9. Fortinet入门v6.0。记录和报告

问候！欢迎来到Fortinet入门第九课。在上一课中，我们研究了控制用户对各种资源的访问的基本机制。现在，我们还有另一个任务-必须分析网络上用户的行为，并配置数据接收，以帮助调查各种安全事件。因此，在本课程中，我们将考虑日志记录和报告的机制。为此，我们需要在课程开始时部署的FortiAnalyzer。必要的部分还提供了必要的理论以及视频课程。

FotiGate日志分为三种类型：流量日志，事件日志和安全日志。它们又分为子类型。

流量日志记录流量信息，例如请求和响应（如果有）。此类型包含“转发”，“本地”和“嗅探器”的子类型。

转发子类型包含有关FortiGate根据防火墙策略接受或拒绝的流量信息。

本地子类型包含直接来自FortiGate IP地址和执行管理的IP地址的流量信息。例如，到FortiGate Web界面的连接。

嗅探器子类型包含使用流量镜像获得的流量日志。

事件日志包含系统或管理事件，例如添加或更改参数，建立和断开VPN隧道，动态路由事件等。下图显示了所有子类型。

第三类是安全日志。这些日志记录与病毒攻击，对禁止资源的访问，禁止应用程序的使用等相关的事件。下图还显示了完整列表。



日志可以存储在不同的位置-既可以存储在FortiGate上，也可以存储在其他位置。 FortiGate上的日志存储被认为是本地日志。取决于设备本身，日志可以存储在设备的闪存或硬盘中。通常，中间型号具有硬盘驱动器。带有硬盘的型号非常容易区分-最后有一个单元。例如，FortiGate 100E不带硬盘驱动器，而FortiGate 101E不带硬盘驱动器。

较年轻和较旧的型号通常没有硬盘。在这种情况下，闪存用于记录日志。但是，应该记住，将日志不断记录在闪存中会降低其效率和使用寿命。因此，默认情况下禁用记录到闪存的​​功能。建议在解决特定问题时仅将其启用以用于事件记录。

如果进行密集日志记录，则在硬盘驱动器或闪存上都没有关系-设备的性能将下降。



远程服务器上的日志存储非常普遍。 FortiGate可以将日志存储在Syslog服务器，FortiAnalyzer或FortiManager上。您也可以使用FortiCloud云服务来存储日志。



Syslog是用于集中存储来自网络设备的日志的服务器。
FortiCloud是基于订阅的安全和日志管理服务。借助它的帮助，您可以远程存储日志并构建相关报告。如果您的网络规模较小，那么仅使用此云服务而不是购买其他设备可能是一个不错的解决方案。有一个免费的FortiCloud版本，它意味着每周存储一次日志。购买订阅后，日志可以存储一年。

FortiAnalyzer和FortiManager是外部日志存储设备。由于它们都具有相同的操作系统-FortiOS-与这些设备进行FortiGate集成并不困难。

但是请注意FortiAnalyzer和FortiManager设备之间的区别。FortiManager的主要目标是对多个FortiGate设备的集中管理-因此，在FortiManager上用于存储日志的内存量明显少于在FortiAnalyzer上（如果您比较相同价格段的模型）。

FortiAnalyzer的主要目标是收集和分析日志。因此，正是他的工作，我们稍后将在实践中考虑。

该视频教程介绍了整个理论以及实践部分：


在下一课中，我们将介绍FortiGate设备管理的一些重点。为了不错过它，请继续关注以下频道的更新：

• 优酷
• Vkontakte社区
• Yandex Zen
• 我们的网站
• 电报频道