教程篇(7.2) 05. 日志记录和监控 & FortiGate安全 ❀ Fortinet 网络安全专家 NSE 4

Posted 飞塔老梅子

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了教程篇(7.2) 05. 日志记录和监控 & FortiGate安全 ❀ Fortinet 网络安全专家 NSE 4相关的知识,希望对你有一定的参考价值。

 在这节课中,你将学习如何在FortiGate上配置本地和远程日志;查看、搜索和监控日志;以及保护你的日志数据。

 这节课,你将学习上图所示的主题。

 通过演示日志基础知识,你将能够更有效地分析数据库中的日志数据。

 当流量通过FortiGate到达你的网络时,FortiGate会扫描流量,然后根据防火墙策略采取相应的措施。此活动被记录下来,并且信息包含在日志消息中。日志信息保存在日志文件中。然后将日志文件存储在能够存储日志的设备上。FortiGate可以将日志存储在本地自己的磁盘空间上,也可以将日志发送到外部存储设备(如FortiAnalyzer)。

  日志的目的是帮助你监控网络流量、定位问题、建立基线等等。日志为你提供了一个更大的网络视图,允许你在必要时调整网络安全设置。

  有些组织在日志记录方面有法律要求,因此在配置期间了解组织的策略非常重要。

  为了有效的记录,你的FortiGate系统的日期和时间应该是准确的。你可以手动设置系统日期和时间,也可以配置FortiGate通过与网络时间协议(NTP)服务器同步来自动保持时间正确。建议配置NTP服务器。

 对于FortiGate,有三种不同类型的日志:流量日志、事件日志和安全日志。每一种类型都被进一步划分为子类型。

  流量日志记录了流量信息,如HTTP/HTTPS请求及其响应等。它包含名为forward、local和sniffer的子类型。

  ● 转发流量日志包含了FortiGate根据防火墙策略接受或拒绝的流量信息。

  ● 本地流量日志包含直接访问和来自FortiGate管理IP地址的流量信息。它们还包括到GUl和FortiGuard查询的连接。

  ● 嗅探日志包含了与单臂嗅探器所看到的流量相关的信息。

  事件日志记录系统和管理事件,例如添加或修改设置,或守护进程活动。它包含上图列出的子类型。

  ● 系统事件日志包含与操作相关的信息,如自动更新FortiGuard和GUI登录。

  ● 用户日志包含使用用户认证的防火墙策略的登录和注销事件。

  ● 路由器、VPN和无线子类型包括这些特性的日志。例如:VPN包含IPsec和SSL VPN日志。

  最后,安全日志记录安全事件,如病毒攻击和入侵企图。它们包含基于安全配置文件类型(log type = utm)的日志条目,包括上图列出的子类型。

  每个日志条目都包含一个日志级别(或优先级),其重要性从紧急到信息不等。

  还有一个调试级别,它将诊断信息包含到事件日志中。很少使用调试级别,除非你正在积极地调查Fortinet支持的问题。通常,你希望使用的最低级别是信息级别,但即使是这个级别也会生成许多日志,并可能导致硬盘过早故障。根据日志类型和组织的需求,你可能希望只记录通知级别或更高级别的日志。

  你和你的组织的策略规定了必须记录的内容。

 每个日志消息都有一个标准的布局,包括两个部分:标题和正文。

  标题包含所有日志类型的通用字段,例如起始日期和时间、日志标识符、日志类别、严重级别和虚拟域(VDOM)。但是,每个字段的值都与日志消息相关。在上图显示的原始日志条目示例中,日志类型是UTM,子类型是webfilter,级别是warning。日志的类型和子类型决定日志正文中出现哪些字段。

  因此,正文描述了创建日志的原因,以及FortiGate所采取的操作。这些字段因日志类型不同而不同。在上图的例子中,字段如下:

  ● policyid字段表示匹配流量的防火墙规则

  ● srcip字段表示源IP地址

  ● dstip字段表示目的IP地址

  ● hostname字段表示主机的URL或IP地址

  ● action字段表示当发现与流量匹配的策略时,FortiGate会做什么

  ● msg字段指示所采取操作的原因。在本例中,动作为blocked,这意味着FortiGate阻止了该IP报文的通过,原因是它属于防火墙策略中的拒绝的类别。

  如果你将日志记录到第三方设备(如syslog服务器),了解日志结构对于集成至关重要。有关日志结构和相关含义的信息,请访问http://docs.fortinet.com。

  重要的是要记住,生成的日志越多,对CPU、内存和磁盘资源的消耗就越重。存储日志一段时间也需要磁盘空间,访问日志也是如此。因此,在配置日志记录之前,请确保额外的资源是值得的,并且你的系统能够处理大量的数据。

  同样需要注意的是安全配置文件的日志记录行为。根据日志设置,安全配置文件可以在检测到匹配该配置文件的流量时创建日志事件。根据你拥有的流量和启用的日志记录设置,你的流量日志可能会膨胀,并最终影响防火墙的性能。

  当使用远程日志记录设备(如FortiAnalyzer和syslog)时,你可以启用性能统计日志记录每1-15分钟发生一次(0为禁用)。这对于本地磁盘日志记录或FortiCloud不可用。

  答案:B

  答案:A

  干得漂亮!你已经了解了日志的基础知识。现在,你将了解本地日志记录。

  通过演示本地日志记录方面的能力,你将能够成功地将日志存储到本地磁盘,并根据你的需求保留这些日志。

 一般来说,中高端的FortiGate都有一个硬盘驱动器。FortiGate可以在硬盘上存储日志。此操作称为本地日志记录或磁盘日志记录。根据型号系列的不同,磁盘日志记录可能在默认情况下启用。

  FortiGate支持本地存储所有日志类型,包括日志归档和流量日志。流量日志和日志档案是较大的文件,当由FortiGate记录时需要大量的空间。

  在大量使用日志的情况下,磁盘日志记录将导致性能影响。

  如果你正在使用设备上的本地硬盘进行WAN优化,那么你也不能登录到磁盘,除非你的设备有两个单独的磁盘。如果你的设备有两个单独的磁盘,你可以使用一个磁盘进行WAN优化,另一个磁盘用于日志记录。如果您你在使用本地硬盘进行WAN优化,并且只有一个磁盘可用,则可以将日志记录到远程FortiAnalyzer设备或syslog服务器。

  如果要在FortiGate上本地存储日志,必须在日志设置页面开启磁盘日志功能。只有一些FortiGate型号支持磁盘日志记录。如果你的FortiGate不支持磁盘日志记录,则可以将日志记录到外部设备。

  必须启用磁盘日志记录,以便在FortiView仪表板上显示信息。关闭后,日志只实时显示。你也可以使用CLl config log disk setting命令启用此设置。

  默认情况下,删除磁盘上超过7天的日志。这个值是可配置的。

  如果你决定日记记录在FortiGate本地,请注意整个磁盘空间无法用于存储日志。FortiGate系统为系统使用和意外配额预留了大约25%的磁盘空间。

  要确定FortiGate上的预留空间量,请使用CLl命令diagnose sys logdisk usage。用总磁盘空间减去总日志空间,计算预留空间。

  通过配置FortiGate,可以将日志存储在syslog服务器、FortiCloud、FortiSIEM、FortiAnalyzer和FortiManager上。这些记录设备也可以用作备份解决方案。只要可能,最好将日志存储在外部。

  Syslog是一个日志服务器,用作网络设备的中央存储库。

  FortiCloud是一种基于Fortinet订阅的托管安全管理和日志保留服务,提供带有报告的日志的长期存储。如果你的网络较小,使用FortiCloud通常比购买专用的日志记录设备更可行。请注意,每个FortiGate都提供了一个免费的层,并将保存七天的日志。你必须升级到付费服务才能保留一年的日志。

  FortiAnalyzer和FortiManager是FortiGate可以与之通信的外部日志记录设备。你可以将FortiAnalyzer或FortiManager放置在与FortiGate相同的网络中,也可以放置在其外部。虽然FortiAnalyzer和FortiManager共享一个公共的硬件和软件平台,并且都可以获取日志条目,但FortiAnalyzer和FortiManager实际上具有不同的功能,值得注意。FortiManager的主要目的是集中管理多个FortiGate设备。因此,日志卷每天被限制为固定的数量,小于等效大小的FortiAnalyzer。另一方面,FortiAnalyzer的主要目的是存储和分析日志,因此日志限制要高得多(尽管限制取决于型号)。请注意,你不需要本地日志记录即可将日志记录配置为FortiAnalyzer或FortiManager。

  配置FortiGate发送日志到FortiAnalyzer或FortiManager的过程相同。为了将日志发送到任何一台设备,必须向FortiAnalyzer或FortiManager注册FortiGate。注册后,FortiAnalyzer或FortiManager可以开始接受来自FortiGate的传入日志。

  你可以使用GUl和CLI将远程日志记录配置到FortiAnalyzer或FortiManager。

  注意,在FortiAnalyzer或FortiManager上注册FortiGate之前,GUI上的测试连接功能将报告为失败,因为它还没有被授权发送日志。

  FortiGate允许近实时上传和一致的高速压缩和分析到FortiAnalyzer和FortiManager。

  在界面上,默认有实时每分钟每5分钟上传选项。

  如果你的FortiGate型号包括一个内部硬盘驱动器,你也有store-and-upload选项。这允许你将日志存储到磁盘,然后在预定的时间(通常是低带宽时间)上传到FortiAnalyzer或FortiManager。存储上传选项和时间表只能在CLI下配置。

  如果FortiAnalyzer由于任何原因对FortiGate不可用,FortiGate将使用它的miglogd进程缓存日志。缓存大小有一个最大值,一旦达到这个值,miglogd进程就会开始丢弃缓存的日志(最早的先丢弃)。当两台设备之间的连接恢复后,miglogd进程开始将缓存的日志发送到FortiAnalyzer。因此,FortiGate缓冲区保存日志的时间足够长,以支持FortiAnalyzer的重新启动(例如,如果你正在升级固件),但它不打算用于长时间的FortiAnalyzer停机。

  在FortiGate中,CLI命令diagnose test application miglogd 6显示miglogd进程的统计信息,包括缓存总大小和当前缓存大小。

  如果缓存已满,需要删除日志,CLI命令diagnostic log kernel-stats将显示failed-log的增加。

  带有SSD盘的FortiGate设备有一个可配置的日志缓冲区。当连接到FortiAnalyzer不可达时,如果内存日志缓冲区已满,FortiGate可以在磁盘上缓冲日志。恢复到FortiAnalyzer的连接后,可以成功发送在磁盘缓冲区上排队的日志。

  与FortiAnalyzer和FortiManager类似,可以通过日志设置界面或命令行配置远程日志到FortiCloud。但是,你必须首先激活你的FortiCloud帐户,这样FortiGate才能与你的FortiCloud帐户通信。完成后,你可以启用FortiCloud日志记录并设置上传选项。如果你希望先将日志存储到磁盘,然后再上传到FortiCloud,则必须指定计划任务。当磁盘使用设置为WAN优化(wanopt)时,将删除用于记录到FortiCloud的存储和上传选项。

  远程日志也可以在日志设置界面或命令行中配置为syslog和FortiSIEM。你可以使用config log syslogd CLI命令配置FortiGate将日志发送到最多4个syslog服务器或FortiSIEM设备。

  FortiGate支持将日志发送为CSV和CEF两种格式的syslog日志。syslog是一种开放的日志管理标准,提供不同网络设备和应用程序之间安全相关信息的互操作性。可以通过企业管理或安全信息和事件管理(SIEM)系统(如FortiSIEM)收集和汇总CEF数据以进行分析。你可以单独配置每台syslog日志服务器,以CEF或CSV格式发送日志消息。

  你可以通过命令行配置单个syslog日志为CSV格式和CEF格式。上图显示的例子是针对syslogd3的。所有其他syslog设置都可以根据需要进行配置,与日志消息格式无关,包括服务器地址和传输(UDP或TCP)协议。

 如果你有一个配置了虚拟域(VDOM)的FortiGate,你可以全局添加多个FortiAnalyzer和syslog服务器。在全局设置下,你最多可以配置三个FortiAnalyzer设备和四个syslog服务器。

 FortiGate默认使用UDP 514端口进行日志传输。

  日志消息存储在磁盘上,并以LZ4压缩格式的纯文本形式传输到FortiAnalyzer。这样可以减少磁盘日志大小,减少日志传输时间和带宽使用。

  启用可靠日志功能后,日志传输方式由用户数据报协议(UDP) 切换为传输控制协议(TCP)。TCP提供可靠的数据传输,保证传输的数据保持完整,并按照发送时的顺序到达。

  如果使用GUl启用FortiAnalyzer或FortiManager的日志记录,可靠的日志记录将自动启用。如果使用CLI启用日志记录,则必须使用上图所示的CLI命令启用可靠日志记录。

  登录FortiCloud使用TCP协议,加密算法可通过CLI设置。默认加密设置为高。

  可选地,如果使用可靠的日志记录,你可以使用ssl加密的OFTP流量加密通信,这样当生成日志消息时,它就可以安全地在不安全的网络上传输。用户可以通过CLI配置enc-algorithm来选择SSL保护级别。

  当FortiGate和FortiAnalyzer都运行7.2或更高版本,并且配置了可靠的日志记录时,FortiGate将日志保存在确认队列中,直到它验证这些日志是否被FortiAnalyzer接收。这是通过使用序列号(seq_no)来跟踪接收到的日志来实现的。Fortios定期向FortiAnalyzer查询最近收到的日志的最新seq_no,并清除从确认队列到seq_no的日志。

  答案:A

  答案:A

  答案:B

  干得漂亮!你了解了远程日志记录。现在,你将了解日志设置。

 通过展示日志设置方面的能力,你将能够成功地在你的FortiGate上启用日志,并确保在流量通过你的防火墙策略时产生流量日志。

 日志设置页面允许你决定日志是否存储、存储在哪里以及如何存储。

  如前所述,必须配置是将日志本地存储在FortiGate磁盘上,还是远程存储到外部设备(如FortiAnalyzer)上。

  你还必须配置要捕获哪些事件日志和本地流量日志。默认情况下,该选项是禁用的,因为它们可以生成大量的日志。

  事件日志提供了FortiGate生成的所有系统信息,如管理员登录、管理员修改配置、用户活动、设备日常操作等,不是由通过防火墙策略的流量直接引起的。选择启用的事件日志取决于正在实现的功能以及需要从日志中获取的信息。

  解析主机名功能将IP地址解析为主机名。这需要FortiGate对所有IP地址执行反向DNS查找。如果你的DNS服务器不可用,或者响应很慢,可能会影响你查看日志的能力,因为请求会超时。

  当你使用GUI上的日志设置来配置捕获哪些事件日志和本地流量日志时,你可以使用CLI设置更细粒度的选项。

  你可以配置FortiGate向外部服务器发送日志。对于远程syslog或FortiSIEM,可以使用命令config log syslogd filter,对于FortiAnalyzer或FortiManager,可以使用命令config log fortianalyzer filter来控制将哪些日志分别发送到这些设备。

  通过这种方式,可以对设备设置不同的日志级别,或者只向一台设备发送某些类型的日志,而向其他设备发送其他类型的日志(或全部日志)。例如,信息级及以上级别的日志都可以发送到FortiAnalyzer,警报级及以上级别的日志都可以发送到FortiAnalyzer2,流量级日志只可以发送到FortiAnalyzer3。

  例如,以下命令为第一个syslog服务器配置日志过滤器,使其只包含与直接出入FortiGate管理IP地址的流量相关的日志,级别为critical或更高:

  #config log syslogd filter

  #(filter) set severity critical

  #(filter) set local-traffic enable

  配置所有日志记录设置后,可以在防火墙策略上启用日志记录。只有在防火墙策略上启用时,才会生成由通过该防火墙策略的流量引起的日志消息。

  通常,如果你将FortiGate配置为检查流量,你还应该为该安全功能启用日志记录,以帮助您跟踪和调试流量。除了你认为严重程度较低的违规行为外,你会想知道FortiGate是否阻止了攻击。大多数攻击在第一次尝试时不会导致安全漏洞。当你注意到持续攻击者的方法似乎在不断演变时,主动方法可以避免安全漏洞。要获得这样的早期警告,请启用安全配置文件的日志记录。

  若要启用通过防火墙策略的流量记录功能,需要完成以下操作:

  1. 在防火墙策略上启用所需的安全配置文件。

  2. 在该防火墙策略上启用记录许可流量。这种设置是至关重要的。如果禁用,你将不会收到任何类型的日志——即使你在防火墙策略上启用了安全配置文件。你可以选择只记录安全事件,或记录全部会话:

  ● 安全事件:如果启用(以及一个或多个安全配置文件),安全日志事件将出现在转发流量日志和安全日志中。转发流量日志是指对引起安全事件的报文产生转发流量日志。

  ● 所有会话:启用后,每条会话都会生成一条转发流量日志。如果同时启用了一个或多个安全配置文件,则转发流量日志和安全日志中会出现安全日志事件。

  在FortiGate上,你可以在流量日志和UTM日志中隐藏用户名,以便用户名显示为anonymous。这很有用,因为一些国家不允许非匿名的记录。

  需要匿名化用户名,使用set user-anonymize enable CLl命令。

  假设在防火墙策略和安全配置文件中启用了日志记录,并且在FortiGate上配置了基于身份的策略。

  你可以在GUl的日志&报表菜单中访问你的日志。

  选择需要查看的日志类型,如转发流量。GUl上的日志显示在一个格式化的表视图中。格式化视图比原始视图更容易阅读,它使你能够在查看日志消息时过滤信息。如果需要查看详细的日志信息,请在表格中选中相应的日志。日志的详细信息将显示在窗口右侧的日志详细信息窗格中。

  如果在支持存档的安全配置文件(如DLP)上启用了存档,则存档信息将显示在日志详细信息窗格中的归档数据部分。使用FortiAnalyzer或FortiCloud时也会记录归档日志。

  如果你将FortiGate配置为记录多个位置,则可以在本节中更改日志显示位置。在上图所示的示例中,日志位置设置为磁盘。如果使用syslog日志,则必须在syslog日志中查看日志。

  要更有效地浏览日志,可以设置日志过滤器。在过滤器中指定的信息越多,就越容易找到精确的日志条目。可以为显示器上的每一列日志数据配置过滤器。单击添加过滤器在出现的下拉列表中选择过滤器。如果在表中已经存在的日志中看到要筛选的数据,可以右键单击该数据以选择快速筛选选项。例如,如果你在表中看到具有特定僵尸网络名称的反病毒日志,则右键单击表中的僵尸网络名称,然后打开一个快速过滤选项,允许你过滤具有该僵尸网络名称的所有日志。

  默认情况下,显示最常见的列,隐藏不太常见的列。若要添加列,右键单击任何列字段,并在打开的弹出菜单中选择可用列部分中的列。

  你还可以访问单个策略生成的日志消息。右键单击要查看所有关联日志的策略,在弹出菜单中选择显示匹配日志

  FortiGate将引导你进入转发流量页面,在该页面中根据策略UUID自动设置过滤器。

 在GUl上查看日志消息不受限制。也可以在CLI下执行execute log display命令查看日志信息。

  该命令允许你查看已经在execute log filter命令中配置的特定日志消息。execute log filter命令配置你将看到的日志消息、一次可以查看多少条日志消息(最多1000行日志消息)以及可以查看的日志消息类型。

  日志显示在原始格式视图中。原始格式显示日志文件中出现的日志。

  与GUI类似,如果配置了syslog或SIEM服务器,则无法在CLI上查看日志消息。

  因为你不能一直在设备上监视日志,所以你可以通过设置提醒邮件来监视事件。提醒邮件提供了一种将事件通知管理员的有效而直接的方法。

  在配置提醒邮件之前,你应该首先在你的FortiGate上配置你自己的SMTP服务器。FortiGate预先配置了一个SMTP服务器,但如果你有内部电子邮件服务器,建议你使用。

  通过CLI配置提醒邮件。你可以根据事件(例如检测到入侵或web过滤器阻断流量)或最低日志严重级别(例如警报级别或以上的所有日志)触发提醒邮件。你最多可以配置三个收件人。

  为了更容易地优先解决最相关的问题,你可以为与威胁权重(或得分)相关的IPS签名、web类别和应用程序配置严重级别。

  在威胁权重页面,你可以对每个基于类别的项目应用低、中、高或严重的风险值。每个级别都包含一个威胁权重。缺省情况下,low = 5, medium = 10, high = 30, critical = 50。你可以根据组织需求调整这些威胁权重。

  配置威胁权重后,在安全页面可以查看到当前检测到的所有威胁。你也可以根据日志的威胁评分进行过滤查询。

  注意,威胁权重仅供参考。FortiGate不会根据威胁权重采取任何行动。

  答案:A

  答案:A

 干得漂亮!你已经了解了如何排除通信问题的故障。现在,你将了解如何保护日志数据。

  通过展示使用各种方法保护日志的能力,你将能够满足组织或法律对日志的要求。

  你还可以通过执行日志备份来保护日志数据。备份操作将日志文件从数据库拷贝到指定位置。

  执行execute backup disk alllogs命令将所有日志备份到FTP、TFTP或USB,执行execute backup disk log <log type>命令将特定日志类型(如web过滤、IPS)备份到FTP、TFTP或USB。日志的存储格式为LZ4。

  你还可以使用GUI将日志备份到USB驱动器或计算机磁盘。这可以确保当原始文件最终在FortiGate上被覆盖时,你仍然有一个副本。

  你可以在日志类型页面(例如转发流量Web过滤)单击对应的下载图标下载日志。这只下载结果表中的日志,而不是磁盘上的所有日志。因此,如果你只想下载日志的一个子集,你可以添加日志过滤器。当你从GUI下载日志消息时,你正在以原始格式下载日志消息。

  使用config log disk setting命令,你可以将日志配置为滚动(类似于压缩文件),以降低包含它们所需的空间要求,从而使它们不会被覆盖。默认情况下,日志大小达到20MB时滚动。你还可以配置滚转计划任务和时间。

  使用相同的CLI命令,还可以配置滚动日志上传到FTP服务器,以节省磁盘空间。你可以配置上传哪种类型的日志文件、何时上传、上传后是否删除。

  答案:A

 答案:B

  恭喜你!你已经完成了这节课。现在,你将复习本课所涉及的主题。

  通过掌握本课所涵盖的主题,你学习了如何配置本地和远程日志记录、查看日志、搜索日志以及保护日志数据。


以上是关于教程篇(7.2) 05. 日志记录和监控 & FortiGate安全 ❀ Fortinet 网络安全专家 NSE 4的主要内容,如果未能解决你的问题,请参考以下文章

教程篇(7.2) 10. 入侵防御和拒绝服务 & FortiGate安全 ❀ Fortinet 网络安全专家 NSE 4

教程篇(7.2) 03. 网络地址转换 & FortiGate安全 ❀ Fortinet 网络安全专家 NSE 4

教程篇(7.2) 09. 反病毒 & FortiGate安全 ❀ Fortinet 网络安全专家 NSE 4

教程篇(7.2) 01. 简介及初始配置 & FortiGate安全 ❀ Fortinet 网络安全专家 NSE 4

教程篇(7.2) 11. 安全架构 & FortiGate安全 ❀ Fortinet网络安全专家 NSE4

教程篇(7.2) 04. 防火墙身份验证 & FortiGate安全 ❀ Fortinet 网络安全专家 NSE 4