9. Mise en route de Fortinet v6.0. Journalisation et rapports

Salutations! Bienvenue dans la neuvième leçon de mise en route de Fortinet . Dans la dernière leçon, nous avons examiné les mécanismes de base pour contrôler l'accès des utilisateurs à diverses ressources. Nous avons maintenant une autre tâche - nous devons analyser le comportement des utilisateurs sur le réseau, ainsi que configurer la réception des données qui peuvent aider à enquêter sur divers incidents de sécurité. Par conséquent, dans cette leçon, nous examinerons le mécanisme de journalisation et de génération de rapports. Pour ce faire, nous avons besoin du FortiAnalyzer, que nous avons déployé au début du cours. La théorie nécessaire, ainsi qu'une leçon vidéo sont disponibles sous la coupe.

Les journaux FotiGate sont divisés en trois types: journaux de trafic, journaux d'événements et journaux de sécurité. Ils sont à leur tour divisés en sous-types.

Les journaux de trafic enregistrent les informations de flux de trafic, telles que les demandes et les réponses, le cas échéant. Ce type contient des sous-types de Forward, Local et Sniffer.

Le sous-type Forward contient des informations sur le trafic FortiGate accepté ou rejeté conformément aux politiques de pare-feu.

Le sous-type Local contient des informations sur le trafic directement à partir de l'adresse IP FortiGate et des adresses IP à partir desquelles l'administration est effectuée. Par exemple, les connexions à l'interface Web de FortiGate.

Le sous-type Sniffer contient les journaux de trafic obtenus à l'aide de la mise en miroir du trafic.

Les journaux d'événements contiennent des événements système ou administratifs, tels que l'ajout ou la modification de paramètres, l'établissement et la rupture de tunnels VPN, des événements de routage dynamique, etc. Tous les sous-types sont illustrés dans la figure ci-dessous.

Et le troisième type est les journaux de sécurité. Ces journaux enregistrent les événements liés aux attaques de virus, aux visites de ressources interdites, à l'utilisation d'applications interdites, etc. Une liste complète est également présentée dans la figure ci-dessous.



Les journaux peuvent être stockés à différents endroits - à la fois sur FortiGate et au-delà. Le stockage des journaux sur FortiGate est considéré comme une journalisation locale. Selon le périphérique lui-même, les journaux peuvent être stockés dans la mémoire flash du périphérique ou sur le disque dur. En règle générale, les modèles intermédiaires ont un disque dur. Les modèles avec un disque dur sont assez faciles à distinguer - à la fin il y a une unité. Par exemple, FortiGate 100E est livré sans disque dur, tandis que FortiGate 101E est livré avec un disque dur.

Les modèles plus jeunes et plus anciens n'ont généralement pas de disque dur. Dans ce cas, la mémoire flash est utilisée pour enregistrer les journaux. Cependant, il convient de garder à l'esprit que l'enregistrement constant des journaux dans la mémoire flash peut réduire son efficacité et sa durée de vie. Par conséquent, la journalisation dans la mémoire flash est désactivée par défaut. Il est recommandé de l'activer uniquement pour la journalisation des événements tout en résolvant des problèmes spécifiques.

Avec une journalisation intensive, cela n'a pas d'importance sur le disque dur ou dans la mémoire flash - les performances de l'appareil diminueront.



Le stockage des journaux sur des serveurs distants est assez courant. FortiGate peut stocker des journaux sur des serveurs Syslog, FortiAnalyzer ou FortiManager. Vous pouvez également utiliser le service cloud FortiCloud pour stocker les journaux.



Syslog est un serveur pour le stockage central des journaux des périphériques réseau.
FortiCloud est un service de sécurité et de gestion des journaux basé sur un abonnement. Avec son aide, vous pouvez stocker à distance les journaux et créer des rapports pertinents. Si vous avez un réseau assez petit, utiliser ce service cloud plutôt que d'acheter de l'équipement supplémentaire peut être une bonne solution. Il existe une version gratuite de FortiCloud, qui comprend un stockage hebdomadaire des journaux. Après l'achat d'un abonnement, les journaux peuvent être stockés pendant un an.

FortiAnalyzer et FortiManager sont des périphériques de stockage de journaux externes. Du fait qu'ils ont tous le même système d'exploitation - FortiOS - l'intégration de FortiGate avec ces appareils n'est pas difficile.

Mais notez les différences entre les appareils FortiAnalyzer et FortiManager. L'objectif principal de FortiManager est la gestion centralisée de plusieurs appareils FortiGate - par conséquent, la quantité de mémoire pour stocker les journaux sur FortiManager est nettement inférieure à celle sur FortiAnalyzer (si, bien sûr, vous comparez des modèles du même segment de prix).

L'objectif principal de FortiAnalyzer est de collecter et d'analyser les journaux. C'est donc précisément le travail avec lui que nous considérerons plus tard dans la pratique.

Toute la théorie, ainsi que la partie pratique, est présentée dans ce tutoriel vidéo:


Dans la prochaine leçon, nous aborderons certains des points forts de l'administration des appareils FortiGate. Afin de ne pas le manquer, restez à l'écoute des mises à jour sur les chaînes suivantes:

• Youtube
• Communauté Vkontakte
• Yandex Zen
• Notre site Web
• Chaîne de télégramme