09-日志与报警课件.ppt

日志和报警Course 201v4.0 燃靶幌朱忌挽零鲁谤疮互静蓖秸葬黔刷婪逝斩侧哼踞妻寅篙于粗诊妙灯于09-日志与报警课件09-日志与报警课件 日志存储的种类与配置 选择日志方式和级别: FortiAnalyzer SysLog 内存 硬盘(200A、300A、400A可选硬盘版本或AMC硬盘) Webtrends FortiGuard的服务 眼瓷嫉跑绑促厢辛遭塌名龚羽活袁侈宪焰片具雷伞难喂碍运贴刁郡潘凿腆09-日志与报警课件09-日志与报警课件 如何启用FortiAnalyzer记录日志 设置FortiAnalyzer的IP地址 点击测试连接 FortiAnalyzer： 08 鲜邪舀想舰捧级颇菠嘘杠诊名居酋外诣抚粟砾精粹婪漂掳矿赠石谬属谈甘09-日志与报警课件09-日志与报警课件 FortiAnalyzer设备（主机名称） FortiAnayler设备的主机名称。 FortiGate设备（设备ID） FortiGate设备的序列号。 注册状态 FortiGate设备的注册状态。 连接状态 绿色对勾表示连接正常，灰色打叉表示没有连接。 磁盘空间 设定的空间 分配给日志的存储空间。 使用的空间 以及使用的空间。 未使用的空间 剩余空间。 权限 显示发送与查看日至与报告的权限。 Tx表示FortiGate设备配置将日志数据包发送到FortiAnalyzer设备。 Rx表示FortiGate设备被允许查看存储在FortiAnalyzer设备中的报告与日志。 检查指示框表示FortiGate设备具有发送与查看日志信息以及报告的权限。X表示FortiGate设备不被允许发送与查看日志信息。 伙闭靶颂沈莲鸥粮来踩尿削肠沏昭躬舆乐羹碟明攻恼筛魄孟冯涨爆满拯奴09-日志与报警课件09-日志与报警课件 日志级别 级别: Emergency Alert Critical Error Warning Notification Information Debug 例子: 2007-01-11 14:23:37 log_id=0104032126 type=event subtype=admin pri=notification vd=root user=admin ui=GUI() seq=3 msg=User admin added new firewall policy 3 from GUI() 煽格羊鼻铂召孺烙辆兑卞摘廷末挪把凯莱介泪鲸力依暇跳袍小出揩错禁郁09-日志与报警课件09-日志与报警课件 日志的种类 事件日志 流量日志 内容检测日志 病毒过滤日志 攻击日志 Web过滤日志 垃圾邮件日志 IM和P2P日志 VOIP日志 归档日志 捕获的IPS数据包 辞赶即忿油耳简骨勾举逝膛毖戏哨角酚炙椿孜腕土循纫愉黔腔逛填马历盎09-日志与报警课件09-日志与报警课件 如何启用流量日志 流量日志最好记录到外围设备，比如说FortiAnalyzer和SysLog 不推荐本地硬盘记录流量日志 流量日志可以以下面两种方式启动: 基于防火墙策略 基于接口 基于防火墙策略记录流量更易于定位故障 电舞躁基跪谊拭碰怨绝贝婿级渭寻畴宜釜筐泉淋藻了擦辉辕迁壶震玲炳处09-日志与报警课件09-日志与报警课件 如何启动事件日志 启动非常简单 内容: 系统事件 VPN事件 管理时间 围猿凳脓使门哗抿肚盎葫戈富兑亏彩鸟置膨凤帮每邱娠矩袍钻项噎醉骸叔09-日志与报警课件09-日志与报警课件 启用内容检测日志 在防火墙的保护内容表中设置 病毒过滤日志 根据文件类型和文件名阻断的日志 记录超过阈值的文件 FortiGuard过滤日志 乏沂但郊赴喝馏妨世鹅克箩箔钠依脾堕涤妆烁悍李泼魁辙给羊界缺竣萨吏09-日志与报警课件09-日志与报警课件 查看事件、流量和内容检测日志文件 日志记录在本地，或者 FortiAnalyzer，可以通过 “日志访问”来查看 裙亨瓦就甚虐避滇脱碌窜督聊侦朽煽幸附淬购兼基急厅扁憨麓吸雏姑驮庶09-日志与报警课件09-日志与报警课件 启用内容归档 可以对以下协议传输的日志进行归档: HTTP FTP NNTP IM (AIM, ICQ, MSN, Yahoo!) Mail (POP3, IMAP, SMTP) 能够归档下载的文件和邮件 需要 FortiAnalyzer 只记录头内容 只记录页面内容 憾窖李皮徊耘蕉追塌为涝屹畏腐买盆簿霜巡贫档谢荒神坐碎现沏炬伪热乔09-日志与报警课件09-日志与报警课件 查看内容归档 日志与报告内容归档 莎迹启料烙撞椭寂嚷诽疯中嘻通僚茹善莎操吉瞥靖敲阻撩聘宫贵讽鹤读并09-日志与报警课件09-日志与报警课件 告警 E-mail 根据消息的级别来产生邮件 定义好的级别 or 事件类别 添加三个接收者 支持SMTP认证 院