在本课程中,你将学习如何在FortiAnalyzer上注册设备以收集日志,以及如何解决FortiAnalyzer与其注册设备之间的通信问题。
在本课中,你将探索上图显示的主题。
通过展示设备注册能力,你将能够配置FortiAnalyzer从注册设备收集日志。
FortiAnalyzer要开始从设备收集日志,该设备必须成为FortiAnalyzer上的注册设备。
对于FortiAnalyzer来说,只有两种类型的设备:已注册的和未注册的。
已注册的设备是被授权在FortiAnalyzer上存储日志的设备,而未注册的设备是请求在FortiAnalyzer上存储日志的设备。
有四种方法可以在FortiAnalyzer注册设备。
第一种方法涉及从受支持的设备请求注册。当FortiAnalyzer管理员收到该请求时,该请求被接受(尽管可以拒绝)。
第二种方法涉及FortiAnalyzer添加设备向导。该设备可以根据其序列号添加。如果设备受支持,并且设备的所有详细信息都正确,则设备将被注册。
第三种方法还涉及FortiAnalyzer添加设备向导。该设备是使用预共享密钥添加的。配置设备并添加正确的预共享密钥后,它会自动注册。需要从设备CLI添加预共享密钥。
请注意,使用此方法只能添加FortiGate设备。
第四种方法使用Fortinet Security Fabric授权过程。
此方法要求FortiGate和FortiAnalyzer都运行7.0.1或更高版本。还要求FortiGate管理员具有登录FortiAnalyzer并完成注册的有效凭据。
有两种方法可以从FortiGate设备发起请求。
在第一种方法中,FortiGate通过启用远程日志记录和指定FortiAnalyzer IP请求在FortiAnalyzer上注册。这是从上图所志的日志和报告部分完成的。
单击应用后,如果请求成功到达FortiAnalyzer,你将收到警告,要求你确认FortiAnalyzer的序列号,以验证它是否正确。
请注意,如果您单击测试连接,你将看到连接状态为未经授权。这是因为FortiAnalyzer管理员尚未接受注册请求。在这个阶段,FortiGate仍然是一个未注册的设备。
在受支持的设备提出请求后,它会自动出现在设备管理器的根ADOM下。FortiAnalyzer管理员应查看未经授权设备的详细信息,如果满意,应授权设备。
在接受注册请求期间,如果启用了ADOM,你可以选择将FortiGate保留在根ADOM中,或将其添加到你可能已配置的任何自定义FortiGate ADOM中,如上图所示。
使用此方法,FortiGate管理员启用了安全架构。通过启用安全架构,默认启用FortiAnalyzer日志记录。通过在上游FortiGate上配置FortiAnalyzer IP,所有通过安全结构连接到上游FortiGate的FortiGate设备都会收到FortiAnalyzer的配置,通过安全架构连接的所有FortiGate设备都会在FortiAnalyzer上请求注册。
与之前的方法一样,单击应用后,你会收到一条警告,要求你确认FortiAnalyzer的序列号,以验证它是否正确。
请注意,如果你单击测试连接,你将看到连接状态为未经授权。这是因为FortiAnalyzer管理员尚未接受注册请求。在这个阶段,FortiGate仍然是一个未注册的设备。
在受支持的设备提出请求后,它会自动出现在设备管理器的根ADOM下。FortiAnalyzer管理员应查看未经授权设备的详细信息,如果满意,应授权设备。
在接受注册请求期间,如果启用了ADOM,你可以选择将FortiGate保留在根ADOM中,或将其添加到你可能已配置的任何自定义FortiGate ADOM中。上图说明了这一点。
请注意,建议将所有通过安全架构连接的FortiGate设备添加到一个ADOM下。然而,可以分离FortiGate设备并将其分配给不同的ADOM。
使用此方法,你可以使用FortiAnalyzer设备管理器中的设备注册向导。FortiAnalyzer管理员主动启动并最终执行注册。管理员必须拥有要注册的设备的具体序列号。如果设备信息被验证,状态为“设备已成功添加”,设备将显示在设备管理器下。
如果启用了ADOM,设备会自动注册到其设备特定的ADOM。但是,如果你已经创建了自定义ADOM,并希望将设备直接添加到该ADOM,请在使用向导添加设备之前切换到ADOM。
使用此方法,你还可以使用FortiAnalyzer设备管理器中的添加设备向导。FortiAnalyzer管理员主动启动并最终执行注册。管理员必须设置预共享密钥,并填写有关要注册的设备的其他详细信息,例如设备型号。如果设备信息被验证,状态为“设备已成功添加”,设备将显示在设备管理器下。
如果启用了ADOM,设备会自动注册到其设备特定的ADOM。但是,如果你已经创建了自定义ADOM,并希望将设备直接添加到该ADOM,请在使用向导添加设备之前切换到ADOM。
需要从设备CLI添加预共享密钥才能完成该过程。
要使用此方法,你首先配置FortiAnalyzer以接受通过架构连接器的授权。你将键入用于接收请求的IP和端口。默认情况下,使用443端口。
接下来,FortiGate管理员允许Security Fabric使用FortiAnalyzer进行日志记录,然后从FortiAnalyzer状态窗口启动授权过程。
FortiGate管理员必须在FortiAnalyzer上拥有有效的凭据才能完成注册过程。这是通过单击Fortinet Security Fabric窗口中的批准来完成的。
注册各种Fortinet设备后,它们会出现在该ADOM的设备管理器选项卡上。你还可以查看有关该ADOM的日志状态和使用存储的详细信息。
未注册的设备仅出现在根ADOM下,直到它们被注册并分配给ADOM。
默认情况下,所有注册的设备都包含在默认设备组中。你可以创建自定义设备组,以更好地组织和更有效地管理这些设备。例如,你可以根据物理位置和功能创建自定义组。
此外,如果你的环境证明合理,设备组可以嵌套。例如,名为Canada_Offices的设备组可以包含网络中每个位置的嵌套组。
自定义设备组的名称中不允许有空格。
当FortiGate设备注册时,FortiAnalyzer会自动有权收集以下类型的日志,如果这些日志在FortiGate上启用:
● 日志:此日志类型详细介绍了有关流量、事件和安全的信息。
● DLP存档:此日志类型详细介绍了有关试图进出网络的任何敏感数据的信息。
● 隔离:此日志类型详细介绍了发送日志的设备已置于隔离状态的文件。
● IPS数据包日志:此日志类型详细介绍了包含匹配IPS签名的流量的网络数据包的信息。
答案:B
非常好!你现在了解如何注册设备。接下来,你将了解解决FortiAnalyzer和你注册设备之间的通信问题的方法。
通过展示通信故障排除的能力,你将能够有效地解决可能阻止日志收集的问题。
上图展示了一些基本的CLI命令,你可以使用这些命令来检查系统状态、性能和硬件统计数据。
当使用get system status命令对系统问题进行故障排除时,以下信息可能会有用:
● 版本:确保FortiAnalyzer固件版本与你正在注册的设备兼容(有关支持的固件版本,请参阅FortiAnalyzer发布说明)。
● 管理域配置:如果尝试注册非FortiGate设备,请确保启用ADOM。
● 当前时间:确保你的日期和时间根据你的需求设置。要使许多功能正常工作,包括调度、日志记录和依赖SSL的功能,FortiAnalyzer系统时间必须准确。虽然您可以手动设置日期和时间,但建议你与网络时间协议(NTP)服务器同步。
● 磁盘使用:确保你有足够的可用磁盘空间来接受和存储来自注册设备的日志。
● 许可证状态:确保你拥有有效的许可证。这仅适用于虚拟机。
当使用get system performance命令对系统问题进行故障排除时,请查看CPU、内存、硬盘和闪存盘的占用空间。如果其中任何一个接近容量,你可能会遇到日志收集问题。在你遇到问题之前,使用的容量不需要100%。例如,分配给硬盘配额的空间不完全可用于日志,因为其中一些空间是为系统使用和意外的配额溢出保留的。
对于FortiAnalyzer虚拟机,请注意,建议内存至少为8GB。
diagnose hardware info命令提供有关CPU、内存(RAM)和磁盘的有用详细信息。
在排除系统问题时,内存和RAID部分非常有用。
Memory info部分提供了比get system performance命令提供的更精细的内存细分。例如,获取系统性能的总内存包括总内存加上交换内存。diagnose hardware information命令显示了所有内存组件的更详细细分。
交换内存是指物理内存已满且系统需要更多内存时可用的磁盘空间。在一段时间内,内存中不活跃的页面将被移动到交换空间。
如果启用RAID并用作高性能存储解决方案,RAID级别会影响磁盘大小和保留配额级别的确定。
上图显示了你可以运行的FortiAnalyzer CLI命令,以发现哪些设备和IP正在连接到FortiAnalyzer,哪些ADOM已启用和配置,以及哪些设备当前已注册和未注册。
如果你遇到其他设备和FortiAnalyzer之间的通信问题,请首先确保两台设备可以相互联系。在任一设备上使用execute ping CLI命令来验证可访问性(所有中间防火墙必须启用并允许ping)。
你还可以在两台设备上运行嗅探器,查看离开FortiGate的数据包是否正在到达FortiAnalyzer。如果数据包正在离开FortiGate,但无法到达FortiAnalyzer,请查看网络中的其他设备,因为中间路由器或防火墙可能会阻止流量或不适当地路由流量。
其他需要检查的领域:
● FortiGate是否配置为远程日志记录到FortiAnalyzer?
● FortiAnalyzer源IP是否设置在FortiGate上?如果通过只允许特定子网的VPN访问FortiAnalyzer,这一点很重要。
● FortiGate上是否启用了发送到FortiAnalyzer的日志记录过滤器?
● FortiGate是否能够生成日志,FortiAnalyzer可以接收它们吗?如果你在FortiGate上没有看到任何日志,在继续对FortiAnalyzer方面进行故障排除之前,你必须检查FortiGate上的日志记录问题。
你可以同时使用以下命令对通信问题进行故障排除:
第一步:在FortiAnalyzer上运行diagnose debug application oftpd 8命令以查看当前日志活动。
第二步:在FortiGate上运行diagnose log test命令,将一些测试日志发送到FortiAnalyzer。
第三步:查看上图显示的输出。如果一切按预期运行,并且正在接收日志,你应该在FortiAnalyzer一侧看到一些条目。
如果FortiAnalyzer因任何原因无法使用FortiGate设备,FortiGate将使用其迁移进程来缓存日志。缓存大小有最大值,迁移进程首先从最早的日志开始删除缓存日志。
当两个设备之间的连接恢复时,迁移进程开始将缓存的日志发送到FortiAnalyzer。FortiGate缓冲区保持日志足够长的时间,以维持FortiAnalyzer的重新启动(例如,如果你正在升级固件)。这不适用于长时间的FortiAnalyzer停机。
在FortiGate上,CLI命令diagnose test application miglogd 6显示迁移过程的统计信息,包括最大缓存大小和当前缓存大小。
CLI命令diagnostic log kernel-stats显示,如果缓存已满,需要删除日志,则failed-log会增加。
带有SSD磁盘的FortiGate设备具有可配置的日志缓冲区。当无法连接到FortiAnalyzer时,如果内存日志缓冲区已满,FortiGate可以缓冲磁盘上的日志。一旦恢复与FortiAnalyzer的连接,可以在磁盘缓冲区上排队的日志成功发送。
答案:A
答案:B
非常好!你现在了解如何解决通信问题。接下来,你将学习如何管理注册设备。
通过展示在ADOM之间移动设备的能力以及添加HA集群的FortiGate设备成员,你将能够有效地管理网络中注册的设备。
在All ADOM页面上注册后,你可以在ADOM之间移动设备。
虽然除非必须,否则你不应该在ADOM之间移动设备,但其中一个用例是,如果你在一个ADOM中混合了低容量和高容量日志速率。在这种情况下,建议你将低容量日志速率设备放在一个ADOM中,将高容量日志速率设备放在另一个ADOM中。这可以防止配额执行对低容量日志设备产生不利影响。
你可以通过编辑要添加设备的自定义ADOM,然后选择要添加到其中的设备,在ADOM之间移动设备。
请注意,如果你升级FortiGate固件,则无需将设备移动到新的ADOM中。
在ADOM之间移动设备时,有一些重要的考虑因素,特别是如果已经为你正在移动的设备收集日志:
● 新ADOM的磁盘配额是多少?确保新的ADOM有足够的空间。
● 新ADOM中的报告是否需要设备分析日志?如果是这样,你必须重建新的ADOM SQL数据库。当你移动设备时,只有存档日志(压缩日志)才会迁移到新的ADOM。分析日志(索引日志)保留在旧的ADOM中,直到你重建数据库。
● 你想查看旧ADOM中的设备分析日志吗?如果没有,你需要重建旧的ADOM SQL数据库。否则,它们将根据数据政策删除。
FortiAnalyzer会自动发现FortiGate设备是否在HA集群中(其他一些Fortinet设备也是如此)。但是,如果你在将设备添加到集群之前将其注册到FortiAnalyzer,你可以在FortiAnalyzer中手动添加集群。
对于HA集群,与FortiAnalyzer通信的唯一设备是集群中的主要设备。其他设备将其日志发送到主服务器,然后主服务器将其转发给FortiAnalyzer。
要启用集群,请在设备管理器中编辑FortiAnalyzer上的注册设备,并启用HA集群选项。你可以将现有设备添加到集群中,也可以手动输入与每个设备关联的序列号。
FortiAnalyzer通过序列号来区分不同的设备,这些序列号可以在它收到的所有不同日志消息的标题中找到。
答案:B
恭喜!你已经完成了本课。接下来,你将回顾本课中涵盖的目标。
通过掌握本课程中涵盖的目标,你学会了如何在网络中添加、管理和维护设备。