教程篇(5.4) 03. FortiAnalyzer 设备注册和通讯 ❀ Fortinet 网络安全专家 NSE5

　在这个课程里，我们将展示如何在FortiAnalyzer上注册设备，实现日志收集，以及如何对FortiAnalyzer和注册 其上的设备之间的通讯进行故障排查。我们还会学习FortiAnalyzer硬盘配额—确保收集所有日志的重要条件— 以及如何管理注册的设备。

　这是我们在课程里将学习的主题，从设备注册开始。

　在这个章节结束后，你应该可以完成这些任务。通过设备注册的学习，你应该能配置FortiAnalyzer从注册的设 备中收集日志。

　为了实现FortiAnalyzer从设备中开始收集日志，此设备必须在FortiAnalyzer上成为已注册设备。

　　对于FortiAnalyzer，只有两种类型的外部设备：已注册和未注册。

　　注册设备是已授权在FortiAnalyzer上存储日志的设备，而未注册设备是设备请求在FortiAnalyzer上存储日志。

　　有两种把设备注册到FortiAnalyzer的方式。

　　第一种方式是从支持的设备上请求注册。当FortiAnalyzer管理员接受请求时，请求接受。 (也可以被拒绝)。

　　第二种方式是使用FortiAnalyzer设备注册向导。如果设备支持，所有的设备详情正确，设备可以被注册。

 　管理员可以在管理域中注册每个设备，即ADOM。然而设备只能添加到特定设备的ADOM。例如，FortiMail设 备只能在FortiMail ADOM类型中注册。

　　FortiAnalyzer对每种支持设备包含默认的ADOM。可以使用默认ADOM或创建自定义ADOM。创建自定义 ADOM时，仍必须与添加设备的ADOM类型相关联。注意，不能把不同的设备类型添加到同一个ADOM，不管 是默认或自定义ADOM。

　　默认情况下不开启ADOM。只有一个基于FortiGate ADOM 类型的 “root” ADOM。同样，在ADOM未开启时， 不能在FortiAnalyzer上注册任何非FortiGate设备。

　使用这种方式，FortiGate通过开启远程日志并指定FortiAnalyzer IP，在FortiAnalyzer上请求注册。注意，如果 你点击 Test Connectivity，会出现一个错误对话框声明： “Unable to retrieve FortiAnalyzer/FortiManager status”。这是因为FortiAnalyzer管理员还没有接受注册请求—FortiAnalyzer 和FortiGate还没有连接。这时， FortiGate仍然是非注册设备。

　　在支持的设备生成请求之后，此请求自动出现在root ADOM的Device Manager 中。FortiAnalyzer管理员应该 检查未注册设备的详细信息，如果满足条件，则添加设备。

　　在注册请求接受期间，如果开启ADOM，会有选项选择保持FortiGate在root ADOM中，或添加到已配置的任意 自定义FortiGate ADOM。

　使用这种方式，在in FortiAnalyzer的Device Manager中使用设备注册向导。FortiAnalyzer管理主动发起，执行 设备注册。管理员必须有注册设备的具体细节，如IP地址、系列号、设备类型、型号和固件版本。如果设备信 息经过验证，状态成为 “Device Added Successfully” ，设备出现在 Device Manager中。

　　如果开启了ADOM，设备自动注册到与之匹配的特定设备的ADOM。如果已经基于注册的设备类型创建了自定 义ADOM，在使用向导添加设备前，需要先切换到此ADOM。

　在注册不同的Fortinet设备后，设备会出现在对应ADOM中的Device Manager 标签内。也可以查看此ADOM的 日志状态和存储使用的详细信息。

　　在注册并分配ADOM之前，非注册设备出现在root ADOM中。

　当设备注册后，如果在FortiGate上开启了相关日志，FortiAnalyzer自动有收集下列类型的日志的权限：

• 日志：关于流量、事件和安全的日志类型详细信息。然而，因为FortiAnalyzer只支持来自每种设备的特定日志类型，因此依据设备不同，日志也不相同。
• DLP 归档：关于进入或外出网络的敏感数据的日志类型详细信息。
• 隔离：被放入设备上隔离区的日志类型详情文件。
• IPS Packet日志：关于匹配了IPS签名流量的网络数据包的日志类型详细信息。

　你现在已经了解了如何注册设备。

　　接下来学习对FortiAnalyzer和注册设备之间通讯问题的故障排查。

　在这个章节结束后，你应该可以完成这些任务。通过学习通讯故障排查，你应该能对阻止日志收集的问题进行有效排查。

　本页显示一些基础的 CLI命令，可以使用这些命令检查系统状态、性能和硬件统计。

　当使用get system status命令排查系统问题时，下列信息可给予帮助：

• Version：确保FortiAnalyzer固件版本与注册的设备兼容 (了解支持的固件版本请查看 FortiAnalyzer Release  Notes)
• Admin Domain Configuration：如果尝试注册非FortiGate设备时，确保开启了ADOM。
• Current Time：确保日期和时间根据需要正确设置。为一些功能正常工作，包括时间表、日志记录及SSL相  关功能，FortiAnalyzer系统时间必须准确。 可以手动设置日期和时间，但推荐使用NTP服务器同步时间。
• Disk Usage: 确保有足够的可用硬盘空间从注册的设备接收并存储日志。
• License Status: 确保有有效的许可。这只是针对VM版本。

　当使用get system performance命令排查系统问题时，可以查看CPU、内存、硬盘和Flash卡的使用率。 如果任意项接近使用上限，可能需要通过日志检查问题。检查问题时，使用率不能是100%。例如，硬盘配额 不能全部用于日志，一些空间要为系统使用和意外配额溢出保留。本课程后续将讨论磁盘配额。

　　对 FortiAnalyzer VM，注意最小推荐8GB内存。

　当使用diagnose hardware info命令排查系统问题时，可以查看内存和RAID区段。

　　相比get system performance命令提供的信息，可以提供更细粒度的内存占用分类。例如，get system performance命令得到的总内存实际上包含总内存加上交换。diagnose hardware information命令显 示分类信息。交换是指当物理内存占满，系统需要更多内存时的可用空间。在这个临时阶段，内存的不活跃页 将移动到交换空间。

　　如果开启了RAID高性能存储解决方案，RAID级别将影响最终硬盘大小和保留的配额级别。

　本页显示的FortiAnalyzer CLI命令可用于查看连接到FortiAnalyzer的设备和IP是什么；已开启和已配置的 ADOM是什么；当前已注册和未注册的设备或VDOM是什么。

　如果FortiGate和FortiAnalyzer之间发生了通讯问题，首先确保两个设备相互可达。在任一设备上使用execute ping CLI 命令验证设备相互路由可达。 (必须开启ping，并在所有中间防火墙上允许)。

　　也可以在两端设备上运行sniffer，查看数据包是否离开了FortiGate并到达了FortiAnalyzer。如果数据包离开了 FortiGate，但没有到达FortiAnalyzer，需要查看网络中的其它设备。因为中间的路由器或防火墙可能阻止了流 量或路由不正确。

　　其它检查的内容：

• FortiGate配置了远程记录日志到FortiAnalyzer吗？
• 在FortiGate上设置了发送日志到FortiAnalyzer的源IP地址吗? 如果通过VPN访问FortiAnalyzer，且只允许特定网段，此配置很重要。
• 在FortiGate上开启了发送日志到FortiAnalyzer的日志记录过滤吗？
• FortiGate可以生成日志吗？FortiAnalyzer收到日志了吗？如果在FortiGate上看不到任何日志，必须开始  FortiAnalyzer故障排查之前，先检查FortiGate的日志记录问题。

　如果由于任意原因FortiAnalyzer对FortiGate不可用时，FortiGate使用 miglogd 进程缓存日志。当达到最大缓存 值时，miglogd 进程将丢弃缓存的日志。当设备间的连接恢复时，miglogd进程把缓存的日志发送到 FortiAnalyzer。因此，FortiGate 缓冲区将保留足够多的日志用于维持FortiAnalyzer重新启动 (例如需要更新固 件)，但不能用于长时间 FortiAnalyzer中断。

　　在FortiGate上，CLI命令diagnose test application miglogd 6 显示miglogd进程的统计信息，包括 最大缓存大小和当前缓存大小。

　　如果缓存已满并需要丢弃日志，CLI命令 diagnose log kernel-stats 会显示failed-log值增加。

　你现在已经了解了通讯问题故障排查。

　　接下来学习FortiAnalyzer硬盘配额。

　在这个章节结束后，你应该可以完成这些任务。通过FortiAnalyzer设备上硬盘配额的学习，你应该可以管理日 志收集和存储，确保按照需要保留有价值的数据。

　FortiAnalyzer设备硬盘空间有限。当分配的日志硬盘空间已满时，将会发生下列问题：

• 在Alert Message Console上自动产生告警信息，同时产生级别为“warning”的事件日志。
• 最早的日志将被覆盖。这是默认设置，可以调整为当硬盘满时停止记录日志。

　　没有管理员希望丢失有价值的日志数据，以及关于日志保留的非合规风险。同样，了解FortiAnalyzer硬盘配额， 配额如何执行？保留了多少空间？以及存储日志失败的原因等方面至关紧要。

　硬盘配额包括原始日志、归档文件和SQL数据库表。 每个部分都会消耗配额空间。

　通过CLI 命令diagnose log device，可以得到硬盘日志使用率，包括每个ADOM的使用率。

　　通过总系统存储减去保留的空间，决定总配额值。

　　通过所有ADOM归档加加分析配额，决定分配的空间。

　　通过归档、分析日志、设备上mount的所有系统文件相加，决定使用的空间。可以通过CLI命令command diagnose system print df接收系统文件值。

　注意License Information微件显示的值低于配额。这是因为此处仅报告当日推送到FortiAnalyzer上的日志数量。 此外，仅报告进入的流量，因此限制为原始日志部分。不包括日志归档、FortiGate存储并上传的日志、 FortiAnalyzer 汇聚的日志或 FortiClient 日志。也不包括SQL数据库表，是因为日志接收后，由FortiAnalyzer完 成的索引。

　默认情况下，在FortiAnalyzer上每个ADOM允许用于存储日志数据的硬盘空间为1000 MB (或1 GB)，此数值可 配置。最小不能设置低于100 MB，最大值依据具体FortiAnalyzer设备的硬盘空间分配。FortiAnalyzer系统保留 5%-20% 硬盘空间用于压缩文件、上传文件和临时报告文件，75-95% 的硬盘空间可用于设备分配。

　　需要注意，如果使用RAID，RAID级别影响硬盘大小和保留的硬盘配额级别的结果。

　硬盘配额通过不同的进程执行。

• The logfiled 进程执行原始日志文件大小，还负责通过监视其它进程来执行硬盘配额
• The sqlplugind执行SQL数据库文件大小
• The oftpd process执行归档文件大小

　　Logfiled每两分钟检查一次进程 (除非系统资源占用过高) 并估算SQL数据库使用的空间。如果估算的硬盘配额 (原始 + SQL) 在95%以上，FortiAnalyzer移除原始日志和归档中对应的日志(通过SQL表)直到降至85%。

　如果开启了ADOM，可以在All ADOMs页面调整硬盘配额。如果ADOM没有开启，在System Storage调整配 额。

　　硬盘配额计算很困难，应该基于来自每个设备的日志速率进行监视。如果有大量设备，且在FortiGate上有很多 日志，或设备上流量和UTM事件很多，需要考虑把ADOM硬盘配额提高到默认的1000M之上。

　如果监视日志速率时发现提高了硬盘配额还是空间不足，则需要提升整体硬盘空间。 使用FortiAnalyzer VM时， 可以根据上述步骤在FortiAnalyzer上动态增加更多的硬盘空间。 然而，如果使用硬件FortiAnalyzer，由于硬盘 空间是固定的，需要增加另一块硬盘。如果使用了RAID，在增加硬盘后，需要重建RAID阵列。所以，应该在 一开始就规划好未来的增长，采用正确的硬盘大小，这很重要。。

　你现在已经了解了FortiAnalyzer硬盘配额。

　　接下来学习如何管理已注册的设备。

　在这个章节结束后，你应该可以完成这些任务。通过设备管理的学习，你应该可以管理已注册设备的日志记录 需求。

　在All ADOMs页面，可以在ADOM之间移动设备。除非必要，最好不要在ADOM之间移动设备。有一个使用情 景是已经把低日志速率和高日志速率的设备混合在了一个ADOM，在这种情况下，推荐把低日志速率和高日志 速率设备放在不同的ADOM里。这将防止配额执行时对低日志设备产生不利影响。

　　可以通过编辑需要添加设备的自定义ADOM，然后选择把设备添加到此ADOM的方式，在ADOM间移动设备。

　　注意，如果升级FortiGate固件，不需要把设备移动到新的ADOM。。

　当在ADOM间移动设备时，有一些重要的注意事项，特别是需要移动的设备已经开始收集日志：

• 新ADOM的硬盘配额是多少？确保有足够的日志空间。
• 设备的分析日志在新ADOM中是否需要生成报告？如果需要，重建新ADOM的SQL数据库。当移动设备时，  只有归档日志 (压缩的日志) 被迁移到新的ADOM。分析日志 (索引的) 日志还在原有 ADOM中，直至重建数  据库 。
• 是否希望在原有ADOM中查看设备的分析日志？如果不需要，重建原有ADOM的数据库，否则，日志将根据数据策略配置被移除。

　如果FortiGate设备在高可用性(HA)集群中时，FortiAnalyzer可以自动发现(对其它Fortinet设备也适用)。然而， 如果设备在加入集群之前已注册在FortiAnalyzer上，可以在FortiAnalyzer中手动添加集群。

　　在 HA集群里，只有集群中的主设备与FortiAnalyzer通讯：集群中的其它日志把日志发送到主设备，再由主设 备转发到FortiAnalyzer。

　　实现集群开启，需要在FortiAnalyzer上的Device Manager中编辑注册的设备，并开启HA Cluster选项。也可 以把已有设备添加到集群，或手动输入每个相关联设备的系列号到集群中。

　　FortiAnalyzer基于系列号识别不同的设备。系列号在不同日志信息类型的日志头里。

　课程目标回顾。