和安全日志。每一种类型都被进一步划分为子类型。

　　流量日志记录流量信息，如http/https请求及其响应。它包含的子类型有转发、本地和嗅探。

• 转发流量日志包含关于流量的信息，根据FortiGate防火墙策略，这些信息要么被接受，要么被拒绝。

• 本地的流量日志包含了来自于FortiGate的管理IP地址的信息。它们还包括连接到GUI和FortiGuard询问。

• 嗅探日志包含与数据包捕获相关的信息。

　　事件日志记录系统和管理事件，例如添加或修改配置或守护进程。它包含的子类型有端点控制、高可用性、系统、用户、路由器、VPN、WAD和无线。

• 系统事件日志包含与操作相关的信息，比如FortiGuard自动更新和GUI登录。

• 用户日志包含有用户身份验证的防火墙策略的登录和注销事件。

• 路由器、VPN、WAD和无线子类型都包含这些相映特性的日志。例如，VPN包含IPsec和SSL VPN日志条目。

　　最后，安全日志记录用于安全事件的日志，比如病毒攻击和入侵尝试。它们包含基于安全配置文件类型的日志条目(日志类型=utm)，包括应用程序控制、反病毒、DLP、反垃圾邮件(邮件过滤)、Web过滤器、入侵保护、异常(DoS-policy)和WAF。安全日志和子类型只在GUI菜单中可见，安全日志是在内部创建的，如果没有安全日志，则日志菜单项不会出现。

应该注意的是，默认情况下，安全标签下的log Details窗格中的转发流量日志中出现了与安全相关的事件。这是为了提高性能，较少的打开文件句柄对操作系统的CPU占用更少。

每个日志条目包括一个日志级别(或优先级)，这些级别从紧急情况到信息按重要性排列。

　　还有一个调试级别，是最低级别。它将诊断信息放入事件日志中。调试级别很少使用，除非你正在积极地调查一个有Fortinet技术支持的问题。一般来说，你希望使用的最低级别是Information(信息），但即使是这个级别也会生成许多日志，并可能导致早期的硬盘故障。根据日志的类型和组织的需要，你可能只需要记录Notification(通知)级别或更高级别。

　　你和你的组织的策略规定了必须记录的内容。

每个日志消息都有一个由两个部分组成的标准布局：头和主体。

　　报头包含所有日志类型常见的字段，例如原始日期和时间、日志标识符、日志类别、严重性级别和虚拟域(VDOM)。然而，每个字段的值都是特定于日志消息的。正如你在原始日志条目示例中所看到的，日志类型是UTM，子类型是webfilter，级别是warning(警告)。日志的类型和子类型决定了日志主体中出现的字段。

　　因此，主体描述了为什么FortiGate采取行动建日志的原因，这些字段因日志类型而异。在上面的例子中，policyid字段表明哪个防火墙规则匹配流量，scrip字段表示源IP地址，dstip字段表示目的IP地址、hostname表示主机的URL或IP，action字段表示当发现一条策略匹配流量时FortiGate做什么，msg字段表示采取行动的原因，在本例中，动作是被阻止，也就是说，FortiGate阻止了这个IP数据包的传递，原因是它属于防火墙策略中的一个被拒绝的类别。

　　如果你登录到一个第三方设备，比如syslog服务器，那么了解日志结构对于集成是至关重要的。日志信息结构和相关的含义，请访问http://docs.fortinet.com。

本节将介绍在FortiGate上的日志存储选项。

你可以选择将日志存储在各种位置，无论是在FortiGate还是在FortiGate以外的设备上。在本地，FortiGate有自己的内存，而且很多设备都有内置的硬盘驱动器。在外部，你可以将日志存储在Syslog服务器、FortiCloud、SNMP或FortiAnalyzer、FortiManager设备上。

FortiAnalyzer和FortiManager是FortiGate可以通信的扩展日志设备。你可以把FortiAnalyzer或FortiManager放在FortiGate同一网络，或者它的外部。

　　为了让FortiGate发送日志到FortiAnalyzer或FortiManager，你必须用FortiAnalyzer或FortiManager来注册FortiGate，完成注册后，FortiAnalyzer或FortiManager可以开始从FortiGate接收传入的日志。

　　FortiGate使用端口514进行日志传输，你还可以选择使用SSL加密OFTP流量，因此当生成一个日志消息时，它可以安全地通过一个不安全的网络传输。

　　日志消息存储在磁盘上，并以LZ4压缩格式的纯文本形式传输到FortiAnalyzer。这样即减少了磁盘日志的大小，又减少了日志传输时间和带宽占用。

到目前为止，我们已经讨论了FortiAnalyzer和FortiManager，作为FortiGate的可交换的外部日志设备。虽然配置FortiGate来将日志发送到FortiAnalyzer和FortiManager是完全相同的，他们共享一个通用的硬件和软件平台，但是，FortiAnalyzer和FortiManager实际功能不同，这是值得注意的。两者都采用日志记录，但是FortiManager的主要目的是集中管理多个FortiGate设备。因此，日志卷的数量限制在每天固定的数量上，而这一数量少于FortiAnalyzer。另一方面，FortiAnalyzer主要目的是存储和分析日志，因此日志的限制要高得多(尽管限制是依赖于型号的)。

　　在最基本的层面上，你可以用在FortiManager上接收到的日志来做些什么，这与你在FortiAnalyzer上获得的日志所做的事情没有什么不同。

　　FortiGate有两种传送日志事件的方法：存储上传和实时上传。存储上传选项只有在有内部硬盘驱动器的情况下才可以使用。

FortiCloud和Syslog是其他的外部日志选项，你可以使用它们来保存FortiGate日志。

　　FortiCloud是一种基于订阅的、托管的安全管理和日志保留服务，它提供空间可以长期存储日志和报告。如果你的网络比较小，那么FortiCloud通常比购买专用的日志设备更可行。

　　每一个FortiGate都有一个月免费的FortiCloud。通过FortiGate的GUI，你可以将FortiCloud绑定到你的Fortinet技术支持和客户服务帐户，激活试用，并开始发送日志。当磁盘使用被设置为WAN优化(wanopt)时，存储并上传日志选项到FortiCloud也被删除。

　　Syslog是一个日志服务器，它被用作网络设备的中央存储库。FortiGate可以将日志发送到一个Syslog服务器。

需要特定的配置设置，才能记录FortiGate的活动。这些设置被称为日志设置。虽然可以使用配置日志命令来配置日志，但这一节主要关注GUI。

　　为了日志记录有效，你的FortiGate的日期和时间应该是准确的。你可以手动设置系统日期和时间，或者配置FortiGate，通过与网络时间协议(NTP)服务器同步，从而自动保持时间的正确。

这个图表展示了当启用不同的日志选项时的预期行为。

　　第一列是策略日志设置，它显示了防火墙策略的日志设置：日志允许流量(启用或禁用)、安全事件(启用或禁用)或所有会话(启用或禁用)。在相关的示例屏幕截图中，Log Allowed Traffic是启用了所有会话。

　　第二列显示了在防火墙策略上是否启用了安全性配置文件。在相关的示例屏幕截图中，启用了一个反病毒安全配置文件。

　　最后一列显示了该行为。如果你启用了策略上的任何配置文件，并且日志记录没有启用，那么即使配置文件来阻止流量，也不会得到任何的日志。因此，如果你应用了一个安全性配置文件，那么考虑日志设置是很重要的。

在日志设置页面中，你可以启用本地日志记录到磁盘，还可以启用本地报告和历史FortiView。一个饼状图说明了磁盘的使用情况，告诉你在本地磁盘上有多少可用的空间和空闲空间。还可以使用历史磁盘使用图。

　　必须启用磁盘日志记录以使信息显示在FortiView的仪表板中(如果禁用，日志只显示在实时显示)。你还可以通过CLI配置日志磁盘设置命令启用这个设置。只有特定的FortiGate型号支持磁盘日志记录。

　　注意，默认情况下，超过7天的日志会从磁盘中删除(日志年龄是可配置的)。如果你的日志磁盘满了，事件日志将被删除。

　　可以使用〖execute log backup〗命令备份本地磁盘日志。

你可以通过GUI和CLI配置远程日志到FortiAnalyzer或FortiManager。

• GUI：从日志设置页面，启用日志到FortiAnalyzer/FortiManager，输入远程日志设备IP地址。

• CLI：对于FortiAnalyzer和FortiManager，使用config log fortianalyzer setting命令，尽管在命令中没有明确提到FortiManager，但此命令也被用于FortiManager。通过CLI，可以添加最多3个独立的设备来实现日志数据的最大故障转移保护。这三个设备的命令不是累积的。

　　你还必须指定如何上传你的日志。你可以选择将日志存储到磁盘上，然后将其上传到FortiAnalyzer或FortiManager，在这种情况下，你需要指定一个时间表(例如，每天在00:59)，或者你可以实时上传日志。生成日志占用系统资源，因此如果FortiGate频繁地创建和发送日志到多个位置，将会增加CPU和RAM的负担。

　　你可以通过启用Encrypt Log Transmission（加密日志传输）来加密通信。

你还可以通过日志设置页面配置远程登录到FortiCloub。但是，在你能够将日志记录到FortiCloud之前，你必须首先激活你的FortiCloud帐号。一旦激活，你就可以启用FortiCloud日志。你必须添加你的FortiGate，然后FortiGate可以与你的FortiCloud进行通讯，并设置上传选项。如果你想先把你的日志存储到磁盘上，然后再上传到FortiCloud，你必须指定一个时间表。

你还可以通过日志设置页面将远程日志配置到Syslog。你必须添加Syslog IP地址或FQDN，以便FortiGate和Syslog可以进行通信。

　　在CLI中，你可以使用〖config log syslogd〗命令配置最多4个远程Syslog服务器。

你还可以选择你想要在本地流量日志和事件日志中显示的事件。

　　本地的流量日志可以直接提供关于FortiGate的有关流量的信息。默认情况下，这个选项是禁用的，因为它们可以生成大量的日志。

　　事件日志提供了由FortiGate生成的所有系统信息，例如管理员登录、管理员所做的配置更改、用户活动和设备的日常操作，它们不是由通过防火墙策略的流量引起的。例如，基于VPNs路由上下或路由协议活动不是由通过防火墙策略的流量引起的。有一个例外可能是用户日志，因为它在通过策略的流量上记录用户登录/注销事件。

　　你选择启用的事件日志取决于你正在实现的功能以及需要从日志中获得的信息。

此外，你还可以配置如何在GUI中显示日志。

　　例如，你可以指定GUI：

• 从内存、硬盘或FortiAnalyzer显示日志。

• 将IP地址解析为主机名。这需要加强对所有IPs的反向DNS查找。如果你的DNS服务器不可用，或者响应速度较慢，这将影响你查看日志的能力，因为请求将超时。

你可以通过威胁权重页面来配置威胁权重定义。这允许你为低、中、高和关键级别设置风险值，然后对每个基于类别的项目应用一个威胁权重。

　　在上面的例子中，恶意软件的威胁是至关重要的。你可以根据你的组织需求来调整这个威胁的权重。一旦配置了威胁权重，你就可以从威胁页面查看所有检测到的威胁。

一旦配置好了所有的日志记录设置，就可以在防火墙策略上启用日志记录。只有在防火墙策略启用时，才能生成日志消息(基于配置的日志设置)。

　　通常，如果你配置了你的FortiGate来检查流量，那么你也应该启用该安全特性的日志记录，以帮助你跟踪和调试你的流量。除了你认为的严重程度低的违规行为，比如网络过滤，你会想知道你的FortiGate是否在阻止攻击。大多数的攻击不会在第一次尝试的安全漏洞上成功。当你注意到一个持续的攻击者，其方法似乎在演进时，一种主动的方法可以避免出现安全漏洞。要获得这样的早期警告，可以为你的安全配置文件启用日志记录。

　　要在安全配置文件启用日志记录，编辑你的防火墙策略，启用安全配置文件，并从相关的下拉列表中选择你配置的安全配置文件。请记住，如果日志选项中没有启用日志记录，那么你将不会获得任何类型的日志。

重要的是要记住，生成的日志越多，对CPU和内存资源的影响就越大。在一段时间内存储日志也需要磁盘空间，就像访问它们一样。因此，在配置日志之前，确保它值得占用额外的资源，并且你的系统能够处理大量的输入。

　　还需要注意的是，日志记录行为与安全配置文件有关。安全配置文件在检测到流量时创建日志事件。根据你所拥有的流量和启用的日志设置，你的流量日志可能会膨胀，并最终影响你的防火墙的性能。

　　在远程日志设备上，比如FortiAnalyzer和Syslog，你可以在每1-15分钟的时间内从CLI中启用性能统计日志记录。这对于本地磁盘日志或FortiCloud来说是做不到的。

在本节中，我们将研究如何查看、过滤、下载和导出日志。虽然你可以通过执行日志过滤器和执行日志显示命令来查看和管理日志，但是这一节关注的是GUI。

你可以在Log&Report菜单下的GUI中查看你的日志。在这个菜单中出现的选项取决于你的配置。只有安全事件存在时才会出现安全日志。

　　选择要查看的日志类型，比如转发流量。然后，日志会出现在格式化的表视图中。要查看日志详细信息，请从表中选择日志。然后，日志详细信息会显示在右边的log details窗格中。

　　如果在支持它的安全配置文件中启用了存档(比如DLP)，那么归档信息就会在归档数据部分下面的Log Details窗格中出现。在使用FortiAnalyzer或FortiCloud时，也会记录存档日志。

　　如果你配置了FortiGate日志记录到多个位置，并希望从这些位置查看日志，那么你必须在日志设置页面中指定位置。在这个屏幕截图中，日志位置被设置为磁盘，因为这是日志设置页面上的配置设置。如果将日志记录到一个远程位置，比如Syslog，则必须通过该设备查看日志。

根据你的配置，你的FortiGate可能会记录大量的日志。这使得查找特定的日志或日志类型变得更加困难，尤其是在调查期间。

　　为了更有效地查询日志，你可以设置日志过滤器。你在过滤器中指定的信息越多，就越容易找到精确的日志条目。对于显示中的日志数据的每一列，过滤器都是可配置的。

　　默认情况下，显示最常见的列，而不太常见的列是隐藏的。因此，如果根据隐藏的列过滤数据，请确保将该列添加为选定的列。要添加列，右键单击任何列字段，并从出现的弹出菜单中，从可用的列部分中选择列。

还有一个选项，可以对日志应用一个快速过滤器。右键单击特定日志消息的列，并选择出现的过滤器选项之一(基于日志类型和列的选项不同)。

　　此外，你还可以通过日志查看器快速地对源地址进行隔离。右键单击该日志，并从出现的对话框中选择【Quarantine Source Address / 隔离原地址】。你可以将隔离设置为临时或永久性的，并随后从User Quarantine页面管理隔离。

你还可以访问由单个策略生成的日志消息。右键单击你想要查看所有相关日志的策略，并从弹出菜单中选择显示匹配日志。

你可以通过单击相关联的日志类型页面上的下载图标(例如，系统事件日志)下载原始的(未格式化的)日志。如果只需要下载日志的一个子集，可以先过滤日志。

　　你还可以从Advanced页面下载调试日志。只有在将日志严重级别设置为Debug时才会生成调试日志消息。客户支持可以请求调试日志来帮助进行故障排除。

导出日志有三种方法：FTP、TFTP和USB。

　　对于USB，日志被导出为LZ4压缩文件。你可以从CLI和GUI导出到USB。

　　当你将U盘插入到你的FortiGate的USB端口时，USB菜单会出现在GUI中。该菜单显示了U盘上可用的存储空间以及日志文件大小。单击复制到USB，将日志文件复制到U盘上。

　　在CLI，使用〖execute backup disk alllogs usb〗命令，将所有日志备份到U盘。或者只备份流量日志到U盘，使用〖execute backup disk log usb <log type>〗 命令，log type这里输入的是流量、事件、病毒、web过滤等等。

监控你的FortiGate对事故反应至关重要。如果你一直在监控你的网络，你也许能够阻止正在进行的攻击，即使攻击成功，也可以知道是在什么地方发生的。攻击发生的方式可能会暴露你配置中的弱点，或者提供关于攻击者身份的重要线索。

　　有很多方法可以监控你的网络。你可以通过警报消息控制台、FortiView菜单、监控菜单、报警邮件和SNMP进行监控。

警报消息控制台是位于GUI仪表板上的一个小部件。你可以通过单击铅笔图标来配置小部件以显示警告信息。例如，你可以配置想要显示的事件作为警报和显示的警报数量。这些警报并不是日志相关的警报，而是与系统相关的警报。

　　当警报出现在警告消息控制台中时，它会一直存在直到被确认。一旦你调查了这个问题(并在必要时进行调整)，你就可以把它从列表中删除。

FortiView是你的网络的一个综合监控系统，它将实时和历史数据集成到你的FortiGate的单一视图中。它可以记录和监视对网络的威胁，对多个级别的数据进行过滤，跟踪管理活动等等。

　　通过FortiView菜单下的各种页面，你可以调查流量活动，并使用多个过滤器来在特定的时间范围内缩小你的视图(查看过去的24小时的日志需要本地存储)。请注意，一些FortiGate型号支持7天的时间显示。这只能通过使用配置日志设置命令在CLI中启用。

你可以在FortiView菜单下面看到的一些区域包括：

• 源：允许你查看你的FortiGate的信息来源。例如，你可以使用此方法来调查流量的峰值。

• 接口：允许你通过接口执行当前和历史的监控，特别是监控带宽的能力。例如，你可以使用此方法来调查与IP地址相关的流量峰值。

• 国家：允许你根据来源和目的地国家来过滤流量。这包括查看国家地图可视化的选项。例如，你可以使用它来调查特定源的国际源带宽使用情况。

• 所有会话：允许你查看关于所有FortiGate的信息。这个控制台拥有最多的列过滤选项。例如，你可以通过端口号和应用程序类型对会话进行筛选。

• 应用：允许你查看关于你的网络上正在使用的应用程序的信息。

• 云应用：允许你查看关于你的网络上正在使用的基于云的应用程序的信息。

• Web站点：允许你查看关于顶部允许和顶部被屏蔽的网站的信息。例如，你可以使用此方法来调查代理规避的实例。

• 威胁：允许你查看有关事件的高级用户的信息，以及你的网络中最大的威胁。

• 威胁地图：允许你查看来自不同国际位置的风险，通过地图显示这些地点到达你的位置。你可以用它来调查各种各样的国际威胁。

你还可以监控来自监控菜单的各种监控功能，如路由、DCHP、WAN链路、FortiGuard配额、IPsec、SSL VPN、防火墙用户、用户隔离、FortiClient、WiFi和流氓AP。

　　例如，路由监控显示的路由信息包括类型、子类型、网络、网关、接口和时间。

由于你不能总是在设备上进行物理活动，因此可以通过设置警报邮件来监控事件。警报邮件提供了一种有效的、直接的方法通知管理员事件。

　　在配置警报邮件之前，必须在FortiGate上设置一个SMTP服务器。一旦配置好，就会出现警报邮件菜单项。

　　你可以从警报邮件页面配置警报邮件。你可以根据类型触发警报邮件(例如，任何时候检测到入侵或存在防火墙身份验证失败)或最低日志严重性级别(如在警报级别或以上的所有日志)。你可以配置最多三个收件人。

简单的网络管理协议(SNMP)使你能够监视网络上的硬件。你可以配置硬件，例如FortiGhate SNMP代理来报告系统信息，并向SNMP管理器发送异常信息(警报或事件消息)。对于SNMP管理者或主机，通常是一台运行应用程序的计算机，它可以从代理读取异常信息和事件消息，并将SNMP查询发送到SNMP代理。

　　为了配置ForiGate的SNMP监控，你的SNMP管理器需要管理信息基础(MIB)文件。MIB是一个文本文件，它描述了SNMP数据对象的列表，并提供了SNMP管理器需要解释由FortiGate设备SNMP代理发送的SNMP异常信息和事件消息。

　　ForitGate的SNMP只能读取。SNMP v1、v2c和v3兼容的SNMP管理器通过查询对FortiGate信息进行只读访问，并且可以从FortiGate接收异常信息消息。

　　你可以从系统的SNMP页面或来自Fortinet的技术支持Web站点(support.fortinet.com)下载MIB文件。

报告提供了对基于日志数据的网络上正在发生的事情的清晰、简明的概述，而不需要手动进行大量的记录。本节提供了对FortiGate报告的简要概述。

用于存储日志的FortiGate数据库也用于提取报告的信息。日志数据库使用结构化查询语言(SQL)。

　　报告是由数据集构建的，数据集是SQL语句，它告诉FortiGate从数据库中提取哪些信息。

　　FortiGate包括两个默认的报告：学习报告和本地报告。

当在防火墙策略上启用学习模式时，在网络威胁评估学习报告中捕获并生成所有流量和安全向量的数据。该报告的目的是让用户能够轻松地实现一个监控，然后执行过程。

　　数据包括：

• 部署方法

• 行动钢要

• 安全与威胁预防，包括高风险应用，应用程序安全隐患，僵尸网络的恶意软件，间谍软件/广告软件，以及有风险的设备和主机

• 用户生产力，包括应用程序使用和web使用

要启用学习报告，你必须启用磁盘日志记录，并确保在功能选择页面上启用策略学习。

　　你还必须在防火墙策略设置Action为LEARN。一旦启用，该策略将自动应用默认的静态配置文件，并将流量传递给安全配置文件进行监控。它还支持具有完整功能的日志记录，这些功能被标记为在日志中学习。

　　每个vdom都启用了学习报告。

你可以选择查看完整报告或报告摘要。它们都提供相同的数据，但是完整的报告提供了基于文本的各种报告类别的补充说明。

　　你还可以指定报告的时间周期。该报告可以提供最后5分钟、1小时或24小时的数据。

FortiGate安全报告从各种与安全相关的日志中编译安全特性活动，例如病毒和攻击日志。你可以根据需要运行报告，或者每天或每周进行报告，也可以选择发送生成的报告。

FortiGate的报告是由储存在FortiGate硬盘上的日志所配置的。因此，你必须在日志设置页面上启用磁盘日志记录。你还必须启用本地报告以便查看和编辑报告。

　　如果你没有在GUI菜单中看到本地报告，那么可以转到特性选择页面并启用本地报告。

　　本地报告在每个vdom都启用了。

你可以配置报表选项、按需运行报告，以及从本地报告页面查看报告。

　　报告选项包括指定运行报告的时间表(例如，每天或每周的特定时间)，并指定是否对生成的报告进行电子邮件。如果你不想安排报表，你可以选择按需生成。即使现在可以通过单击run启用调度，你也可以在需求报告上运行。

　　你可以从历史报告表中查看所有生成的报告。

在这节课结束后，你应该掌握了下列知识和技能：

• 描述日志类型和子类型

• 描述日志严重性级别

• 安描述日志格式(头和主体)

• 识别日志存储位置

• 配置日志设置

• 配置远程日志

• 启用防火墙策略的日志记录

• 查看、筛选、下载和导出日志

• 监视你的网络

• 配置警报邮件

• 配置、运行和查看报告

 

飞塔技术 - 老梅子   QQ：57389522

---