07-日志与报警概论.ppt

email body is base64 encoded. Tcp 514和UDP 514用于日志的传输 Configurable SNMP ports. Traps available: CPU Overusage Memory Low Log disk space low HA cluster status changed Interface IP changed Virus detected IPS Signature IPS Anomaly VPN tunnel up VPN tunnel down Fortinet Confidential Fortinet Confidential Fortinet Confidential Fortinet Confidential Fortinet Confidential Fortinet Confidential Fortinet Confidential Fortinet Confidential Fortinet Confidential Fortinet Confidential 日志和报警Course 201v4.3 日志存储的种类与配置 选择日志方式和级别: FortiAnalyzer SysLog 内存 硬盘(200A、300A、400A可选硬盘版本或AMC硬盘) FortiGuard的服务 Webtrends 如何启用FortiAnalyzer记录日志 设置FortiAnalyzer的IP地址 点击测试连接 FortiAnalyzer： 08 /86 FortiAnalyzer设备（主机名称） FortiAnayler设备的主机名称。 FortiGate设备（设备ID） FortiGate设备的序列号。 注册状态 FortiGate设备的注册状态。 连接状态 绿色对勾表示连接正常，灰色打叉表示没有连接。 磁盘空间 设定的空间 分配给日志的存储空间。 使用的空间 以及使用的空间。 未使用的空间 剩余空间。 权限 显示发送与查看日至与报告的权限。 Tx表示FortiGate设备配置将日志数据包发送到FortiAnalyzer设备。 Rx表示FortiGate设备被允许查看存储在FortiAnalyzer设备中的报告与日志。 检查指示框表示FortiGate设备具有发送与查看日志信息以及报告的权限。X表示FortiGate设备不被允许发送与查看日志信息。 日志级别 级别: Emergency Alert Critical Error Warning Notification Information Debug 例子: 2007-01-11 14:23:37 log_id=0104032126 type=event subtype=admin pri=notification vd=root user=admin ui=GUI() seq=3 msg=User admin added new firewall policy 3 from GUI() 日志的种类 事件日志 流量日志 内容检测日志 ? UTM 日志(4.3) 病毒过滤日志 攻击日志 Web过滤日志 垃圾邮件日志 IM和P2P日志 VOIP日志 归档日志 捕获的IPS数据包 如何启用流量日志 流量日志最好记录到外围设备，比如说FortiAnalyzer和SysLog 不推荐本地硬盘记录流量日志 流量日志可以以下面两种方式启动: 基于防火墙策略 基于接口 基于防火墙策略记录流量更易于定位故障 如何启动事件日志 启动非常简单 内容: 系统活动日志 VPN事件 管理时间 查看事件、流量和UTM日志文件 日志记录在本地，或者 FortiAnalyzer，可以通过 “日志访问”来查看 启用内容归档 可以对以下协议传输的日志进行归档: HTTP FTP NNTP IM (AIM, ICQ, MSN, Yahoo!) Mail (POP3, IMAP, SMTP) 能够归档下载的文件和邮件 需要 FortiAnalyzer 查看内容归档 日志与报告内容归档 告警 E-mail 根据消息的级别来产生邮件 定义好的级别 事件类别 添加三个接收者 支持SMTP认证 FortiAnalyzer设备 存储日志已备分析和归档 FortiGate日志过滤设置哪些日志类型可以发送 日志文件传输可以通过IPSec通道加密 对没有硬盘的设备来说可以作为远程日志信息存放地 仅仅接受注册设备的日志信息 SNMP 支持SNMP V1和V2c MIB库可以从Fortinet支持网站上下载到 在接口上启用 Read (get) access only 实验 1、记录管理员修改配置的日志 2、记录htt