飞塔日志与报警

日志的种类
• 事件日志 • 流量日志 • 内容检测日志
病毒过滤日志 攻击日志 Web过滤日志 垃圾邮件日志 IM和P2P日志 VOIP日志
• 归档日志 • 捕获的IPS数据包
如何启用流量日志
• 流量日志最好记录到外围 设备，比如说 FortiAnalyzer和SysLog
不推荐本地硬盘记录流量 日志
• •
能够归档下载的文件和邮件 需要 FortiAnalyzer
只记录头内容
只记录页面内容
查看内容归档
• 日志与报告>内容归档
告警 E-mail
• 根据消息的级别来产生邮件 定义好的级别 or
事件类别
• •
添加三个接收者 支持SMTP认证
FortiAnalyzer设备 FortiAnalyzer设备
设置FortiAnalyzer的IP地址
点击测试连接
FortiAnalyzer设备（ FortiAnalyzer设备（主机名 设备 称） FortiGate设备（设备ID） FortiGate设备（设备ID） 设备 ID 注册状态 连接状态Байду номын сангаас磁盘空间 设定的空间 使用的空间 未使用的空间 权限
FortiAnayler设备的主机名称。 FortiGate设备的序列号。 FortiGate设备的注册状态。 绿色对勾表示连接正常，灰色打叉表示没有连 接。 分配给日志的存储空间。 以及使用的空间。 剩余空间。 显示发送与查看日至与报告的权限。 Tx表示FortiGate设备配置将日志数据包发 送到FortiAnalyzer设备。 Rx表示FortiGate设备被允许查看存储在 FortiAnalyzer设备中的报告与日志。 检查指示框表示FortiGate设备具有发送与查 看日志信息以及报告的权限。X表示 FortiGate设备不被允许发送与查看日志信 息。
查看事件、 查看事件、流量和内容检测日志文件
• 日志记录在本地，或者 FortiAnalyzer，可以通过 “日志访问”来查看
启用内容归档
• 可以对以下协议传输的日志进行归档:
HTTP FTP NNTP IM (AIM, ICQ, MSN, Yahoo!) Mail (POP3, IMAP, SMTP)
• 存储日志已备分析和归档
FortiGate日志过滤设置哪些日志类型可以发送
• • •
日志文件传输可以通过IPSec通道加密 对没有硬盘的设备来说可以作为远程日志信息存放地 仅仅接受注册设备的日志信息
SNMP
• • • • 支持SNMP V1和V2c MIB库可以从Fortinet支持网站上下载到 在接口上启用 Read (get) access only
•
流量日志可以以下面两种 方式启动:
基于防火墙策略 基于接口
•
基于防火墙策略记录流量 更易于定位故障
如何启动事件日志
• 启动非常简单 • 内容:
系统事件 VPN事件 管理时间
启用内容检测日志
在防火墙的保护内容表中设置 病毒过滤日志 根据文件类型和文件名阻断的日志 记录超过阈值的文件 FortiGuard过滤日志
实验
• • 1、记录管理员修改配置的日志 2、记录http协议的归档日志、病毒日志和流量。
日志级别
• 级别:
Emergency Alert Critical Error Warning Notification Information Debug
• 例子:
2007-01-11 14:23:37 log_id=0104032126 type=event subtype=admin pri=notification vd=root user=admin ui=GUI(192.168.96.1) seq=3 msg="User admin added new firewall policy 3 from GUI(192.168.96.1)"
日志和报警
Course 201v4.0
日志存储的种类与配置
• 选择日志方式和级别:
FortiAnalyzer SysLog 内存 硬盘(200A、300A、400A可 硬盘 选硬盘版本或AMC硬盘) Webtrends FortiGuard的服务
如何启用FortiAnalyzer记录日志 如何启用FortiAnalyzer记录日志 FortiAnalyzer