飞塔防火墙09-日志与报警..

日志的种类
• 事件日志 • 流量日志 • 内容检测日志
病毒过滤日志 攻击日志 Web过滤日志 垃圾邮件日志 IM和P2P日志 VOIP日志
• 归档日志 • 捕获的IPS数据包
如何启用流量日志
• 流量日志最好记录到外围 设备，比如说FortiAnalyzer和 SysLog
• •
能够归档下载的文件和邮件 需要 FortiAnalyzer
只记录头内容
只记录页面内容
查看内容归档
• 日志与报告>内容归档
告警 E-mail
• 根据消息的级别来产生邮件 定义好的级别 or
事件类别
• •
添加三个接收者 支持SMTP认证
FortiAnalyzer设备
• 存储日志已备分析和归档
权限
日志级别
• 级别:
Emergency Alert Critical Error Warning Notification Information Debug
• 例子:
2007-01-11 14:23:37 log_id=0104032126 type=event subtype=admin pri=notification vd=root user=admin ui=GUI(192.168.96.1) seq=3 msg="User admin added new firewall policy 3 from GUI(192.168.96.1)"
日志和报警
Course 201v4.0
日志存储的种类与配置
• 选择日志方式和级别:
FortiAnalyzer SysLog 内存 硬盘(200A、300A、400A可选 硬盘版本或AMC硬盘) Webtrends FortiGuard的服务
如何启用FortiAnalyzer记录日志
查看事件、流量和内容检测日志文件
• 日志记录在本地，或者 FortiAnalyzer，可以通过 “日志访问”来查看
启用内容归档
• 可以对以下协议传输的日志进行归档:
HTTP FTP NNTP IM (AIM, ICQ, MSN, Yahoo!) Mail (POP3, IMAP, SMTP)
实验
• 1、记录管理员修改配置的日志 • 2、记录http协议的归档（数据防泄漏）日志、病毒日志和流量。 FortiAnalyzer 192.168.118.208
设置FortiAnalyzer的IP地址
点击测试连接
FortiAnalyzer： 192.168.118.208
FortiAnalyzer设备（主机名 称）
FortiAnayler设备的主机名称。
FortiGate设备（设备ID）
注册状态 连接状态
FortiGate设备的序列号。
FortiGate设备的注册状态。 绿色对勾表示连接正常，灰色打叉表示没有连 接。
FortiGate日志过滤设置哪些日志类型可以发送
• • •
日志文件传输可以通过IPSec通道加密 对没有硬盘的设备来说可以作为远程日志信息存放地 仅仅接受注册设备的日志信息
SNMP
• • • • 支持SNMP V1和V2c MIB库可以从Fortinet支持网站上下载到 在接口上启用 Read (get) access only
不推荐本地硬盘记录流量 日志
•
流量日志可以以下面两种 方式启动:
基于防火墙策略 基于接口
•
基于防火墙策略记录流量 更易于定位故障
Hale Waihona Puke Baidu
如何启动事件日志
• 启动非常简单 • 内容:
系统事件 VPN事件 管理时间
启用内容检测日志
在防火墙的保护内容表中设置 病毒过滤日志 根据文件类型和文件名阻断的日志 记录超过阈值的文件 FortiGuard过滤日志
磁盘空间
设定的空间
使用的空间 未使用的空间
分配给日志的存储空间。
以及使用的空间。 剩余空间。 显示发送与查看日至与报告的权限。 Tx表示FortiGate设备配置将日志数据包发 送到FortiAnalyzer设备。 Rx表示FortiGate设备被允许查看存储在 FortiAnalyzer设备中的报告与日志。 检查指示框表示FortiGate设备具有发送与查 看日志信息以及报告的权限。X表示 FortiGate设备不被允许发送与查看日志信 息。