9. Introdução ao Fortinet v6.0. Registro e Relatórios

Saudações! Bem-vindo à nona lição da Fortinet Getting Started . Na última lição, examinamos os mecanismos básicos para controlar o acesso do usuário a vários recursos. Agora temos outra tarefa - é necessário analisar o comportamento dos usuários na rede, além de configurar o recebimento de dados que podem ajudar na investigação de vários incidentes de segurança. Portanto, nesta lição, consideraremos o mecanismo de registro e geração de relatórios. Para fazer isso, precisamos do FortiAnalyzer, que implantamos no início do curso. A teoria necessária, bem como uma vídeo aula, estão disponíveis sob o corte.

Os logs do FotiGate são divididos em três tipos: logs de tráfego, logs de eventos e logs de segurança. Eles, por sua vez, são divididos em subtipos.

Os logs de tráfego registram informações do fluxo de tráfego, como solicitações e respostas, se houver. Esse tipo contém subtipos de encaminhamento, local e sniffer.

O subtipo Forward contém informações sobre o tráfego FortiGate aceito ou rejeitado de acordo com as políticas de firewall.

O subtipo Local contém informações de tráfego diretamente do endereço IP do FortiGate e dos endereços IP dos quais a administração é realizada. Por exemplo, conexões com a interface da web FortiGate.

O subtipo Sniffer contém os logs de tráfego que foram obtidos usando o espelhamento de tráfego.

Os logs de eventos contêm eventos administrativos ou do sistema, como adicionar ou alterar parâmetros, estabelecer e interromper túneis VPN, eventos de roteamento dinâmico e assim por diante. Todos os subtipos são mostrados na figura abaixo.

E o terceiro tipo são logs de segurança. Esses logs registram eventos relacionados a ataques de vírus, visitas a recursos proibidos, uso de aplicativos proibidos e assim por diante. Uma lista completa também é apresentada na figura abaixo.



Os logs podem ser armazenados em locais diferentes - tanto no FortiGate como em outros lugares. O armazenamento de log no FortiGate é considerado log local. Dependendo do dispositivo, os logs podem ser armazenados na memória flash do dispositivo ou no disco rígido. Normalmente, os modelos intermediários têm um disco rígido. Modelos com disco rígido são bastante fáceis de distinguir - no final, há uma unidade. Por exemplo, o FortiGate 100E vem sem um disco rígido, enquanto o FortiGate 101E vem com um disco rígido.

Modelos mais novos e mais antigos geralmente não têm um disco rígido. Nesse caso, a memória flash é usada para gravar logs. No entanto, deve-se ter em mente que o registro constante de logs na memória flash pode reduzir sua eficiência e vida útil. Portanto, o log na memória flash é desativado por padrão. É recomendável habilitá-lo apenas para o log de eventos enquanto resolve problemas específicos.

Com o registro intensivo, isso não importa no disco rígido ou na memória flash - o desempenho do dispositivo diminuirá.



O armazenamento de log em servidores remotos é bastante comum. O FortiGate pode armazenar logs nos servidores Syslog, FortiAnalyzer ou FortiManager. Você também pode usar o serviço de nuvem FortiCloud para armazenar logs.



O Syslog é um servidor para armazenamento central de logs de dispositivos de rede.
O FortiCloud é um serviço de gerenciamento de segurança e registro baseado em assinatura. Com sua ajuda, você pode armazenar remotamente logs e criar relatórios relevantes. Se você possui uma rede bastante pequena, usar este serviço em nuvem em vez de comprar equipamentos adicionais pode ser uma boa solução. Existe uma versão gratuita do FortiCloud, que implica um armazenamento semanal de logs. Após a compra de uma assinatura, os logs podem ser armazenados por um ano.

FortiAnalyzer e FortiManager são dispositivos externos de armazenamento de log. Devido ao fato de todos terem o mesmo sistema operacional - FortiOS - FortiGate, a integração com esses dispositivos não é difícil.

Mas observe as diferenças entre os dispositivos FortiAnalyzer e FortiManager. O principal objetivo do FortiManager é o gerenciamento centralizado de vários dispositivos FortiGate - portanto, a quantidade de memória para armazenar logs no FortiManager é significativamente menor que no FortiAnalyzer (se, é claro, você comparar modelos do mesmo segmento de preços).

O principal objetivo do FortiAnalyzer é coletar e analisar logs. Portanto, é precisamente o trabalho com ele que consideraremos mais adiante na prática.

Toda a teoria, bem como a parte prática, é apresentada neste tutorial em vídeo:


Na próxima lição, abordaremos alguns dos destaques da administração do dispositivo FortiGate. Para não perder, fique atento às atualizações nos seguintes canais:

• Youtube
• Comunidade Vkontakte
• Yandex Zen
• Nosso site
• Canal de telegrama