9. Fortinet Erste Schritte v6.0. Protokollierung und Berichterstellung

Schöne Grüße! Willkommen zur neunten Lektion von Fortinet Getting Started . In der letzten Lektion haben wir die grundlegenden Mechanismen zur Steuerung des Benutzerzugriffs auf verschiedene Ressourcen untersucht. Jetzt haben wir eine weitere Aufgabe: Wir müssen das Verhalten der Benutzer im Netzwerk analysieren und den Empfang von Daten konfigurieren, die bei der Untersuchung verschiedener Sicherheitsvorfälle hilfreich sein können. Daher werden wir in dieser Lektion den Mechanismus der Protokollierung und Berichterstellung betrachten. Dazu benötigen wir den FortiAnalyzer, den wir zu Beginn des Kurses eingesetzt haben. Die notwendige Theorie sowie eine Videolektion finden Sie unter dem Schnitt.

FotiGate-Protokolle werden in drei Typen unterteilt: Verkehrsprotokolle, Ereignisprotokolle und Sicherheitsprotokolle. Sie sind wiederum in Untertypen unterteilt.

In Verkehrsprotokollen werden Verkehrsflussinformationen wie etwa Anfragen und Antworten aufgezeichnet. Dieser Typ enthält Untertypen von Forward, Local und Sniffer.

Der Subtyp Weiterleiten enthält Informationen zum Datenverkehr, den FortiGate gemäß den Firewall-Richtlinien entweder akzeptiert oder abgelehnt hat.

Der lokale Subtyp enthält Verkehrsinformationen direkt von der FortiGate-IP-Adresse und von den IP-Adressen, von denen aus die Verwaltung durchgeführt wird. Zum Beispiel Verbindungen zur FortiGate-Weboberfläche.

Der Sniffer-Subtyp enthält die Verkehrsprotokolle, die mithilfe der Verkehrsspiegelung abgerufen wurden.

Ereignisprotokolle enthalten System- oder Verwaltungsereignisse, z. B. das Hinzufügen oder Ändern von Parametern, das Einrichten und Unterbrechen von VPN-Tunneln, dynamische Routing-Ereignisse usw. Alle Untertypen sind in der folgenden Abbildung dargestellt.

Und der dritte Typ sind Sicherheitsprotokolle. In diesen Protokollen werden Ereignisse im Zusammenhang mit Virenangriffen, Besuchen verbotener Ressourcen, Verwendung verbotener Anwendungen usw. aufgezeichnet. Eine vollständige Liste ist auch in der folgenden Abbildung dargestellt.



Protokolle können an verschiedenen Orten gespeichert werden - sowohl auf FortiGate selbst als auch darüber hinaus. Die Protokollspeicherung in FortiGate wird als lokale Protokollierung betrachtet. Je nach Gerät selbst können Protokolle entweder im Flash-Speicher des Geräts oder auf der Festplatte gespeichert werden. In der Regel verfügen mittlere Modelle über eine Festplatte. Modelle mit Festplatte sind recht einfach zu unterscheiden - am Ende steht eine Einheit. Zum Beispiel wird FortiGate 100E ohne Festplatte geliefert, während FortiGate 101E mit einer Festplatte geliefert wird.

Jüngere und ältere Modelle haben normalerweise keine Festplatte. In diesem Fall wird der Flash-Speicher zum Aufzeichnen von Protokollen verwendet. Es sollte jedoch berücksichtigt werden, dass die ständige Aufzeichnung von Protokollen im Flash-Speicher die Effizienz und Lebensdauer verringern kann. Daher ist die Protokollierung im Flash-Speicher standardmäßig deaktiviert. Es wird empfohlen, es nur für die Ereignisprotokollierung zu aktivieren, während bestimmte Probleme gelöst werden.

Bei intensiver Protokollierung spielt es auf der Festplatte oder im Flash-Speicher keine Rolle - die Leistung des Geräts nimmt ab.



Protokollspeicher auf Remote-Servern ist weit verbreitet. FortiGate kann Protokolle auf Syslog-Servern, FortiAnalyzer oder FortiManager speichern. Sie können den FortiCloud-Clouddienst auch zum Speichern von Protokollen verwenden.



Syslog ist ein Server zur zentralen Speicherung von Protokollen von Netzwerkgeräten.
FortiCloud ist ein abonnementbasierter Sicherheits- und Protokollverwaltungsdienst. Mit seiner Hilfe können Sie Protokolle aus der Ferne speichern und relevante Berichte erstellen. Wenn Sie ein eher kleines Netzwerk haben, ist es möglicherweise eine gute Lösung, nur diesen Cloud-Dienst zu verwenden, anstatt zusätzliche Geräte zu kaufen. Es gibt eine kostenlose Version von FortiCloud, die eine wöchentliche Speicherung von Protokollen impliziert. Nach dem Kauf eines Abonnements können Protokolle ein Jahr lang gespeichert werden.

FortiAnalyzer und FortiManager sind externe Protokollspeichergeräte. Aufgrund der Tatsache, dass alle das gleiche Betriebssystem haben - FortiOS - ist die Integration von FortiGate in diese Geräte nicht schwierig.

Beachten Sie jedoch die Unterschiede zwischen FortiAnalyzer- und FortiManager-Geräten. Das Hauptziel von FortiManager ist die zentrale Verwaltung mehrerer FortiGate-Geräte. Daher ist der Speicher für das Speichern von Protokollen in FortiManager erheblich geringer als in FortiAnalyzer (wenn Sie natürlich Modelle aus demselben Preissegment vergleichen).

Das Hauptziel von FortiAnalyzer ist das Sammeln und Analysieren von Protokollen. Daher ist es genau die Arbeit mit ihm, die wir später in der Praxis betrachten werden.

Die gesamte Theorie sowie der praktische Teil werden in diesem Video-Tutorial vorgestellt:


In der nächsten Lektion werden einige der Highlights der FortiGate-Geräteverwaltung behandelt. Um es nicht zu verpassen, warten Sie auf Updates auf den folgenden Kanälen:

• Youtube
• Vkontakte Gemeinschaft
• Yandex Zen
• Unsere Internetseite
• Telegrammkanal