在本課中，你將學習如何配置FortiGate上的本地和遠端日誌記錄；檢視、搜尋和監視日誌；以及保護日誌資料。

在本次課程中，你將探討以下主題：

• 日誌設定
• 日誌設定
• 遠端日誌
• 日誌設定
• 檢視、搜尋和監視日誌
• 保護日誌資料

在完成這節課程之後，你應該能夠：

• 描述日誌工作流
• 識別日誌型別和子型別
• 描述日誌嚴重級別
• 描述日誌訊息的設計
• 描述日誌對效能的影響

　　通過演示日誌設定中的許可權，你將能夠更有效地分析資料庫中的日誌資料。

 當流量通過FortiGate到你的網路時，FortiGate掃描流量，然後根據防火牆策略採取行動。記錄此活動，並將資訊包含在日誌訊息中。日誌訊息儲存在日誌檔案中，然後儲存在能夠儲存日誌的裝置上。FortiGate可以將日誌本地儲存在自己的磁碟空間上，或者可以將日誌傳送到外部儲存裝置，如FortiAnalyzer。

　　日誌的目的是幫助你監控網路流量、定位問題、建立基線等。日誌為你提供了更大的網路透檢視，允許你在必要時對網路安全進行調整。

　　有些組織在記錄時有法律要求，所以在配置過程中瞭解組織的政策是很重要的。

　　為了有效記錄，你的FortiGate的日期和時間應該是準確的。你可以手動設定系統日期和時間，或者通過與網路時間協議（NTP）伺服器同步來自動配置FortiGate以保持其時間正確。強烈推薦NTP伺服器。

對於FortiGate，有三種不同型別的日誌：流量日誌、事件日誌和安全日誌。每種型別進一步分為子型別。

　　流量日誌記錄流量資訊，如HTTP/HTTPS請求及其響應，如果有的話。它包含命名為前向、區域性和嗅探器的子型別。

• 轉發流量日誌包含有關防火牆根據防火牆策略接受或拒絕的資訊的資訊。
• 本地流量日誌包含直接與FortiGate管理IP地址有關的業務資訊。它們還包括連線到GUI和FortiGate查詢的連線。
• 嗅探器日誌包含與單臂嗅探器所看到的流量有關的資訊。

　　事件日誌記錄系統和管理事件，例如新增或修改設定或守護程序活動。它包含有端點控制、高可用性、系統、使用者、路由、VPN、WAD和無線的子型別。

• 系統事件日誌包含與操作相關的資訊，如動態FortiGuard更新和GUI登入。
• 使用者日誌包含具有使用者身份驗證的防火牆策略的登入和登出事件。
• 路由、VPN、WAD和無線子型別包括這些功能的日誌。例如，VPN包含IPSec和SSL VPN日誌條目。

　　最後，安全日誌記錄安全事件，例如病毒攻擊和入侵嘗試。它們包含基於安全配置檔案型別（日誌型別=utm）的日誌條目，包括應用程式控制、反病毒、DLP、反垃圾郵件（電子郵件過濾）、web過濾器、入侵防禦、異常（DoS-policy）和WAF。只有在GUI中建立了日誌時，安全日誌和子型別才在GUI中可見——如果沒有安全日誌，則不會出現選單項。

每個日誌條目包括從緊急情況到資訊的重要性順序的日誌級別（或優先順序級別）。

　　也有除錯級別。它將診斷資訊放入事件日誌中。除錯級別很少使用，除非你正在用Fortinet主動地調查問題。通常，你希望使用的最低級別是資訊，但是即使這個級別也會生成許多日誌，並且可能導致過早的硬碟故障。根據日誌型別和組織的需要，你可能希望只記錄通知級別或更高級別。

　　你和你的組織的策略規定了必須記錄的內容。

每個日誌訊息都有一個標準的佈局，包括兩個部分：標題和正文。

　　標題包含所有日誌型別共同的欄位，例如起始日期和時間、日誌識別符號、日誌類別、嚴重級別和虛擬域（VDOM）。然而，每個欄位的值對日誌訊息都是特定的。在這個幻燈片上顯示的原始日誌條目示例中，日誌型別是UTM，子型別是web過濾，級別是警告。日誌的型別和子型別決定日誌體中出現哪些欄位。

　　因此，正文描述了日誌建立的原因以及FortiGate所採取的操作。在上面的例子中，這些欄位根據日誌型別而變化。

• 策略ID欄位指示哪個防火牆規則與流量匹配。
• srcip欄位指示源IP地址。
• dstip欄位指示目的IP地址。
• 主機名欄位指示主機的URL或IP。
• action欄位指示當找到匹配流量的策略時，FortiGate執行了什麼操作。
• msg欄位指示採取的行動的原因。在這個例子中，操作被阻止了，這意味著FortiGate阻止了這個IP包的傳遞， 原因是它屬於防火牆策略中的被拒絕的類別。

　　如果你登入到第三方裝置（如Syslog伺服器），則知道日誌結構對整合至關重要。有關日誌結構和相關含義的資訊，請訪問http://docs.fortinet.com。

從Security Fabric中的裝置中收集日誌是很重要的。這就是為什麼兩個或更多的FortiGate裝置和一個FortiAnalyzer（一個遠端日誌裝置）——是Security Fabric解決方案的核心必備產品。使用FortiGate，你可以在結構中的不同防火牆中啟用不同的安全功能，如反病毒（AV）、Web過濾、入侵防禦（IPS）和應用程式控制。例如，在內部分段防火牆（ISFW）中，只能啟用AV，而在面向Internet的下一代防火牆（NGFW）中，可以啟用Web過濾、IPS和應用程式控制。這意味著，當它通過多個防火牆時，不必複製相同流量的掃描和日誌。

　　Security Fabric 可以提供網路拓撲檢視（物理和邏輯），而FortiGate裝置可以共享網路相關資訊。例如，連線到下游FortiGate裝置的裝置在上游裝置上也是可見的（你必須在FortiGate GUI的Interfaces頁面上啟用裝置檢測）。簡而言之，管理員可以通過登入到Security Fabric中的根FortiGate來檢視連線到網路的日誌和裝置。使用FortiTelemetry協議安全地共享該資訊。

重要的是要記住，生成的日誌越多，CPU、記憶體和磁碟資源的開銷就越重。儲存日誌一段時間也需要磁碟空間，就像訪問它們一樣。因此，在配置日誌記錄之前，請確保額外的資源的數值，並且你的系統可以處理這些進入的日誌。

　　還需要注意的是日誌記錄行為與安全配置檔案。取決於日誌記錄設定，安全配置檔案可以在檢測到與配置檔案匹配的流量時建立日誌事件。根據所擁有的流量以及啟用的日誌設定，流量日誌可能會膨脹，並最終影響防火牆的效能。

　　通過FortiGate CLI，你可以使遠端日誌裝置（如FortiAnalyzer和Syslog）的效能統計日誌記錄每1-15分鐘進行一次。這不適用於本地磁碟日誌記錄或FortiCloud。

　　FAZ中的效能統計示例訊息：效能統計：平均CPU：0，記憶體：43，併發會話：190，設定率：0

 你應該始終有一個日誌管理計劃來解決以下主題：

• 你希望和需要記錄哪些攻擊者活動 (例如, 安全功能)?
• 什麼樣的日誌記錄裝置最適合你的網路結構?
• 你想要還是要求歸檔日誌？
• 如果發生故障，你的備份解決方案是什麼?

　　你應該部署一個遠端日誌解決方案, 例如FortiAnalyzer，並確保你未來的發展計劃。

　　最後，確保經常重新訪問計劃和備份解決方案，並配置通知你重要活動的警告訊息。

小測驗。

 你已經理解了日誌設定。現在，你將檢查日誌設定。

 完成本章節之後，你應該能夠：

• 識別本地日誌儲存選項
• Enable 日誌設定
• 瞭解磁碟分配和保留空間
• 監視磁碟使用情況
• 磁碟滿時配置行為

　　通過演示日誌設定的能力，你將能夠成功地將日誌儲存到本地磁碟，並根據需要保留這些日誌。

 你可以選擇將日誌儲存在各種位置上，無論是否在FortiGate裝置上。將日誌儲存在FortiGate中是熟知的日誌設定。根據你的FortiGate裝置，你可以將日誌儲存到裝置的快閃記憶體或硬碟驅動器中。

　　通常，中高階的FortiGate有一個硬碟驅動器。記錄硬碟驅動器稱為磁碟日誌記錄。根據模型系列，預設情況下可以啟用磁碟日誌記錄。

　　低端和舊型號的FortiGate通常只具有快閃記憶體。對於基於快閃記憶體的FortiGate，對快閃記憶體驅動器的恆定重寫可以降低儲存器的壽命和效率。因此，不建議登入到Flash，預設情況下禁用日誌記錄。日誌記錄只能在有限的流量上啟用，只有當你正在積極地解決問題時才啟用。故障排除後，應該禁用它。對於基於快閃記憶體的FortiGate，建議到外部裝置進行日誌記錄。

　　FortiGate可以儲存所有日誌型別，包括本地日誌日誌和流量日誌。流量日誌和日誌存檔是較大的檔案，在被FortiGate記錄時需要很大的空間。

　　在重日誌使用情況下，任何對硬碟或記憶體的日誌記錄都會導致效能影響。

　　如果你在裝置上使用本地硬碟進行WAN鏈路優化，那麼你也不能登入到磁碟（除非你的裝置有兩個單獨的磁碟：你可以使用WAN優化磁碟和另一個磁碟進行日誌記錄）。如果你正在使用本地硬碟進行WAN優化，你可以登入到遠端FortiAnalyzer裝置或Syslog伺服器。

如果要將日誌本地儲存在FortiGate上，則必須從Log Settings頁面啟用磁碟日誌記錄。只有某些FortiGate型號支援磁碟日誌記錄。如果你的FortiGate不支援磁碟日誌記錄，則可以改為登入到外部裝置。在本課後面，你將瞭解有關遠端日誌的內容。

　　為了使資訊出現在FortiView儀表板上，必須啟用磁碟日誌記錄。如果禁用，日誌只能實時顯示。還可以使用CLI 配置日誌磁碟設定命令啟用此設定。

　　預設情況下，超過七（7）天的日誌從磁碟中刪除（日誌時間是可配置的）。

如果你決定在FortiGate本地登入，請注意，整個磁碟空間不可用於儲存日誌。FortiGate系統保留大約25%的磁碟空間用於系統使用和意外的配額溢位。

　　要確定你FortiGate的保留空間的數量，使用CLI命令診斷系統日誌磁碟使用情況。從總磁碟空間中減去總日誌空間以計算保留空間。

Log Settings頁面顯示兩個圖表來視覺化磁碟空間：磁碟使用率（Disk Usage），它是一個餅圖，說明內部硬碟驅動器上的空閒空間和使用空間；以及歷史磁碟使用率（History Disk Usage），它顯示隨時間變化的磁碟日誌記錄活動量。如果磁碟記錄被禁用，這些圖表可能不可見。

　　diagnose sys logdisk usage令允許你檢視關於當前日誌使用多少空間的詳細資訊。FortiGate只使用可用磁碟容量的75%來避免高儲存量，所以這個百分比指的是可用的75%。

預設情況下，當磁碟已滿時，將重寫最舊的日誌。但是，可以使用config log disk setting命令在磁碟滿時更改此行為以停止日誌記錄。

　　在磁碟到達完整狀態之前，FortiGate傳送多個警告。預設情況下，當磁碟使用率達到75%，第二個警告為90%，最後警告為95%時，第一個警告到達。這些閾值可以使用配置日誌磁碟設定命令來配置。

 小測驗。

 你現在理解了日誌設定。接下來，你將檢查遠端日誌。

完成本章節之後，你能應該能夠：

• 識別外部日誌儲存選項
• 配置遠端日誌
• 瞭解遠端日誌如何與VDOM一起工作
• 理解日誌傳輸
• 啟用可靠的日誌記錄

　　通過演示遠端日誌的能力，你將能夠成功地將日誌儲存在遠端裝置上，並安全地進行日誌通訊。

如果本地儲存日誌不符合要求，則可以在外部儲存日誌。你可以配置FortiGate在Syslog伺服器、FortiCloud、FortiSIEM、FortiAnalyzer或FortiManager上儲存日誌。這些日誌裝置也可以用作備份解決方案。

　　Syslog是用於網路裝置的中央儲存庫的日誌伺服器。

　　FortiCloud是一個基於Fortinet訂閱的、託管的安全管理和日誌保留服務，提供具有報告的日誌的長期儲存。如果你有一個較小的網路，FortiCloud通常比購買一個專用的日誌記錄裝置更為可行。請注意，每個FortiGate提供一個自由層，並保持日誌七天。你必須升級到有償服務以保留日誌一年。

　　FortiSIEM提供了統一的事件相關性和風險管理，可以收集、解析、規範化、索引和儲存安全日誌。

　　FortiAnalyzer和FortiManager是FortiGate可以通訊的外部日誌裝置。你可以把FortiManager或FortiManager放置在與FortiGate相同的網路中，或者在它之外。雖然FortiAnalyzer和FortiManager共享一個公共的硬體和軟體平臺，並且都可以接受日誌條目，但是FortiAnalyzer和FortiManager實際上具有不同的功能，值得注意。FortiManager的主要目的是集中管理多個FortiGate裝置。因此，日誌卷被限制為每天固定的量，其小於等效大小的FortiAnalyzer。另一方面，FortiAnalyzer的主要目的是儲存和分析日誌，因此日誌限制要高得多（儘管限制依賴於型號）。請注意，不需要本地磁碟或記憶體日誌記錄將日誌記錄配置到FortiAnalyzer或FortiManager。

配置FortiGate將日誌傳送到FortiAnalyzer或FortiManager是相同的。為了使FortiGate向任何裝置傳送日誌，必須用 FortiAnalyzer或FortiManager註冊FortiGate。註冊後，FortiAnalyzer或FortiManager可以開始接收來自FortiGate的傳入日誌。
你可以使用GUI和CLI配置遠端日誌到FortiAnalyzer或FortiManager。

• GUI：在Log Settings頁，開啟記錄日誌到FortiAnalyzer/FortiManager，輸入遠端日誌裝置的IP地址。
• CLI：對於FortiAnalyzer和FortiManager都使用config log FortiAnalyzer setting命令。即使FortiManager在命令中沒有明確提到，它也被用於FortiManager。使用CLI，可以增加多達三個單獨的裝置以增加冗餘來保護日誌資料。三個裝置的命令不是累積的。生成日誌使用系統資源，因此，如果FortiGate頻繁地建立日誌並將日誌傳送到多個位置，CPU和RAM使用量就會增加。

　　注意，GUI上的Test Connectivity功能將報告為失敗，直到FortiGate在FortiAnalyzer或FortiManager上註冊為止，因為它還沒有被授權傳送日誌。

FortiGate允許接近實時上傳和一致的高速壓縮和分析到FortiAnalyzer和FortiManager。

　　在GUI上, 上傳選項包括 Real Time, Every Minute, 和 Every 5 Minutes (預設)。

　　如果你的FortiGate模型包括一個內部硬碟驅動器，你也有儲存和上傳選項。這允許你將日誌儲存到磁碟，然後在預定時間（通常是低頻寬時間）上傳到FortiAnalyzer或FortiManager。你可以在CLI上配置儲存和上傳選項以及時間表。

如果FortiAnalyzer由於任何原因變得無法使用FortiGate，則FortiGate使用它的miglogd程序來快取日誌。快取大小有一個最大值，一旦達到這個值，miglogd程序將開始刪除快取的日誌（最舊的日誌）。當兩個裝置之間的連線被恢復時，miglogd程序開始將快取的日誌傳送到FortiAnalyzer。因此，FortiGate緩衝區將日誌保持足夠長的時間，以維持FortiAnalyzer的重新引導（例如，如果你正在升級韌體），但是它不打算用於長時間的FortiAnalyzer停機。

　　在FortiGate上，CLI命令diagnose test application miglogd 6顯示miglogd 的程序的統計資訊，包括最大快取大小，與當前的快取大小。

　　CLI命令diagnose log kernel-stats 將展示失敗日誌的增加如果快取已滿且需要刪除日誌。

類似於FortiAnalyzer和FortiManager，你可以將遠端日誌配置到Log Settings頁面或CLI上的FortiCloud。但是，你必須首先啟用你的FortiCloud帳戶，所以FortiGate可以與你的FortiCloud帳戶通訊。一旦完成，你就可以啟用FortiCloud日誌記錄並設定上傳選項。如果要先將日誌儲存到磁碟，然後上載到FortiCloud，則必須指定時間表。當磁碟使用被設定為WAN優化（wanopt）時，將刪除日誌記錄的儲存和上傳選項。

　　你還可以將遠端日誌配置為Syslog和FortiSIEM，在Log Settings頁面或CLI上。你可以配置FortiGate，使用config log syslogd命令將日誌傳送到多達四個Syslog伺服器或FortiSIEM。

　　FortiGate支援以CSV和CEF格式向Syslog傳送日誌，這是一種開放日誌管理標準，提供了不同網路裝置和應用程式之間安全相關資訊的互操作性。CEF資料可被收集和聚集，以便企業管理或安全資訊和事件管理（SIEM） 系統（例如FortiSIEM）進行分析。你可以分別配置每個Syslog伺服器，以CEF或CSV格式傳送日誌訊息。

　　可以使用CLI配置單獨的系統日誌以使用CSV和CEF格式。這個幻燈片上顯示的例子是syslogd3。所有其他系統日誌設定都可以根據需要獨立於日誌訊息格式進行配置，包括伺服器地址和傳輸（UDP或TCP）協議。

如果你有配置虛擬域（VDOM）的FortiGate，你可以在全域性上新增多個FortiAnalyzer和Syslog伺服器。在每個 VDOM上，你可以重寫這些全域性設定，這允許你為該VDOM僅配置一個FortiAnalyzer或一個Syslog伺服器。管理VDOM負責將日誌傳送到新的FortiAnalyzer和Syslog伺服器。

FortiGate使用UDP埠514（或TCP埠514，如果啟用可靠的日誌記錄）用於日誌傳輸。

　　日誌訊息儲存在磁碟上，並以LZ4壓縮格式作為純文字傳輸到FortiAnalyzer。這減少了磁碟日誌的大小，減少了日誌傳輸時間和頻寬使用。

當你在FortiGate上啟用可靠的日誌記錄 (即在GUI上Encrypt Log Transmission ) 時，日誌傳輸傳遞方法將從UDP(使用者資料報協議)更改為TCP(傳輸控制協議)。TCP提供可靠的資料傳輸，確保傳輸的資料保持完整，並以傳送資料的順序到達。

　　如果你使用GUI啟用了對FortiAnalyzer或FortiManager的日誌記錄，則會自動啟用可靠的日誌記錄。如果使用CLI啟用日誌記錄，則必須使用這張幻燈片中顯示的CLI命令啟用可靠的日誌記錄。

　　登入到FortiCloud使用TCP，你可以使用CLI設定加密演算法 (預設設定很高)。

可選地，如果使用可靠的日誌記錄，則可以使用SSL加密的OFTP流量來加密通訊，因此在生成日誌訊息時，可以在不安全的網路上安全地傳輸它。你可以通過配置CLI上的enc-algorithm演算法來加密使用SSL安全的OFTP的通訊。

 小測驗。

你現在理解了遠端日誌。現在，你將檢查日誌設定。

在完成這一節之後，你應該能夠：

• 配置日誌設定
• 啟用防火牆策略的日誌記錄
• 在日誌中隱藏使用者名稱

　　通過演示日誌設定的能力，你將能夠成功地啟用FortiGate上的日誌記錄，並確保對通過防火牆策略的流量造成的流量生成日誌。

配置日誌有兩個步驟。必須首先配置日誌記錄設定，以確定日誌是否儲存在何處、何處以及如何儲存日誌。你可以將這些設定主要配置在Log Settings頁面上的GUI上。然後必須在防火牆策略上配置日誌記錄，以確定是否生成日誌。你可以在IPv4 Policy（或IPv6）頁面上在GUI上配置這些設定。

　　這張幻燈片上顯示的日誌準備檢查列表根據你的需求確定需要為日誌記錄配置什麼。

Log Settings頁允許你去決定日誌儲存要不要存，存在哪以及如何存。

　　如前所述，你必須配置是將日誌本地儲存在FortiGate磁碟上，還是遠端儲存到外部裝置（如FortiAnalyzer）上。

　　還必須配置要捕獲的事件日誌和本地流量日誌。本地流量日誌提供關於直接和來自FortiGate的流量資訊。預設情況下，由於它們可以生成大量日誌，因此禁用此選項。事件日誌提供由FortiGate生成的所有系統資訊，例如管理員登入、管理員所做的配置更改、使用者活動和裝置的日常操作——它們不是由通過防火牆策略的流量直接造成的。例如，IPSec VPN關閉或路由協議活動不是由通過防火牆策略的流量引起的。一個例外可能是使用者日誌，因為它記錄通過策略的流量的使用者登入和登出事件。你選擇啟用的事件日誌取決於你正在實現的功能以及需要從日誌中獲得什麼資訊。

　　Resolve Hostnames功能將IPS解析為主機名。這需要FortiGate為所有IPS執行反向DNS查詢。如果DNS伺服器不可用或響應速度慢，則會影響檢視日誌的能力，因為請求將超時。

雖然GUI上的日誌設定允許你配置要捕獲的事件日誌和本地流量日誌，但是你也可以使用CLI設定更健全和更細粒度的選項。

　　前面提到過，可以使用命令config log syslogd setting，為Syslog和FortiSIEM配置最多四個日誌服務，使用config log fortiAnalyzer setting最多配置三個FortiAnalyzer裝置。你可以使用用於遠端Syslog或FortiSIEM 的命令配置日誌syslogd篩選和用於FortiAnalyzer裝置的命令配置日誌fortiAnalyzer篩選器分別控制將哪些日誌傳送到這些裝置中的每一個。

　　通過這種方式，可以將裝置設定為不同的日誌記錄級別和/或僅將某些型別的日誌傳送到一個裝置，並將其他型別（或所有日誌）傳送到其他裝置。例如，你可以將資訊級別及以上的所有日誌傳送到FortiAnalyzer，警報級別及以上的日誌傳送到FortiAnalyzer2，並且僅將流量日誌傳送到FortiAnalyzer3。

在所有日誌記錄設定被配置之後，你就可以啟用防火牆策略上的日誌記錄。只有在防火牆策略啟用時，通過防火牆策略生成的日誌訊息才會生成日誌訊息。

　　通常，如果將FortiGate配置為檢查流量，則還應該啟用該安全功能的日誌記錄，以幫助跟蹤和除錯流量。除了你認為嚴重程度低的違規行為，你還想知道你的FortiGate是否阻止了攻擊。大多數攻擊在第一次嘗試中的安全漏洞中不成功。一個主動的方法，當你注意到一個持久攻擊者的方法似乎正在進化，可以避免安全漏洞。要獲得像這樣的早期警告，請啟用安全配置檔案的日誌記錄。

　　要啟用通過防火牆策略的流量登入，必須執行以下操作：

1. 在防火牆策略上啟用希望的安全配置檔案。
2. 啟用Log Allowed Traffic在防火牆策略上。這種設定是至關重要的。如果禁用，即使在防火牆策略上啟用了安全配置檔案，也不會收到任何型別的日誌。你可以選擇只記錄安全事件，或記錄所有會話。

• Security Events：如果啟用（以及一個或多個安全配置檔案），安全日誌事件將出現在轉發流量日誌和安全日誌中。轉發業務日誌生成導致安全事件的分組。
• All Sessions：如果啟用，轉發流量日誌將生成每一個會話。如果還啟用一個或多個安全配置檔案，則安全日誌事件會出現在前向流量日誌和安全日誌中。

在配置日誌記錄之後，可以測試修改後的設定是否正常工作。這個測試是使用diagnose log test命令在 CLI上完成的。

　　在FortiGate的GUI上，檢視日誌以檢視一些最近生成的測試日誌訊息。你可以區分測試日誌訊息和實際日誌訊息，因為它們沒有“real”資訊；例如，用於漏洞掃描的測試日誌訊息包含1.1.1.1或2.2.2.2的目的地IP地址。

在FortitGate中，可以將使用者名稱隱藏在流量日誌和UTM日誌中，以便使用者名稱顯示為“anonymous”。這是有用的，因為一些國家不允許非匿名日誌記錄。

　　要匿名使用者名稱，在CLI中請使用user-anonymize enable命令。

　　假設在防火牆策略和安全配置檔案中啟用日誌記錄，並且基於身份的策略在FortiGate上配置。

  小測驗。

 

​​  你已經理解了日誌設定。現在，你將檢查如何檢視、搜尋和監視日誌。

​​  完成本章節之後，你應該能夠：

• 在GUI上檢視和搜尋日誌訊息
• 在CLI上檢視和搜尋日誌訊息
• 通過FortiView檢視日誌
• 配置告警郵件
• 配置威脅權重

　　通過展示檢視、搜尋和監視日誌的能力，你將能夠有效地定位日誌，以幫助支援對任何網路安全問題的調查。

​​  你可以在Log & Report選單中的GUI上訪問日誌。此選單中出現的選項取決於你的配置。只有存在安全事件時才會出現安全日誌。

　　選擇要檢視的日誌型別，如Forward Traffic。GUI上的日誌顯示在格式化的表檢視中。格式化檢視比原始檢視更易於閱讀，並使您能夠在檢視日誌訊息時過濾資訊。若要檢視日誌詳細資訊，請選擇表中的日誌。日誌細節隨後出現在視窗右側的Log Details窗格中。

　　如果在支援歸檔的安全配置檔案（如DLP）上啟用歸檔，則歸檔資訊將出現在Archived Data部分的“Log Details ”窗格中。存檔日誌也記錄在使用FortiAnalyzer m或FortiCloud。

　　如果將FortiGate配置為登入到多個位置，則可以更改本節中的日誌顯示位置。在這個幻燈片上顯示的示例中，日誌位置被設定為“磁碟“。如果登入到Syslog，則必須在Syslog上檢視日誌。

​​  根據你的配置，你的FortiGate可能會記錄大量日誌。這使得定位特定日誌變得更加困難，尤其是在調查期間。

　　為了更有效地導航日誌，可以設定日誌篩選。在篩選中指定的資訊越多，找到精確日誌項就越容易。過濾器可配置為顯示器上的日誌資料的每一列。單擊“Add Filter ”從出現的下拉列表中選擇篩選器。如果你已經看到要在表中的日誌中篩選的資料，可以右擊該資料來選擇快速篩選選項。例如，如果你看到帶有特定僵屍網路名稱的表中的反病毒日誌，右鍵單擊表中的僵屍網路名稱，並顯示一個快速篩選選項，讓你可以用僵屍網路名稱對所有日誌進行篩選。

　　預設情況下，顯示最常見的列，而隱藏的列不太常見。因此，如果基於隱藏的列過濾資料，請確保將列新增為選定列。若要新增列，請右擊任意列欄位，並在出現的彈出選單中選擇“Available Columns ”選項中的列。

　　如果在日誌資料確實存在時，搜尋過濾器不返回任何結果，則篩選器可能輸入有差異。FortiGate在日誌中尋找一個精確匹配，所以必須正確地形成搜尋字串。

​​  還可以訪問由單個策略生成的日誌訊息。右擊要檢視所有相關日誌的策略，並在彈出選單中選擇“Show Matching Logs”。FortiGate將帶你到基於策略UUID自動設定過濾器的Forward Traffic頁。

​​  不限制從GUI上檢視日誌訊息。還可以使用execute log display命令檢視CLI上的日誌訊息。此命令允許你檢視已在execute log filter命令中配置的特定日誌訊息。execute log filter命令配置你將看到的日誌訊息，一次可以檢視多少日誌訊息（最多1000條日誌訊息），以及可以檢視的日誌訊息型別。

　　日誌顯示在原始格式檢視中。原始格式在日誌檔案中顯示日誌。

　　類似於GUI，如果你已經配置了Syslog或FortiSIEM伺服器，就無法檢視CLI上的日誌訊息。

​​  FortiView是檢視日誌資料的另一種方式。FortiView將實時和歷史資料整合為單個、彙總檢視。它可以記錄和監視網路的威脅，過濾多個級別的資料，跟蹤管理活動等等。

　　在FortiView選單下的各個頁面上，你可以調查流量活動，並使用多個過濾器來在特定的時間範圍內縮小你的檢視（在過去，檢視日誌需要本地儲存）。請注意，一些FortiGate模型支援7天的時間顯示。這隻能使用配置日誌設定命令從CLI啟用。
你還可以將FortiView檢視儲存為儀表板上的小部件。

​​ 因為你不能總是在物理上觀察裝置上的日誌，所以你可以通過設定提醒郵件來監控事件。警報電子郵件提供通知事件管理員的有效且直接的方法。

　　在配置警報電子郵件之前，你應該先在你的FortiGate上配置自己的SMTP伺服器。FortiGate已經預先配置了SMTP伺服器，但建議你使用內部電子郵件伺服器，如果你有一個。

　　你可以在Email Alert Settings頁上配置告警電子郵件。你可以基於事件（例如任何時候檢測到入侵或網路過濾器阻塞流量）或基於最小日誌嚴重性級別（例如警報級別或更高級別的所有日誌）觸發警報電子郵件。你最多可以配置三個收件人。

​​ 為了輕鬆地確定解決最相關問題的優先順序，你可以為與威脅權重（或得分）相關聯的IPS簽名、web類別和應用程式配置嚴重性級別。

　　在Threat Weight頁面上，可以將低、中、高或關鍵風險值應用於每個基於類別的專案。這些級別中的每一個都包括威脅權重。預設情況下，低＝5，中等＝10，高＝30，臨界＝50。你可以根據組織要求調整這些威脅權 重。

　　在配置威脅權重之後，可以檢視Threats頁面上的所有檢測到的威脅。還可以通過過濾威脅評分來搜尋日誌。

　　注意，威脅權重僅用於資訊目的。FortiGate不會採取任何基於威脅權重的行動。

​​  小測驗。

​​  你已經瞭解瞭如何解決通訊問題。現在你將檢查如何保護日誌資料。

​​  在完成這一節之後，你應該能夠：

• 執行日誌備份
• 配置日誌滾動和上傳
• 執行日誌下載

　　通過以不同的方式展示保護日誌的能力，你將能夠滿足組織或法律對日誌的要求。

​​  還可以通過執行日誌備份來保護日誌資料，即將日誌檔案從資料庫複製到指定位置。

　　execute backup disk alllogs命令將所有日誌備份到FTP、TFTP或USB，而execute backup disk log <log type>將特定日誌型別（如web過濾器或IPS）備份到FTP、TFTP或USB。這些日誌以LZ4格式儲存，不能恢復到另一個FortiGate。

　　還可以使用GUI備份日誌到USB。當你將USB驅動器插入到FortiGate的USB埠時，GUI選單項就會出現。

​​  使用config log disk setting命令，可以將日誌配置為滾動（類似於壓縮檔案），以降低包含日誌所需的空間要求，從而不會覆蓋它們。預設情況下，當它們的大小達到20MB時，日誌會滾動。你還可以配置一個滾動計劃表和時間。

　　使用相同的CLI命令，還可以配置滾動日誌以上傳到FTP伺服器以節省磁碟空間。你可以配置上載的日誌檔案的型別、何時以及是否在上傳後刪除檔案。還可以配置加密的FTPS通訊。

​​  你還可以下載來自FortiGate的日誌副本，並將它們儲存在伺服器或計算機上，以便以後檢視和訪問。這確保了當原始檔案最終被覆蓋在FortiGate上時，你仍然有一個副本。

　　你可以通過點選相關的日誌型別頁面上的下載圖示來下載日誌（例如，Forward Traffic或Web Filter）。這隻會下載結果表中的日誌，而不是磁碟上的所有日誌。因此，如果只想下載日誌的子集，可以新增日誌篩選器。當你在GUI上下載日誌訊息時，你下載的是原始格式的日誌訊息。

​​  小測驗。

​​ 已經完成了本次課程。

​​  本課程包括以下目標：

• 理解日誌設定 (日誌工作流、日誌型別和子型別、日誌嚴重級別和日誌訊息佈局)
• 描述日誌對效能的影響
• 識別本地日誌儲存選項
• 配置日誌設定
• 瞭解磁碟分配和預留空間，監視磁碟使用情況，並在磁碟滿時配置行為
• 識別外部日誌儲存選項
• 配置遠端日誌
• 瞭解日誌傳輸以及如何啟用可靠的日誌記錄和OFTP
• 配置logging settings
• 瞭解miglogd
• 在GUI和CLI上檢視和搜尋日誌訊息
• 從FortiView上檢視日誌
• 配置告警郵件和威脅權重
• 配置日誌備份，滾動，上傳，下載

 

---