飞塔日志与报警.PPT课件.pptVIP

日志和报警Course 201v4.0 日志存储的种类与配置 选择日志方式和级别: FortiAnalyzer SysLog 内存 硬盘(200A、300A、400A可选硬盘版本或AMC硬盘) Webtrends FortiGuard的服务 如何启用FortiAnalyzer记录日志 日志级别 级别: Emergency Alert Critical Error Warning Notification Information Debug 例子: 2007-01-11 14:23:37 log_id=0104032126 type=event subtype=admin pri=notification vd=root user=admin ui=GUI() seq=3 msg=User admin added new firewall policy 3 from GUI() 日志的种类 事件日志 流量日志 内容检测日志 病毒过滤日志 攻击日志 Web过滤日志 垃圾邮件日志 IM和P2P日志 VOIP日志 归档日志 捕获的IPS数据包 如何启用流量日志 流量日志最好记录到外围设备，比如说FortiAnalyzer和SysLog 不推荐本地硬盘记录流量日志 流量日志可以以下面两种方式启动: 基于防火墙策略 基于接口 基于防火墙策略记录流量更易于定位故障 如何启动事件日志 启动非常简单 内容: 系统事件 VPN事件 管理时间 启用内容检测日志 在防火墙的保护内容表中设置 病毒过滤日志 根据文件类型和文件名阻断的日志 记录超过阈值的文件 FortiGuard过滤日志 查看事件、流量和内容检测日志文件 日志记录在本地，或者 FortiAnalyzer，可以通过 “日志访问”来查看 启用内容归档 可以对以下协议传输的日志进行归档: HTTP FTP NNTP IM (AIM, ICQ, MSN, Yahoo!) Mail (POP3, IMAP, SMTP) 能够归档下载的文件和邮件 需要 FortiAnalyzer 查看内容归档 日志与报告内容归档 告警 E-mail 根据消息的级别来产生邮件 定义好的级别 or 事件类别 添加三个接收者 支持SMTP认证 FortiAnalyzer设备 存储日志已备分析和归档 FortiGate日志过滤设置哪些日志类型可以发送 日志文件传输可以通过IPSec通道加密 对没有硬盘的设备来说可以作为远程日志信息存放地 仅仅接受注册设备的日志信息 SNMP 支持SNMP V1和V2c MIB库可以从Fortinet支持网站上下载到 在接口上启用 Read (get) access only 实验 1、记录管理员修改配置的日志 2、记录http协议的归档日志、病毒日志和流量。 * 设置FortiAnalyzer的IP地址 点击测试连接 显示发送与查看日至与报告的权限。 Tx表示FortiGate设备配置将日志数据包发送到FortiAnalyzer设备。 Rx表示FortiGate设备被允许查看存储在FortiAnalyzer设备中的报告与日志。 检查指示框表示FortiGate设备具有发送与查看日志信息以及报告的权限。X表示FortiGate设备不被允许发送与查看日志信息。 权限 剩余空间。 未使用的空间 以及使用的空间。 使用的空间 分配给日志的存储空间。 设定的空间 磁盘空间 绿色对勾表示连接正常，灰色打叉表示没有连接。 连接状态 FortiGate设备的注册状态。 注册状态 FortiGate设备的序列号。 FortiGate设备（设备ID） FortiAnayler设备的主机名称。 FortiAnalyzer设备（主机名称） 只记录头内容 只记录页面内容 级别描述产生源 0－紧急致使系统不能够稳定运行。事件日志，尤其是管理事件一般发出紧急级别日志。 1－告警需要采取立即的行动措施。攻击日志是唯一产生告警级别的日志信息。 2－严重影响发挥模块设置的功能。事件、反病毒与垃圾邮件过滤日志。 3－错误存在错误信息，功能性受到影响。事件与垃圾邮件过滤日志。 4－警示功能性受到影响。事件与垃圾邮件过滤日志。 5－通知常规事件的通知。流量与web过滤日志。 6－信息有关系统操作的常规信息。内存存储、事件与垃圾邮件过滤日志。 FortiAnalyzer: 支持: 流量、内容归档、事件、隔离的病毒 不支持:捕捉到的IPS数据包 SysLog: 支持: 流量, 时间 不支持: 内容归档、病毒隔离、捕捉到的IPS数据包 Memory: 支持: 事件，部分内容归档 不支持: 流量、内容归档、病毒隔离、捕捉到的IPS数据包 硬盘: 支持: 流量、时间、病毒隔离、捕捉到的I