FortiAnalyzer:FAQ: Unterschied zwischen den Versionen

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen
Zeile 38: Zeile 38:




- '''Subscription Bundle''': Darin sind nebst '''''Logvolumen (GB/Day)''''' und '''''FortiCare Prem. Support''''', auch sämtliche '''''FAZ-Services''''' ('''''IOC, Security Automation Service, FortiGuard Outbreak Detection''''') inkludiert. Das Bundle wird auf Jahres-Basis lizenziert/erneuert, ausserdem kann das Bundle vollumfänglich gestackt werden.
- '''Subscription Bundle''': Darin ist nebst '''''Logvolumen (GB/Day)''''' und '''''FortiCare Prem. Support''''', auch sämtliche '''''FAZ-Services''''' ('''''IOC, Security Automation Service, FortiGuard Outbreak Detection''''') inkludiert. Das Bundle wird auf Jahres-Basis lizenziert/erneuert, und kann vollumfänglich gestackt werden.





Version vom 7. September 2023, 09:18 Uhr

FortiAnalyzer:FAQ#:FAQ

FAQ-FortiAnalyzer.png

Vorwort

Diese FAQ's sind für FortiAnalyzer Systeme basierend ab Version 5.4 bis 6.4

Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

Datei:Licensing Fortinet Services.pdf

FortiAnalyzer VM

Was muss ich bei der Lizenzierung von FortiAnalyzer VM beachten?

Fortinet-0033.jpg

- Wie in der oberen Grafik ersichtlich, gibt es ein Subscription und ein Perpetual Lizenzierungsmodell


- Subscription Bundle: Darin ist nebst Logvolumen (GB/Day) und FortiCare Prem. Support, auch sämtliche FAZ-Services (IOC, Security Automation Service, FortiGuard Outbreak Detection) inkludiert. Das Bundle wird auf Jahres-Basis lizenziert/erneuert, und kann vollumfänglich gestackt werden.


- Perpetual License: Darin ist nur Logvolumen (GB/Day) inkludiert - dieses muss nicht erneuert werden, da es perpetual bzw. unbefristet ist, und es kann problemlos gestackt werden. FortiCare Prem. Support und sämtliche FAZ-Services sind in der Perpetual License nicht inkludiert, und werden auf Jahres-Basis lizenziert/erneuert.

Wichtig.svg

WICHTIG für Perpetual License:

Wenn man Logvolumen (GB/Day) stackt, muss das neu kumulierte Logvolumen vom FortiCare Prem. Support gestemmt werden! Falls nicht, entfallen FortiCare Privilegien (u.a. Ticket-Support) und ggf. Funktionalitäten der FAZ-Services.

Z.B: Man hat FAZ-VM-GB5 Perp. License mit 5GB/Day Logvolumen und FortiCare Prem. Support für 1-6 GB/Day.
Neu soll Logvolumen auf insgesamt 20GB/Day aufgestockt werden. Daher wird zusätzlich (via Co-Term) 3x FAZ-VM-GB5 mit jew. 5GB/Day Logvolumen.

Dies ergibt kumuliertes Logvolumen von 20GB/Day -> dieses kann aber nicht vom aktuellen FortiCare Prem. Support gestemmt werden, weil dieses nur für 1-6 GB/Day lizenziert ist. Man muss folglich (via Co-Term) FortiCare Prem. Support für 1-26 GB/Day beziehen.

Wie oben erwähnt, kann bei Perpetual Licenses nur das Logvolumen (GB/Day) gestackt werden.
Stacken ist nicht für FortiCare Prem. Support und FAZ-Services möglich! Falls man diese aufstocken möchte, dann muss (via Co-Term) die entsprechende SKU/Lizenz auf Jahres-Basis lizenziert/erneuert werden, welche das kumulierte Logvolumen stemmen kann.

Übersicht sämtlicher FortiCare Prem. Support und FAZ-Services SKUs:
Fortinet-0034.jpg

Wie kann ich die TRIAL Lizenz von der FortiAnalyzer VM aktivieren?

FortiOS 70.svg FortiOS 72.svg FortiOS 74.svg

Ab der FortiAnalyzer Version 7.0.0 kann man für die FortiAnalyzer VM eine gratis Version nutzen. Wichtig zu wissen, pro Fortinet Partner Account ID kann jeweils eine freie Lizenz gebraucht werden.

Damit dieser FortiAnalyzer benutzt werden kann muss als erstes das VM Image heruntergeladen werden:
Dafür in das Support Portal von Fortinet einloggen : https://fortinet.support.com

  1. Menu Support anwählen
  2. unter Download den Menupunkt VM Images auswählen
  3. Select Produkt das Produkt FortiAnalyzer selektieren
  4. Select Plattform die gewünschte Virtuelle Umgebung auswählen
  5. Mindestens die Version 7.0.0 muss ausgewählt werden, damit die Free Lizenz genutzt werden kann
  6. Darauf achten, dass man das New deployment Image herunter lädt.
Fortinet-2999.jpg

Nun wird die VM auf dem System installiert. Nach erfolgreicher Installation muss der FortiAnalyzer konfiguriert werden, damit dieser eine Verbindung in das Internet hat. Dies ist notwendig um die Trial Lizenz zu aktivieren. Am besten verbindet man sich über die Konsole auf den FortiAnalyzer und konfiguriert die Netzwerk Umgebung:
Die Default Werte beim FortiAnalyzer für das Management sind folgende:

IP Adresse : 192.168.1.99
User       : admin
Passwort   : [kein Passwort]
Config cli.png Konfiguration über die CLI:

Netzwerk Interface konfigurieren:

config system interface
edit port1
set ip 198.18.0.12/24 <-- IP Adresse des FAZ für das Management
set allowaccess ping https ssh 
end
end

Statische Route Default Gateway konfigurieren:
Die FAZ-VM muss ins Internet kommunizieren können. Bedeutet, auf der FAZ-VM muss eine Default Route konfiguriert werden. Vorgeschaltete Firewalls müssen die Kommunikation vom FAZ ins Internet erlauben.

config system route
edit 1
set device "port1" <-- Port welcher richtung WAN angeschlossen ist
set gateway 198.18.0.1 <-- Gateway IP Adresse 
end

DNS Konfigurieren:
Der FortiAnalyzer muss in der Lage sein, eine URL DNS mässig aufzulösen. Daher muss noch ein DNS Server auf dem Analyzer konfiguriert werden:

config system dns
set primary [IP Adresse DNS Server1]
set secondary [IP Adresse DNS Server2]
end

Nun kann über https://[Management_IP] auf das WebGui Zugegriffen werden:

Fortinet-2930.jpg

Trial Lizenz aktivieren:

  1. Bei Benutzername und Passwort das FortiCloud (FortiCare) Konto (Email Adresse) und Passwort eingeben.
  2. Free Trial auswählen
  3. auf Loging with FortiCloud klicken. (Internetverbindung vom FortiAnalyzer muss gewährleistet sein!!)
Fortinet-2931.jpg
  • Die Trial Lizenzbedingungen aktzeptieren
Fortinet-2935.jpg
  • Die FAZ-VM wird nun neu gestartet und wendet dann die Free Trial License angeschlossen
Fortinet-2936.jpg

Die Trial Lizenz hat folgende Einschränkungen:

  • Nur 3 Geräte, nur 1GB/Tag, nur 500GB maximaler Speicher
  • Nur 2 ADOMs (im Screenshot nicht sichtbar)
  • Kein TAC Support
  • Mit den entsprechenden Add-ONs kann die Trial-Lizenz gestackt, und in eine "richtige" Lizenz umgewandelt werden (FortiCare alleine reicht nicht)
Fortinet-2938.jpg

Dokumentation von Fortinet:

Wichtig.svg

Damit die Free Trial Lizenz benutzt werden kann, muss mindestens das Image für den FortiAnalyzer mit der Version 7.0.0 benutzt werden. Unter FortiOS 7.0 kann die Trial Lizenz nicht aktiviert werden.


edit 7.09.2023 - 4Tinu

Wie wird die Lizenz nach dem EOO vom VM-BASE für die FortiAnalyzer VM aktiviert und eingelesen?

FortiOS 70.svg

In unserem Beispiel hat der Kunde die FAZ Add On Lizenz für 1GB/Tag und den notwendigen Support FC1-10-LV0VM-248-02-12 (Support für 1 Jahr) gekauft. Er hat bereits das PDF mit dem Registrirungscode erhalten:

Fortinet-2929.jpg

Wie kann ich jetzt die Lizenz einlesen?

Falls man noch nicht die Trial Lizenz aktiviert hat, sollte man dies noch vorab erledigen: (mindestens FortiOS 7.0.0)

Nachdem die FortiAnalyzer Trial Lizenz aktiviert wurde kann die Add-ON Lizenz aktivieren:
Als erstes wird die Lizenz im Supportportal von Fortinet im Asset Manager registriert:

Dafür über https://support.fortinet.com einloggen und über das Menu Asset Management

Fortinet-2932.jpg

Fortinet-2933.jpg
  1. Auf Register Product klicken
  2. Produkte Key aus dem PDF eingeben
  3. Wenn es sich um keine Behörde handelt, A non-government user auswählen
  4. mit Next um weiter zu zu gehen.
Fortinet-2934.jpg
  1. Produkte Beschreibung im Description Feld eingeben
  2. Falls verfügbar den entsprechenden Partner (Kundenaccount) auswählen
  3. Die IP Adresse des FortiAnalyzers eingeben (Management IP)
  4. mit Save Einstellungen bestätigen
  • Nun kann das Lizenzfile heruntergeladen werden.
Fortinet-2937.jpg

Momentan ist auf dem FortiAnalyzer noch die Free Trial Lizenz installiert.
Diese beinhaltet:

  • Nur 3 Geräte, nur 1GB/Tag, nur 500GB maximaler Speicher
  • Nur 2 ADOMs (im Screenshot nicht sichtbar)
  • Kein TAC Support
  • Mit den entsprechenden Add-ONs kann die Trial-Lizenz gestackt, und in eine "richtige" Lizenz umgewandelt werden (FortiCare alleine reicht nicht)
Fortinet-2938.jpg

Nach der Installation der neu generierten Lizenz die (VM wird neu gestartet)
Begrenzungen:

  • Add-ON SKUs + Testversion + Support SKU
  • 10'000 Geräte (Devices), 2GB/Tag und 1 TB maximaler Speicherplatz
  • FAZ wird nun auch für die zusätzlichen GB/Tag aus der Trial-Lizenz voll unterstützt (wird kommuliert)
Fortinet-2939.jpg

Wie wird ein FortiAnalyzer unter VMware lizensiert?

Eine FortiAnalyzer Lizenz basiert auf folgender Matrix (Stackable License basierend auf GB Logs pro Tag sowie Storage Add-On):

       Fortinet-1762.jpg
   
       NOTE Weitere Informationen wie eine FortiAnalyzer VM Lizenz registriert resp. eingespielt wird
            siehe folgender Artikel:
        
            FortiAnalyzer-5.0-5.2:FAQ#Wie_wird_ein_FortiAnalyzer_unter_VMware_lizensiert.3F

Bei der generierung der Lizenz muss die IP Adresse des FortiAnalyzers angegeben werden. Anhand dieser IP Adresse wird das Lizenz File erstellt. Wird die IP des FortiAnalyzers gewechselt muss das entsprechende Lizenz File neu über den entsprechenden Support Account erstellt werden! Des Weiteren spielen die Maximum Values eines FortiAnalyzer eine Rolle. Weitere Informationen zu diesem Thema siehe nachfolgender Artikel:

       FortiAnalyzer-5.0-5.2:FAQ#Was_sind_die_.22Maximum_Values.22_eines_FortiAnalyzers.3F

Wie wird ein FortiAnalyzer unter VMware / HyperV installiert?

Nachfolgender Link gibt Auskunft wie ein FortiAnalyzer unter VMware/HyperV installiert wird:

       Fortinet:Virtualisierung#Wie_installiere_ich_VMware_basierende_Fortinet_Produkte_wie_Fortigate.2C_FortiManager_und_FortiAnalyzer.3F

Wie wird eine Lizenz für FortiAnalyzer für VMware registriert und eingespielt?

Wenn man einen FortiAnalzer für VMware installiert fällt auf, dass diese keine Serien-Nummer aufweist! Diese Serien-Nummer wird beim erstellt innerhalb des Registrierungsvorgangs generiert. Dies bedeutet, dass als Lizenz-Lieferung folgendes Dokument versendet / erhalten wird:

       Datei:FAZVM0007458.pdf

In diesem Dokument ist ein "Registration Code" angegeben dh., dass anhand dieses "Registration Code" die Registrierung durchgeführt und innerhalb dieses Registrations-Prozesses die Serien-Nummer, wie auch das effektive Lizenz-File erstellt wird. Um die Registrierung durchzuführen gehe auf folgende Seite:

       http://support.fortinet.com
       
       NOTE Auf dieser Support-Seit muss man sich für den Registrierungsprozess einloggen. Ist "noch" 
            kein Account vorhanden so führe den ersten Teil (erstellen eines Accounts) der folgende
            Anweisungen durch:
       
       FortiGate-5.0-5.2:FAQ#Wie_wird_ein_Fortinet_Device.2FGer.C3.A4t_Registriert.3F
       
       Wenn ein Account existiert logge dich anhand des Usernamens und Passwortes auf http://support.fortinet.com ein.
       Danach wähle unter "Asset" die Position "Register / Renew". 
       
       Fortinet-1765.jpg
       Fortinet-1763.jpg
       
       Fortinet-1764.jpg
       
Tipp.png

Auf diser Seite kann unter dem Punkt "License File" das Lizenz-File, welches auf dem FortiAnalyzer eingespielt werden muss heruntergeladen werden!

Der Registrierungsprozess ist somit abgeschlossen. Das Lizenz-File kann nun auf dem FortiAnalyzer unter folgendem Punkt eingespielt werden:

Achtung.png

Wird die IP des FortiAnalyzers gewechselt, so muss das entsprechende Lizenz-File neu über den entsprechenden Support Account erstellt werden!

       System Settings > General > Dashboard > License Information > Upload License

Nachdem einspielen der Lizenz werden die Services des FortiAnalzers neu gestartet. Nachdem mehrmals eingeloggt werden musste, kann nun die Serien-Nummer dieser Installation aus dem Punkt "System > System Information > Serial Number" ausgelesen werden. Diese Serien-Nummer identifiziert diese Installation bei Support-Fällen bei Fortinet und muss bei einem Support Case angegeben werden.

Wie kann man auf der FortiAnalyzer VM die Log per Day Rate erweitern?

Auf dem FortiAnalyzer VM Installation ist die Log per Day Rate limmitiert. (Standartmässig 1GB/Day). Diese Lograte kann aber kostenpflichtig erweitert werden. Informationen über die Artikeln findet man im Kaptiel ProdukteInfo unter folgendem Link: FortiAnalyzer VM mit Taste ctrl+Mausklick öffnet sich ein seperates Fenster

In dieser Anleitung habe ich folgenden Artikel bestellt, damit ich auf dem Labor FortiAnalyzer die Lograte per Tag von 1GB auf 2GB erhöhen kann. Folgender Artikel habe ich bestellelt: FAZ-VM-GB1.

Per Email wurde mir dann der Registrationscode im folgdendem Dokument zugestellt. Mit diesem Schlüssel muss im Supportportal das Lizenzfile auf dem richtigem FortiAnalyzer aktiviert werden:

Fortinet-3263.jpg                                                                                                                                                                                                             

Lizenzfile generieren im Supportportal:

Config webgui.png https://support.fortinet.com

Über Services -> Asset Management auf Register Product

Wenn folgende Meldung erscheint, muss der richtige Partneraccount noch ausgewählt werden, ansonsten kann man das Produkt nicht registrieren:

Fortinet-3265.jpg

Ansonsten auf Register More

Fortinet-3264.jpg
Fortinet-3266.jpg
  • Im Rigistration Code Feld muss nun der im Dokument mitgegebene RegistrationsCode eingegeben werden (Kopieren+Einfügen)
  • Unter End User Type den Punkt A non-government user auswählen (Falls man für eine Behörde registriert, muss natürlich A Government user ausgewählt werden

Weil bereits eine FortiAnalyzer VM registriert ist, kommt jetzt ein Hinweis. Hier ist es wichtig Upgrade auszuwählen. Wenn man New Registration anwählt, wird eine neue Serienummer für eine neue VM Installation generiert!

Fortinet-3267.jpg

Wenn mehrere FortiAnalyzer erfasst sind, wird eine Liste mit den entsprechenden Serienummern aufgelistet. Hier ist es wichtig, sich sicher zu sein, welcher FortiAnalyzer mit der LogRate erweitert wird.

Fortinet-3268.jpg

Die Lizenzbestimmungen durchlesen und bei Einverständnis bestätigen und mit Confirm die Registration & Aktivirung abschliessen.

Fortinet-3269.jpg
Fortinet-3270.jpg
  • Die aktivierung auf dem FortiAnalyzer kann bis zu 4 Stunden dauern. (Siehe Hinweis)
  • Wir sehen, dass nun GB Logs/Day Rate von einem auf zwei GB upgegradet wurde.

Nun das Lizenzfile herunterladen, damit es danach im FortiAnalyzer eingespielt und aktiviert werden kann:

Fortinet-3271.jpg

Die Lizenz auf dem FortiAnalyzer einspielen:

Config webgui.png Konfiguration im WebGui:

Auf dem FortiAnalyzer im Lizenzinformations Widget, kann das File eingelesen werden: System Settings > General > Dashboard > License Information Navigieren.
Im Punkt VM License das Upload Icon angewählen und das vorhin heruntergeladene Lizenz File über drag&drop hochladen:

Fortinet-3272.jpg

Das File wird hochgeladen und aktiviert.

Fortinet-3273.jpg
Wichtig.svg

Der FortiAnalyzer wird danach neu starten!

Nach dem Reboot sieht man in den LIzenzinformationen, dass die Lograte neu auf 2GB/Day erweitert wurde:

Fortinet-3274.jpg

add 03.04.2023 - 4Tinu

Documentation

Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?

Über folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiAnalyzer Geräte:

       Fortinet:ProduktInfo

Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Videos beinhaltet:

       http://community.fortinet.com/

Auf folgender Seite findet man alle original Dokumente betreffend Fortigate:

       http://docs.fortinet.com/fortianalyzer/admin-guides (Legacy Link http://docs.fortinet.com/fa40.html)
       Datei:FortiAnalyzer-Best-Practices-Guide.pdf              (FortiAnalyzer Best Practices Guide)
       Datei:FortiOS-Compatibility-FAZ.pdf                       (FortiAnalyzer ab v5.6 Managed Compatibility Matrix)

Welche Features sind im FortiAnalyzer Release NEU hinzugekommen?


edit 7.09.2023 - 4Tinu

Dataset Referenzguide


edit 7.09.2023 - 4Tinu

Administrations Guide


edit 7.09.2023 - 4Tinu

CLI Referenz Guide


edit 7.09.2023 - 4Tinu

Log Reference Guide FortiAnalyzer


edit 7.09.2023 - 4Tinu

XML API Reference:


edit 7.09.2023 - 4Tinu

Wo finde ich die FAQs über die Version 5.0 und 5.2?

Unter folgendem Link können die FAQs für 5.0 und 5.2 der FortiGate, des FortiAnalyzers und des FortiManagers eingesehen werden:

Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind?

       https://community.fortinet.com/

Request of Proposel (RFP)

Gibt es produktspezifische Dokumente die für eine Ausschreibung die Funktionen/Möglichkeiten beschreiben?

Wenn eine Ausschreibung existiert und man eine Fortinet Offerte abgibt für diese Ausschreibung, ist es Sinnvoll Dokumente beizulegen die entsprechenden Funktionen eines Fortinet Produkts beschreibt sowie dessen Möglichkeiten. Nachfolgende Dokumente sind RFP Dokumente (Proof of Proposel) die genau für diese Zwecke erstellt wurden:

       Datei:FortiOS-FGT-RFP-EN.docx               Request of Proposal FortiGate FortiOS 5.4 Q042016 V1.0 (Englisch)
       Datei:FortiOS-FGT-RFP-FR.docx               Request of Proposal FortiGate FortiOS 5.4 Q042016 V1.0 (Französisch)
       Datei:FortiOS-FMG-FAZ-CSF-FCL-RFP-EN.docx   Request of Proposal FortiManager, FortiAnalyzer, Corporate Security Fabric, FortiClient 5.4 Q042016 V1.0 (Englisch)

Hardware

Was für ein Kabel benötige ich für den Konsolen Anschluss (Seriell RS232) einer Fortinet?

Weitere Informationen siehe folgender Artikel:

Upgrade

Wie führe ich ein reguläres Firmware Upgrade für den FortiAnalyzer durch?

Wenn für den FortiAnalyzer ein reguläres Firmware Upgrade durchgeführt werden soll kann dies über das WebGui durchgeführt werden. Bevor so ein Upgrade durchgeführt wird führe ein ordentliches Backup durch:

       FortiAnalyzer-5.4:FAQ#Wie_kann_ich_.C3.BCber_das_WebInterface_ein_Backup_der_FortiAnalyzer_Konfiguration_durchf.C3.BChren.3F

Danach kann ein Upgrade anhand der neuen Firmware über das WebGui durchgeführt werden:

       Fortinet-1728.jpg
       
       NOTE Es ist dringend Notwendig die entsprechende Release Notes gut durchzulesen um eventuell wichtige
            Informationen zu berücksichtigen! Ebenfalls steht folgendes Dokument für Upgrades zur Verfügung:

Wo finde ich die Upgrade Instruktionen für den FortiAnalyzer?

Upgrade Guide auf die Version 7.0

Upgrade Guide auf die Version 7.2

Upgrade Guide auf die Version 7.4


edit 7.09.2023 - 4Tinu

Wo finde ich die Release Notes für den FortiAnalyzer?

Release Notes 7.0

Auf den Docs bekomme ich unter diesem Link immer die aktuellen ReleaseNotes für die Version 7.0.x
Release Notes 7.2

Auf den Docs bekomme ich unter diesem Link immer die aktuellen ReleaseNotes für die Version 7.2.x
Release Notes 7.4

Auf den Docs bekomme ich unter diesem Link immer die aktuellen ReleaseNotes für die Version 7.4.x


edit 7.09.2023 - 4Tinu

Setup

Wie installiere ich einen FortiAnalyzer auf einem ESXi Server?

Das Image kann ich im Support Portal von Fortinet im Download Bereich für meine gewünschte Plattform herunterladen:

Config webgui.png https://support.fortinet.com
Fortinet-3134.jpg
  1. Im Main Menu Support auswählen
  2. Im Support Untermenü auf VM Images navigieren
Fortinet-3133.jpg
  1. Bei Select Product kann das gewünschte Produkt (in diesem Fall FortiAnalyzer) auswgewählt werden
  2. Bei Select Platform die Cloud Variante selektieren. In unserem Fall benötigen wir die VMWare ESXi Plattform.
  3. Die OS Version auswählen. Unter Earlier Versions können ältere OS Versionen ausgewählt werden
  4. Wenn es eine Neuinstallation ist, darauf achten, dass man das New deployment File herunterlädt. Um einen Upgrade vorzunehmen das Upgrade from previous version.. Image auswählen
  5. Die Release Notes können hier auch heruntergeladen werden, damit man die letzen Informationen über diese Version noch nachschauen kann.
Config webgui.png Konfiguration auf dem ESXi Server:
Fortinet-3124.jpg
Fortinet-3125.jpg
Fortinet-3126.jpg
Fortinet-3127.jpg
Fortinet-3128.jpg
Fortinet-3129.jpg
Fortinet-3130.jpg
Fortinet-3131.jpg
Fortinet-3132.jpg

Damit die FortiGuard erreicht werden kann, damit man die Trial Lizenz oder die überprüfung der Lizenz gewährleisten kann, muss folgendes konfiguriert werden:

  1. Netzwerkkarten (Interface Konfiguration)
  2. Default Route zum Internet Gateway (Routing Konfiguration)
  3. Domäne Namen müssen aufgelöst werden können (DNS Konfiguration)

Dies kann über die CLI folgendermassen vorgenommen werden:

Config cli.png Konfiguration über die CLI:

Interface Konfiguration:

Auf dem Interface welches die kommunikation Richtung Internet ermöglicht die IP Adresse konfigurieren:

config system interface
edit port[x]
set ip [FAZ_IP]/[NETZMASKE]
end

zum Beispiel:

config system interface
edit port1
set ip 198.18.0.12/24
end

Falls man noch auf dem Interface das management aktivieren möchte, muss noch folgender Parameter konfiguriert werden:

config system interface
edit port[x]
set allowaccess https ssh ping <-- die entsprechenden Protokolle hinzufügen.
end

In diesem Offiziellem Dokument von Fortinet wird die Installation auch sehr gut beschrieben:


add 12.05.2022 - 4Tinu - Artikel wird noch bearbeitet und ist nicht fertig

Wie sieht ein Grundsetup vom Ablauf her aus für einen FortiAnalyzer?

Folgende Aufstellung/Information zeigt ein Konfigurations-Ablauf auf für einen FortiAnalyzer. Je nach Konfiguration und Vorraussetzungen entfallen bestimmte Konfigurationspunkte:

ARTIKEL einfügen (Ablauf)

In welchen Mode kann ein FortiAnalyzer betrieben werden?

Ein FortiAnalzer kann in zwei versschiedenen Modi betrieben werden:

       - Analyzermode 
       - Collectormode

Nachfolgend eine kurze Uebersicht welche Features in welchem Mode unterstützt werden:

       Fortinet-1729.jpg
       Collector Mode
       Der Collector Mode ist ein reiner Log Server ohne Reporting Funktionen. Die Log's im Collector Mode behalten das orginale
       Log Format (Binary) und werden nicht in die Datenbank eingelesen. Ein FortiManager mit aktivieren FortiAnalyzer Funktionen
       kann nicht im "Collector Mode" betrieben werden. 
       
       Fortinet-1731.jpg
       Analyzer Mode
       Der Analyzer Mode kann auch als Reporting Server bezeichnet werden denn dieser Mode erhält seine Log's vom FortiAnalyzer 
       im Collector Mode. Alle Logs werden in die Datenbank eingelesen und stehen dort von verschiedenen FortiAnalyzer Collectors 
       zur Verfügung um anhand der Reporting Templates Reports zu ziehen oder Auswertungen zu generieren. 
       
       Fortinet-1730.jpg

Um den betreffenden Mode zu wechseln führe über das WebGui folgendes aus:

       System Settings > Dashboard > Sysem Information > Operation Mode [Analyzer | Collector]
       
       Fortinet-1732.jpg

Kann ein FortiAnalyzer im "Collector" Mode einem FortiManager Logs übermitteln?

Weitere Informationen siehe Artikel:

       FortiManager-5.0-5.2:FAQ#Kann_der_FortiManager_in_Zusammenhang_mit_FortiAnalyzer_im_.22Collector.22_Mode_ben.C3.BCtzt_werden.3F NOCH LINK korrigieren auf 5.4

Welche Devices können in einen FortiAnaylzer eingebunden werden und wie werden diese Unterstützt?

Auf einem FortiAnalyzer können verschiedene Devices eingebunden werden denn der FortiAnalyzer ist im Grundsatz ein Syslog Server auf dem Logs in einer Datenbank (SQL) abgespeichert werden und somit ausgewertet werden können. Verschiedene Devices können zwar eingebunden werden jedoch die Reporting Möglichkeiten sind eingeschränkt. Nachfolgend eine Tabelle die eine Uebersicht zeigt welche Devices eingebunden werden können und welche Funktionen genutzt werden können:

       Fortinet-1747.jpg
Tipp.png

Damit die entsprechenden Devices integriert werden können müssen diese über ein enstprechend unterstütztes FortiOS verfügen. Diese mindestanforderungen können in den Release Notes entnommen werden :

Welche Ports benützt eine FortiAnalyzer Installation?

Folgende Tabelle zeigt welche Ports durch einen FortiAnalyzer benutzt wird. Diese Ports umfassen folgendes:

       • Ports die benützt werden durch den FortiAnalyzer selber (outbound ports)
       • Ports die benützt werden durch den FortiAnalyzer um Traffic zu erhalten (listening ports)
       NOTE Die nachfolgende Auflistung zeigt ALLE Ports die möglich sind dh. je nach benutzten Optionen in der Konfiguration sind 
            diese Ports offen oder in Gebrauch! Weitere Auskunft gibt nachfolgendes offizielles Dokument von Fortinet:
            
            Datei:Fortigate-Open-Ports-54.pdf
            
            Fortinet-1749.jpg
       outbound ports
       Fortinet-1750.jpg
       listening ports
       Fortinet-1751.jpg

Ist die Komunikation zwischen einer FortiGate und einem FortiAnalyzer Verschlüsselt?

Die Komunikation zwischen einer FortiGate und einem FortiAnalyzer ist per Standard verschlüsselt. Weitere Informationen dazu siehe:

       FortiAnalyzer-5.4:FAQ#Wie_kann_ich_einen_Device_zum_FortiAnalyzer_hinzuf.C3.BCgen.3F

Was sind die "Maximum Values" eines FortiAnalyzers?

Nachfolgend eine Aufstellung (Matrix) der Maximum Values eines FortiAnalyzers basierend auf FortiAnalyzer 5.0.9:

       Datei:Fortinet-1752.jpg
       Datei:Fortinet-1753.jpg

Wie sieht die Grundkonfiguration (Netzwerk) eines FortiAnalyzers aus?

Der FortiAnalyzer ist der zentrale Log Server. Wenn man zB über VMware einen FortiAnalyzer installiert (über ovf File) so muss dieser über die Console für den ersten Zugriff Grundkonfiguriert werden (Gilt auch für den Device) dh. damit später über das WebInterface zugegriffen werden kann. Diese Grundkonfiguration sieht folgendermassen aus:

       Interface Konfiguration
       
       # config system interface
       # edit [Name des Ports zB "port1"]
       # set status [up oder down]
       # set ip [IPv4 Adresse mit Subnet Mask zB "192.168.140.10 255.255.255.0"]
       # set allowaccess [Gebe Die Services an zB "http https ping snmp ssh telnet webservice"]
       # set serviceaccess [Name des Service Access zB "fclupdates und/oder fgtupdates"]
       # set speed [Gebe den Speed an zB "1000full 100full 100half 10full 10half auto"]
       # set description [Gebe die gewünschte Beschreibung des Interfaces an]
       # set alias [Gebe den gewünschten Alias für das Interface an]
       # config ipv6
       # set ip6-address [IPv4 Adresse mit Subnet Mask zB "192.168.140.10 255.255.255.0"]
       # set ip6-allowaccess [Gebe Die Services an zB "http https ping snmp ssh telnet webservice"]
       # end
       # end
       DNS Konfiguration
       
       # config system dns
       # set primary [DNS Server IPv4 Adresse]
       # set secondary [DNS Server IPv4 Adresse]
       # end
       Default Gateway
       
       # config system route
       # edit [Sequenz ID für eine Route]
       # set device [Name des Ports für die Route]
       # set dst [IPv4 Adresse sowie Subnet Mask für die Destination zB "192.168.10.0 255.255.255.0]
       # set gateway [IPv4 Adresse für Default Gateway]
       # end

Danach kann anhand der gesetzten IP auf das WebInterface zugegriffen werden:

       https://[IPv4 Adresse]

Wie kann ich die Standard Ports 80 und 443 auf dem FortiAnalyzer für die Administration ändern?

Der FortiAnalyzer ist per Default für das Management über den Port TCP443(https) und TCP80(http) erreichbar. Es ist möglich den Management Port auf einen beliebig andern zu ändern. Der entsprechende Dienst muss aber auf dem Interface noch aktiviert werden. Folgendermassen muss vorgegangen werden um den Management Port zu ändern:

WebGui Screenshot Beschreibung über CLI
Fortinet-1893.jpg System Settings -> Admin -> Admin Settings
Im Feld HTTP oder HTTPS kann jetzt der gewünschte Port angepasst werden.
# config system admin setting  
# set https_port <gewünschter Port>
# set http_port <gewünschter Port>
# end
Achtung.png

Der Port TCP8443 kann ab Version 5.6.1 nicht mehr verwendet werden, da dieser reserviert ist vom FortiClient EMS für Chrombook. Dies kann aus den ReleaseNotes vom FortiAnalyzer entnommen werden:

  • Fortinet-1895.jpg

Der Management Zugriff muss auf dem Netzwerkinterface noch für den entsprechenden Dienst aktiviert oder deaktiviert werden:

WebGui Screenshot Beschreibung über CLI
Fortinet-1894.jpg System Settings -> Network -> <Interface wählen>
Die Dienste anwählen, welche gebraucht werden.
Wir empfehlen http und telnet nicht zu benutzen!
# config system interface 
# edit port1 [Entsprechendes Interface wählen]
# set allowaccess [https ssh ping snmp webservice http telnet]
# end

Wo setze ich den Hostnamen für einen FortiAnalyzer?

Der Hostname wird folgendermassen konfiguriert:

       System Settings > System Information > Host Name
       
       Fortinet-1754.jpg

Wie kann ich die Zeitzone und einen Zeitserver im FortiAnalyzer konfigurieren?

FortiOS 6x.svg FortiOS 70.svg

Für die Logs ist ein korrekt konfigurierter Zeitserver sehr wichtig, damit man auch entpsrechende Authentische Informationen bekommt.

Config webgui.png Konfiguration über das WebGui:
Fortinet-1755.jpg
  1. unter System Settings ins Dashboard
  2. im Widged System Information bei System Time auf den Stift klicken
Fortinet-1756.jpg
  1. Zeitzone definieren
  2. Damit man einen NTP Server konfigurieren kann, diese Option anwählen
  3. Intervall in welcher mit dem angegeben NTP Server die Zeit abgeglichen wird
  4. IP Adresse oder fqdn des NTP Servers angeben
  5. Konfiguration speichern
Config cli.png Konfiguration über die CLI:

Zeitzone definieren:

config system global
    set timezone 26
end

Zeitzone konfigurieren:

config system ntp
    set sync_interval 60
end	

NTP Server konfigurieren

config system ntp
    config ntpserver
        edit 1
            set server "198.18.0.1"
        next
    end
    set status enable
end

Wie aktiviere/deaktivere ich für einen FortiAnalyzer die SSLv3?

Für alle FortiAnaylzer gilt das diese per Standard mit aktivierten TLSv1 und SSLv3 konfiguriert sind. Eine Ausnahme gilt für die FortiAnalyzer-VM64-AWS Version. Möchte man zB die SSLv3 deaktivieren kann folgendes ausgeführt werden:

       # config system global
       # set ssl-protocol [tlsv1.2 | tlsv.1 | tlsv1.0 | sslv3]
       # end

System Settings

Wie kann ich den Hostnamen beim Anmeldefenster anzeigen lassen?

FortiOS 70.svg

Es gibt die Möglichkeit wie auf der FortiGate beim Anmeldefenster den Hostname des FortiAnalyzer anzeigen zu lassen. Defaultmässig ist diese Option deaktiviert und muss in der CLI aktiviert werden:

Config cli.png Konfiguration über die CLI:
  config system admin setting
       set show-hostname enable
  end
Config webgui.png Ergebnis beim Anmeldefenster:
Fortinet-2994.jpg

Um den Hostnamen wieder auszublenden:

Config cli.png Konfiguration über die CLI:
  config system admin setting
       set show-hostname disable
  end
Config webgui.png Ergebnis beim Anmeldefenster:
Fortinet-2995.jpg

Device Manager

Wie kann ich einen Device zum FortiAnalyzer hinzufügen?

Ein Device kann über "Add Device" oder über den "Device Manager" (ADOM Funktionalität) zum FortiAnalyzer hinzugefügt werden. Dies bedeutet, sind ADOMs aktiviert steht für die Administration der Devices der "Device Manager" zur Verfügung. Weitere Informationen um die ADOM Funktionalität zu aktivieren siehe Artikel:

       FortiAnalyzer-5.4:FAQ#Was_sind_ADOM.27s_und_welche_Ueberlegung_sind_in_diesem_Zusammenhang_zu_ber.C3.BCcksichtigen.3F
       FortiAnalyzer-5.4:FAQ#Wie_erstelle_ich_eine_ADOM_.28Administrative_Domain.29.3F 

Um einen Device zu einer ADOM hinzuzufügen erstelle sofern notwendig die nötige ADOM danach wähle folgendes um einen Device der ADOM "local" hinzuzufügen:

       Device Manager > local > All FortiGate > Rechte Maustaste
       
       Datei:Fortinet-388.jpg 
       Datei:Fortinet-389.jpg
       
Tipp.png

Für die Einbindung eines FortiGate Devices sollte auf der FortiGate ein seperater Administrator erfasst werden mit "super_admin" Profil! Dabei kann auch der erfasste Administrator auf ein bestimmtes Netz "restricted" werden dh. das dieser User nur aus einem bestimmten Netz -sprich FortiAnalyzer (in unserem Fall 192.168.140.10)- benutzt werden kann!

            Datei:Fortinet-396.jpg

Nun startet ein Wizard über den man den gewünschten Device einbinden kann!

       Datei:Fortinet-397.jpg
       Datei:Fortinet-398.jpg
       Datei:Fortinet-399.jpg

Diese Art und Weise der Einbindung basiert auf einer Verbindung VOM FortiAnalyzer zur FortiGate dh. durch den für die Einbindung erstellten Administrator (in unserem Fall "FAZ-Admin") loggt sich der FortiAnalyzer auf der FortiGate ein und bindet den Device ein. Ein andere Möglichkeit ist, dass die FortiGate eine Einbindung Anfrage dh. von der FortiGate ZUM FortiAnalyzer. Um dies durchzuführen gehe auf die FortiGate und aktiviere die Einbindung zum FortiAnalyzer:

       Datei:Fortinet-400.jpg
       
Tipp.png

Die Log Uebermittlung kann hier in 2 Arten erfolgen dh. entweder werden die Logs in "realtime" übermittelt oder zu einem bestimmten Zeitpunkt dh. die Logs werden auf der FortiGate zwischengespeichert und an dem bestimmten konfigurierten Zeitpunkt übermittelt.
Welche Art zu aktivieren ist hängt von den verschiedenen Gegebenheit ab dh. zB Log Volumen, zur Verfügung stehende Bandbreite, Performance usw. Devices welche keine Disk für die Logs besitzen (z.B FG-60D) können nur Logs im "realtime" Modus übermitteln.

Die Einbindung kann zu Beginn nicht mit dem Button "Test Connectivity" überprüft werden denn dazu benötigt die Einbindung zuerst auf der FortiAnalyzer Seite eine Bestätigung. Dies bedeutet: Sobald die Konfiguration auf der FortiGate Seite durchgeführt wurde erscheint auf der FortiAnalyzer Seite folgende Meldung:

       Datei:Fortinet-401.jpg
       
       NOTE Wähle die entsprechende ADOM inder der Device konfiguriert werden soll
            und bestätige die Aufnahme des Devices!
       Datei:Fortinet-402.jpg

Nun der Device wurde in die entsprechende ADOM aufgenommen und ist nun dort ersichtlich. Um nun eine korrekte Anmeldung an der FortiGate durchzuführen Editiere den Device und gebe den entsprechenden Administrator an (in unserem Beispiel der erstellte Administrator "FAZ-Admin"):

       Datei:Fortinet-405.jpg
       Datei:Fortinet-406.jpg

Um die ganze Konfiguration von der FortiGate zu testen gehe auf das FortiGate WebGui und führe einen Test für die Verbindung durch:

       Datei:Fortinet-403.jpg
       
       NOTE Die Kommunikation zwischen einer FortiGate und FortiAnalyzer ist verschlüsselt. Die Verschlüsselung (enc-algorithm) ist
            per Standard auf "default" gesetzt was wiederum folgendes bedeutet:
       
            Fortinet-1381.jpg
            
            Dabei ist zu berücksichtigen das beide Devices auf den gleichen Level Konfiguriert werden müssen. Ist einer der Devies zB eine
            FortiGate auf "medium" gesetzt und ein weiterer FortiGate Device auf "low" muss der FortiAnalyzer auf "low" gesetzt werden um
            die "tieste" Encryption "low" zu unterstützten. Um die entsprechende Verschlüsselung zu setzen benütze auf der CLI folgendes 
            Kommando:
            
            FortiAnalyzer
            # config system global
            # set enc-algorithm [low (gilt als Standard) | medium | high]
            # end
            
            FortiGate
            # config log fortianalyzer setting
            # set enc-algorithm [low (gilt als Standard) | medium | high]
            # end
            
            Weitere Informationen dazu siehe nachfolgender Artikel:
            
            FortiAnalyzer-5.0-5.2:FAQ#Wie_werden_die_Logs_eines_FortiGate_Device.27s_zum_FortiAnalyzer_.C3.BCbermittelt_.28verschl.C3.BCsselt.2Funverschl.C3.BCsselt.29.3F
       Datei:Fortinet-404.jpg

Kann ich die erfolgreiche Einbindung in den Device Manager eines Devices vom FortiGate Device aus testen?

Ja dies ist möglich dh. sobald der Device zum Device Manager hinzugefügt wurde, kann anhand folgenden Befehls die Informationen auf der FortiGate abgerufen werden:

       # execute log fortianalyzer test-connectivity 
       
       FortiAnalyzer Host Name: alsochlu-fortinet-faz
       FortiGate Device ID: FG300C3913601712
       Registration: registered
       Connection: allow
       Disk Space (Used/Allocated): 170/1000 MB
       Total Free Space: 74324 MB
       Log: Tx & Rx (3 logs received since 16:04:31 01/22/14)
       Report: None
       Content Archive: Tx & Rx
       Quarantine: Tx & Rx

Gleichzeitig kann mit folgenden Befehl auf der FortiGate CLI Test Logs zum FortiAnalyzer gesendet werden:

       # diagnose log test

Weitere Informationen dazu siehe folgender Artikel:

       FortiGate-5.0-5.2:FAQ#Das_Kommando_.22diagnose_log_test.22_kann_nicht_unter_FortiOS_5.0.2_ausgef.C3.BChrt_werden.3F

Kann ich innerhalb des Device Managers diese Devices Gruppieren (Log Array)?

Ja dies ist möglich! Solche Gruppieren sind sindvoll zB für Cluster oder um für einen Device Verbund "ein" Log zu erhalten. So eine Gruppe kann folgendermassen erstellt werden:

       NOTE Ab FortiAnalyzer 5.0.2 existierten diese Gruppen indem Sinne nicht mehr sondern werden bezeichnet als "Log Arrays". 
            Dies bedeutet möchte man eine Gruppe erzeugen muss ein neuer "Log Array" erstellt werden. Bei einem Upgrade werden die 
            "Gruppen" durch das Upgrade entfernt und müssen neu als "Log Array" wiederum erstellt werden. Wenn ein "Log Array" 
            erstellt/modifiziert wird - und bestehende Logs in den Array übernommen werden- muss/sollte die Datenbank erneuert 
            werden! Weitere Informationen betreffend diesem Vorgang findet man unter folgenden Artikel:
                    
            FortiAnalyzer-5.0-5.2:FAQ#Was_muss_ich_ber.C3.BCcksichtigen_wenn_ich_einen_.22Log_Array.22_.28Gruppe.29_Modifiziere.2FVer.C3.A4ndere.3F
            
            Neu kann man die Devices im Device Manager unter FortiAnalyzer 5.2 als Cluster definieren dh. im Device Manager kann man den
            entsprechenden Device "editieren" und den entsprechenden Node zum Cluster hinzufügen (Master/Slave). Wird dies durchgeführt
            wird in der Datenbank nur ein Log geführt (CID). Der Unterschied zwischen der Defintion eines Clusters unter dem Devices selber
            und in der Konfiguration eines "Log Arrays" liegt darin, dass wenn ein "Log Array" für einen Cluster angelegt wird in der 
            Datenbank für jeden Device ein Log angelegt wird und diese unter dem "Array" zusammengefügt werden. Wenn der Cluster unter dem
            Device konfiguriert wird so wir in der Datenbank ein Log (CID) für den Cluster angelegt. Ein "Log Array" sollte nicht zusätzlich
            zur Konfiguration resp. Definition eines Clusters unter dem entsprechenden Device angelegt werden dh. ein Cluster sollte entweder
            durch die Definition des Cluster unter dem Device oder eines Log Arrays defniert werden!
       FortiOS 5.0.7
       
       Ab FortiOS 5.0.7 werden die Log Arrays nicht mehr über den Device Manager konfiguriert sondern über folgende Position:
      
       FortiView > Log View > Tools > Manage Log Arrays
       
       Fortinet-1312.jpg 
       
       Fortinet-1313.jpg 
       
       Fortinet-1314.jpg 
       FortiOS 5.0.2
       
       Device Manager > [Wähle die entsprechende ADOM] > All Log Arrays" > Rechte Maustaste > Add Log Array
       
       Fortinet-769.jpg 
       
       Fortinet-770.jpg 
       
       Um weitere Devices zum "Log Array" (Gruppe) hinzuzufügen wähle:
       
       Fortinet-771.jpg
       
       Fortinet-772.jpg
       
       Device Manager > local > All FortiGate > Rechte Maustaste
       
       Datei:Fortinet-390.jpg 
       
       Datei:Fortinet-391.jpg 
       
       Datei:Fortinet-392.jpg 
       
       In unserem Beispiel wurden 3 Gruppen erstellt dh. LOCAL-1, LOCAL-2 sowie LOCAL-ALL. Im Device Manager können Gruppen
       ebenfalls mitglieder von anderen Gruppen sein dh. nachfolgend fügen wir der Gruppe LOCAL-ALL die Gruppen LOCAL-1 sowie 
       2 hinzu. Dazu wähle im Device Manager folgendes:
       
       Device Manager > local > LOCAL-ALL > Rechte Maustaste
       
       Datei:Fortinet-394.jpg
       
       Datei:Fortinet-393.jpg  
       
       Markiere und füge nun die Gruppen LOCAL-1 sowie LOCAL-2 hinzu. Danach ergiebt sich folgendes Bild wenn LOCAL-ALL im Device
       Manager angewählt wird:
       
       Datei:Fortinet-395.jpg

Kann ich einen FortiAnalyzer als Device in den FortiManager unter Device Manager hinzufügen?

Ja dies ist möglich! Dazu siehe folgender Artikel:

       FortiManager-5.0-5.2:FAQ#Kann_ich_einen_FortiAnalyzer_als_Device_in_den_FortiManager_unter_Device_Manager_hinzuf.C3.BCgen.3F

ADOM

Was sind ADOM's und welche Ueberlegung sind in diesem Zusammenhang zu berücksichtigen?

ADOMs (Administrative Domains) sind virtuelle Container die Devices (FortiGate, VDOM) in verschiedenen ADOMs enthalten die durch die vers. Administratoren mit deren Rechten (Service Access Profile) administriert werden. Der "admin" Root Account hat sämtliche Rechte ALLE ADOMs zu administrieren. Zusätzliche erstellte Administratoren erhalten die nötigen Rechte ADOMs zu administrieren durch deren Profile. Es wird empfohlen ADOM's zu aktivieren da eine spätere Aktivierung mit einem nicht unerheblichen Aufwand zusammenhängt dh. bestehende Daten in eine ADOM zu verschieben. Ebenfalls sind ADOM's zu empfehlen im Zusammenhang mit VDOM denn nur durch ADOM's können Zugriffe auf vers. VDOM's auf einer FortiGate anhand ADOM's bewerkstelligt werden. Die Funktion ADOM wird über WebGui folgendermassen aktiviert:

       System Settings > Dashboard > System Information > Administrative Domain > On

Ueber CLI wir die Funktion ADOM folgendermassen aktiviert:

       # config system global
       # set adom-status [enable oder disable]
       # set adom-mode [advanced oder normal]
       # end
       
       NOTE Durch die Aktivierung "adom-status enable" werden alle bestehenden Daten in die ADOM "root" verschoben!
            Wenn der "adom-mode advanced" benützt wird gilt folgendes: Wenn diese Funktion aktiviert wird so können 
            "verschiedene" VDOM's "einer" FortiGate "verschiedenen ADOM's zugewiesen werden was im Normal Fall unter "normal" 
            nicht möglich ist dh. ist "normal" gesetzt kann eine FortiGate mit "deren" VDOM's nur in "einer" ADOM existieren 
            resp. zugewiesen werden! Die Funktion "adom-mode" sollte nur in den "advanced" Mode gesetzt werden sofern umbedingt 
            nötig denn dieser Mode erhöht die Administrative Komplexität des FortiAnalyzer erheblich!

Kann ich eine FortiGate und deren VDOM in unterschiedlichen ADOM's hinzufügen?

Ja dies ist möglich jedoch Vorraussetzung ist, dass der ADOM Mode benutzt wird resp. aktiviert ist sowie "advanced" ADOM Mode benutzt wird! Um den ADOM Mode sowie den "advanced" ADOM Mode zu aktivieren führe folgendes durch:

       # config system global
       # set adom-status enable
       # set adom-mode advanced
       # end

Die Aktivierung des ADOM Mode sowie "advanced" Mode kann ebenfalls über das Gui durchgeführt werden und zwar unter:

       ADOM Mode aktivieren                 --> System Settings > Dashboard > System Information > Administrative Domain
       ADOM Mode auf "advanced" setzen      --> System Settings > Advanced > Advanced Settings > ADOM Mode

Sobald der "advanced" Mode aktiviert wurde kann eine entsprechende VDOM in eine ADOM verschoben werden indem man über den "Device Manager" die entsprechende ADOM wählt und mit "rechter Maustaste" (Menü) auf "Edit" geht. Nun erscheinen dort die zu Verfügung stehenden Devices mit deren VDOM's. Wähle eine VDOM und verschiebe diese nach Links um diese der ADOM hinzu zu fügen!

      NOTE Wenn eine VDOM in eine ADOM hinzugefügt wird und die FortiGate auf der die VDOM existiert befindet sich nicht
           mehr in der gleichen ADOM, wird als Referenz zur ursprünglichen ADOM (auf der die FortiGate sich befindet) ein
           Datenbank Link erstellt. Dies bedeutet in der neuen ADOM in der die VDOM hinzugefügt wurde wird eine Device DB
           erstellt die zur Ursprünglichen ADOM (in der sich die FortiGate befindet) referenziert!

Kann ich in einer ADOM FortiGate's mit verschiedenen FortiOS mischen?

Nein dies ist nicht möglich! Bei der Erstellunge einer ADOM muss diese deklariert werden ob in dieser Devices resp. FortiGate's mit FortiOS 5.4 , 5.6 oder 6.0 gemanaged werden. Somit wenn eine FortiGate durch ein Update von FortiOS 5.0 , 5.2 auf FortiOS 5.4 gebracht wird muss diese aus der ADOM die definiert ist mit FortiOS 5.0 oder 5.2 entfernt werden um diese erneut in die ADOM die definiert ist mit FortiOS 5.4 zu importieren. In so einem Scenario ist gut zu Überlegen wie vorgegangen werden soll.

Wie erstelle ich eine ADOM (Administrative Domain)?

Ein ADOM (Administrative Domain) wird über den Device Manager erstellt. Wähle dazu im WebGui folgendes:

       System Settings > All ADOMs > Create New
       
       Fortinet-1734.jpg

Wenn man nun eine neue ADOM erstellt zB "local" dann können später zukünftige Devices in diese ADOM hinzugefügt werden:

       NOTE Bei der Erstellung einer ADOM muss diese betreffend FortiOS Version deklariert werden dh. (5.0 GA, 5.2 GA, 5.4 GA).
            Dies bedeutet wiederum, dass in einer ADOM nur diese Version im Zusammenhang mit den FortiGate Devices verwaltet werden
            können.
       Fortinet-1735.jpg

Nach der Erstellung der ADOM "local" sieht man das nun dieser Container in der Liste existieren dh. "root" (Standard ADOM nach Aktivierung der Funktion ADOM) sowie unsere neu erstellt ADOM "local"!

       Fortinet-1736.jpg

User

Wo kann ich beim FortiAnalyzer das Passwort des SuperAdmin (admin) ändern?

Per Standard existiert auf dem FortiAnalyzer ein SuperAdmin mit dem Username "admin". Diesem SuperAdmin wurde per Standard KEIN Passwort gesetzt. Wenn dieses neu gesetzt sowie modifiziert werden möchte kann dies unter folgender Position durchgeführt werden:

       Fortinet-1742.jpg

Alternativ kann auch folgendermassen das Passwort geändert werden:

       System Settings > Admin > Admin Settings > Idle Timeout
       Fortinet-1737.jpg
       NOTE: Wenn kein Passwort gesetzt wird, ist es auf der CLI nicht möglich auf die Shell zuzugreifen.

Wie erstelle ich beim FortiAnalyzer einen Administrator und definiere seine Rechte ?

Um einen neuen Administrator einzurichten muss mit einem SuperAdmin Profil z.B "admin" eingeloggt sein.

       System Settings > Admin > Administrator > Create New
       Fortinet-1743.jpg

Wenn ADOMs aktiviert sind ist es nach Situation erforderlich nur bestimmten Administratoren auf bestimmte ADOMs Zugriff zu ermöglichen. Dies setzt einen Administrator mit bestimmten Rechten vorraus. Um einen solchen Administrator zu erstellen gehe folgendermassen vor:

       System Settings > Admin > Administrator > Create New
       
       Fortinet-1743.jpg
       
       NOTE Wähle auf keinen Fall das "Super_admin" Profil denn dieses hat -obwohl restricted auf "specify"
            ADOM's- Zugriff auf ALLE ADOM's! Spezielle Profile für die Administratoren können unter folgender
            Position erstellt werden:
            
            System Settings > Admin > Profile

Wenn nun der neue Administrator "Admin-VDOM-local" sich über das normale Login des FortiAnalyzers einloggt sieht dieser nur noch im Device Manager SEINE ADOM dh. "local" und zB keine "globalen" Konfigurationspunkte wie "System Settings":

       Fortinet-1744.jpg

Der Administrator kann unter folgendem Punkt sein Passwort ändern:

       System Settings > Admin > Administrators > rechtsklick beim username admin -> Change Password
       
       Fortinet-1737.jpg

Wenn ein Administrator erfasst wird sei es als "lokaler" User sowie Radius oder LDAP User muss diesem ein entsprechendes Profile hinzugefügt werden. Dies bedeutet: Dieses Profile steuert die entsprechenden Rechte des Adminstrators. Um ein Profil zu erstellen für einen Administrator wähle folgendes:

       System Settings > Admin > Profil > Create New
       
       Fortinet-1738.jpg

Per Standard existieren folgende Profile (Diese Standard Profile können zwar modifiziert jedoch nicht gelöscht werden):

       Fortinet-1739.jpg

Unter folgenden Punkt können diese Standard Profiles eingesehen werden sowie neue erstellt werden:

       System Settings > Admin > Profile > Create New

Im Zusammenhang mit den "Access" Profiles dh. um differenzierte Rechte für Devices Access zu erstellen, stehen ebenfalls die ADOM Funktionalitäten. Weitere Informationen betreffend ADOM Funktionalität siehe auch nachfolgender Artikel:

       FortiAnalyzer-5.4:FAQ#Was_sind_ADOM.27s_und_welche_Ueberlegung_sind_in_diesem_Zusammenhang_zu_ber.C3.BCcksichtigen.3F

Zu den im Mgmt. Interface ersichtlichen Punkte stehen einige Konfigurationen zusätzlich auf der Kommandozeile zur Verfügung die noch eine granularere Konfiguration ermöglichen:

       # config system admin profile
       # edit [Name des Profiles]
       # set change-password enable
       # set description [text]
       # set scope [adom | global]
       # set system-setting [none | read | read-write]
       # set adom-switch [none | read | read-write]
       # set device-manager [none | read | read-write]
       # set device-ap [none | read | read-write]
       # set device-forticlient [none | read | read-write]
       # set device-op [none | read | read-write]
       # set device-wan-link-load-balance [none | read | read-write]
       # set realtime-monitor [none | read | read-write]
       # set log-viewer [none | read | read-write]
       # set report-viewer [none | read | read-write]
       # set event-management [none | read | read-write]
       # set change-password [enable | disable]
       # end

Wo kann ich das Timeout des Administrators konfigurieren?

Das Timout für den Administrator betreffend dem WebGui lässt sich über folgende Position konfigurieren:

       System Settings > Admin > Admin Settings > Idle Timeout

Wie kann ich unter FortiAnalyzer eine Session eines Administrators beenden obwohl das Timout noch nicht abgelaufen ist?

Wenn ein Administrator im FortiAnalyzer eingeloggt ist und dieser aktiv ist dh. über eine aktive Session hat sowie sich nicht zB korrekt ausgeloggt hat beginnt im Hintergrund ein "timout" zu laufen. Sobald das "timeout" abgelaufen ist, wird die Session des Administrators automatschi beendet. Möchte man nun nicht auf das "timeout" warten sondern die Session des Administrators sofort beenden kann folgendes durchgeführt werden:

       # diagnose system admin-session list

Dieser Bfehl listet alle aktiven Sessions der Administratoren auf zB:

       *** entry 3 ***
       session_id: 3027 (seq: 0)
       username: solivaan
       admin template: Test
       from: GUI(192.168.1.110) (type 1)
       profile: Restricted_User (type 1)
       adom: root
       session length: 211 (seconds)
       idle: 188 (seconds)

Aus diesem Output kann entnommen werden, dass der "Restricted_User" mit dem Usernamen "solivaan" eingeloggt ist/war. Dies bedeutet wiederum: Wenn der "Restricted_User" immer noch eingeloggt ist jedoch die Sekunden von "idle" erhöht werden ist dies ein Indicator das ein "timeout" aktiv ist und der User wahrscheinlich nicht korrekt ausgeloggt hat. Möchte man diese Session des Users "solivaan" beenden kann dies anhand der "session_id" durchgeführt werden:

       # diagnoe system admin-session kill [Angabe der "session-id" zB 3027]

Danach kann wiederum über das erste Kommando verifiziert werden ob die Session für User "solivaan" korrekt beendet wurde. Wenn mehrer "session_id" für einen User exisiteren muss jede einzelne "session_id" anhand des "kill" Kommandos beendet werden um alle Session des betreffenden Users zu beenden.

Wie kann ich erlauben das ein lokaler Administrator sein vergebenes Passwort ändern kann?

Per Standard ist es nicht möglich das ein Administrator der lokal erfasst wurde auf dem FortiManager/FortiAnalyzer sein Passwort selber ändern kann. Ab FortiManager sowie FortiAnalyzer 5.2 ist dies jedoch möglich. Damit das ermöglicht wird muss ein entsprechendes Profile konfiguriert werden sowie der lokale Adminstrator dh. Im Access Profile selber muss die Funktion aktiviert werden damit diese Funktion zur Verfügung steht (Per Standard deaktiviert). Danach kann granular für jeden Adminstrator dies konfiguriert werden. Somit muss als Ausgangslage in erster Stelle ein entsprechendes Profile erstellt werden oder ein bestehndes konfiguriert werden damit das ändern eines Passwortes für einen Administrator ermöglicht wird. Wie ein Profile erfasst/konfiguriert wird siehe nachfolgenden Artikel:

       FortiAnalyzer-5.4:FAQ#Wie_erstelle_ich_beim_FortiAnalyzer_5.4_einen_Administrator_und_definiere_seine_Rechte_.3F

Danach muss folgende Option im Profile konfiguriert werden:

       # config system admin profile
       # edit [Name des Profiles]
       # set change-password enable
       # end
       
       NOTE Wird ein "Read-Only" Profile erstellt kann die Option "change-password" nicht benutzt werden dh. diese Option steht
            auch im per standard existierenden Profile "Read-Only" nicht zur verfügung!

Über Mgmt. Interface muss nun dem entsprechenden Adminstrator dieses Profile zugewiesen werden über folgende Position:

       System Settings > Admin > Administrators > [Wähle den entsprechenden Administrator] > Admin Profile > [Wähle das entsprechende Profile]

Danach kann das ändern des Passwortes für den entsprechenden Administrator über Kommandozeile aktiviert werden:

       # config system admin user
       # edit [Name des Administrators]
       # set change-password enable
       # end

Sobald der entsprechende Administrator sich einloggt steht diesem im oberen linken Bereich ein neues Icon zur Verfügung im Form eines "Schlosses". Ueber diese Position kann nun der entsprechende Administrator sein Passwort ändern!

Wie finde ich heraus welche Administratoren momentan auf einem FortiAnalyzer eingeloggt sind?

Unter folgender Position sieht man die momentanen Session für die eingeloggten Administratoren (Nur mit "Super_admin" Profil):

       System Settings > Dashboard > System Information > Current Administrators
       
       Fortinet-1745.jpg

Wenn man nun auf "Detail" geht so öffnet sich ein Fenster indem die vers. Sessions der Administratoren aufgelistet sind. Möchte man eine Session eines Administrators löschen kann dies über die Checkbox durchgeführt werden (aktivieren und auf delete):

       Fortinet-1746.jpg

Wie kann ich für einen FortiAnalyzer Administratoren basierend auf "ActiveDirectory" sowie Gruppen Zugehörigkeit konfigurieren?

Wenn man für die Authentifizierung der Administratoren ein "ActiveDirectory" einbinden möchte ist dies ohne grossen Aufwand möglich. Innerhalb dieser Konfiguration ist es möglich direkt eine bestimmte "Gruppe im ActiveDirectory" zu konfigurieren in der die Administratoren verwalten werden die auf den FortiManager Zugriff erhalten. Dabei ist jedoch zu berücksichtigen das innerhalb dieser Gruppe - für verschiedene User - es nicht möglich ist verschiedenen "Access Profiles" sowie "VDom" zu konfigurieren. Dies bedeutet: Wird für ein ActiveDirectory eine Gruppe definiert kann innerhalb dieser Gruppe nur ein "Access Profile" sowie "ADOM/s" zugewiesen werden. Möchte man eine zweite Gruppe mit underschiedlicher Zuweisung konfigurieren muss erneut ein neuer Eintrag für dieses ActiveDirectory mit der neuen Gruppen konfiguriert werden in der die neue Zuweisung von "Access Profile" sowie "ADOM/s" durchgeführt werden kann. Um das ActiveDirectory mit der entsprechenden Gruppe zu konfigurieren führe folgendes durch:

       In diesem Beispiel wird von folgenden Komponenten/Informationen ausgegangen:
       
       - ActiveDirectory Controller IPv4 10.0.0.1 
       - Domaine also.com
       - OU "RemoteAdmins" entält die Gruppe "fmgAdmins" sowie "fazAdmins"
       - Administrator Account für Gruppe "fmgAdmins" sowie "fazAdmins" ist "LDAPservice"
       - Administrator Account "LDAPservice" verfügt über Domain Admin Rechte sowie "never expiring password"
       - Administrator Account "LDAPservice" wird benützt um auf das ActiveDirectory zu verbinden
       # config system admin ldap
       # edit [Name des Eintrages für das ActiveDirectory zB "LDAP"]
       # set server "10.0.0.1"
       # set secondary-server "0.0.0.0"
       # set port 389
       # set cnid "sAMAccountName"
       # set dn "DC=also,DC=com"
       # set type regular
       # set username "CN=LDAPservice,OU=RemoteAdmins,DC=also,DC=com"
       # set password [Password des Service Account "LDAPservice"]
       # set adom [Definiert den Namen der der ADOM oder mehrerer ADOM's]
       # set group CN=fmgAdmins,OU=RemoteAdmins,DC=also,DC=com
       # set filter (&(objectcategory=group)(member=*))
       # next
       # end

Nun muss für alle User in der Gruppe "fmgAdmins" sowie "fazAdmins" ein user erfasst werden der als "wildcard" benutzt wird resp. alle User darstellt in "fmgAdmins" sowie "fazAdmins":

       # config system admin user
       # edit "RemoteAdmins"
       # set profileid "Super_User"
       # set adom [Definiert den Namen der der ADOM oder mehrerer ADOM's]  
       # set policy-package [Definiert folgendes: [ <adom name>: <policy package id> | <adom policy folder name>/<package name> | all_policy_packages]
       # set user_type ldap
       # set ldap-server "AD1"
       # set wildcard enable
       # next
       # end

Backup / Restore

Wie kann ich über das WebInterface ein Backup der FortiAnalyzer Konfiguration durchführen?

Nun ein Backup für den FortiAnalzter lässt sich einfach durchführen sprich wähle folgendes:

       System Settings > Dashboard > System Configuration > Fortinet-1790.jpg auswählen
       
       NOTE Im Gegensatz zu einem FortiGate Backup ist das eines FortiAnalyzers nicht lesbar, dass heisst 
            es kann für einen Restore auch nicht manipuliert werden! Es wird ein *.dat File zur Speicherung 
            des Backup's durchgeführt zB: "SYS_FAZ-VM0000000001_FortiAnalyzer-VM_20160305_1352.dat"

Wie kann ich über CLI ein Backup der FortiAnalyzer Konfiguration durchführen?

Möchte man über CLI ein Backup durchführen kann dies über folgende Protokolle durchgeführt werden:

       FTP / SFTP
       SCP

Folgende Kommandos müssen benutzt werden:

       # execute backup all-settings [FTP oder SFTP] [Server IP Adresse] [Pfad sowie Filename zB backup/full-backup] [User Name] [Passwort]
       Starting backup all settings in background, Please wait.
       Starting transfer the backup file to FTP server...
       Backup all settings...Ok.
       
       oder
       
       # execute backup all-settings scp [Server IP Adresse] [Pfad sowie Filename zB backup/full-backup] [User Name] [SSH Zertifikat] [Cryptpasswort]
       NOTE Anstelle von "all-settings" stehen folgende Optionen zur Verfügung:
            
            logs [Device Name speariert durch Komma (,) oder all]
            logs-only [Device Name speariert durch Komma (,)]
            
            reports [Report Name speariert durch Komma (,) oder all]
            reports-config [ADOM Name speariert durch Komma (,) oder all]

Wenn eine VMware Installation benützt wird dh. eine Virtualisierung eines FortiAnalyzers ist die Snapshot Variante die bevorzugte resp. empfohlen Variante um ein Backup durchzuführen. Desweiteren ist folgendes zu berücksichtigen:

       Wenn ein Backup durch einen Administrator für eine spezifizierte VDOM durchgeführt wird so enthält das Backup folgende 
       Informationen: "Global Settings, Settings für spezifizierte VDOM"
       Wenn ein Backup durch den "regulären" Administrator durchgeführt wird so enthält das Backup folgende Informationen:
       "Global Settings, Settings für alle VDOM"

Somit muss berücksichtigt werden, dass Logs sowie Reports nicht anhand "all-settings" automatisch gesichert werden. Um ein komplettes Backup manuell durchzuführen muss folgendes ausgeführt werden:

       Backup Logs anhand FTP sowie anhand "regulärem Administrator"
       # execute backup logs-only all [FTP oder SFTP] [Server IP Adresse] [Pfad sowie Filename zB backup/full-backup] [User Name] [Passwort]
       Backup Reports anhand FTP sowie anhand "regulärem Administrator"
       # execute backup  reports all [FTP oder SFTP] [Server IP Adresse] [Pfad sowie Filename zB backup/full-backup] [User Name] [Passwort]
       Backup Settings anhand FTP sowie anhand "regulärem Administrator"
       # execute backup all-settings [FTP oder SFTP] [Server IP Adresse] [Pfad sowie Filename zB backup/full-backup] [User Name] [Passwort]

Wie kann ich ein Restore eines FortiAnalyzers durchführen?

Ein Restore lässt sich ebenfalls über diese Position im Dashboard durchführen! Beim Backup resp. Restore ist zu berücksichtigen WAS bei einem Backup gesichert wird. Dies bedeutet: In einem Backup das über Web Mgmt. Interface durchgeführt wird sind nur die "Global Settings, Settings für spezifizierte VDOM und/oder Settings für alle VDOM's" enthalten. Logs sowie Reports resp. Report Konfigurationen sind nicht enthalten. Weitere Informationen dazu siehe siehe nachfolgender Artikel der erklärt wie diese Backups über Kommandozeile durchgeführt werden:

       FortiAnalyzer-5.4:FAQ#Wie_kann_ich_.C3.BCber_CLI_ein_Backup_der_FortiAnalyzer_Konfiguration_durchf.C3.BChren.3F

Ausgehend davon wenn ein "Kompletter Restore" (Disaster Scenario) durchgeführt werden soll muss folgendes ausgeführt werden:

      - Installiere den FortiAnalyzer anhand der Firmware (FortiOS) Version basierend auf dem vorhandenen Backup das für den Restore verwendet werden soll.
      - Führe die Grundkonfiguration durch für das Netzwerk des FortiAnalyzer resp. damit der Zugriff auf den FortiAnalyzer gewährleistet ist.
      - Bevor ein Restore durchgeführt wird setze den FortiAnalyzer in den "factory reset state" was wiederum bedeuet:
        
        führe auf der CLI folgendes Kommando durch:
        
        # execute reset all-settings
        # execute format [disk-ext4 | disk-ext3 | disk]
         
Achtung.png

Nach beiden Kommandos wird ein Neustart des FortiAnalyzers ausgeführt!

       Restore Settings anhand FTP sowie anhand "regulärem Administrator"
       # execute restore all-settings [FTP oder SFTP] [Server IP Adresse] [Pfad sowie Filename zB backup/full-backup] [User Name] [Passwort]
       
       Wenn ein Restore über Web Mgmt. Interface durchgeführt werden soll führe diesen durch über folgende Position:
       
       System Settings > Dashboard > System Configuration > Fortinet-1791.jpg anwählen
       Restore Logs anhand FTP sowie anhand "regulärem Administrator"
       # execute restore logs-only all [FTP oder SFTP] [Server IP Adresse] [Pfad sowie Filename zB backup/full-backup] [User Name] [Passwort]
       Restore Reports anhand FTP sowie anhand "regulärem Administrator"
       # execute restore  reports all [FTP oder SFTP] [Server IP Adresse] [Pfad sowie Filename zB backup/full-backup] [User Name] [Passwort]

Nach einem Restore muss kontrolliert werden ob ein Database rebuild ausgeführt wird. Dazu siehe nachfolgenden Artikel:

       FortiAnalyzer-5.4:FAQ#Wie_kann_ich_auf_einem_FortiAnalyzer_.C3.BCberpr.C3.BCfen_ob_ein_Database_Rebuild_durchgef.C3.BChrt_wird.3F

Wird der Database rebuild "nicht automatisch" ausgeführt muss dieser manuell durchgeführt werden um die Informationen des Restores in der Databse zu verarbeiten. Dies kann einige Zeit in Anspruch nehmen sprich bei hohem Datenvolumen kann dies mehrer Stunden dauern. Dazu siehe nachfolgender Artikel:

       FortiAnalyzer-5.4:FAQ#Wie_kann_ich_auf_einem_FortiAnalyzer_ein_Database_Rebuild_manuel_durchf.C3.BChren.3F

Wie kann ich ein Backup für einen FortiAnalyzer automatisieren?

Das Backup kann über die Kommandozeile folgendermassen konfiguriert werden:

       # config system backup all-settings
       # set status [enable | disable]
       # set server [IPv4 Adresse des Servers oder FQDN]
       # set user [Username]
       # set passwd [Password]
       # set directory [Name des Verzeichnis auf Zielserver in Form "/[Name des Verzeichnis]
       # set week_days [Wochentag für die Ausführung "monday tuesday wednesday thursday friday saturday sunday"]
       # set time [hh:mm:ss]
       # set protocol [Protokoll Angabe "ftp | scp | sftp"]
       # set cert [SSH Zertifikat String für "scp"]
       # set crptpasswd [Optionales Passwort]
       # end

Wie kann ich von einem FortiAnalyzer Konfiguration die System Konfig (system.conf) aus einem Backup File extrahieren?

Wenn auf einem FortiAnalyzer ein Backup durchgeführt wird sei es automatisiert oder manuell dann wird ein File erstellt in folgender Form:

       "SYS_FAZ-VM0000000001_FortiAnalyzer-VM_20161804_1346.dat"

Dieses File enhält keine Logs noch Reports dh. dieses File enthält nur System spezifische Informationen/Konfigurationen. Ebenfalls enhält das Backup File das Konfigurations File "system.conf". In diesem Konfigurations File sind in "clear-text" folgende System Konfiguration enthalten (Beispiel basierend auf FortiOS 5.4 Kurzform dh. ohne Details):

       --------------- system.conf ---------------
       
       #config-version=FAZVM64-5.4-FW-build1019-160217
       config system global
       config system interface
       config system snmp sysinfo
       config system route
       config system dns
       config system ntp
       config system certificate oftp
       config system backup all-settings
       config system admin profile
       config system admin radius
       config system certificate ca
       config system certificate local
       config system password-policy
       config system admin user
       config system admin setting
       config system alertemail
       config system mail
       config system alert-console
       config system locallog disk setting
       config system locallog disk filter
       config system locallog memory setting
       config system locallog memory filter
       config system locallog fortianalyzer filter
       config system locallog fortianalyzer2 filter
       config system locallog fortianalyzer3 filter
       config system locallog fortianalyzer setting
       config system locallog fortianalyzer2 setting
       config system locallog fortianalyzer3 setting
       config system locallog syslogd setting
       config system locallog syslogd filter
       config system locallog syslogd2 setting
       config system locallog syslogd2 filter
       config system locallog syslogd3 setting
       config system locallog syslogd3 filter
       config system locallog setting
       config system fips
       config system central-management
       config fmupdate av-ips fgt server-override
       config fmupdate av-ips fct server-override
       config fmupdate av-ips push-override
       config fmupdate av-ips push-override-to-client
       config fmupdate av-ips web-proxy
       config fmupdate fct-services
       config fmupdate av-ips advanced-log
       config fmupdate av-ips update-schedule
       config fmupdate analyzer virusreport
       config fmupdate service
       config fmupdate publicnetwork
       config fmupdate disk-quota
       config fmupdate server-access-priorities
       config fmupdate device-version
       config fmupdate server-override-status
       config fmupdate multilayer
       config fmupdate support-pre-fgt43
       config fmupdate fds-setting
       config system log alert
       config system log settings
       config system log-fetch server-settings
       config system aggregation-service
       config system sql
       config system report est-browse-time
       config system report auto-cache
       config system report setting
       config system fortiview setting
       config system fortiview auto-cache
       config system auto-delete
       
       --------------- system.conf ---------------

Somit kann dieses Konfigurations File dazu dienen, im Fall eines Migration Scenario so schnell als möglich ein System Wiederherzustellen. Damit man an das File "system.conf" kommt muss nicht anderes durchgeführt werden als das Backup File zu "extrahiere" dh. mit zB ZIP zu entpacken. Wenn dies durchgführt wird, entsteht ein File mit dem Namen:

       SYS_FAZ-VM0000000001_FortiAnalyzer-VM_20161804_1346

Entpacke das File wiederum mit ZIP und es entsteht ein Verzeichniss mit dem Namen des Files. In diesem Verzeichnis befindet sich folgende Verzeichnis Struktur:

       var/
          /dm
          /dvm
          /fwclienttemp
          /pm2
          /portal
          /rtm

Das Konfigurations File "system.conf" befindet sich in "clear-text" Form im Verzeichnis "/fwclienttemp" und kann zB mit WordPad geöffnet werden.

Wie tausche ich bei einem Defekt einer FortiGate diese im FortiAnalyzer aus?

Ausgehend davon, dass eine FortiGate im FortiAnalyzer ordnungsgemäss im Konfigurationsmodus eingebunden ist, stellt sich die Frage "Was ist zu tun" wenn eine FortiGate anlässlich eines Defekts ausgetauscht werden muss. Wenn eine FortiGate im FortiAnalyzer eingebunden wird so geschieht dies anhand Ihrer Serien Nummer. Dieses Serien Nummer ist Basis um den FortiGate Device eindeutig zu identifizieren. Nachfolgend die Prozedur die anzuwenden ist um ein "Replacement" durchzuführen unter FortiAnalyzer 5.4:

       FortiGate Device Defekt    [Serien Nummer]
       FortiGate Device Austausch [Serien Nummer]
       
       • Als Erstes muss eine RMA durchgeführt werden! Weitere Informationen siehe Artikel:
       
       Fortinet:Support-RMA#Wie_f.C3.BChre_ich_f.C3.BCr_eine_Fortinet_Hardware.2FDevice_eine_RMA_durch.3F
       
       • Sobald der Device eintrifft konfiguriere den neuen Device (RMA / Austausch Device) folgendermassen:
         
         Lade auf dem Austauschgerät die entsprechende Firmware dh. die gleiche Firmware wie auf dem defekten Device:
         
         FortiGate-5.0-5.2:FAQ#Ist_es_m.C3.B6glich_ein_Firmware_Wiederherstellung_durchzuf.C3.BChren.3F
         
         Verififziere die neue Serien Nummer:
         
         # get system status | grep Serial
         
         Konfiguriere das "externe" Interface so, dass es die alte Konfiguration (IP) des defekten Device 
         wiederspiegelt. Bei einer statischen IP wäre dies zB:
         
         # config system interface
         # edit [Gebe das entsprechende Interface an zB "wan1"]
         # set ip [IPv4 Adresse mit Subnet zB xxx.xxx.xxx.xxx/xx]
         # set allowaccess [Aktiviere das Interface für FortiManager Mgmt. "fgfm"]
         # end
         
         NOTE Es "MUSS" https auf dem externen Interface (fgfm aktiviert) aktiviert werden. Der Grund ist dahingehend, dass sobald
              in den nächsten Schritten der "Mgmt. Tunnel" neu initiert wird, über https die SSL basierende Mgmt. Verschlüsselung 
              etabliert wird. Bei der Initierung der "Mgmt. Tunnel's" wird wie gewohnt der Port TCP-541 requested und ein "syn" 
              gesendet. Ist der Port für HTTPS auf dem externen Interface nicht aktiviert kann über den HTTPS Port intern die 
              Verschlüsselung nicht etabliert werden!
         
         Setze sofern nötig den Default Gateway für das externe Interface:
         
         # config router static
         # edit 1
         # set device [Gebe das entsprechende Interface an zB "wan1"]
         # set gateway [IPv4 Adresse mit Subnet zB xxx.xxx.xxx.xxx]
         # end
         
         Konfiguriere für die FortiGate den FortiAnalyzer Server mit dessen IP sowie dessen Username und 
         Passwort:
         
         # config log fortianalyzer setting
         # set status enable
         # set ips-archive enable
         # set server [IPv4 Adresse des FortiAnalyzers]
         # set enc-algorithm default
         # set upload-option realtime
         # end
         
       NOTE Diese Konfiguration "realtime" bedeutet, dass die Logs "real-time" zum FortiAnalyzer gesendet wird.
            Per Standard gilt "one's a day" zu einer bestimmten zu definierenden Zeit (Ueber Webinterface)!
                  
         # config system admin
         # edit [Name des Administrators der benützt wird für FortiManager Login]
         # set accprofile "super_admin"
         # set vdom "root"
         # set password [Passwort]
         # end
         
         NOTE Auf dem "defekten" Device wurde ein Administrator definiert (kann auch der Standard Administrator "admin" sein)
              mit dessen Passwort der dazu benützt wurde um die FortiGate auf dem FortiAnalyzer einzubinden. Diese Informationen
              müssen für das Austauschgerät identisch gesetzt werden um ein erfolgreiches "Replacement" durchzuführen! Ist das
              betreffende Passwort des "alten defekten" Devices nicht mehr bekannt kann dieses auf dem FortiAnalyzer geändert
              werden anhand folgenden Befehls:
              
              # execute device replace pw [Gebe den entsprechenden Namen des Device an gemäss FortiAnalyzer]
              This operation will clear the password of the device.
              Do you want to continue? (y/n)y
         
       • Nun bevor wir nun die FortiGate Online bringen muss auf dem FortiAnalyzer die alte Serien Nummer des defekten Device mit der
         neuen Serien Nummer des "Austauschgerätes" ersetzt werden. Mit folgenden Befehl kann die Information des "defekten" Device
         resp. dessen Namen sowie deren Serien Nummer eruiert werden um nachträglich diese Serien Nummer zu ersetzen:
           
           # diagnose dvm device list
           
       • Eruiere in der Device Liste den korrekten Device Namen und führe um die Serien Nummer zu ersetzen folgendes durch:
         
         # execute device replace sn [Device Name] [Neue Serien Nummer des Austauschgerätes]
         
       • Verifiziere in der Device Liste ob das "Replacement" der Serien Nummer erfolgreich war:
       
         # diagnose dvm device list
       
       • Nun verbinde die FortiGate mit dessen konfigurierten Interface damit diese über dieses Interface den FortiAnalyzer erreichen
         kann. Die FortiGate nimmt mit dem von uns konfigurierten Interface sowie mit dem durch uns definierten Administrator Username
         und Passwort mit dem FortiAnalyzer kontakt auf. Nach einiger Zeit erscheint der Device im FortiAnalyzer "Device Manager" unter 
         "Connectivity" als UP:

Was muss konfiguriert werden damit ein FortiAnalyzer seine Logs einem "syslog" Server übermittelt?

Die Konfiguration muss über das Management Web Interface durchgeführt werden sowie in der Kommandozeile. Dies bedeutet folgendes:

       System Settings > Advanced > Syslog Server
       
       Fortinet-1770.jpg
       
       NOTE Um diese Konfiguration in der Kommandozeile durchzuführen muss folgendes ausgeführt werden:
            
            # config system syslog
            # edit [Name des "syslog" Servers]
            # set ip [IPv4 Adresse des "syslog" Servers]
            # end

Durch die Definierung des "syslog" Servers werden die Logs eines FortiAnalyzers resp. FortiManagers nicht zum "syslog" Server übermittelt, dies muss über die CLI folgendermassen konfiguriert werden:

       # config system locallog syslogd setting
       # set syslog-name [Name des "syslog" Server der vergeben wurde unter "config system syslog"]
       # set severity [Setze die entsprechende "Severity" dh emergency | alert | critical | error | warning | notification | information | debug]
       # set status [enable | disable]
       # set csv [enable | disable] 
       # set facility [alert | audit | auth | authpriv | clock | cron | daemon | ftp | kernel | local0 | local1 | local2 | local3 | local4 | local5 | local6 | local7 | lpr | mail | news | ntp | syslog | user | uucp]
       # set port [Port des "syslog" Servers]
       # end
            
       NOTE Damit der FortiAnalyzer sowie FortiManager Logs (Standard Nachrichten) dem "syslog" Server übermittelt das heisst
            betreffend "Severity" muss diese auf "information" gesetzt werden!

Log / View

Was muss konfiguriert werden damit ein FortiAnalyzer unter FortiOS 5.4 seine Logs einem "syslog" Server übermittelt?

Die Konfiguration muss über das Management Web Interface durchgeführt werden sowie in der Kommandozeile. Dies bedeutet folgendes:

       System Settings > Advanced > Syslog Server
       
       Fortinet-1770.jpg
       
       NOTE Um diese Konfiguration in der Kommandozeile durchzuführen muss folgendes ausgeführt werden:
            
            # config system syslog
            # edit [Name des "syslog" Servers]
            # set ip [IPv4 Adresse des "syslog" Servers]
            # end

Durch die Definierung des "syslog" Servers werden die Logs eines FortiAnalyzers resp. FortiManagers nicht zum "syslog" Server übermittelt, dies muss über die CLI folgendermassen konfiguriert werden:

       # config system locallog syslogd setting
       # set syslog-name [Name des "syslog" Server der vergeben wurde unter "config system syslog"]
       # set severity [Setze die entsprechende "Severity" dh emergency | alert | critical | error | warning | notification | information | debug]
       # set status [enable | disable]
       # set csv [enable | disable] 
       # set facility [alert | audit | auth | authpriv | clock | cron | daemon | ftp | kernel | local0 | local1 | local2 | local3 | local4 | local5 | local6 | local7 | lpr | mail | news | ntp | syslog | user | uucp]
       # set port [Port des "syslog" Servers]
       # end
            
       NOTE Damit der FortiAnalyzer sowie FortiManager Logs (Standard Nachrichten) dem "syslog" Server übermittelt das heisst
            betreffend "Severity" muss diese auf "information" gesetzt werden!

Was muss konfiguriert werden damit ein FortiAnalyzer unter FortiOS 5.4 alle seine Logs zusätzlich einem "syslog" Server sendet?

Wenn alle Logs die ein FortiAnalyzer erhält zusätzlich zu einem Sylsog Server gesendet werden sollen, kann folgendes Konfiguriert werden:

       Konfiguriere einen entsprechenden Syslog Server'
       
       # config system syslog
       # edit [Name des entsprechenden Syslog Servers zB "syslog"]
       # set ip [IPv4 Adresse des entsprechenden Syslog Servers]
       # set port 514
       # next
       # end
       Konfiguriere die Syslog Aggregation
       
       # config system aggregation-client
       # edit [Vergebe einen entsprechenden Integer zB "1"]
       # set mode realtime
       # set fwd-facility local7
       # set fwd-min-level information
       # set fwd-log-source-ip local_ip
       # set fwd-remote-server [Name des entsprechenden Syslog Servers zB "syslog"]
       # set server-ip [IPv4 Adresse des entsprechenden Syslog Servers]
       # set server-port 514
       # next
       # end

Für die Option "set mode" stehen folgende Optionen zur Verfügung:

       aggregation     Aggregate logs and archives to Analyzer.
       both            Forward logs and aggregate archives to Analyzer.
       disable         Do not foward or aggregate logs.
       realtime        Realtime foward logs to Analyzer.

Kann ich das Log (Event Log) eines FortiAnalyzer resp. FortiManager zu einem Zentralen FortiAnalyzer übermitteln?

Wenn das "Event Log" eines FortiAnalyzer resp. FortiManger's zu einem bestimmten FortiAnalyzer übermittelt werden soll steht folgende Funktion zur Verfügung das heisst durch folgende Konfiguration wird der FortiAnylzer/FortiManager angewiesen sein Event Log einem bestimmten FortiAnalyzer zu übermitteln:

       # config system locallog fortianalyzer setting
       # set status realtime
       # set server-ip [IPv4 Adresse des FortiAnalyzer]
       # set secure-connection enable
       # set severity information
       # end
       
       NOTE Das Event Log eines FortiAnalyzer/FortiManager steht per Standard auf Information. Somit sollte die Konfiguration ebenfalls
            auf diese "severity" gesetzt werden. Wenn der "debug" Modus für das Event Log aktiviert ist so muss -sofern gewünscht- die
            "severity" ebenfalls angepasst werden. Weitere Informationen betreffend "debug" Modus für das Event Log siehe nachfolgender
            Artikel:
            
            FortiManager-5.0-5.2:FAQ#Wie_kann_ich_f.C3.BCr_das_.22Event_Log.22_auf_dem_FortiManager_den_.22debug.22_Modus_einschalten.3F

Wie kann ich Logs eines FortiGate Devices (Standalone) zu einem späteren FortiGate HA Cluster hinzufügen?

Wenn ein FortiGate Device als Standalone im FortiAnalyzer konfiguriert ist und dessen Logs auf dem FortiAnalyzer exisiteren, werden die Logs nicht zu einem HA Cluster hinzugefügt wenn dieser Standalone FortiGate Device zu einem HA Cluster hinzugefügt wird. Dies bedeutet: Logs eines FortiGate Devices Standalone werden nicht automatisch migriert und fehlen somit in der History eines HA FortiGate Device Clusters. Somit muessen die Logs des FortiGate Standalone Devices manuell zu den Logs des HA Clusters hinzugefügt werden. Bevor diese manuelle Migration der Logs durchgeführt wird, sollte der Status verifziert werden dh. führe folgendes Kommando aus:


       # diagnose dvm device listTYPE
       
       OID      SN               HA  IP              NAME                                 ADOM                                 FIRMWARE
       faz enabled 401      FG100D9327501267 -   10.108.16.150   FGVMDH-40                            lab                                  5.0 MR2 (727)
               |- STATUS: db: unknown; conf: unknown; cond: unknown; dm: none; conn: unknown
               |- vdom:[3]root flags:0 adom:lab pkg:[never-installed]
       
       faz enabled 413      FG100D9327501268 -   10.108.16.150   FGVMDH-42                            lab                                  5.0 MR2 (727)
                 |- STATUS: db: unknown; conf: unknown; cond: unknown; dm: none; conn: unknown
                 |- vdom:[3]root flags:0 adom:lab pkg:[never-installed]

In diesem Beispiel werden zwei Devices aufgelistet als Standalone dh. FG100D9327501267 sowie FG100D9327501268. Danach führe folgendes Kommando aus:

       # execute log device logstore list   
       
       Device ID           logfiles           archive files      status
       ==================================================================
       (1) FG100D9327501267          0MB          0MB          active.
       (2) FG100D9327501268          0MB          0MB          active.     

Dieser Befehl listet den Logrotate Status auf in dem die zwei Devices für unser Beispiel korrekt erscheinen. Wenn nun diese beiden FortiGate Devices dh. FG100D9327501267 sowie FG100D9327501268 zu einem HA Cluster konfiguriert werden sollen, kann dies nun über Device Manager durchgeführt werden. Dazu muss der eine der FortiGate Device im Device Manager editiert werden und unter der Option "HA Cluster" der entsprechende zweite Node zum HA Cluster hinzugefügt werden. Dabei ist zu beachten das als "Quote" mindestens der kleinste Wert eingegeben wird der zwei Nodes da ansonsten Logs im Hintergrund gelöscht werden da die entsprechende Quote resp. Storage nicht mehr zur Verfügung steht. Im Hintergrund wird nun ein HA Cluster Log "_CID" für die FortiGate Devices erstellt und eine Migration zu einem HA Cluster automatisch durchgeführt. Nach der automatischen Migration zum HA Cluster führe folgendes Kommando abermals aus:

       # execute log device logstore list   
       
       Device ID           logfiles           archive files      status
       ==================================================================
       (1) FG100D9327501267          N/A          N/A          zombie
       (2) FG100D9327501268          N/A          N/A          zombie 
       (3) FGHA000999185129_CID          0MB          0MB          active

Für den FortiGate HA Cluster wurde eine automatische Migration durchgeführt was durch den Eintrag "FGHA000999185129_CID" bestätigt wird. Die Einträge der Standalone FortiGate Devices dh. FG100D9327501267 sowie FG100D9327501268 sind jedoch immer noch vorhanden und als "zombie" gekennzeichnet. Um diese Logs nun zum FortiGate HA Cluster Device manuell zu migrieren führe folgendes aus:

       # execute log device logstore move FG100D9327501267 FGHA000999185129_CID
       # execute log device logstore move FG100D9327501268 FGHA000999185129_CID

Danach kontrolliere abermals die Logstore Liste:

       # execute log device logstore list   
       
       Device ID           logfiles           archive files      status
       ==================================================================
       (3) FGHA000999185129_CID          0MB          0MB          active

Im Device Manager existieren die Devices immer noch als Standalone und können nun über den Device Manager gelöscht werden. Danach kann ein Database Rebuild ausgeführt werden:

       # execute sql-local rebuild-adom [Name der ADOM zB "root"]

Routing

Wo kann ich das Routing für einen FortiAnalyzer konfigurieren?

Ein FortiAnalyzer verfügt im normal Fall über mehrere Interfaces dh. diese können für verschiedenen Segmente konfiguriert werden. Das Routing das für die Interfaces konfiguriert wird kann über folgende Position konfiguriert werden:

       System Settings > Network > Routing Table
       
       NOTE Der Default Gateway wird nicht über die "Routing Table" konfiguriert sondern
            über die Position "Default Gateway" und ist nachträglich in der Routing Tabelle
            ersichtlich!
       Fortinet-1766.jpg
       
       Fortinet-1767.jpg

Um das Routing über CLI zu konfigurieren führe folgendes aus:

       # config system route
       # edit [Routing ID/Sequenz]
       # set device [Name des Ports für das Routing]
       # set dst [IPV4 Adresse für Destination Routing]
       # set gateway [IPv4 Adresse für Default Gateway]
       # end

Reports

Was für Report's kann ich per Standard auf einem FortiAnalyzer Version 5.4 erstellen?

Eine FortiAnalyzer Installation beinhaltet etliche vorkonfigurierte/-definierte Report's (Template's) die benutzt werden können. Diese können "nicht" gelöscht und/oder modifiziert werden. Jedoch lassen sich diese Report's kopieren und nachträglich die Kopie anpassen. Die vordeffinierten Reports findet man unter Reports > Report Definitions > Templates

       Fortinet-1772.jpg

Wie erstelle ich einen Report auf einem FortiAnalyzer Version 5.4?

Ein Report auf einem FortiAnalyzer wird anhand von Templates erstellt. Diese Templates ermöglichen den Report selber zusammenzustellen dh. ein Report enthält folgende Basis:

       Kopfzeilen (headings)
       Text Boxen
       Images
       Charts
       Seitenumbruch (line page breaks)

Um ein neues Report Template zu erstellen wähle folgendes:

       [Wähle die entsprechende ADOM] > Reports > All Report > Create New
       
       Fortinet-1780.jpg
       Fortinet-1781.jpg
       Fortinet-1809.jpg
       Fortinet-1810.jpg
       Fortinet-1811.jpg

Wie können mehrere Reports im FortiAnalyzer gleichzeitig generiert werden?

Über die CLI muss folgende globale Einstellung geändert werden, damit mehrere Reports gleichzeitig erstellt werden können:

       # config system globale
       # set max-running-reports [Anzahl gleichzeigiger Reports, maximaler Wert ist 10]
       # end
       
       NOTE Damit der Ressourcenbedarf möglichst klein gehalten wird, empfiehlt es sich, 
                  die Nutzung gleichzeitiger Reports zu generieren möglichst klein zu halten.

Der Status wieviele Reports gleichzeitig generiert werden, kann unter folgendem Kommando festgestellt werden:

       # diag report status 
       Max pending rpts: 100000 
       Current pendings: 0 
       Max running rpts: 10 <- Dieser Wert gibt an, wieviele Reports gleichzeitig generiert werden können.
       Current runnings: 0 
       Semaphore state : initialized (1)
          Sem value    : 1 unlocked

FortiView

Was ist FortiView?

Der Menüpunkt "FortiView" stellt Grundsätzlich eine Kurzübersicht anhand von grafischen Übersichten zur Verfügung betreffend Traffic wie "Web, EMail, Threat Activity usw" Der Menupunkt "FortiView" findet sich ebenfalls wieder im FortiOS 5.4 auf der FortiGate.

       Fortinet-1771.jpg

Wie kann ich ein Top Diagramm schnell erstellen?

FortiView > auf Zahnrad beim entsprechenden Wigged klicken [in unserem Beispiel Top 10 Sources]

       Fortinet-1775.jpg
       
       Fortinet-1776.jpg
       
       Legende:
       1 Balkendiagramm
       2 Kuchendiagramm
       3 Weltkarte
       4 Blasendiagramm
       5 Tabelle

Welche grafischen Diagramme stehen im FortiView zu Verfügung?

Optisch unterscheiden sich die verschiedenen Diagramme folgendermassen:

       Balkendiagramm:
       Fortinet-1788.jpg
       Kuchendiagramm
       Fortinet-1779.jpg
       Weltkarte
       Fortinet-1777.jpg
       Blasendiagramm
       Fortinet-1778.jpg
       Tabelle
       Fortinet-1787.jpg

IOC

Was ist IOC?

IOC (Indicators of Compromise) Services ist beim FortiAnalyzer ab Version 5.4.1 verfügbar Dieser Dienst analysiert die lokalen Logs auf eventuelle gefundenen Bedrohungen und Infektionen. Dabei werden die aktuellen und auch die historischen Log Daten analysiert. So kann erkennt werden, ob ein Enduser Webseiten besuchte welche potentiel gefährlich sind oder ob gefährliche Dateien heruntergeladen wurden. Dies wird dann in einem Report zusammengefasst. Die Daten für die Analysen kommen aus der FortiGuard Datenbank. Aus diesem Grund muss auch eine spezielle Lizenz gelöst werden.

      NOTE Es handelt sich hier nicht um eine Echtzeitanalyze. Es werden die lokalen Logs und die historischen Logs analysiert
           Dabei werden allfällige Bedrohungen markiert. 
           Es kann gut sein, dass ein Zielhost als Bedrohung markiert, dieser aber vor 2 Wochen noch nicht infektet war.  
           Dies kann sein, dass er erst seit zwei drei Tagen in der FortiGuard Datenbank als Bedrohung gelistet wurde.

Was für Bedrohungen kann IOC erkennen?

Es können drei Arten von Bedrohungen erkannt werden:

       - Malware (Schadensprogramme auf den Clients/Servern)
       - PUP (Potentiell unerwünschte Programme wie Spyware, Adware oder Toolbars)
       - Unknow (Bedrohungen welche durch die Signatur erkannt wurde aber noch keiner bekannten Malware zugeordnet werden kann)

Die Lokalen Daten werden aus der sich immer weiterentwickelnden FortiGuard Datenbank verglichen und dementsprechend markiert.

Was sind die Voraussetzungen für IOC?

Damit IOC verwendet werden kann muss auf den FortiGate Geräten der UTM Web-Filter eingeschaltet sein. Beim FortiAnalyzer muss unter FortiGuard die IOC-Service Lizenz abonniert werden. Dies ist notwendig, damit die lokale Datenbank und die Bedrohungsdatenbank von FortiGuard synchronisiert werden können.

Wie abonniere ich den IOC Service beim FortiAnalyzer 5.4?

Die Lizenz kann unter folgendem Menupunkt aktiviert werden:

      System Settings > License Information > FortiGuard > IOC Service Klick auf Fortinet-1793.jpg

Wie sehe ich die IOC Informationen im FortiAnalyzer ab 5.4.1?

Unter dem Menu FortiView > Threats > IOC

      Fortinet-1794.jpg

Im Inhaltsfenster wird eine Zusammenfassung anhand einer Tabelle angezeigt. Dabei sieht man die verdächtige Events, den Enduser Hostname, die Enduser IP Adresse, die Bedrohungs Einschätzung(verdict) und die bisherige Anzahl dieser Bedrohungen.

      Fortinet-1795.jpg

Disk / Filesystem

Kann ich ein Raid Disk System konfigurieren für einen FortiAnalyzer Device?

Für einen FortiAnlyzer VM dh. virtualisiert kann kein Raid System konfiguriert werden da der virtualisierte FortiAnalyzer das Disk System der Virtualisierung benutzt. Für einen FortiAnylzer Device (Appliance) kann ein Raid System konfiguriert werden (Web Mgmt. Interface). Für die verschiedenen Devices des FortiAnalyzers dh. Appliance stehen vers. Raid Möglichkeiten zur Verfügung jedoch unterstützt nicht jede Appliance jedes Raid System:

       Fortinet-1382.jpg
       
       NOTE Welche Appliance des FortiAnlyzers welches Raid System unterstützt kann aus den Datasheets entnommen werden.
            Weitere Informationen dazu siehe nachfolgenden Artikel:
            
            Fortinet:ProduktInfo#FortiAnalyzer

Weitere Informationen um ein Raid System zu troubleshooten siehe nachfolgender Artikel:

        FortiAnalyzer-5.4:FAQ#Mit_welchen_Kommandos_kann_ich_auf_einem_FortiAnalyzer_ein_Raid_System_Troubleshooten.3F

Mit welchen Kommandos kann ich auf einem FortiAnalyzer ein Raid System Troubleshooten?

Folgende Kommandos sollten abgesetzt werden wenn es auf einem FortiAnalyzer betreffend Raid System zu Problemen kommt:

       # diagnose raid info 
       # get system raid 
       
       # diagnose system df 
       # diagnose system disk attributes 
       # diagnose system disk info 
       # diagnose system disk health 
       # diagnose system disk errors 
       # diagnose system fsystem 

Der Output dieser Kommandos sollte dem Support zur weiteren Lösung übermittelt werden!

Wie kann ich einen FortiAnalzer von "raiserfs" auf "ext3" Filesystem umkonvertieren?

Frühere Versionen von FortiAnalyzer wurden mit dem Filesystem "raiserfs" ausgeliefert. Dieses Filesystem ist nicht stable und sollte deshalb umkonvertiert werden auf "ext3" Filesystem. Um zu überprüfen ob das korrekte Filesystem dh. "ext3" installiert ist führe folgendes durch:

       # diagnose system fsystem

Wenn das Filesystem bereits auf "ext3" ist so sollte folgendes angzeigt werden:

       Log disk is ext3 file system.
       Log disk directories are indexed.

Wenn dem nicht der Fall ist dh. "raiserfs" installiert ist führe folgendes durch:

       --> Sichere die momentane Konfiguration des FortiAnalyzer's:
       
           System Settings > System Information > Fortinet-1790.jpg anklicken
       --> Um ein Backup der Logs anzulegen führe folgendes durch:
       
           # execute backup logs [ftp_ip_address] [ftp_username] [ftp_password] [ftp_dir]
       --> Sobald die Logs gesichert sind formatiere die Disk in "ext3"
       
           # execute formatlogdisk
           
           NOTE Bevor formatiert wird sollte event. ein Firmware Upgrade durchgeführt werden!
       --> Nachdem Firmware Upgrade und/oder Formatierung der Disk in "ext3" führe ein Restore durch der Konfig:
           
           System Settings > System Information > Fortinet-1791.jpg anklicken
       --> Danach spiele die Logs wiederum zurück:
       
           # execute restore logs [device] [ftp_ip_address] [ftp_username] [ftp_password] [ftp_dir]

Danach führe einen Neustart aus und kontrolliere nachträglich den FortiAnalyzer!

Wie kann ich die Disk/Festplatten Platz einer FortiAnalyzers VMware vergrössern/erweitern?

Wenn ein FortiAnalyzer lizensiert wird in der VM-Base (ohne zusätzliche GB / day) gilt folgendes:

       FortiAnalyzer-5.4:FAQ#Wie_wird_ein_FortiAnalyzer_unter_VMware_lizensiert.3F

Dies bedeutet in der VM-Base steht ein Festplatten Platz von 200GB zur Verfügung. Diese 200GB werden ebenfalls herangezogen für die Quota die unter folgender Position ersichtlich ist:

       System Settings > License Information > Licensed Storage / Used Storage
       
       Fortinet-1792.jpg

Wenn man jedoch unter "System Resources" (Widget unter "System Settings") Hard Disk Usage anschaut dann fällt einem auf das dieser Wert nicht basierend auf den 200GB ist. Dies bedeutet bei einer "Standard Installation" werden nicht über die VMWare die gesmanten 200GB addressiert. Dies kann folgendermassen verifiziert werden:

       # execute lvm info
       disk01 In use           80.0(GB)
       disk02 not present
       disk03 not present
       disk04 not present
       disk05 not present
       disk06 not present
       disk07 not present
       disk08 not present
       disk09 not present
       disk10 not present
       disk11 not present
       disk12 not present
       
       NOTE Wird bei diesem Befehl eine Fehlermeldung ausgegeben kontrolliere ob der "lvm" Deamon
            gestartet ist resp. starte diesen:
            
            # execute lvm start

Im Output von "lvm" sieht man das zusätzliche Disk Platzhalter zur Verfügung stehen. Um den Festplatten Platz zu erweitern müssen diese genutzt werden. Dies kann folgendermassen durchgeführt werden:

       NOTE Berücksichtige bei der Erweiterung die Lizenz dh. wenn mehr Kapazität hinzugefügt wird als
            die Lizenz (Device Quota) erlaubt kommt es zu Lizenz Problemen!
       1. Stoppe den FortiAnalyzer mit folgenden Kommando:
          
          # execute shutdown
          The system will be halted.
          Do you want to continue? (y/n) y
       
       2. Nun gehe in der VMWare Console (VMWare vSphaere Client) auf die entsprechende Instanz des FortiAnalyzers und
          wähle deren "Virtuelle Machine Properties" (Einstellungen). Dort unter "Hardware" wähle "Add" und füge eine
          neue Disk hinzu:
          
          NOTE Bei einer Standard Installation bestehen 2 Festplatten dh. "Hard disk 1 und 2". Die Festplatte die unter
               dem Kommando "execute lvm info" ausgegeben wird (in unserem Beispiel 80.0 (GB)) ist die Hard disk 2!
          
          Fortinet-1096.jpg
          
          Fortinet-1097.jpg
       
       3. Sobald die neue "virtuelle Hard disk" hinzugefügt wurde kann die Instanz des FortiAnalyzers wieder in der VMware gestartet
          werden.
       
       4. Nachdem Neustart des FortiAnalyzer kann man unter folgenden Kommando feststellen, dass die neue Disk "nicht" hinzugefügt
          wurde noch ersichtlich ist:
          
          # get system status
          
          Wenn man jedoch wiederum das folgende Kommando absetzt sieht man, dass die neue Disk für eine Einbindung zur Verfügung steht:
          
          # execute lvm extend
          Disk(s) currently not in use:
          disk02      32.0(GB)
       
       5. Nun kann die neue Disk in den FortiAnalyzer eingebunden werden:
          
          # execute lvm extend disk02
          This operation will need to reboot the system.
          Do you want to continue? (y/n) y
          
          NOTE Möchte man mehrere Disk auf einem Einbinden können die vers. Disk mit folgenden Befehl alle auf Einmal
               eingebunden werden:
               
               # execute lvm extend disk02 disk03 disk04
        
       6. Nach einem erfolgreichen Neustart des FortiAnalyzer's kann die Einbindung der neuen Disk kontrolliert werden:
       
          # execute lvm info
          disk01 In use           80.0(GB)
          disk02 In use           32.0(GB)
          disk03 not present
          disk04 not present
          disk05 not present
          disk06 not present
          disk07 not present
          disk08 not present
          disk09 not present
          disk10 not present
          disk11 not present
          disk12 not present
          
          Der zusätzliche Festplatten Platz wird nun ebenfalls unter folgenden Kommando als Total der Summe der Kapazität
          angezeigt:
          
          # get system status

Database

Wieviel Speicher/Storage muss ich für die Logs in der Datenbank des FortiAnalyzer's kalkulieren?

Die FortiAnalyzer Logs werden in einer PostgresSQL Datenbank abgespeichert. Diese Informationen der Logs benötigen weiteren Speicherplatz in der Datenbank dh. wenn mit 100MB "raw" Logs gerechnet wird benötigt die Datenbank ca. 250MB. Um den nötigen Speicherplatz zu berrechnen unter Quota wird folgende Regel angewendet werden:

       Fortinet-1386.jpg
       
       NOTE Bei 100MB "raw" Log gilt: 100MB raw X 2 = 200 X 25% = 250MB.

Welche Datenbank wird beim FortiAnalyzer benutzt und kann ich diese selber mit Querys abfragen?

Die Datenbanken die für einen FortiAnalyzer benutzt wird sind:

       Lokale Datenbank PostgreSQL
       Remote Datenbank MySQL
       
       NOTE Der FortiAnalyzer Version 5.4 unterstützt für Remote Datenbanken nur die effektven Log Informationen.
            Dies bedeutet "Historische Log Suche" sowie "Reporting Funktionen" werden nicht unterstützt. 
            Weitere Informationen siehe nachfolgender Artikel:
            
            Fortinet:Support-Alerts#FortiAnalyzer_Limited_Support_for_Remote_SQL_Database.3F

Diese Datenbanken sei es Lokal und/oder Remote können über SQL Queries abgefragt werden um so eigene "Datasets" für die "Charts" die wiederum die Basis zur Verfügung stellen für die "Reports" zu erstellen. Es gibt von Fortinet kein effektives Dokument das Auskunft gibt über die DB Struktur etc. Die einzige Möglichkeiten sind:

       Log Message Refrence Dokument - FortiGate-5.0-5.2:FAQ#Gibt_es_f.C3.BCr_die_Fortigate_betreffend_FortiOS_ein_Dokument_betreffend_Log_Referenzen.3F
       
       Fortinet:DeveloperNetwork
       NOTE Neu steht zur Referenz der Datenbank Struktur im FortiAnalyzer Download Verzeichnis das Schema der "Postgres" sowie der
            "MySQL" zur Verfügung. Nachfolgendes Beispiel zeigt die Struktur basierend auf 5.0.6:
            
            Datei:Mysql.schema
            Datei:Postgres.schema
            
            NOTE Nachfolgend eine Kurzübersicht der zur Verfügung stehenden Informationen im Schema:
                 
                 Fortinet-1385.jpg

Wie kann ich auf einem FortiAnalyzer überprüfen ob ein Database Rebuild durchgeführt wird?

Wenn ein Upgrade auf einem FortiAnalyzer durchgeführt wurde, wird ein Neustart danach durchgeführt. Nachdem Neustart wird auf dem FortiAnalyzer ein Database Rebuild durchgeführt um in der Database neue Funktionen (Felder) abbilden zu könnne. Dieser Database Rebuild wird auf dem Mgmt. Web Interface als Info im Header Bereich angezeigt. Wenn ein event. Database Rebuild durchgeführt wird jedoch dieser nicht über das Mgmt. Web Interface angezeigt wird kann dies über CLI kontrolliert werden anhand des folgenden Befehls:

       # diagnose sql status rebuild-db
       
       NOTE Je nach Database Grösse etc. kann ein Rebuild seine Zeit in Anspruch nehmen. Solange dieser Database Rebuild 
            durchgeführt wird sind die Logs in der jeweiligen ADOM nicht zugänglich und/oder können eingesehen werden!

Wie kann ich auf einem FortiAnalyzer einen "automatischen Database Rebuild betreffend Datum/Zeit definieren?

Wenn auf einem FortiAnalyzer ein "automatischer" Database Rebuild definiert werden möchte auf ein bestimmtes Datum sowie Zeit kann folgender Befehl benutzt werden:

       # config system sql
       # set rebuild-event [enable | disable]
       # set rebuild-event-start-time [Definiton Zeit und Datum anhand von "hh:mm" "yyyy/mm/dd"]
       # end

Dieses Kommando ist jedoch nicht zu verwechseln mit der Option "start-time", denn diese Option steuern welche Log's verarbeitet werden. Weitee Informationen siehe nachfolgenden Artikel:

       FortiAnalyzer-5.4:FAQ#Wie_kann_ich_bei_einem_Database_Rebuild_die_Datenbank_anweisen_alte_Logs_aus_der_Vergangenheit_zu_ber.C3.BCcksichtigen.3F

Wie kann ich bei einem Database Rebuild die Datenbank anweisen alte Logs aus der Vergangenheit zu berücksichtigen?

Das gesetzte Datum unter in der Option "start-time" definiert ab welchen Zeitpunkt Log's im Database Rebuild berücksichtigt werden. Wenn zB eine die Database komplett gelöscht wurde definiert die Option ab welchem Datum die logs berücksichtig werden. Im nachfolgenden Kommando wird der FortiAnaylzer betreffend der SQL Database angewiesen Logs ab Datum und Zeit vom "00:00 2000/01/01" zu berücksichtigen. Wenn dieses Datum resp. Zeit nicht gesetzt wird berücksichtigt der FortiAnalyzer ausschliesslich Log vom "jetzigen" Zeitpunkt und nicht von der Vergangenheit. Zu berücksichtigen ist auch ob die Logs der Vergangenheit für die Verarbeitung überhaupt noch lokal zur Verfügung stehen oder diese bereits zB auf einem FTP Server archiviert wurden:

       # config system sql
       # set start-time [Definiton Zeit und Datum anhand von "hh:mm" "yyyy/mm/dd" zB 00:00 2000/01/01]
       # end

Wenn es zu Problemen kommt kann die Database eine FortiAnalyzer auch komplett gelöscht werden. Weitere Informaionen dazu siehe nachfolgenden Artikel:

       FortiAnalyzer-5.4:FAQ#Wie_kann_ich_auf_einem_FortiAnalyzer_die_Database_f.C3.BCr_die_Logs_komplett_entfernen.2Fl.C3.B6schen_und_eine_neue_anlegen.3F

Wie kann ich auf einem FortiAnalyzer die Database für die Logs komplett entfernen/löschen und eine neue anlegen?

Dieser Vorgang sollte man sich gut überlegen das heisst den Vorgang nur durchzuführen wenn man sich der Konsequenzen und Auswirkungen im Klaren ist. Wenn jedoch die SQL Datenbank eines FortiAnalyzer komplett gelöscht werden soll kann folgendes durchgeführt werden:

       Schritt 1: Wechsle den FortiAnaylzer Mode in "Collector Mode":
       
       # config system global
       # set log-mode collector
       # end
       Schritt 2: Da der FortiAnalzer nun im "Collector Mode" ist kann die Datenbank entfernt werden:
       
       # config system sql 
       # set status disable 
       # end 
       # execute sql-local remove-db
       Schritt 3: Im "Collector Mode" lege die SQL Datenbank neu an:
       
       # config system sql 
       # set status local 
       # end
       Schritt 4: Wechsle den FortiAnaylzer Mode zurück in den "FortiAnylzer Mode":
       
       # config system global
       # set log-mode analyzer
       # end
       Schritt 5: Führe einen Database Rebuild durch:
       
       Berücksichtige folgenden Artikel:
       
       FortiAnalyzer-5.4:FAQ#Wie_kann_ich_bei_einem_Database_Rebuild_die_Datenbank_anweisen_alte_Logs_aus_der_Vergangenheit_zu_ber.C3.BCcksichtigen.3F
       FortiAnalyzer-5.4:FAQ#Wie_kann_ich_auf_einem_FortiAnalyzer_ein_Database_Rebuild_manuel_durchf.C3.BChren.3F
       
       # execute sql-local rebuild-db

Wie kann ich auf einem FortiAnalyzer ein Database Rebuild manuel durchführen?

Bevor ein Database Rebuild manuell durchgeführt wird muss dessen Konsequenzen miteingerechnet werden dh. je nach Database Grösse kann dies einige Zeit in Anspruch nehmen und die Logs stehen für die jeweilige ADMO in dieser Zeit nicht zur Verfügung. Bevor ein Database Rebuild durchgeführt werden soll sollte kontrolliert werden ob bereit ein Database Rebuild durchgeführt wird:

       # diagnose sql status rebuild-db
       Rebuilding log SQL database has been processed 5%

Um einen Database Rebuild im "Gesamten" auf einem FortiAnalyzer durchzuführen benutze folgenden Befehl:

       # execute sql-local rebuild-db
       
       NOTE Ein manuell ausgeführter Database Rebuild sollte erst letzte Option durchgeführt werden!

Wenn für eine explizite ADOM ein Database Rebuild vorgenommen werden soll kann folgendermassen vorgegangen werden:

       # execute sql-local rebuild-adom [Name der ADOM]
       Rebuild log SQL database of ADOM 'root' has been requested.
       This operation will remove the log SQL database for ADOM 'root' and rebuild from log data.
       Do you want to continue? (y/n)y

Um den Fortschritt eines Database Rebuild einzusehen kann folgender Befehl benutzt werden:

       # diagnose sql status rebuild-adom
       [ADOM Name]            percent: 52% bg-rebuild:Yes start:"Mon () 2016_04_01 16:54:10" took:138(s) remain:127(s)...

Grundsätzlich ist zu berücksichtigen, dass ein Database Rebuild immer 2 X durchgeführt werden sollten um ein Optiomum herauszuholen dh. die hier gezeigten Database Rebuild Kommandos sollten 2 Mal nacheinander ausgeführt werden.

Was bedeuten die Database (SQL) Felder im FortiAnalyzer "date, time, dtime und itime"?

Der FortiAnalyzer hat 4 Zeitabhängige Database Felder dh. "date, time, dtime und itime".

       "itime"    -> wird generiert durch den FortiAnaylzer wenn dieser die Logs erhält (FAZ local time)
       "dtime"    -> wird durch den FortiAnalyzer kalkuliert in UTC basierend auf den DB Feldern "date und "time".
       
       SQL:          In der Database Table werden nur folgende Felder geführt "dtime" und "itime"
       GUI:          Web Mgmt. Interface "Date/Time" basieren auf der Database Table "itime"
       Raw Logs:     Alle Felder werden aufgeführt dh. "date, time, dtime und itime" 

Um in einem Report Datum und Zeit einzufügen stehen folgende "build-in" Funktionen zur Verfügung die das Datum und die Zeit in "human readable" im Report aufführen:

       from_itime(itime)
       from_dtime(dtime)

CLI

Wie kann ich einen FortiAnalyzer neu Starten oder Herunterfahren?

Grundzätzlich steht diese Funktion über WebGui zur Verfügung dh. über:

       System Settings > Dashboard > Unit Operation > Shutdown oder Reboot
       Fortinet-1768.jpg

Möchte man den FortiAnalyzer über CLI Runterfahren oder neu Starten führe folgendes aus:

       # execute reboot              neustart des FortiAnalyzers
       
       # execute shutdown            herunterfahren des FortiAnalyzers
       
       NOTE Fahre einen FortiAnalyzer immer ordnungsgemäss runter etc. ansonsten besteht die Gefahr das 
            die Datenbank des FortiAnalyzers korrupt wird!

Troubleshooting

Wie kann ich nachvollziehen WAS genau durchgeführt wurde auf einem FortiAnalyzer?

Wenn mehrere Administratoren auf einem FortiAnalyzer arbeiten ist es wichtig bei Problemen nachzuvollziehen WAS genau durchgeführt wurde durch einen dieser Administratoren. Diese History kann unter folgendem Punkt über das WebGui eingesehen werden:

       Fortinet-1769.jpg

Wie kann ich auf einem FortiAnalyzer überprüfen ob eine bestimmten Device über den Mgmt. Port TCP 514 verbunden ist?

Wenn auf einem FortiAnalyzer überprüft werden soll ob ein bestimmter Device (zB FortiGate) mit dem FortiAnalyzer über den Port TCP 514 kommuniziert kann folgendes Kommando benutzt werden:

       # diagnose fmnetwork netstat tcp
       Internet connections (servers and established)
       Proto    Recv-Q    Send-Q    Local Address            Foreign Address        State
       tcp      0         0         198.18.0.11:514           82.136.123.97:541     Listen
       tcp      0         0         198.18.0.11:514           212.59.153.125:541    Listen

Wie kann ich für das "Event Log" auf dem FortiAnalyzer den "debug" Modus einschalten?

Der FortiAnalyzer verfügt über ein eigenes Log dh. "Event Log". In diesem Log werden alle Änderungen betreffend FortiAnalyzer Konfiguration, sowie jene in Zusammenhang mit den Device aufgezeichnet. Dieses "Event Log" steht per Standard auf "severity notification". Wenn es bei Installationen/Konfigurationen zu Problemen kommt können wichtige Informationen aus dem "Event Log" ausgelesen werden. Damit das "Event Log" die entsprechenden Informationen aufzeigt muss die "severity" erhöht werden dh. auf den "debug" Level. Um dies durchzuführen muss folgendes auf der Kommandozeile ausgeführt werden:

       # config system locallog disk setting
       # get
       status                     : enable
       severity                   : notification
       upload                     : disable
       server-type                : FTP
       max-log-file-siez          : 100
       roll-schedule              : none
       diskfull                   : overwrite
       log-disk-full-percentage   : 80
       # set severity debug
       # end
Achtung.png

Vergesse auf keinen Fall nach dem "troubleshooting" den "debug" Level wieder auf "notification" zu setzen!

Was kann ich tun, wenn der FortiAnalyzer keine Logdaten und Eventlogs mehr von der FortiGate akzeptiert?

Wenn im FortiAnalyzer folgende Meldung im Eventlog erscheint kann das darauf hindeuten, dass die Prozesse fortilogd und spllogd nicht richtig funktionieren.

Unable to accept logs from Device...... due to internal error, errcode=-1002.

Diese Prozesse können mit folgenden Befehlen neu gestartet werden:

# diag test app fortilogd 99
# diag test app sqllogd 99

Nachdem die Prozesse neu gestartet wurden, sollte der FortiAnalyzer von den FortiGates wieder die Logdaten empfangen können.


https://kb.fortinet.com/kb/microsites/microsite.do?cmd=displayKC&docType=kc&externalId=FD41272