教程篇(6.0) 05. 日志和监控 ❀ FortiGate 安全 ❀ Fortinet 网络安全专家 NSE 4

在本课中,你将学习如何配置FortiGate上的本地和远程日志记录;查看、搜索和监视日志;以及保护日志数据。

在本次课程中,你将探讨以下主题:

  • 日志设置
  • 日志设置
  • 远端日志
  • 日志设置
  • 查看、搜索和监视日志
  • 保护日志数据

在完成这节课程之后,你应该能够:

  • 描述日志工作流
  • 识别日志类型和子类型
  • 描述日志严重级别
  • 描述日志消息的设计
  • 描述日志对性能的影响

  通过演示日志设置中的权限,你将能够更有效地分析数据库中的日志数据。

 当流量通过FortiGate到你的网络时,FortiGate扫描流量,然后根据防火墙策略采取行动。记录此活动,并将信息包含在日志消息中。日志消息存储在日志文件中,然后存储在能够存储日志的设备上。FortiGate可以将日志本地存储在自己的磁盘空间上,或者可以将日志发送到外部存储设备,如FortiAnalyzer。

  日志的目的是帮助你监控网络流量、定位问题、建立基线等。日志为你提供了更大的网络透视图,允许你在必要时对网络安全进行调整。

  有些组织在记录时有法律要求,所以在配置过程中了解组织的政策是很重要的。

  为了有效记录,你的FortiGate的日期和时间应该是准确的。你可以手动设置系统日期和时间,或者通过与网络时间协议(NTP)服务器同步来自动配置FortiGate以保持其时间正确。强烈推荐NTP服务器。

对于FortiGate,有三种不同类型的日志:流量日志、事件日志和安全日志。每种类型进一步分为子类型。

  流量日志记录流量信息,如HTTP/HTTPS请求及其响应,如果有的话。它包含命名为前向、局部和嗅探器的子类型。

  • 转发流量日志包含有关防火墙根据防火墙策略接受或拒绝的信息的信息。
  • 本地流量日志包含直接与FortiGate管理IP地址有关的业务信息。它们还包括连接到GUI和FortiGate查询的连接。
  • 嗅探器日志包含与单臂嗅探器所看到的流量有关的信息。

  事件日志记录系统和管理事件,例如添加或修改设置或守护进程活动。它包含有端点控制、高可用性、系统、用户、路由、VPN、WAD和无线的子类型。

  • 系统事件日志包含与操作相关的信息,如动态FortiGuard更新和GUI登录。
  • 用户日志包含具有用户身份验证的防火墙策略的登录和注销事件。
  • 路由、VPN、WAD和无线子类型包括这些功能的日志。例如,VPN包含IPSec和SSL VPN日志条目。

  最后,安全日志记录安全事件,例如病毒攻击和入侵尝试。它们包含基于安全配置文件类型(日志类型=utm)的日志条目,包括应用程序控制、反病毒、DLP、反垃圾邮件(电子邮件过滤)、web过滤器、入侵防御、异常(DoS-policy)和WAF。只有在GUI中创建了日志时,安全日志和子类型才在GUI中可见——如果没有安全日志,则不会出现菜单项。

每个日志条目包括从紧急情况到信息的重要性顺序的日志级别(或优先级级别)。

  也有调试级别。它将诊断信息放入事件日志中。调试级别很少使用,除非你正在用Fortinet主动地调查问题。通常,你希望使用的最低级别是信息,但是即使这个级别也会生成许多日志,并且可能导致过早的硬盘故障。根据日志类型和组织的需要,你可能希望只记录通知级别或更高级别。

  你和你的组织的策略规定了必须记录的内容。

每个日志消息都有一个标准的布局,包括两个部分:标题和正文。

  标题包含所有日志类型共同的字段,例如起始日期和时间、日志标识符、日志类别、严重级别和虚拟域(VDOM)。然而,每个字段的值对日志消息都是特定的。在这个幻灯片上显示的原始日志条目示例中,日志类型是UTM,子类型是web过滤,级别是警告。日志的类型和子类型决定日志体中出现哪些字段。

  因此,正文描述了日志创建的原因以及FortiGate所采取的操作。在上面的例子中,这些字段根据日志类型而变化。

  • 策略ID字段指示哪个防火墙规则与流量匹配。
  • srcip字段指示源IP地址。
  • dstip字段指示目的IP地址。
  • 主机名字段指示主机的URL或IP。
  • action字段指示当找到匹配流量的策略时,FortiGate执行了什么操作。
  • msg字段指示采取的行动的原因。在这个例子中,操作被阻止了,这意味着FortiGate阻止了这个IP包的传递, 原因是它属于防火墙策略中的被拒绝的类别。

  如果你登录到第三方设备(如Syslog服务器),则知道日志结构对集成至关重要。有关日志结构和相关含义的信息,请访问http://docs.fortinet.com。

从Security Fabric中的设备中收集日志是很重要的。这就是为什么两个或更多的FortiGate设备和一个FortiAnalyzer(一个远端日志设备)——是Security Fabric解决方案的核心必备产品。使用FortiGate,你可以在结构中的不同防火墙中启用不同的安全功能,如反病毒(AV)、Web过滤、入侵防御(IPS)和应用程序控制。例如,在内部分段防火墙(ISFW)中,只能启用AV,而在面向Internet的下一代防火墙(NGFW)中,可以启用Web过滤、IPS和应用程序控制。这意味着,当它通过多个防火墙时,不必复制相同流量的扫描和日志。

  Security Fabric 可以提供网络拓扑视图(物理和逻辑),而FortiGate设备可以共享网络相关信息。例如,连接到下游FortiGate设备的设备在上游设备上也是可见的(你必须在FortiGate GUI的Interfaces页面上启用设备检测)。简而言之,管理员可以通过登录到Security Fabric中的根FortiGate来查看连接到网络的日志和设备。使用FortiTelemetry协议安全地共享该信息。

重要的是要记住,生成的日志越多,CPU、内存和磁盘资源的开销就越重。存储日志一段时间也需要磁盘空间,就像访问它们一样。因此,在配置日志记录之前,请确保额外的资源的数值,并且你的系统可以处理这些进入的日志。

  还需要注意的是日志记录行为与安全配置文件。取决于日志记录设置,安全配置文件可以在检测到与配置文件匹配的流量时创建日志事件。根据所拥有的流量以及启用的日志设置,流量日志可能会膨胀,并最终影响防火墙的性能。

  通过FortiGate CLI,你可以使远程日志设备(如FortiAnalyzer和Syslog)的性能统计日志记录每1-15分钟进行一次。这不适用于本地磁盘日志记录或FortiCloud。

  FAZ中的性能统计示例消息:性能统计:平均CPU:0,内存:43,并发会话:190,设置率:0

 你应该始终有一个日志管理计划来解决以下主题:

  • 你希望和需要记录哪些攻击者活动 (例如, 安全功能)?
  • 什么样的日志记录设备最适合你的网络结构?
  • 你想要还是要求归档日志?
  • 如果发生故障,你的备份解决方案是什么?

  你应该部署一个远端日志解决方案, 例如FortiAnalyzer,并确保你未来的发展计划。

  最后,确保经常重新访问计划和备份解决方案,并配置通知你重要活动的警告消息。

小测验。

 你已经理解了日志设置。现在,你将检查日志设置。

 完成本章节之后,你应该能够:

  • 识别本地日志存储选项
  • Enable 日志设置
  • 了解磁盘分配和保留空间
  • 监视磁盘使用情况
  • 磁盘满时配置行为

  通过演示日志设置的能力,你将能够成功地将日志存储到本地磁盘,并根据需要保留这些日志。

 你可以选择将日志存储在各种位置上,无论是否在FortiGate设备上。将日志存储在FortiGate中是熟知的日志设置。根据你的FortiGate设备,你可以将日志存储到设备的闪存或硬盘驱动器中。

  通常,中高端的FortiGate有一个硬盘驱动器。记录硬盘驱动器称为磁盘日志记录。根据模型系列,默认情况下可以启用磁盘日志记录。

  低端和旧型号的FortiGate通常只具有闪存。对于基于闪存的FortiGate,对闪存驱动器的恒定重写可以降低存储器的寿命和效率。因此,不建议登录到Flash,默认情况下禁用日志记录。日志记录只能在有限的流量上启用,只有当你正在积极地解决问题时才启用。故障排除后,应该禁用它。对于基于闪存的FortiGate,建议到外部设备进行日志记录。

  FortiGate可以存储所有日志类型,包括本地日志日志和流量日志。流量日志和日志存档是较大的文件,在被FortiGate记录时需要很大的空间。

  在重日志使用情况下,任何对硬盘或内存的日志记录都会导致性能影响。

  如果你在设备上使用本地硬盘进行WAN链路优化,那么你也不能登录到磁盘(除非你的设备有两个单独的磁盘:你可以使用WAN优化磁盘和另一个磁盘进行日志记录)。如果你正在使用本地硬盘进行WAN优化,你可以登录到远程FortiAnalyzer设备或Syslog服务器。

如果要将日志本地存储在FortiGate上,则必须从Log Settings页面启用磁盘日志记录。只有某些FortiGate型号支持磁盘日志记录。如果你的FortiGate不支持磁盘日志记录,则可以改为登录到外部设备。在本课后面,你将了解有关远端日志的内容。

  为了使信息出现在FortiView仪表板上,必须启用磁盘日志记录。如果禁用,日志只能实时显示。还可以使用CLI 配置日志磁盘设置命令启用此设置。

  默认情况下,超过七(7)天的日志从磁盘中删除(日志时间是可配置的)。

如果你决定在FortiGate本地登录,请注意,整个磁盘空间不可用于存储日志。FortiGate系统保留大约25%的磁盘空间用于系统使用和意外的配额溢出。

  要确定你FortiGate的保留空间的数量,使用CLI命令诊断系统日志磁盘使用情况。从总磁盘空间中减去总日志空间以计算保留空间。

Log Settings页面显示两个图表来可视化磁盘空间:磁盘使用率(Disk Usage),它是一个饼图,说明内部硬盘驱动器上的空闲空间和使用空间;以及历史磁盘使用率(History Disk Usage),它显示随时间变化的磁盘日志记录活动量。如果磁盘记录被禁用,这些图表可能不可见。

  diagnose sys logdisk usage令允许你查看关于当前日志使用多少空间的详细信息。FortiGate只使用可用磁盘容量的75%来避免高存储量,所以这个百分比指的是可用的75%。

默认情况下,当磁盘已满时,将重写最旧的日志。但是,可以使用config log disk setting命令在磁盘满时更改此行为以停止日志记录。

  在磁盘到达完整状态之前,FortiGate发送多个警告。默认情况下,当磁盘使用率达到75%,第二个警告为90%,最后警告为95%时,第一个警告到达。这些阈值可以使用配置日志磁盘设置命令来配置。

 小测验。

 你现在理解了日志设置。接下来,你将检查远端日志。

完成本章节之后,你能应该能够:

  • 识别外部日志存储选项
  • 配置远端日志
  • 了解远端日志如何与VDOM一起工作
  • 理解日志传输
  • 启用可靠的日志记录

  通过演示远端日志的能力,你将能够成功地将日志存储在远程设备上,并安全地进行日志通信。

如果本地存储日志不符合要求,则可以在外部存储日志。你可以配置FortiGate在Syslog服务器、FortiCloud、FortiSIEM、FortiAnalyzer或FortiManager上存储日志。这些日志设备也可以用作备份解决方案。

  Syslog是用于网络设备的中央存储库的日志服务器。

  FortiCloud是一个基于Fortinet订阅的、托管的安全管理和日志保留服务,提供具有报告的日志的长期存储。如果你有一个较小的网络,FortiCloud通常比购买一个专用的日志记录设备更为可行。请注意,每个FortiGate提供一个自由层,并保持日志七天。你必须升级到有偿服务以保留日志一年。

  FortiSIEM提供了统一的事件相关性和风险管理,可以收集、解析、规范化、索引和存储安全日志。

  FortiAnalyzer和FortiManager是FortiGate可以通信的外部日志设备。你可以把FortiManager或FortiManager放置在与FortiGate相同的网络中,或者在它之外。虽然FortiAnalyzer和FortiManager共享一个公共的硬件和软件平台,并且都可以接受日志条目,但是FortiAnalyzer和FortiManager实际上具有不同的功能,值得注意。FortiManager的主要目的是集中管理多个FortiGate设备。因此,日志卷被限制为每天固定的量,其小于等效大小的FortiAnalyzer。另一方面,FortiAnalyzer的主要目的是存储和分析日志,因此日志限制要高得多(尽管限制依赖于型号)。请注意,不需要本地磁盘或内存日志记录将日志记录配置到FortiAnalyzer或FortiManager。

配置FortiGate将日志发送到FortiAnalyzer或FortiManager是相同的。为了使FortiGate向任何设备发送日志,必须用 FortiAnalyzer或FortiManager注册FortiGate。注册后,FortiAnalyzer或FortiManager可以开始接收来自FortiGate的传入日志。
你可以使用GUI和CLI配置远端日志到FortiAnalyzer或FortiManager。

  • GUI:在Log Settings页,开启记录日志到FortiAnalyzer/FortiManager,输入远端日志设备的IP地址。
  • CLI:对于FortiAnalyzer和FortiManager都使用config log FortiAnalyzer setting命令。即使FortiManager在命令中没有明确提到,它也被用于FortiManager。使用CLI,可以增加多达三个单独的设备以增加冗余来保护日志数据。三个设备的命令不是累积的。生成日志使用系统资源,因此,如果FortiGate频繁地创建日志并将日志发送到多个位置,CPU和RAM使用量就会增加。

  注意,GUI上的Test Connectivity功能将报告为失败,直到FortiGate在FortiAnalyzer或FortiManager上注册为止,因为它还没有被授权发送日志。

FortiGate允许接近实时上传和一致的高速压缩和分析到FortiAnalyzer和FortiManager。

  在GUI上, 上传选项包括 Real Time, Every Minute, 和 Every 5 Minutes (默认)。

  如果你的FortiGate模型包括一个内部硬盘驱动器,你也有存储和上传选项。这允许你将日志存储到磁盘,然后在预定时间(通常是低带宽时间)上传到FortiAnalyzer或FortiManager。你可以在CLI上配置存储和上传选项以及时间表。

如果FortiAnalyzer由于任何原因变得无法使用FortiGate,则FortiGate使用它的miglogd进程来缓存日志。缓存大小有一个最大值,一旦达到这个值,miglogd进程将开始删除缓存的日志(最旧的日志)。当两个设备之间的连接被恢复时,miglogd进程开始将缓存的日志发送到FortiAnalyzer。因此,FortiGate缓冲区将日志保持足够长的时间,以维持FortiAnalyzer的重新引导(例如,如果你正在升级固件),但是它不打算用于长时间的FortiAnalyzer停机。

  在FortiGate上,CLI命令diagnose test application miglogd 6显示miglogd 的进程的统计信息,包括最大缓存大小,与当前的缓存大小。

  CLI命令diagnose log kernel-stats 将展示失败日志的增加如果缓存已满且需要删除日志。

类似于FortiAnalyzer和FortiManager,你可以将远端日志配置到Log Settings页面或CLI上的FortiCloud。但是,你必须首先激活你的FortiCloud帐户,所以FortiGate可以与你的FortiCloud帐户通信。一旦完成,你就可以启用FortiCloud日志记录并设置上传选项。如果要先将日志存储到磁盘,然后上载到FortiCloud,则必须指定时间表。当磁盘使用被设置为WAN优化(wanopt)时,将删除日志记录的存储和上传选项。

  你还可以将远端日志配置为Syslog和FortiSIEM,在Log Settings页面或CLI上。你可以配置FortiGate,使用config log syslogd命令将日志发送到多达四个Syslog服务器或FortiSIEM。

  FortiGate支持以CSV和CEF格式向Syslog发送日志,这是一种开放日志管理标准,提供了不同网络设备和应用程序之间安全相关信息的互操作性。CEF数据可被收集和聚集,以便企业管理或安全信息和事件管理(SIEM) 系统(例如FortiSIEM)进行分析。你可以分别配置每个Syslog服务器,以CEF或CSV格式发送日志消息。

  可以使用CLI配置单独的系统日志以使用CSV和CEF格式。这个幻灯片上显示的例子是syslogd3。所有其他系统日志设置都可以根据需要独立于日志消息格式进行配置,包括服务器地址和传输(UDP或TCP)协议。

如果你有配置虚拟域(VDOM)的FortiGate,你可以在全局上添加多个FortiAnalyzer和Syslog服务器。在每个 VDOM上,你可以重写这些全局设置,这允许你为该VDOM仅配置一个FortiAnalyzer或一个Syslog服务器。管理VDOM负责将日志发送到新的FortiAnalyzer和Syslog服务器。

FortiGate使用UDP端口514(或TCP端口514,如果启用可靠的日志记录)用于日志传输。

  日志消息存储在磁盘上,并以LZ4压缩格式作为纯文本传输到FortiAnalyzer。这减少了磁盘日志的大小,减少了日志传输时间和带宽使用。

当你在FortiGate上启用可靠的日志记录 (即在GUI上Encrypt Log Transmission ) 时,日志传输传递方法将从UDP(用户数据报协议)更改为TCP(传输控制协议)。TCP提供可靠的数据传输,确保传输的数据保持完整,并以发送数据的顺序到达。

  如果你使用GUI启用了对FortiAnalyzer或FortiManager的日志记录,则会自动启用可靠的日志记录。如果使用CLI启用日志记录,则必须使用这张幻灯片中显示的CLI命令启用可靠的日志记录。

  登录到FortiCloud使用TCP,你可以使用CLI设置加密算法 (默认设置很高)。

可选地,如果使用可靠的日志记录,则可以使用SSL加密的OFTP流量来加密通信,因此在生成日志消息时,可以在不安全的网络上安全地传输它。你可以通过配置CLI上的enc-algorithm算法来加密使用SSL安全的OFTP的通信。

 小测验。

你现在理解了远端日志。现在,你将检查日志设置。

在完成这一节之后,你应该能够:

  • 配置日志设置
  • 启用防火墙策略的日志记录
  • 在日志中隐藏用户名

  通过演示日志设置的能力,你将能够成功地启用FortiGate上的日志记录,并确保对通过防火墙策略的流量造成的流量生成日志。

配置日志有两个步骤。必须首先配置日志记录设置,以确定日志是否存储在何处、何处以及如何存储日志。你可以将这些设置主要配置在Log Settings页面上的GUI上。然后必须在防火墙策略上配置日志记录,以确定是否生成日志。你可以在IPv4 Policy(或IPv6)页面上在GUI上配置这些设置。

  这张幻灯片上显示的日志准备检查列表根据你的需求确定需要为日志记录配置什么。

Log Settings页允许你去决定日志存储要不要存,存在哪以及如何存。

  如前所述,你必须配置是将日志本地存储在FortiGate磁盘上,还是远程存储到外部设备(如FortiAnalyzer)上。

  还必须配置要捕获的事件日志和本地流量日志。本地流量日志提供关于直接和来自FortiGate的流量信息。默认情况下,由于它们可以生成大量日志,因此禁用此选项。事件日志提供由FortiGate生成的所有系统信息,例如管理员登录、管理员所做的配置更改、用户活动和设备的日常操作——它们不是由通过防火墙策略的流量直接造成的。例如,IPSec VPN关闭或路由协议活动不是由通过防火墙策略的流量引起的。一个例外可能是用户日志,因为它记录通过策略的流量的用户登录和注销事件。你选择启用的事件日志取决于你正在实现的功能以及需要从日志中获得什么信息。

  Resolve Hostnames功能将IPS解析为主机名。这需要FortiGate为所有IPS执行反向DNS查找。如果DNS服务器不可用或响应速度慢,则会影响查看日志的能力,因为请求将超时。

虽然GUI上的日志设置允许你配置要捕获的事件日志和本地流量日志,但是你也可以使用CLI设置更健全和更细粒度的选项。

  前面提到过,可以使用命令config log syslogd setting,为Syslog和FortiSIEM配置最多四个日志服务,使用config log fortiAnalyzer setting最多配置三个FortiAnalyzer设备。你可以使用用于远程Syslog或FortiSIEM 的命令配置日志syslogd筛选和用于FortiAnalyzer设备的命令配置日志fortiAnalyzer筛选器分别控制将哪些日志发送到这些设备中的每一个。

  通过这种方式,可以将设备设置为不同的日志记录级别和/或仅将某些类型的日志发送到一个设备,并将其他类型(或所有日志)发送到其他设备。例如,你可以将信息级别及以上的所有日志发送到FortiAnalyzer,警报级别及以上的日志发送到FortiAnalyzer2,并且仅将流量日志发送到FortiAnalyzer3。

在所有日志记录设置被配置之后,你就可以启用防火墙策略上的日志记录。只有在防火墙策略启用时,通过防火墙策略生成的日志消息才会生成日志消息。

  通常,如果将FortiGate配置为检查流量,则还应该启用该安全功能的日志记录,以帮助跟踪和调试流量。除了你认为严重程度低的违规行为,你还想知道你的FortiGate是否阻止了攻击。大多数攻击在第一次尝试中的安全漏洞中不成功。一个主动的方法,当你注意到一个持久攻击者的方法似乎正在进化,可以避免安全漏洞。要获得像这样的早期警告,请启用安全配置文件的日志记录。

  要启用通过防火墙策略的流量登录,必须执行以下操作:

  1. 在防火墙策略上启用希望的安全配置文件。
  2. 启用Log Allowed Traffic在防火墙策略上。这种设置是至关重要的。如果禁用,即使在防火墙策略上启用了安全配置文件,也不会收到任何类型的日志。你可以选择只记录安全事件,或记录所有会话。
  • Security Events:如果启用(以及一个或多个安全配置文件),安全日志事件将出现在转发流量日志和安全日志中。转发业务日志生成导致安全事件的分组。
  • All Sessions:如果启用,转发流量日志将生成每一个会话。如果还启用一个或多个安全配置文件,则安全日志事件会出现在前向流量日志和安全日志中。

在配置日志记录之后,可以测试修改后的设置是否正常工作。这个测试是使用diagnose log test命令在 CLI上完成的。

  在FortiGate的GUI上,查看日志以查看一些最近生成的测试日志消息。你可以区分测试日志消息和实际日志消息,因为它们没有“real”信息;例如,用于漏洞扫描的测试日志消息包含1.1.1.1或2.2.2.2的目的地IP地址。

在FortitGate中,可以将用户名隐藏在流量日志和UTM日志中,以便用户名显示为“anonymous”。这是有用的,因为一些国家不允许非匿名日志记录。

  要匿名用户名,在CLI中请使用user-anonymize enable命令。

  假设在防火墙策略和安全配置文件中启用日志记录,并且基于身份的策略在FortiGate上配置。

  小测验。

 

​  你已经理解了日志设置。现在,你将检查如何查看、搜索和监视日志。

​  完成本章节之后,你应该能够:

  • 在GUI上查看和搜索日志消息
  • 在CLI上查看和搜索日志消息
  • 通过FortiView查看日志
  • 配置告警邮件
  • 配置威胁权重

  通过展示查看、搜索和监视日志的能力,你将能够有效地定位日志,以帮助支持对任何网络安全问题的调查。

​  你可以在Log & Report菜单中的GUI上访问日志。此菜单中出现的选项取决于你的配置。只有存在安全事件时才会出现安全日志。

  选择要查看的日志类型,如Forward Traffic。GUI上的日志显示在格式化的表视图中。格式化视图比原始视图更易于阅读,并使您能够在查看日志消息时过滤信息。若要查看日志详细信息,请选择表中的日志。日志细节随后出现在窗口右侧的Log Details窗格中。

  如果在支持归档的安全配置文件(如DLP)上启用归档,则归档信息将出现在Archived Data部分的“Log Details ”窗格中。存档日志也记录在使用FortiAnalyzer m或FortiCloud。

  如果将FortiGate配置为登录到多个位置,则可以更改本节中的日志显示位置。在这个幻灯片上显示的示例中,日志位置被设置为“磁盘“。如果登录到Syslog,则必须在Syslog上查看日志。

​  根据你的配置,你的FortiGate可能会记录大量日志。这使得定位特定日志变得更加困难,尤其是在调查期间。

  为了更有效地导航日志,可以设置日志筛选。在筛选中指定的信息越多,找到精确日志项就越容易。过滤器可配置为显示器上的日志数据的每一列。单击“Add Filter ”从出现的下拉列表中选择筛选器。如果你已经看到要在表中的日志中筛选的数据,可以右击该数据来选择快速筛选选项。例如,如果你看到带有特定僵尸网络名称的表中的反病毒日志,右键单击表中的僵尸网络名称,并显示一个快速筛选选项,让你可以用僵尸网络名称对所有日志进行筛选。

  默认情况下,显示最常见的列,而隐藏的列不太常见。因此,如果基于隐藏的列过滤数据,请确保将列添加为选定列。若要添加列,请右击任意列字段,并在出现的弹出菜单中选择“Available Columns ”选项中的列。

  如果在日志数据确实存在时,搜索过滤器不返回任何结果,则筛选器可能输入有差异。FortiGate在日志中寻找一个精确匹配,所以必须正确地形成搜索字符串。

​  还可以访问由单个策略生成的日志消息。右击要查看所有相关日志的策略,并在弹出菜单中选择“Show Matching Logs”。FortiGate将带你到基于策略UUID自动设置过滤器的Forward Traffic页。

​  不限制从GUI上查看日志消息。还可以使用execute log display命令查看CLI上的日志消息。此命令允许你查看已在execute log filter命令中配置的特定日志消息。execute log filter命令配置你将看到的日志消息,一次可以查看多少日志消息(最多1000条日志消息),以及可以查看的日志消息类型。

  日志显示在原始格式视图中。原始格式在日志文件中显示日志。

  类似于GUI,如果你已经配置了Syslog或FortiSIEM服务器,就无法查看CLI上的日志消息。

​  FortiView是查看日志数据的另一种方式。FortiView将实时和历史数据集成为单个、汇总视图。它可以记录和监视网络的威胁,过滤多个级别的数据,跟踪管理活动等等。

  在FortiView菜单下的各个页面上,你可以调查流量活动,并使用多个过滤器来在特定的时间范围内缩小你的视图(在过去,查看日志需要本地存储)。请注意,一些FortiGate模型支持7天的时间显示。这只能使用配置日志设置命令从CLI启用。
你还可以将FortiView视图保存为仪表板上的小部件。

​ 因为你不能总是在物理上观察设备上的日志,所以你可以通过设置提醒邮件来监控事件。警报电子邮件提供通知事件管理员的有效且直接的方法。

  在配置警报电子邮件之前,你应该先在你的FortiGate上配置自己的SMTP服务器。FortiGate已经预先配置了SMTP服务器,但建议你使用内部电子邮件服务器,如果你有一个。

  你可以在Email Alert Settings页上配置告警电子邮件。你可以基于事件(例如任何时候检测到入侵或网络过滤器阻塞流量)或基于最小日志严重性级别(例如警报级别或更高级别的所有日志)触发警报电子邮件。你最多可以配置三个收件人。

​ 为了轻松地确定解决最相关问题的优先级,你可以为与威胁权重(或得分)相关联的IPS签名、web类别和应用程序配置严重性级别。

  在Threat Weight页面上,可以将低、中、高或关键风险值应用于每个基于类别的项目。这些级别中的每一个都包括威胁权重。默认情况下,低=5,中等=10,高=30,临界=50。你可以根据组织要求调整这些威胁权 重。

  在配置威胁权重之后,可以查看Threats页面上的所有检测到的威胁。还可以通过过滤威胁评分来搜索日志。

  注意,威胁权重仅用于信息目的。FortiGate不会采取任何基于威胁权重的行动。

​  小测验。

​  你已经了解了如何解决通信问题。现在你将检查如何保护日志数据。

​  在完成这一节之后,你应该能够:

  • 执行日志备份
  • 配置日志滚动和上传
  • 执行日志下载

  通过以不同的方式展示保护日志的能力,你将能够满足组织或法律对日志的要求。

​  还可以通过执行日志备份来保护日志数据,即将日志文件从数据库复制到指定位置。

  execute backup disk alllogs命令将所有日志备份到FTP、TFTP或USB,而execute backup disk log <log type>将特定日志类型(如web过滤器或IPS)备份到FTP、TFTP或USB。这些日志以LZ4格式存储,不能恢复到另一个FortiGate。

  还可以使用GUI备份日志到USB。当你将USB驱动器插入到FortiGate的USB端口时,GUI菜单项就会出现。

​  使用config log disk setting命令,可以将日志配置为滚动(类似于压缩文件),以降低包含日志所需的空间要求,从而不会覆盖它们。默认情况下,当它们的大小达到20MB时,日志会滚动。你还可以配置一个滚动计划表和时间。

  使用相同的CLI命令,还可以配置滚动日志以上传到FTP服务器以节省磁盘空间。你可以配置上载的日志文件的类型、何时以及是否在上传后删除文件。还可以配置加密的FTPS通信。

​  你还可以下载来自FortiGate的日志副本,并将它们保存在服务器或计算机上,以便以后查看和访问。这确保了当原始文件最终被覆盖在FortiGate上时,你仍然有一个副本。

  你可以通过点击相关的日志类型页面上的下载图标来下载日志(例如,Forward Traffic或Web Filter)。这只会下载结果表中的日志,而不是磁盘上的所有日志。因此,如果只想下载日志的子集,可以添加日志筛选器。当你在GUI上下载日志消息时,你下载的是原始格式的日志消息。

​  小测验。

​ 已经完成了本次课程。

​  本课程包括以下目标:

  • 理解日志设置 (日志工作流、日志类型和子类型、日志严重级别和日志消息布局)
  • 描述日志对性能的影响
  • 识别本地日志存储选项
  • 配置日志设置
  • 了解磁盘分配和预留空间,监视磁盘使用情况,并在磁盘满时配置行为
  • 识别外部日志存储选项
  • 配置远端日志
  • 了解日志传输以及如何启用可靠的日志记录和OFTP
  • 配置logging settings
  • 了解miglogd
  • 在GUI和CLI上查看和搜索日志消息
  • 从FortiView上查看日志
  • 配置告警邮件和威胁权重
  • 配置日志备份,滚动,上传,下载

 


评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值