对于FortiAnalyzer来说,只有两种类型的设备:已注册的和未注册的。
已注册的设备是被授权在FortiAnalyzer上存储日志的设备,而未注册的设备是请求在FortiAnalyzer上存储日志的设备。
有四种方法可以在FortiAnalyzer注册设备。
第一种方法涉及从受支持的设备请求注册。当FortiAnalyzer管理员收到该请求时,该请求被接受(尽管可以拒绝)。
第二种方法涉及FortiAnalyzer添加设备向导。该设备可以根据其序列号添加。如果设备受支持,并且设备的所有详细信息都正确,则设备将被注册。
请注意,使用此方法只能添加FortiGate设备。
此方法要求FortiGate和FortiAnalyzer都运行7.0.1或更高版本。还要求FortiGate管理员具有登录FortiAnalyzer并完成注册的有效凭据。
在第一种方法中,FortiGate通过启用远程日志记录和指定FortiAnalyzer IP请求在FortiAnalyzer上注册。这是从上图所志的日志和报告部分完成的。
单击应用后,如果请求成功到达FortiAnalyzer,你将收到警告,要求你确认FortiAnalyzer的序列号,以验证它是否正确。
请注意,如果您单击测试连接,你将看到连接状态为未经授权。这是因为FortiAnalyzer管理员尚未接受注册请求。在这个阶段,FortiGate仍然是一个未注册的设备。
在受支持的设备提出请求后,它会自动出现在设备管理器的根ADOM下。FortiAnalyzer管理员应查看未经授权设备的详细信息,如果满意,应授权设备。
在接受注册请求期间,如果启用了ADOM,你可以选择将FortiGate保留在根ADOM中,或将其添加到你可能已配置的任何自定义FortiGate ADOM中,如上图所示。
与之前的方法一样,单击应用后,你会收到一条警告,要求你确认FortiAnalyzer的序列号,以验证它是否正确。
请注意,如果你单击测试连接,你将看到连接状态为未经授权。这是因为FortiAnalyzer管理员尚未接受注册请求。在这个阶段,FortiGate仍然是一个未注册的设备。
在受支持的设备提出请求后,它会自动出现在设备管理器的根ADOM下。FortiAnalyzer管理员应查看未经授权设备的详细信息,如果满意,应授权设备。
在接受注册请求期间,如果启用了ADOM,你可以选择将FortiGate保留在根ADOM中,或将其添加到你可能已配置的任何自定义FortiGate ADOM中。上图说明了这一点。
请注意,建议将所有通过安全架构连接的FortiGate设备添加到一个ADOM下。然而,可以分离FortiGate设备并将其分配给不同的ADOM。
如果启用了ADOM,设备会自动注册到其设备特定的ADOM。但是,如果你已经创建了自定义ADOM,并希望将设备直接添加到该ADOM,请在使用向导添加设备之前切换到ADOM。
如果启用了ADOM,设备会自动注册到其设备特定的ADOM。但是,如果你已经创建了自定义ADOM,并希望将设备直接添加到该ADOM,请在使用向导添加设备之前切换到ADOM。
需要从设备CLI添加预共享密钥才能完成该过程。
接下来,FortiGate管理员允许Security Fabric使用FortiAnalyzer进行日志记录,然后从FortiAnalyzer状态窗口启动授权过程。
FortiGate管理员必须在FortiAnalyzer上拥有有效的凭据才能完成注册过程。这是通过单击Fortinet Security Fabric窗口中的批准来完成的。
未注册的设备仅出现在根ADOM下,直到它们被注册并分配给ADOM。
此外,如果你的环境证明合理,设备组可以嵌套。例如,名为Canada_Offices的设备组可以包含网络中每个位置的嵌套组。
自定义设备组的名称中不允许有空格。
● 日志:此日志类型详细介绍了有关流量、事件和安全的信息。
● DLP存档:此日志类型详细介绍了有关试图进出网络的任何敏感数据的信息。
● 隔离:此日志类型详细介绍了发送日志的设备已置于隔离状态的文件。
● IPS数据包日志:此日志类型详细介绍了包含匹配IPS签名的流量的网络数据包的信息。
● 版本:确保FortiAnalyzer固件版本与你正在注册的设备兼容(有关支持的固件版本,请参阅FortiAnalyzer发布说明)。
● 管理域配置:如果尝试注册非FortiGate设备,请确保启用ADOM。
● 当前时间:确保你的日期和时间根据你的需求设置。要使许多功能正常工作,包括调度、日志记录和依赖SSL的功能,FortiAnalyzer系统时间必须准确。虽然您可以手动设置日期和时间,但建议你与网络时间协议(NTP)服务器同步。
● 磁盘使用:确保你有足够的可用磁盘空间来接受和存储来自注册设备的日志。
● 许可证状态:确保你拥有有效的许可证。这仅适用于虚拟机。
对于FortiAnalyzer虚拟机,请注意,建议内存至少为8GB。
在排除系统问题时,内存和RAID部分非常有用。
Memory info部分提供了比get system performance命令提供的更精细的内存细分。例如,获取系统性能的总内存包括总内存加上交换内存。diagnose hardware information命令显示了所有内存组件的更详细细分。
交换内存是指物理内存已满且系统需要更多内存时可用的磁盘空间。在一段时间内,内存中不活跃的页面将被移动到交换空间。
如果启用RAID并用作高性能存储解决方案,RAID级别会影响磁盘大小和保留配额级别的确定。
你还可以在两台设备上运行嗅探器,查看离开FortiGate的数据包是否正在到达FortiAnalyzer。如果数据包正在离开FortiGate,但无法到达FortiAnalyzer,请查看网络中的其他设备,因为中间路由器或防火墙可能会阻止流量或不适当地路由流量。
其他需要检查的领域:
● FortiGate是否配置为远程日志记录到FortiAnalyzer?
● FortiAnalyzer源IP是否设置在FortiGate上?如果通过只允许特定子网的VPN访问FortiAnalyzer,这一点很重要。
● FortiGate上是否启用了发送到FortiAnalyzer的日志记录过滤器?
● FortiGate是否能够生成日志,FortiAnalyzer可以接收它们吗?如果你在FortiGate上没有看到任何日志,在继续对FortiAnalyzer方面进行故障排除之前,你必须检查FortiGate上的日志记录问题。
第一步:在FortiAnalyzer上运行diagnose debug application oftpd 8命令以查看当前日志活动。
第二步:在FortiGate上运行diagnose log test命令,将一些测试日志发送到FortiAnalyzer。
第三步:查看上图显示的输出。如果一切按预期运行,并且正在接收日志,你应该在FortiAnalyzer一侧看到一些条目。
当两个设备之间的连接恢复时,迁移进程开始将缓存的日志发送到FortiAnalyzer。FortiGate缓冲区保持日志足够长的时间,以维持FortiAnalyzer的重新启动(例如,如果你正在升级固件)。这不适用于长时间的FortiAnalyzer停机。
在FortiGate上,CLI命令diagnose test application miglogd 6显示迁移过程的统计信息,包括最大缓存大小和当前缓存大小。
CLI命令diagnostic log kernel-stats显示,如果缓存已满,需要删除日志,则failed-log会增加。
带有SSD磁盘的FortiGate设备具有可配置的日志缓冲区。当无法连接到FortiAnalyzer时,如果内存日志缓冲区已满,FortiGate可以缓冲磁盘上的日志。一旦恢复与FortiAnalyzer的连接,可以在磁盘缓冲区上排队的日志成功发送。
虽然除非必须,否则你不应该在ADOM之间移动设备,但其中一个用例是,如果你在一个ADOM中混合了低容量和高容量日志速率。在这种情况下,建议你将低容量日志速率设备放在一个ADOM中,将高容量日志速率设备放在另一个ADOM中。这可以防止配额执行对低容量日志设备产生不利影响。
你可以通过编辑要添加设备的自定义ADOM,然后选择要添加到其中的设备,在ADOM之间移动设备。
请注意,如果你升级FortiGate固件,则无需将设备移动到新的ADOM中。
● 新ADOM的磁盘配额是多少?确保新的ADOM有足够的空间。
● 新ADOM中的报告是否需要设备分析日志?如果是这样,你必须重建新的ADOM SQL数据库。当你移动设备时,只有存档日志(压缩日志)才会迁移到新的ADOM。分析日志(索引日志)保留在旧的ADOM中,直到你重建数据库。
● 你想查看旧ADOM中的设备分析日志吗?如果没有,你需要重建旧的ADOM SQL数据库。否则,它们将根据数据政策删除。
对于HA集群,与FortiAnalyzer通信的唯一设备是集群中的主要设备。其他设备将其日志发送到主服务器,然后主服务器将其转发给FortiAnalyzer。
要启用集群,请在设备管理器中编辑FortiAnalyzer上的注册设备,并启用HA集群选项。你可以将现有设备添加到集群中,也可以手动输入与每个设备关联的序列号。
FortiAnalyzer通过序列号来区分不同的设备,这些序列号可以在它收到的所有不同日志消息的标题中找到。
