Fortigate日志与报警配置.pptVIP

日志和报警 Q2642662476 日志存储的种类与配置 选择日志方式和级别: FortiAnalyzer SysLog 内存 硬盘(200A、300A、400A可选硬盘版本或AMC硬盘) Webtrends FortiGuard的服务 如何启用FortiAnalyzer记录日志 设置FortiAnalyzer的IP地址 点击测试连接 FortiAnalyzer设备（主机名称） FortiAnayler设备的主机名称。 FortiGate设备（设备ID） FortiGate设备的序列号。 注册状态 FortiGate设备的注册状态。 连接状态 绿色对勾表示连接正常，灰色打叉表示没有连接。 磁盘空间 设定的空间 分配给日志的存储空间。 使用的空间 以及使用的空间。 未使用的空间 剩余空间。 权限 显示发送与查看日至与报告的权限。 Tx表示FortiGate设备配置将日志数据包发送到FortiAnalyzer设备。 Rx表示FortiGate设备被允许查看存储在FortiAnalyzer设备中的报告与日志。 检查指示框表示FortiGate设备具有发送与查看日志信息以及报告的权限。X表示FortiGate设备不被允许发送与查看日志信息。 日志级别 级别: Emergency Alert Critical Error Warning Notification Information Debug 例子: 2007-01-11 14:23:37 log_id=0104032126 type=event subtype=admin pri=notification vd=root user=admin ui=GUI() seq=3 msg=User admin added new firewall policy 3 from GUI() 日志的种类 事件日志 流量日志 内容检测日志 病毒过滤日志 攻击日志 Web过滤日志 垃圾邮件日志 IM和P2P日志 VOIP日志 归档日志 捕获的IPS数据包 如何启用流量日志 流量日志最好记录到外围设备，比如说FortiAnalyzer和SysLog 不推荐本地硬盘记录流量日志 流量日志可以以下面两种方式启动: 基于防火墙策略 基于接口 基于防火墙策略记录流量更易于定位故障 如何启动事件日志 启动非常简单 内容: 系统事件 VPN事件 管理时间 启用内容检测日志 在防火墙的保护内容表中设置 病毒过滤日志 根据文件类型和文件名阻断的日志 记录超过阈值的文件 FortiGuard过滤日志 查看事件、流量和内容检测日志文件 日志记录在本地，或者 FortiAnalyzer，可以通过 “日志访问”来查看 启用内容归档 可以对以下协议传输的日志进行归档: HTTP FTP NNTP IM (AIM, ICQ, MSN, Yahoo!) Mail (POP3, IMAP, SMTP) 能够归档下载的文件和邮件 需要 FortiAnalyzer 只记录头内容 只记录页面内容 查看内容归档 日志与报告内容归档 告警 E-mail 根据消息的级别来产生邮件 定义好的级别 or 事件类别 添加三个接收者 支持SMTP认证 FortiAnalyzer设备 存储日志已备分析和归档 FortiGate日志过滤设置哪些日志类型可以发送 日志文件传输可以通过IPSec通道加密 对没有硬盘的设备来说可以作为远程日志信息存放地 仅仅接受注册设备的日志信息 SNMP 支持SNMP V1和V2c MIB库可以从Fortinet支持网站上下载到 在接口上启用 Read (get) access only 实验 1、记录管理员修改配置的日志 2、记录http协议的归档日志、病毒日志和流量。 飞塔技术支持+Q2642662476