【日志篇】(7.6) ❀ 02. FortiGate防火墙上的日志 ❀ FortiAnalyzer 日志分析

　　【简介】每当防火墙出现故障或受到攻击的时候，管理员第一个动作就是查看防火墙的日志，以查出问题所在，所以日志对管理员来说非常的重要。

---

  防火墙日志的作用

　　防火墙日志的作用主要包括以下几个方面‌：

　　‌监控网络流量‌：防火墙的日志记录功能可以帮助管理员监控网络流量，查看哪些流量被阻止或允许通过防火墙，从而检测网络攻击或异常流量‌。

　　分析安全事件‌：记录安全事件，如入侵尝试、恶意软件活动等，有助于及时发现并应对潜在的网络安全威胁‌。

　　‌辅助故障排查‌：提供故障排查线索，帮助管理员定位网络故障的原因，快速恢复网络正常运行‌。

　　‌确保合规性‌：许多行业和组织有关于网络安全和数据隐私的合规性要求，防火墙的日志记录可以用于检查是否符合这些法规和标准‌。

‌　　安全事件响应‌：在发生安全事件时，提供关键数据以进行调查和响应‌。

　　‌记录防火墙的动作和状态‌：实时记录防火墙的动作和状态，例如实施了某种防火墙措施、检测到某种网络攻击等，并将信息记录到日志中。通过对日志内容的分析和归档，能够检查防火墙的安全风险、检测网络攻击和入侵‌。

 FortiGate防火墙日志的存储

　　有的企业对防火墙日志的存储有着严格的要求，例如半年甚至一年以上，存储设备必须冗余备份等，大部分企业对防火墙日志的要求不高，存储一到三个月即可。那么，FortiGate防火墙如何适应日志的存储呢？

　　① 首先，日志可以存储在防火墙自带的硬盘中，在FortiOS 7.6，选择菜单【日志&报表】-【日志设置】，点击【本地日志】子项，可以看到防火墙默认存储七天的日志到本地硬盘。

　　② 可以使用 config log disk setting 命令下的 set maximum-log-age 命令来设置本地日志的保存时间，默认7天，最大10年。通常我们会选择保存一个月或三个月。

　　③ 日志可实际保存的天数，和硬盘的大小以及每天产生的日志大小有关。

　　④ 通过 get hardware status 命令可以查看防火墙硬盘的大小。有细心的人可能会觉得奇怪，为什么硬盘是128G，但日志可用只有88G，这是因为防火墙将其它硬盘划分给Web缓存使用了。

　　⑤ 是不是所有飞塔防火墙都自带硬盘呢？实际上并不是，象这台60F，就不含硬盘。

　　⑥ 没有硬盘的话，日志只能保存在内存中，而内存的容量有限，一旦占内存太多，会影响系统的运行，关键是断电重启之后，所有有用的日志都消失了。

　　⑦ 如何判断防火墙是否带硬盘，除了用命令查看之外，还有一个简单的办法，就是看防火墙的型号，如果尾数是0，例如60F、80F、100F等，就是不含硬盘，如果尾数是1，例如61F、81F、101F，就是含硬盘。E、F、G系列都可以用这种方法判断（A、B、C、D等早期系列都含硬盘）。

　　⑧ 那没有硬盘如何保存日志呢？选择菜单【Security Fabric】-【Fabric连接器】，我们可以看到，不管防火墙有没有硬盘，日志都可以存储在FortiAnalyzer或者是云平台。

　　⑨ 只要在官网有注册帐号，并注册了设备，设备在服务期内，就可以免费将防火墙日志上传到FortiGate Cloud，不过只能保存7天，需要更大的空间的话就要购买服务了。

　　⑩ 如果你觉得将日志上传到云空间不安全，那么还可以将日志上传到本地FortiAnalyzer设备，FortiAnalyzer设备可以同时上传多台设备日志，并可以保存很长时间，除了保存日志之外，还可以对日志进行分析。

  FortiGate防火墙日志的分类

　　日志的重类很多，我们需要根据不同功能，查看不同日志。

　　① 最常用的是系统事件日志，当我们登录防火墙、编辑策略等等所有操作，都会自动留下日志。

　　② 可以查询指定时间内的日志。 

　　③ 也可以查询其它事件日志，这些日志都是自动保存的。

　　④ 除了系统事件外，比较重要的就是安全事件了，这里会记录反病毒、入侵防御等安全功能日志。但是大部分人都会疑问，为什么这里经常是空的？

　　⑤ 首先防火墙要购买UTM授权，这样反病毒、入侵防御等功能才能正常发挥作用。

　　⑥ 其次，防火墙的策略要启动安全防护功能，并允许记录安全事件，这样当防火墙受到攻击时，就会保存相应的日志了。

　　⑦ 防火墙会自动和官网FortiGuard服务器联系，因此本地流量记录的是防火墙主动发起的信息。

　　⑧ 防火墙可以在Web界面直接抓包，重启防火墙后，有硬盘的防火墙会保存抓包文件，没有硬盘的防火墙会丢弃抓包文件。

　　⑧ 嗅探流量可以查看保存的抓包情况。 

　　⑨ 当我们在策略里的日志记录选项选择了【全部会话】，那么经过这条策略的所有流量会保存日志。

　　⑩ 在【转发流量】菜单，我们可以看到经过这条策略后产生的所有日志，在故障排除的时候，这个功能起到很大的作用，但是由于会产生大量日志，不建议平时开启。

　　⑪ 除了这些日志之外，防火墙还会每天生成一份安全报告。

　　⑫ 除了【日志&报表】之外，日志还在其它菜单起着重要的作用。FortiView子菜单可以查询网络中各类信息，这些都是通过日志来实现的。这里就不再一一详叙了。

  FortiAnalyzer的作用

　　我们已经知道了可以将多台设备的日志存储到FortiAnalyzer，其实它的功能远不止存储日志这么简单。

　　一、主要功能

　　‌集中日志记录和分析‌：FortiAnalyzer能够聚合来自多个设备的安全日志，将其转化为可操作的威胁情报，帮助安全团队及时发现和处理潜在的安全威胁‌。

‌　　端到端可见性‌：通过无缝集成Fortinet Security Fabric安全平台，FortiAnalyzer提供全面的安全覆盖，确保IT和OT基础设施的安全可见性‌。

‌　　‌自动化功能‌：该系统能够自动执行威胁检测和响应操作，减少人工干预，提高安全运维的效率‌。

‌　　‌报告生成‌：FortiAnalyzer支持生成符合HIPAA、PCI等行业法规的报告，帮助组织满足合规性要求。

　　二、适用场景

　　FortiAnalyzer适用于各种规模的组织，无论是小型企业还是大型企业，都能通过其集中管理和分析功能，有效应对网络安全挑战。其跨平台集成能力使得IT和OT基础设施的安全管理更加高效和统一。

　　三、技术规格和性能参数

　　FortiAnalyzer支持高可用性设计，确保系统的稳定运行。它使用PostgreSQL数据库进行日志存储和查询，支持结构化查询语言(SQL)进行日志记录和报告生成。此外，FortiAnalyzer还提供多种操作模式，包括分析模式和收集模式，以适应不同的部署需求。

---

原文地址：https://blog.csdn.net/meigang2012/article/details/145220847

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！