FortiAnalyzer-5.0-5.2:FAQ
FortiAnalyzer-5.0-5.2:FAQ
|
Das FortiOS 5.0 bis und mit 6.0 ist nicht mehr von Fortinet supportet. Bitte auf eine Supportete Version upgraden. Mehr Infos unter : https://support.fortinet.com/Information/ProductLifeCycle.aspx |
Vorwort
Diese FAQ's sind für FortiAnalyzer Systeme basierend auf 5.x
Datenschutz
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"
FAQ
License
Wie wird ein FortiAnalyzer unter VMware lizensiert?
Eine FortiAnalyzer Lizenz basiert auf folgender Matirx (Stackable License basierend auf GB Logs pro Tag sowie Storage Add-On):
NOTE Weitere Informationen wie eine FortiAnalyzer VM Lizenz registriert resp. eingespielt wird siehe folgender Artikel: FortiAnalyzer-5.0-5.2:FAQ#Wie_wird_ein_FortiAnalyzer_unter_VMware_lizensiert.3F
Bei der Generierung der Lizenz muss die IP Adresse des FortiAnalyzers angegeben werden. Anhand dieser IP Adresse wird das Lizenz File erstellt. Wird die IP des FortiAnalyzers gewechselt muss das entsprechende Lizenz File neu über den entsprechenden Support Account erstellt werden! Desweiteren spielen die Maximum Values eines FortiAnalyzer eine Rolle. Weitere Informationen zu diesem Thema siehe nachfolgender Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Was_sind_die_.22Maximum_Values.22_eines_FortiAnalyzers.3F
Wie wird ein FortiAnalyzer unter VMware/HyperV installiert?
Nachfolgender Link gibt Auskunft wie ein FortiAnalyzer unter VMware/HyperV installiert wird:
Fortinet:Virtualisierung#Wie_installiere_ich_VMware_basierende_Fortinet_Produkte_wie_Fortigate.2C_FortiManager_und_FortiAnalyzer.3F
Wie wird eine License für FortiAnalyzer für VMware registriert und eingespielt?
Wenn man einen FortiAnalzer für VMware installiert fällt einem auf, dass diese keine Serien Nummer aufweist! Diese Serien Nummer wird erstellt beim Registrierungsvorgang. Dies bedeutet, als License Lieferung erhält man folgendes Dokument:
Datei:FAZVM0007458.pdf
In diesem Dokument ist ein "Registration Code" angegeben dh. anhand dieses "Registration Code" wird die Registrierung durchgeführt und in dieser Registrierung wird die Serien Nummer erstellt sowie das effektive License File. Um die Registrierung durchzuführen gehe auf folgende Seite:
http://support.fortinet.com NOTE Auf dieser Support Seit muss für den Registrierungsprozess eingeloggt werden. Ist "noch" kein Account vorhanden so führe den ersten Teil (erstellen eines Accounts) der folgende Anweisungen durch: FortiGate-5.0-5.2:FAQ#Wie_wird_ein_Fortinet_Device.2FGer.C3.A4t_Registriert.3F Wenn ein Account existiert logge dich anhand des Usernamens und Passwortes auf http://support.fortinet.com ein. Danach wähle unter "Asset Management" die Position "Register/Renew". Es erscheint folgender Dialog: Datei:Fortinet-212.jpg
Datei:Fortinet-213.jpg
Datei:Fortinet-214.jpg
Datei:Fortinet-215.jpg NOTE Auf diser Seite kann uner der Position "License File Download" das Licens File, dass auf dem FortiAnalyzer eingespielt werden muss runtergeladen werden!
Der Registrierungsprozess ist abgeschlossen. Das License File kann nun auf dem FortiAnalyzer unter folgender Position eingespielt werden:
NOTE Wird die IP des FortiAnalyzers gewechselt muss das entsprechende Lizenz File neu über den entsprechenden Support
Account erstellt werden!
System Settings > General > Dashboard > License Information > Upload License
Nachdem einspielen der License werden die Services des FortiAnalzers neu gestartet. Nachdem abermalen einloggen kann nun die Serial Nummer dieser Installation aus der Position "System > Dashboard > Staus > System Information > Serial Number" ausgelesen werden. Diese Serial Nummer identifiziert diese Installation bei Support Fällen bei Fortinet und muss bei einem Support Case angegeben werden.
Documentation
Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?
Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiAnalyzer Devices:
Fortinet:ProduktInfo
Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:
http://community.fortinet.com/
Auf folgender Seite findet man alle orginal Dokumente betreffend Fortigate:
http://docs.fortinet.com/fortianalyzer/admin-guides (Legacy Link http://docs.fortinet.com/fa40.html)
Datei:FortiAnalyzer-Best-Practices-Guide.pdf (FortiAnalyzer Best Practices Guide)
FortiOS 4 MR3
Datei:Fortianalyzer-admin-40-mr3.pdf (FortiAnalyzer v4.0 MR3 Administration Guide)
Datei:Fortianalyzer-cli-40-mr3.pdf (FortiAnalyzer v4.0 MR3 CLI Refrence)
Datei:Fortianalyzer log message reference 40 mr3.pdf (FortiAnalyzer v4.0 MR3 Log Message Refrence)
Datei:Fortianalyzer-fortigate-sql-technote-40-mr2.pdf (FortiAnalyzer v4.0 MR2 SQL Log Database Query Technical Note)
FortiOS 5.0
Datei:Fortianalyzer-5-administration-guide.pdf (FortiAnalyzer v5.0 Administration Guide)
Datei:Fortianalzyer-5-CLI-Ref.pdf (FortiAnalyzer v5.0 CLI Reference)
Datei:Fortianalyzer-5-dataset reference guide.pdf (FortiAnalyzer v5.0 Datasets Set Refrence Guide)
Datei:FortiOS-Compatibility-FAZ.pdf (FortiAnalyzer v5.x Managed Compatibility Matrix)
Datei:FortiOS-Compatibility-FMG-FAZ.pdf (FortiAnalyzer/FortiManager v5.x Managed Compatibility Matrix)
Datei:Faz-faq-r15-2012-12.pdf (FortiAnalyzer v5.0 FAQ)
FortiOS 5.2
Datei:Fortianalyzer-52-administration-guide.pdf (FortiAnalyzer v5.2 Administration Guide)
Datei:Fortianalzyer-52-CLI-Ref.pdf (FortiAnalyzer v5.2 CLI Reference)
Datei:Fortianalyzer-52-dataset reference guide.pdf (FortiAnalyzer v5.2 Datasets Set Refrence Guide)
Datei:Fortianalyzer log message reference 52.pdf (FortiAnalyzer v5.2 Log Message Refrence)
Datei:FortiOS-Compatibility-FAZ.pdf (FortiAnalyzer v5.x Managed Compatibility Matrix)
Datei:FortiOS-Compatibility-FMG-FAZ.pdf (FortiAnalyzer/FortiManager v5.x Managed Compatibility Matrix)
Datei:FortiAnalyzer-52-Report-Troubleshooting-Guide.pdf (FortiAnalyzer v5.2.10 Report Performance Troubleshooting Guide)
Datei:FortiAnalyzer-XML-API ReferenceGuide-5.2.2.pdf (FortiAnalyzer - XML API Reference 5.2.2)
Datei:FortiAnalyzer-XML-API ReferenceGuide-5.2.3.pdf (FortiAnalyzer - XML API Reference 5.2.3)
Datei:FortiAnalyzer-XML-API ReferenceGuide-5.2.4.pdf (FortiAnalyzer - XML API Reference 5.2.4)
Datei:FortiAnalyzer-XML-API ReferenceGuide-5.2.5.pdf (FortiAnalyzer - XML API Reference 5.2.5)
Datei:FortiAnalyzer-XML-API ReferenceGuide-5.2.6.pdf (FortiAnalyzer - XML API Reference 5.2.6)
Datei:FortiAnalyzer-XML-API ReferenceGuide-5.2.7.pdf (FortiAnalyzer - XML API Reference 5.2.7)
Datei:FortiAnalyzer-XML-API ReferenceGuide-5.2.9.pdf (FortiAnalyzer - XML API Reference 5.2.9)
Datei:FortiAnalyzer-XML-API ReferenceGuide-5.2.10.pdf (FortiAnalyzer - XML API Reference 5.2.10)
FortiOS 5.4
Datei:Fortianalyzer-54-administration-guide.pdf (FortiAnalyzer v5.4 Administration Guide)
Datei:Fortianalzyer-54-CLI-Ref.pdf (FortiAnalyzer v5.4 CLI Reference)
Datei:Fortianalyzer-54-dataset reference guide.pdf (FortiAnalyzer v5.4 Datasets Set Refrence Guide)
Datei:FortiOS-Compatibility-FAZ.pdf (FortiAnalyzer v5.x Managed Compatibility Matrix)
Datei:FortiAnalyzer-XML-API ReferenceGuide-5.4.0.pdf (FortiAnalyzer - XML API Reference 5.4.0)
Datei:FortiAnalyzer-XML-API ReferenceGuide-5.4.1.pdf (FortiAnalyzer - XML API Reference 5.4.1)
Datei:FortiAnalyzer-XML-API ReferenceGuide-5.4.2.pdf (FortiAnalyzer - XML API Reference 5.4.2)
NOTE Betreffend FortiAnalyzer Upgrade und Upgrade Guide siehe folgender Artikel: FortiAnalyzer-5.0-5.2:FAQ#Wie_f.C3.BChre_ich_ein_regul.C3.A4res_Firmware_Upgrade_f.C3.BCr_den_FortiAnalyzer_durch.3F
FortiOS 5.4
- Datei:Fortianalyzer-54-upgrade-guide.pdf
- Datei:Fortinanalyzer-54-quickstart-guide.pdf
- Datei:Fortianalyzer-54-dataset reference guide.pdf
- Datei:FortiAnalyzer-ReportTroubleshootingGuide-54.pdf
Die aktuellen FortiAnalyzer Dokumente können auch auf der folgenden Fortinet-Seite heruntergeladen werden:
edit 25.05.2023 - 4Tinu
FortiOS 5.6
- Datei:FortiAnalyzer-56-dataset-reference-Guide.pdf
- Datei:FortiAnalyzer-VM-VMware-Install-Guide-56.pdf
- Datei:FortiAnalyzer-ReportTroubleshootingGuide-56.pdf
Die aktuellen FortiAnalyzer Dokumente können auch auf der folgenden Fortinet-Seite heruntergeladen werden:
edit 25.05.2023 - 4Tinu
FortiOS 6.0
- Datei:FortiAnalyzer-60-Dataset-ReferenceGuide.pdf
- Datei:FortiAnalyzer-VM-InstallGuide-60.pdf
- Datei:FortiAnalyzer-UpgradeGuide-60.pdf
Die aktuellen FortiAnalyzer Dokumente können auch auf der folgenden Fortinet-Seite heruntergeladen werden:
edit 25.05.2023 - 4Tinu
XML API Reference:
- Datei:FortiAnalyzer-XML-API ReferenceGuide-5.4.0.pdf
- Datei:FortiAnalyzer-XML-API ReferenceGuide-5.4.1.pdf
- Datei:FortiAnalyzer-XML-API ReferenceGuide-5.4.2.pdf
- Datei:FortiAnalyzer-XML-API ReferenceGuide-5.4.3.pdf
- Datei:FortiAnalyzer-XML-API ReferenceGuide-5.4.4.pdf
- Datei:FortiAnalyzer-XML-API ReferenceGuide-5.6.0.pdf
- Die API Referenzen für die höheren OS Versionen findet man auf dem https://fndn.fortinet.net/
edit 25.05.2023 - 4Tinu
Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind?
http://pub.kb.fortinet.com/index/
Hardware
Was für ein Kabel benötige ich für den Consolen Anschluss (Seriell RS232) einer Fortinet?
Weitere Informationen siehe folgender Artikle:
FortiGate-5.0-5.2:FAQ#Was_f.C3.BCr_ein_Kabel_ben.C3.B6tige_ich_f.C3.BCr_den_Consolen_Anschluss_.28Seriell_RS232.29_einer_Fortinet.3F
Upgrade
Wie sieht der Upgrade Path (License) für FortiAnalyzer VM aus von FortiOS 4.3.x auf 5.x?
Die Lizenzen für FortiAnalyzer VM für FortiOS 4.3.x sind nicht mehr kompatibel mit FortiOS 5.x dh. technisch gesehen wenn man ein Upgrade durchführt muss über den "Customer Service" ein Ticket eröffnet werden und anhand der Serien Nummer ein Lizenz technisches Upgrade angefordert werden. Dabei wird die Lizenz des FortiAnalzers VM FortiOS 4.3.x folgendermassen auf FortiAnalzer VM FortiOS 5.x transferiert. Der Grund dafür ist, dass der FortiAnalzer neu per "Logs per Day" sowie "per Storage" Lizensiert wird. Bei einem Transfer der Lizenzen auf das neue Lizenz Modell wird folgendes Lizenztechnisch durchgeführt:
Datei:Fortinet-378.jpg
Nachfolgend eine weitere Aufstellung betreffend neuer Lizensierung unter FortiOS 5:
Datei:Fortinet-457.jpg
die "Usage" der Limitierungen dh. "Logs per Day" und "Storage" kann im Dashboard auf einem FortiAnalyzer unter "License" eingesehen werden:
Datei:Fortinet-456.jpg
Wie führe ich ein reguläres Firmware Upgrade für den FortiAnalyzer durch?
Wenn für den FortiAnalyzer ein reguläres Firmware Upgrade durchgeführt werden soll kann dies über das WebGui durchgeführt werden. Bevor so ein Upgrade durchgeführt wird führe ein ordentliches Backup durch:
FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_ein_Backup_eines_FortiAnalyzers_herstellen_sowie_einen_Restore_durchf.C3.BChren.3F
Danach kann ein Upgrade anhand der neuen Firmware über das WebGui durchgeführt werden:
NOTE Es ist dringend Notwendig die entsprechende Release Notes gut durchzulesen um event. wichtige Informationen zu berücksichtigen! Eebenfalls steht folgendes Dokument für Upgrades zur Verfügung: Datei:FortiAnalyzer-Upgrade-Guide.pdf
Datei:FortiAnalyzer-v5.0-Patch-Release-3-Upgrade-Guide.pdf Datei:FortiAnalyzer-v5.0-Patch-Release-4-Upgrade-Guide.pdf Datei:FortiAnalyzer-v5.0-Patch-Release-5-Upgrade-Guide.pdf Datei:FortiAnalyzer-v5.0-Patch-Release-6-Upgrade-Guide.pdf Datei:FortiAnalyzer-v5.0-Patch-Release-7-Upgrade-Guide.pdf Datei:FortiAnalyzer-v5.0-Patch-Release-8-Upgrade-Guide.pdf Datei:FortiAnalyzer-v5.0-Patch-Release-9-Upgrade-Guide.pdf Datei:FortiAnalyzer-v5.0-Patch-Release-10-Upgrade-Guide.pdf Datei:FortiAnalyzer-v5.0-Patch-Release-11-Upgrade-Guide.pdf Datei:FortiAnalyzer-v5.0-Patch-Release-13-Upgrade-Guide.pdf
Datei:FortiAnalyzer-v5.2-Patch-Release-0-Upgrade-Guide.pdf Datei:FortiAnalyzer-v5.2-Patch-Release-1-Upgrade-Guide.pdf Datei:FortiAnalyzer-v5.2-Patch-Release-2-Upgrade-Guide.pdf Datei:FortiAnalyzer-v5.2-Patch-Release-3-Upgrade-Guide.pdf Datei:FortiAnalyzer-v5.2-Patch-Release-4-Upgrade-Guide.pdf Datei:FortiAnalyzer-v5.2-Patch-Release-5-Upgrade-Guide.pdf Datei:FortiAnalyzer-v5.2-Patch-Release-6-Upgrade-Guide.pdf Datei:FortiAnalyzer-v5.2-Patch-Release-7-Upgrade-Guide.pdf Datei:FortiAnalyzer-v5.2-Patch-Release-8-Upgrade-Guide.pdf Datei:FortiAnalyzer-v5.2-Patch-Release-9-Upgrade-Guide.pdf Datei:FortiAnalyzer-v5.2-Patch-Release-10-Upgrade-Guide.pdf
Datei:FortiAnalyzer-v5.4-Patch-Release-0-Upgrade-Guide.pdf Datei:FortiAnalyzer-v5.4-Patch-Release-1-Upgrade-Guide.pdf Datei:FortiAnalyzer-v5.4-Patch-Release-2-Upgrade-Guide.pdf
Im Hintergrund wird das entsprechende File verifiziert dh. ob dieses dem Device entspricht etc. Danach wird der Update ausgeführt und automatisch ein Neustart durchgeführt!
Setup
Wie sieht ein Grundsetup vom Ablauf her aus für einen FortiAnalyzer?
Folgende Aufstellung/Information zeigt ein Konfigurations-Ablauf auf für einen FortiAnalyzer. Je nach Konfiguration und Vorraussetzungen entfallen bestimmte Konfigurationspunkte:
0. Vorbereitung der Implementierung / Grundkonfiguration Netzwerk FortiAnalyzer-5.0-5.2:FAQ#In_welchen_Mode_kann_ein_FortiAnalyzer_betrieben_werden.3F FortiAnalyzer-5.0-5.2:FAQ#Wie_wird_ein_FortiAnalyzer_unter_VMware_lizensiert.3F FortiAnalyzer-5.0-5.2:FAQ#Was_sind_die_.22Maximum_Values.22_eines_FortiAnalyzers.3F FortiAnalyzer-5.0-5.2:FAQ#Welche_Ports_ben.C3.BCtzt_eine_FortiAnalyzer_Installation.3F FortiAnalyzer-5.0-5.2:FAQ#Wieviel_Speicher.2FStorage_muss_ich_f.C3.BCr_die_Logs_in_der_Datenbank_des_FortiAnalyzer.27s_kalkulieren.3F FortiAnalyzer-5.0-5.2:FAQ#Wie_sieht_die_Grundkonfiguration_.28Netzwerk.29_eines_FortiAnalyzers_aus.3F 1. Lizenz einspielen FortiAnalyzer-5.0-5.2:FAQ#Wie_wird_eine_License_f.C3.BCr_FortiAnalyzer_f.C3.BCr_VMware_registriert_und_eingespielt.3F 2. Hostname anpassen/modifizieren FortiAnalyzer-5.0-5.2:FAQ#Wo_setze_ich_den_Hostnamen_f.C3.BCr_einen_FortiAnalyzer.3F 3. Timezone setzen sowie NTP Server konfigurieren FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_die_entsprechende_Zeitzone_setzen_sowie_einen_NTP_Server.3F 4. Wo setze ich das Passwort des SuperAdmin (admin) FortiAnalyzer-5.0-5.2:FAQ#Wo_kann_ich_das_Passwort_des_SuperAdmin_.28admin.29_.C3.A4ndern.3F FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_erlauben_das_ein_lokaler_Administrator_sein_vergebenes_Passwort_.C3.A4ndern_kann.3F 5. Wie erstelle ich für einen Administrator ein "Access" Profile FortiAnalyzer-5.0-5.2:FAQ#Wo_kann_ich_f.C3.BCr_einen_Administrator_f.C3.BCr_dessen_Rechte_ein_entsprechendes_Profil_erstellen.3F 6. Upgrade des FortiAnalyzers durchführen FortiAnalyzer-5.0-5.2:FAQ#Wie_f.C3.BChre_ich_ein_regul.C3.A4res_Firmware_Upgrade_f.C3.BCr_den_FortiAnalyzer_durch.3F 7. ADOM Funktionalität aktivieren FortiAnalyzer-5.0-5.2:FAQ#Was_sind_ADOM.27s_und_welche_Ueberlegung_sind_in_diesem_Zusammenhang_zu_ber.C3.BCcksichtigen.3F FortiAnalyzer-5.0-5.2:FAQ#Kann_ich_in_einer_ADOM_FortiGate.27s_FortiOS_4_und_5_mischen.3F 8. Erstellen einer ADOM FortiAnalyzer-5.0-5.2:FAQ#Wie_erstelle_ich_eine_ADOM_.28Administrative_Domain.29.3F 9. Device zu FortiAnalyzer hinzufügen FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_.C3.BCber_einen_FortiAnalyzer_pr.C3.BCfen_ob_ein_Device.2FFortiOS_unterst.C3.BCtzt_wird.3F FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_einen_Device_zum_FortiAnalyzer_hinzuf.C3.BCgen.3F FortiAnalyzer-5.0-5.2:FAQ#Kann_ich_die_erfolgreiche_Einbindung_in_den_Device_Manager_eines_Devices_vom_FortiGate_Device_aus_testen.3F 10. Erstellen einer Device Gruppe und hinzufügen des Device FortiAnalyzer-5.0-5.2:FAQ#Kann_ich_innerhalb_des_Device_Managers_diese_Devices_Gruppieren_.28Log_Array.29.3F 11. Realtime/History Logs der FortiGate Devices FortiAnalyzer-5.0-5.2:FAQ#Wo_finde_ich_die_Realtime_sowie_Historical_Logs_eines_FortiGate_Devices_auf_dem_FortiAnalyzer.3F FortiAnalyzer-5.0-5.2:FAQ#Wieso_sollte_ein_.22daily.22_Rolling_konfiguriert_werden_auf_dem_FortiAnalyzer_anstelle_.22weekly.22.3F FortiAnalyzer-5.0-5.2:FAQ#Wie_k.C3.B6nnen_die_FortiGate_Device_Logs_auf_einem_FortiAnalyzer_zB_t.C3.A4glich_.22Rotiert.22_und.2Foder_.22Archiviert.22_werden.3F FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_Logs_von_einer_FortiGate_auf_einem_FortiAnalyzer_archivieren.3F 12. Drill Down / FortiView für FortiGate Devices FortiAnalyzer-5.0-5.2:FAQ#Was_ist_Drill_Down_und_wie_funktioniert_dies_im_Zusammenhang_mit_den_Devices.3F 13. Reports Erstellen, Konfigurieren FortiAnalyzer-5.0-5.2:FAQ#Was_f.C3.BCr_Report.27s_kann_ich_per_Standard_auf_einem_FortiAnalyzer_erstellen.3F FortiAnalyzer-5.0-5.2:FAQ#Wie_erstelle_ich_einen_Report_auf_einen_FortiAnalyzer.3F FortiAnalyzer-5.0-5.2:FAQ#Wie_erstelle_ich_f.C3.BCr_einen_Report_einen_Schedule.3F FortiAnalyzer-5.0-5.2:FAQ#Wo_sind_die_Vorlagen_der_Charts_abgelegt_und_kann_ich_diese_auch_selbst_erstellen.3F FortiAnalyzer-5.0-5.2:FAQ#Wo_finde_ich_die_Datasets_die_in_den_Charts_ben.C3.BCtzt_werden_und_kann_ich_diese_auch_selbst_erstellen.3F 14. Event Management FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_die_Funktion_Event_Management_konfigurieren_f.C3.BCr_einen_FortiAnalyzer.3F 15. Backup / Restore FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_ein_Backup_eines_FortiAnalyzers_herstellen_sowie_einen_Restore_durchf.C3.BChren.3F FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_.C3.BCber_CLI_eine_Backup_der_FortiAnalyzer_Konfiguration_durchf.C3.BChren.3F FortiAnalyzer-5.0-5.2:FAQ#Wie_tausche_ich_bei_einem_Defekt_einer_FortiGate_diese_im_FortiAnalyzer_aus.3F 16. Disk Erweiterung / Festplatten Platz FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_die_Disk.2FFestplatten_Platz_einer_FortiAnalyzers_VMware_vergr.C3.B6ssern.2Ferweitern.3F
In welchen Mode kann ein FortiAnalyzer betrieben werden?
Ein FortiAnalzer kann in 3 vers. Modi betrieben werden:
Standalone (Per Standard gilt dieser Mode)
Analyzer
Collector
Nachfolgend eine kurze Uebersicht welche Features in welchem Mode unterstützt werden:
Standalone Mode
Der Standalone Mode liest die Logs in die Datenbank ein und daraus kann anhand der Reporting Funktionen anhand vers.
Templates Reports gezogen werden. Dieser Mode unterstützt "ALLE" Features des FortiAnalyzers!
Collector Mode
Der Collector Mode ist ein reiner Log Server ohne Reporting Funktionen. Die Log's im Collector Mode behalten das orginale
Log Format (Binary) und werden nicht in die Datenbank eingelesen. Ein FortiManager mit aktivieren FortiAnalyzer Funktionen
kann nicht im "Collector Mode" betrieben werden.
Analyzer Mode
Der Analyzer Mode kann auch als Reporting Server bezeichnet werden denn dieser Mode erhält seine Log's vom FortiAnalyzer
im Collector Mode. Alle Logs werden in die Datenbank eingelesen und stehen dort von verschiedenen FortiAnalyzer Collectors
zur Verfügung um anhand der Reporting Templates Reports zu ziehen oder Auswertungen zu generieren.
NOTE Wenn "sehr" viele Logs anfallen und wenn der Performance eine Wichtige Komponentente zukommt sollten anstelle des
Standalone Mode der Collector und Analyzer Mode eingesetzt werden. FortiAnalyzer Modelle 100 und 400 unterstützen den
Analyzer Mode nicht!
Um den betreffenden Mode zu wechseln führe über das WebGui folgendes aus:
System Settings > General > Dashboard > Sysem Information > Operation Mode
Kann ein FortiAnalyzer im "Collector" Mode einem FortiManager Logs übermitteln?
Weitere Informationen siehe Artikel:
FortiManager-5.0-5.2:FAQ#Kann_der_FortiManager_in_Zusammenhang_mit_FortiAnalyzer_im_.22Collector.22_Mode_ben.C3.BCtzt_werden.3F
Welche Devices können in einne FortiAnaylzer eingebunden werden und wie werden diese Unterstützt?
Auf einem FortiAnalyzer können verschiedene Devices eingebunden werden denn der FortiAnalyzer ist im Grundsatz ein Syslog Server auf dem Logs in einer Datenbank (SQL) abgespeichert werden und somit ausgewertet werden können. Verschiedene Devices können zwar eingebunden werden jedoch die Reporting Möglichkeiten sind eingeschränkt. Nachfolgend eine Tabelle die eine Uebersicht zeigt welche Devices eingebunden werden können und welche Funktionen genutzt werden können:
NOTE Damit die entsprechenden Devices integriert werden können müssen diese über ein enstprechend unterstütztes FortiOS verfügen. Nachfolgend eine kurze Uebersicht über welche FortiOS Versionen diese verfügen müssen:
Welche Ports benützt eine FortiAnalyzer Installation?
Folgende Tabelle zeigt welche Ports durch einen FortiAnalyzer benutzt wird. Diese Ports umfassen folgendes:
• Ports die benützt werden durch den FortiAnalyzer selber (outbound ports)
• Ports die benützt werden durch den FortiAnalyzer um Traffic zu erhalten (listening ports)
NOTE Die nachfolgende Auflistung zeigt ALLE Ports die möglich sind dh. je nach benutzten Optionen in der Konfiguration sind diese Ports offen oder in Gebrauch! Fortinet stellt ebenfalls ein Dokument zur Verfügung in dem diese Informationen betreffend den Fortinet Produkten dargestellt sind: Datei:FortinetOpenPorts.pdf Datei:Fortigate-Open-Ports-54.pdf
outbound ports
listening ports
Ist die Komunikation zwischen einer FortiGate und einem FortiAnalyzer Verschlüsselt?
Die Komunikation zwischen einer FortiGate und einem FortiAnalyzer ist per Standard verschlüsselt. Weitere Informationen dazu siehe:
FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_einen_Device_zum_FortiAnalyzer_hinzuf.C3.BCgen.3F
Was sind die "Maximum Values" eines FortiAnalyzers?
Nachfolgend eine Aufstellung (Matrix) der Maximum Values eines FortiAnalyzers basierend auf FortiAnalyzer 5.0.9:
Wie sieht die Grundkonfiguration (Netzwerk) eines FortiAnalyzers aus?
Der FortiAnalyzer ist der zentrale Log Server. Wenn man zB über VMware einen FortiAnalyzer installiert (über ovf File) so muss dieser über die Console für den ersten Zugriff Grundkonfiguriert werden (Gilt auch für den Device) dh. damit später über das WebInterface zugegriffen werden kann. Diese Grundkonfiguration sieht folgendermassen aus:
Interface Konfiguration
# config system interface
# edit [Name des Ports zB "port1"]
# set status [up oder down]
# set ip [IPv4 Adresse mit Subnet Mask zB "192.168.140.10 255.255.255.0"]
# set allowaccess [Gebe Die Services an zB "http https ping snmp ssh telnet webservice"]
# set serviceaccess [Name des Service Access zB "fclupdates und/oder fgtupdates"]
# set speed [Gebe den Speed an zB "1000full 100full 100half 10full 10half auto"]
# set description [Gebe die gewünschte Beschreibung des Interfaces an]
# set alias [Gebe den gewünschten Alias für das Interface an]
# config ipv6
# set ip6-address [IPv4 Adresse mit Subnet Mask zB "192.168.140.10 255.255.255.0"]
# set ip6-allowaccess [Gebe Die Services an zB "http https ping snmp ssh telnet webservice"]
# end
# end
DNS Konfiguration
# config system dns
# set primary [DNS Server IP Adresse]
# set secondary [DNS Server IP Adresse]
# end
Default Gateway
# config system route
# edit [Sequenz ID für eine Route]
# set device [Name des Ports für die Route]
# set dst [IPv4 Adresse sowie Subnet Mask für die Destination zB "192.168.10.0 255.255.255.0]
# set gateway [IPv4 Adresse für Default Gateway]
# end
Danach kann anhand der gesetzten IP auf das WebInterface zugegriffen werden:
https://[IP Adresse]
Wo setze ich den Hostnamen für einen FortiAnalyzer?
Der Hostname wird folgendermassen konfiguriert:
System Settings > General > Dashboard > System Information > Host Name
Wie kann ich die entsprechende Zeitzone setzen sowie einen NTP Server?
Die Zeitzone sowie einen entsprechenden NTP Server kann unter folgender Position konfiguriert werden:
System Settings > General > Dashboard > System Information > System Time
Wie aktiviere/deaktivere ich für einen FortiAnalyzer die SSLv3?
Für alle FortiAnaylzer gilt das diese per Standard mit aktivierten TLSv1 und SSLv3 konfiguriert sind. Eine Ausnahme gilt für die FortiAnalyzer-VM64-AWS Version. Möchte man zB die SSLv3 deaktivieren kann folgendes ausgeführt werden:
# config system global
# set ssl-protocol [tlsv1 | sslv3]
# end
Auf was muss geachtet werden betreffend Lizenz wenn eine bestehende FortiAnalyzer Installation neu aufgesetzt wird?
Bei einer FortiAnalyzer License wird die Serien Nummer beim Registrierungsvorgang über das Support Portal (Register/Renew) erstellt. Dabei muss die IP angegeben werden die der FortiAnalyzer benutzt. Anhand dieser IP wird beim Registrierungsvorgang die effektive Serien Nummer des FortiAnalyzers generiert (Per Standard FAZ000000000). Will man nun eine "neue" Installation -der bestehenden Installation- resp. Lizenz durchführen, muss darauf geachtet werden das die "gleiche" IP -wie durch die Orginal Installation- benutzt wird. Wenn die IP gewechselt wird kann die Lizenz nicht eingespielt werden (Error "ip does not match") da daraus sich eine neue Serien Nummer ergiebt resp. das File mit der IP nicht mehr übereinstimmt. Wenn die IP gewechselt werden muss so muss ein erneueter Registrierungsvorgang durchgeführt werden. Dieser kann über das Support Portal unter Manage/Renew durchgeführt werden indem man die bereits bestehende Lizenz anwählt und die IP wechselt. Aus unbestätigten Quellen soll dies 3 mal möglich sein danach muss ein Customer Ticket eröffnet werden um den Counter zurückzustellen. Wird eine neue Lizenz bei einem IP Wechsel in den FortiAnalyzer eingespielt muss der FortiAnalyzer manuell neu gestartet werden damit diese aktiv wird.
ACHTUNG Ein FortiAnalyzer komuniziert ebenfalls in die FortiCloud dh. würden 2 Installationen zur gleichen Zeit existieren,
würde eine davon deaktiviert werden da diese auf der gleichen Lizenz basieren. Somit wir die Lizenz eines FortiAnalyzers
in der FortiCloud verifiziert.
Auf was muss ich beachten wenn ich einen FortiAnalyzer als Syslog Server benutzen möchte?
Bei der Version 5.0.x wurde im Anfangsstadium dieses Releases die Syslog Funktion komplett entfernt. Nach Intervention von einigen Kunden sowie der Fortinet Comunity wurde die Syslog Funktion wieder ab der Version 5.0.7 aktiviert. Dies bedeutet: Um die Syslog Funktion eines FortiAnalyzers zu benutzen muss diese nicht aktiviert werden sondern die einzige Voraussetzung ist die ADMOM Funktionalität zu aktivieren. Wie dies durchgeführt wird siehe nachfolgender Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Kann_ich_eine_FortiGate_und_deren_VDOM_in_unterschiedlichen_ADOM.27s_hinzuf.C3.BCgen.3F
Nach der Aktivierung der ADOM Funktionalität kann ein Device zB Switch, Linux etc. so konfiguriert werden, damit dieser Device seien Syslog Informationen dem FortiAnalayszer übermittelt. Für zB einen Linux Server siehe auch folgender Artikel:
FortiGate-5.0-5.2:FAQ#Wie_kann_ich_auf_einer_Fortigate_die_Logs_zus.C3.A4tzlich_einem_Syslog_Server_senden.3F
Sobald der Device mit dem FortiAnaylzer Kontakt aufgenommen hat für eine Registrierung, erscheint dieser Device als "Unregistered Device" und kann danach Registriert werden. Danach wird dieser Syslog basierender Device durch den FortiAnalyzer in die dazu bereitgestellte ADOM verschoben.
NOTE FortiGate Device basierend auf 5.2.x stehen betreffend "severity" nicht auf "information" dh. es werden nicht alle Informationen über Syslog an den FortiAnalyzer übermittelt. Das gleiche Gilt für die "facility". Bedeutet: Per Standard steht die "facility" auf "local7" was wiederum "warning" entspricht. Um die "facility" auf Information zu setzen benütze "local0". Weitere Informationen betreffend FortiGate Konfiguration siehe nachfolgender Artikel: FortiGate-5.0-5.2:FAQ#Wie_sieht.2Ff.C3.BChre_ich_eine_vollst.C3.A4ndige_Log_Konfiguration_auf_einer_FortiGate_aus.3F Unterstützt werden Grundsätzlich RFC Konforme "Syslog" Nachrichten. "Syslog-NG" wie zB durch Sophos benutzt werden nicht unterstützt.
FortiMoM
Gibt es die Möglichkeit mehrer FortiManager/FortiAnalyzer zusammen zu verwalten/managen?
Ja diese Möglichkeit gibt es dazu siehe nachfolgenden Artikel:
FortiManager-5.0-5.2:FAQ#Gibt_es_die_M.C3.B6glichkeit_mehrer_FortiManager.2FFortiAnalyzer_zusammen_zu_verwalten.2Fmanagen.3F
Device Manager
Wie kann ich über einen FortiAnalyzer prüfen ob ein Device/FortiOS unterstützt wird?
Grundsätzlich geben die entsprechende Release Notes eine FortiAnalyzers Auskunft ob ein entsprechender Device und/oder FortiOS auf dem entsprechenden FortiAnalyzer unterstützt wird und somit auf dem FortiAnalyzer hinzugefügt werden kann. Eine weitere Möglichkeit ist diese Ueberprüfung auf dem FortiAnalyzer selber über CLI durchzuführen dh. dazu muss folgendes Kommando auf der CLI eingegeben werden:
# diagnose dvm supported-platforms list
Danach wird eine komplette Liste ausgegeben mit allen Devices die auf dem FortiAnalyzer hinzugefügt werden können sowie die Angabe welche FortiOS Versionen unterstützt werden für die jeweiligen Devices.
Wie kann ich einen Device zum FortiAnalyzer hinzufügen?
Ein Device kann über "Add Device" oder über den "Device Manager" (ADOM Funktionalität) zum FortiAnalyzer hinzugefügt werden. Dies bedeutet, sind ADOMs aktiviert steht für die Administration der Devices der "Device Manager" zur Verfügung. Weitere Informationen um die ADOM Funktionalität zu aktivieren siehe Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Was_sind_ADOM.27s_und_welche_Ueberlegung_sind_in_diesem_Zusammenhang_zu_ber.C3.BCcksichtigen.3F FortiAnalyzer-5.0-5.2:FAQ#Wie_erstelle_ich_eine_ADOM_.28Administrative_Domain.29.3F
Um einen Device zu einer ADOM hinzuzufügen erstelle sofern notwendig die nötige ADOM danach wähle folgendes um einen Device der ADOM "local" hinzuzufügen:
Device Manager > local > All FortiGate > Rechte Maustaste
Datei:Fortinet-388.jpg
Datei:Fortinet-389.jpg NOTE Für die Einbindung eines FortiGate Devices sollte auf der FortiGate ein seperater Administrator erfasst werden mit "super_admin" Profil! Dabei kann auch der erfasste Administrator auf ein bestimmtes Netz "restricted" werden dh. das dieser User nur aus einem bestimmten Netz -sprich FortiAnalyzer (in unserem Fall 192.168.140.10)- benutzt werden kann! Datei:Fortinet-396.jpg
Nun startet ein Wizard über den man den gewünschten Device einbinden kann!
Datei:Fortinet-397.jpg
Datei:Fortinet-398.jpg
Datei:Fortinet-399.jpg
Diese Art und Weise der Einbindung basiert auf einer Verbindung VOM FortiAnalyzer zur FortiGate dh. durch den für die Einbindung erstellten Administrator (in unserem Fall "FAZ-Admin") loggt sich der FortiAnalyzer auf der FortiGate ein und bindet den Device ein. Ein andere Möglichkeit ist, dass die FortiGate eine Einbindung Anfrage dh. von der FortiGate ZUM FortiAnalyzer. Um dies durchzuführen gehe auf die FortiGate und aktiviere die Einbindung zum FortiAnalyzer:
Datei:Fortinet-400.jpg NOTE Die Log Uebermittlung kann hier in 2 Arten erfolgen dh. entweder werden die Logs in "realtime" übermittelt oder zu einem bestimmten Zeitpunkt dh. die Logs werden auf der FortiGate zwischengespeichert und an dem bestimmten konfigurierten Zeitpunkt übermittelt. Welche Art zu aktivieren ist hängt von den verschiedenen Gegebenheit ab dh. zB Log Volumen, zur Verfügung stehende Bandbreite, Performance usw.
Die Einbindung kann zu Beginn nicht mit dem Button "Test Connectivity" überprüft werden denn dazu benötigt die Einbindung zuerst auf der FortiAnalyzer Seite eine Bestätigung. Dies bedeutet: Sobald die Konfiguration auf der FortiGate Seite durchgeführt wurde erscheint auf der FortiAnalyzer Seite folgende Meldung:
Datei:Fortinet-401.jpg NOTE Wähle die entsprechende ADOM inder der Device konfiguriert werden soll und bestätige die Aufnahme des Devices!
Datei:Fortinet-402.jpg
Nun der Device wurde in die entsprechende ADOM aufgenommen und ist nun dort ersichtlich. Um nun eine korrekte Anmeldung an der FortiGate durchzuführen Editiere den Device und gebe den entsprechenden Administrator an (in unserem Beispiel der erstellte Administrator "FAZ-Admin"):
Datei:Fortinet-405.jpg
Datei:Fortinet-406.jpg
Um die ganze Konfiguration von der FortiGate zu testen gehe auf das FortiGate WebGui und führe einen Test für die Verbindung durch:
Datei:Fortinet-403.jpg NOTE Die Kommunikation zwischen einer FortiGate und FortiAnalyzer ist verschlüsselt. Die Verschlüsselung (enc-algorithm) ist per Standard auf "default" gesetzt was wiederum folgendes bedeutet:Dabei ist zu berücksichtigen das beide Devices auf den gleichen Level Konfiguriert werden müssen. Ist einer der Devies zB eine FortiGate auf "medium" gesetzt und ein weiterer FortiGate Device auf "low" muss der FortiAnalyzer auf "low" gesetzt werden um die "tieste" Encryption "low" zu unterstützten. Um die entsprechende Verschlüsselung zu setzen benütze auf der CLI folgendes Kommando: FortiAnalyzer # config system global # set enc-algorithm [low (gilt als Standard) | medium | high] # end FortiGate # config log fortianalyzer setting # set enc-algorithm [low (gilt als Standard) | medium | high] # end Weitere Informationen dazu siehe nachfolgender Artikel: FortiAnalyzer-5.0-5.2:FAQ#Wie_werden_die_Logs_eines_FortiGate_Device.27s_zum_FortiAnalyzer_.C3.BCbermittelt_.28verschl.C3.BCsselt.2Funverschl.C3.BCsselt.29.3F
Datei:Fortinet-404.jpg
Kann ich die erfolgreiche Einbindung in den Device Manager eines Devices vom FortiGate Device aus testen?
Ja dies ist möglich dh. sobald der Device zum Device Manager hinzugefügt wurde, kann anhand folgenden Befehls die Informationen auf der FortiGate abgerufen werden:
# execute log fortianalyzer test-connectivity
FortiAnalyzer Host Name: alsochlu-fortinet-faz
FortiGate Device ID: FG300C3913601712
Registration: registered
Connection: allow
Disk Space (Used/Allocated): 170/1000 MB
Total Free Space: 74324 MB
Log: Tx & Rx (3 logs received since 16:04:31 01/22/14)
Report: None
Content Archive: Tx & Rx
Quarantine: Tx & Rx
Gleichzeitig kann mit folgenden Befehl auf der FortiGate CLI Test Logs zum FortiAnalyzer gesendet werden:
# diagnose log test
Weitere Informationen dazu siehe folgender Artikel:
FortiGate-5.0-5.2:FAQ#Das_Kommando_.22diagnose_log_test.22_kann_nicht_unter_FortiOS_5.0.2_ausgef.C3.BChrt_werden.3F
Kann ich innerhalb des Device Managers diese Devices Gruppieren (Log Array)?
Ja dies ist möglich! Solche Gruppieren sind sindvoll zB für Cluster oder um für einen Device Verbund "ein" Log zu erhalten. So eine Gruppe kann folgendermassen erstellt werden:
NOTE Ab FortiAnalyzer 5.0.2 existierten diese Gruppen indem Sinne nicht mehr sondern werden bezeichnet als "Log Arrays". Dies bedeutet möchte man eine Gruppe erzeugen muss ein neuer "Log Array" erstellt werden. Bei einem Upgrade werden die "Gruppen" durch das Upgrade entfernt und müssen neu als "Log Array" wiederum erstellt werden. Wenn ein "Log Array" erstellt/modifiziert wird - und bestehende Logs in den Array übernommen werden- muss/sollte die Datenbank erneuert werden! Weitere Informationen betreffend diesem Vorgang findet man unter folgenden Artikel: FortiAnalyzer-5.0-5.2:FAQ#Was_muss_ich_ber.C3.BCcksichtigen_wenn_ich_einen_.22Log_Array.22_.28Gruppe.29_Modifiziere.2FVer.C3.A4ndere.3F Neu kann man die Devices im Device Manager unter FortiAnalyzer 5.2 als Cluster definieren dh. im Device Manager kann man den entsprechenden Device "editieren" und den entsprechenden Node zum Cluster hinzufügen (Master/Slave). Wird dies durchgeführt wird in der Datenbank nur ein Log geführt (CID). Der Unterschied zwischen der Defintion eines Clusters unter dem Devices selber und in der Konfiguration eines "Log Arrays" liegt darin, dass wenn ein "Log Array" für einen Cluster angelegt wird in der Datenbank für jeden Device ein Log angelegt wird und diese unter dem "Array" zusammengefügt werden. Wenn der Cluster unter dem Device konfiguriert wird so wir in der Datenbank ein Log (CID) für den Cluster angelegt. Ein "Log Array" sollte nicht zusätzlich zur Konfiguration resp. Definition eines Clusters unter dem entsprechenden Device angelegt werden dh. ein Cluster sollte entweder durch die Definition des Cluster unter dem Device oder eines Log Arrays defniert werden!
FortiOS 5.0.7
Ab FortiOS 5.0.7 werden die Log Arrays nicht mehr über den Device Manager konfiguriert sondern über folgende Position:
FortiView > Log View > Tools > Manage Log Arrays
FortiOS 5.0.2
Device Manager > [Wähle die entsprechende ADOM] > All Log Arrays" > Rechte Maustaste > Add Log Array
Um weitere Devices zum "Log Array" (Gruppe) hinzuzufügen wähle:
Device Manager > local > All FortiGate > Rechte Maustaste
Datei:Fortinet-390.jpg
Datei:Fortinet-391.jpg
Datei:Fortinet-392.jpg
In unserem Beispiel wurden 3 Gruppen erstellt dh. LOCAL-1, LOCAL-2 sowie LOCAL-ALL. Im Device Manager können Gruppen
ebenfalls mitglieder von anderen Gruppen sein dh. nachfolgend fügen wir der Gruppe LOCAL-ALL die Gruppen LOCAL-1 sowie
2 hinzu. Dazu wähle im Device Manager folgendes:
Device Manager > local > LOCAL-ALL > Rechte Maustaste
Datei:Fortinet-394.jpg
Datei:Fortinet-393.jpg
Markiere und füge nun die Gruppen LOCAL-1 sowie LOCAL-2 hinzu. Danach ergiebt sich folgendes Bild wenn LOCAL-ALL im Device
Manager angewählt wird:
Datei:Fortinet-395.jpg
Kann ich einen FortiAnalyzer als Device in den FortiManager unter Device Manager hinzufügen?
Ja dies ist möglich! Dazu siehe folgender Artikel:
FortiManager-5.0-5.2:FAQ#Kann_ich_einen_FortiAnalyzer_als_Device_in_den_FortiManager_unter_Device_Manager_hinzuf.C3.BCgen.3F
ADOM
Was sind ADOM's und welche Ueberlegung sind in diesem Zusammenhang zu berücksichtigen?
ADOMs (Administrative Domains) sind virtuelle Container die Devices (FortiGate, VDOM) in verschiedenen ADOMs enthalten die durch die vers. Administratoren mit deren Rechten (Service Access Profile) administriert werden. Der "admin" Root Account hat sämtliche Rechte ALLE ADOMs zu administrieren. Zusätzliche erstellte Administratoren erhalten die nötigen Rechte ADOMs zu administrieren durch deren Profile. FortiAnalyzer FortiOS 5.x unterstützt ADOMs und Devices folgendermassen:
Datei:Fortinet-457.jpg NOTE ADOMs stehen auf folgenden Devices nicht zur Verfügung FortiAnalyzer-100/100A/100B !
Es wird empfohlen ADOM's zu aktivieren da eine spätere Aktivierung mit einem nicht unerheblichen Aufwand zusammenhängt dh. bestehende Daten in eine ADOM zu verschieben. Ebenfalls sind ADOM's zu empfehlen im Zusammenhang mit VDOM denn nur durch ADOM's können Zugriffe auf vers. VDOM's auf einer FortiGate anhand ADOM's bewerkstelligt werden. Die Funktion ADOM wird über WebGui folgendermassen aktiviert:
System Settings > General > Dashboard > System Information > Administrative Domain > Enable
Ueber CLI wir die Funktion ADOM folgendermassen aktiviert (FortiOS 5):
# config system global
# set adom-status [enable oder disable]
# set adom-mode [advanced oder normal]
# end
NOTE Durch die Aktivierung "adom-status enable" werden alle bestehenden Daten in die ADOM "root" verschoben!
Wenn der "adom-mode advanced" benützt wird gilt folgendes: Wenn diese Funktion aktiviert wird so können
"verschiedene" VDOM's "einer" FortiGate "verschiedenen ADOM's zugewiesen werden was im Normal Fall unter "normal"
nicht möglich ist dh. ist "normal" gesetzt kann eine FortiGate mit "deren" VDOM's nur in "einer" ADOM existieren
resp. zugewiesen werden! Die Funktion "adom-mode" sollte nur in den "advanced" Mode gesetzt werden sofern umbedingt
nötig denn dieser Mode erhöht die Administrative Komplexität des FortiAnalyzer erheblich!
Kann ich eine FortiGate und deren VDOM in unterschiedlichen ADOM's hinzufügen?
Ja dies ist möglich jedoch Vorraussetzung ist, dass der ADOM Mode benutzt wird resp. aktiviert ist sowie "advanced" ADOM Mode benutzt wird! Um den ADOM Mode sowie den "advanced" ADOM Mode zu aktivieren führe folgendes durch:
# config system global
# set adom-status enable
# set adom-mode advanced
# end
Die Aktivierung des ADOM Mode sowie "advanced" Mode kann ebenfalls über das Gui durchgeführt werden und zwar unter:
ADOM Mode aktivieren --> System Settings > Dashboard > System Information > Administrative Domain
ADOM Mode auf "advanced" setzen --> System Settings > Advanced > Advanced Settings > ADOM Mode
Sobald der "advanced" Mode aktiviert wurde kann eine entsprechende VDOM in eine ADOM verschoben werden indem man über den "Device Manager" die entsprechende ADOM wählt und mit "rechter Maustaste" (Menü) auf "Edit" geht. Nun erscheinen dort die zu Verfügung stehenden Devices mit deren VDOM's. Wähle eine VDOM und verschiebe diese nach Links um diese der ADOM hinzu zu fügen!
NOTE Wenn eine VDOM in eine ADOM hinzugefügt wird und die FortiGate auf der die VDOM existiert befindet sich nicht
mehr in der gleichen ADOM, wird als Referenz zur ursprünglichen ADOM (auf der die FortiGate sich befindet) ein
Datenbank Link erstellt. Dies bedeutet in der neuen ADOM in der die VDOM hinzugefügt wurde wird eine Device DB
erstellt die zur Ursprünglichen ADOM (in der sich die FortiGate befindet) referenziert!
Kann ich in einer ADOM FortiGate's FortiOS 4 und 5 mischen?
Nein dies ist nicht möglich! Bei der Erstellunge einer ADOM muss diese deklariert werden ob in dieser Devices resp. FortiGate's mit FortiOS 4 oder 5 gemanaged werden. Somit wenn eine FortiGate durch ein Update von FortiOS 4 auf FortiOS 5 gebracht wird muss diese aus der ADOM die definiert ist mit FortiOS 4 entfernt werden um diese erneut in die ADOM die definiert ist mit FortiOS 5 zu importieren. In so einem Scenario ist gut zu Ueberlegen wie vorgegangen werden soll.
Wie erstelle ich eine ADOM (Administrative Domain)?
Ein ADOM (Administrative Domain) wird über den Device Manager erstellt. Wähle dazu im WebGui folgendes:
Device Manager > All FortiGate > Rechte Maustaste
Datei:Fortinet-384.jpg
Wenn man nun eine neue ADOM erstellt zB "local" dann können später zukünftige Devices in diese ADOM hinzugefügt werden:
NOTE Bei der Erstellung einer ADOM muss diese betreffend FortiOS Version deklariert werden dh. (4.0 MR2, 4.0 MR3, 5.0 GA).
Dies bedeutet wiederum, dass in einer ADOM nur diese Version im Zusammenhang mit den FortiGate Devices verwaltet werden
können. Somit kann man in einer ADOM nicht FortiGate Devices verwalten mit vers. Master Release des FortiOS (zB 4.0 MR3
sowie 5.0 GA)!
Datei:Fortinet-385.jpg
Nach der Erstellung der ADOM "local" sieht man das nun zwei Container existieren dh. "root" (Standard ADOM nach Aktivierung der Funktion ADOM) sowie unsere neu erstellt ADOM "local"!
Datei:Fortinet-386.jpg
User
Wo kann ich das Passwort des SuperAdmin (admin) ändern?
Per Standard existiert auf dem FortiAnalyzer ein SuperAdmin mit dem Username "admin". Diesem SuperAdmin wurde per Standard KEIN Passwort gesetzt. Wenn dieses neu gesetzt sowie modifiziert werden möchte kann dies unter folgender Position durchgeführt werden:
System Settings > General > Dashboard > System Information > Current Administrators
Das Passwort kann ebenfalls für den SuperAdmin und für alle anderen Administratoren unter folgender Position modifiziert/konfiguriert werden:
System Settings > Admin > Administrators
Wo kann ich das Timeout des Administrators konfigurieren?
Das Timout für den Administrator betreffend dem WebGui lässt sich über folgende Position konfigurieren:
System Settings > Admin > Admin Settings > Idle Timeout
Wie kann ich eine Session eines Administrators beenden obwohl das Timout noch nicht abgelaufen ist?
Wenn ein Administrator im FortiAnalyzer eingeloggt ist und dieser aktiv ist dh. über eine aktive Session hat sowie sich nicht zB korrekt ausgeloggt hat beginnt im Hintergrund ein "timout" zu laufen. Sobald das "timeout" abgelaufen ist, wird die Session des Administrators automatschi beendet. Möchte man nun nicht auf das "timeout" warten sondern die Session des Administrators sofort beenden kann folgendes durchgeführt werden:
# diagnose system admin-session list
Dieser Bfehl listet alle aktiven Sessions der Administratoren auf zB:
*** entry 3 ***
session_id: 3027 (seq: 0)
username: solivaan
admin template: Test
from: GUI(192.168.1.110) (type 1)
profile: Restricted_User (type 1)
adom: root
session length: 211 (seconds)
idle: 188 (seconds)
Aus diesem Output kann entnommen werden, dass der "Restricted_User" mit dem Usernamen "solivaan" eingeloggt ist/war. Dies bedeutet wiederum: Wenn der "Restricted_User" immer noch eingeloggt ist jedoch die Sekunden von "idle" erhöht werden ist dies ein Indicator das ein "timeout" aktiv ist und der User wahrscheinlich nicht korrekt ausgeloggt hat. Möchte man diese Session des Users "solivaan" beenden kann dies anhand der "session_id" durchgeführt werden:
# diagnoe system admin-session kill [Angabe der "session-id" zB 3027]
Danach kann wiederum über das erste Kommando verifiziert werden ob die Session für User "solivaan" korrekt beendet wurde. Wenn mehrer "session_id" für einen User exisiteren muss jede einzelne "session_id" anhand des "kill" Kommandos beendet werden um alle Session des betreffenden Users zu beenden.
Wo kann ich für einen Administrator für dessen Rechte ein entsprechendes Profil erstellen?
Wenn ein Administrator erfasst wird sei es als "lokaler" User sowie Radius oder LDAP User muss diesem ein entsprechendes Profile hinzugefügt werden. Dies bedeutet: Dieses Profile steuert die entsprechenden Rechte des Adminstrators. Um ein Profil zu erstellen für einen Administrator wähle folgendes:
System Settings > Admin > Profil
Datei:Fortinet-414.jpg
Per Standard existieren folgende Profile (Diese Standard Profile können zwar modifiziert jedoch nicht gelöscht werden):
Restricted_User
Standard_User
Super_User
Read_only
Datei:Fortinet-415.jpg
Unter folgenden Punkt können diese Standard Profiles eingesehen werden sowie neue erstellt werden:
System Settings > Admin > Profile
Im Zusammenhang mit den "Access" Profiles dh. um differenzierte Rechte für Devices Access zu erstellen, stehen ebenfalls die ADOM Funktionalitäten. Weitere Informationen betreffend ADOM Funktionalität siehe auch nachfolgender Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Was_sind_ADOM.27s_und_welche_Ueberlegung_sind_in_diesem_Zusammenhang_zu_ber.C3.BCcksichtigen.3F
Zu den im Mgmt. Interface ersichtlichen Punkte stehen einige Konfigurationen zusätzlich auf der Kommandozeile zur Verfügung die noch eine granularere Konfiguration ermöglichen:
# config system admin profile
# edit [Name des Profiles]
# set adom-policy-packages [none | read | read-write]
# set adom-switch [none | read | read-write]
# set app-filter [enable | disable]
# set assignment [none | read | read-write]
# set change-password [enable | disable]
# set config-retrieve [none | read | read-write]
# set consistency-check [none | read | read-write]
# set deploy-management [none | read | read-write]
# set description <string>
# set device-config [none | read | read-write]
# set device-manager [none | read | read-write]
# set device-op [none | read | read-write]
# set device-profile [none | read | read-write]
# set event-management [none | read | read-write]
# set fgd_center [none | read | read-write]
# set global-policy-packages [none | read | read-write]
# set ips-filter [enable | disable]
# set log-viewer [none | read | read-write]
# set policy-objects [none | read | read-write]
# set read-passwd [none | read | read-write]
# set realtime-monitor [none | read | read-write]
# set report-viewer [none | read | read-write]
# set scope (Not Applicable)
# set system-setting [none | read | read-write]
# set term-access [none | read | read-write]
# set type [restricted | system]
# set vpn-manager [none | read | read-write]
# set web-filter [enable | disable]
# set workflow-approve [none | read | read-write]
# end
Wie kann ich erlauben das ein lokaler Administrator sein vergebenes Passwort ändern kann?
Per Standard ist es nicht möglich das ein Administrator der lokal erfasst wurde auf dem FortiManager/FortiAnalyzer sein Passwort selber ändern kann. Ab FortiManager sowie FortiAnalyzer 5.2 ist dies jedoch möglich. Damit das ermöglicht wird muss ein entsprechendes Profile konfiguriert werden sowie der lokale Adminstrator dh. Im Access Profile selber muss die Funktion aktiviert werden damit diese Funktion zur Verfügung steht (Per Standard deaktiviert). Danach kann granular für jeden Adminstrator dies konfiguriert werden. Somit muss als Ausgangslage in erster Stelle ein entsprechendes Profile erstellt werden oder ein bestehndes konfiguriert werden damit das ändern eines Passwortes für einen Administrator ermöglicht wird. Wie ein Profile erfasst/konfiguriert wird siehe nachfolgenden Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Wo_kann_ich_f.C3.BCr_einen_Administrator_f.C3.BCr_dessen_Rechte_ein_entsprechendes_Profil_erstellen.3F
Danach muss folgende Option im Profile konfiguriert werden:
# config system admin profile
# edit [Name des Profiles]
# set change-password enable
# end
NOTE Wird ein "Read-Only" Profile erstellt kann die Option "change-password" nicht benutzt werden dh. diese Option steht
auch im per standard existierenden Profile "Read-Only" nicht zur verfügung!
Ueber Mgmt. Interface muss nun dem entsprechenden Adminstrator dieses Profile zugewiesen werden über folgende Position:
System Settings > Admin > Administrator > [Wähle den entsprechenden Administrator] > Admin Profile > [Wähle das entsprechende Profile]
Danach kann das ändern des Passwortes für den entsprechenden Administrator über Kommandozeile aktiviert werden:
# config system admin user
# edit [Name des Administrators]
# set change-password enable
# end
Sobald der entsprechende Administrator sich einloggt steht diesem im oberen linken Bereich ein neues Icon zur Verfügung im Form eines "Schlosses". Ueber diese Position kann nun der entsprechende Administrator sein Passwort ändern!
Wie erstelle ich einen Administrator für eine bestimmte ADOM?
Wenn ADOMs aktiviert sind ist es nach Situation erforderlich nur bestimmten Administratoren auf bestimmte ADOMs Zugriff zu ermöglichen. Dies setzt einen Administrator mit bestimmten Rechten vorraus. Um einen solchen Administrator zu erstellen gehe folgendermassen vor:
System Settings > Admin > Administrator
Datei:Fortinet-409.jpg
Datei:Fortinet-410.jpg NOTE Wähle auf keinen Fall das "Super_admin" Profil denn dieses hat -obwohl restricted auf "specify" ADOM's- Zugriff auf ALLE ADOM's! Spezielle Profile für die Administratoren können und folgender Position erstellt werden: System Settings > Admin > Profile
Wenn nun der neue Administrator "Admin-VDOM-local" sich über das normale Login des FortiAnalyzers einloggt sieht dieser nur noch im Device Manager SEINE ADOM dh. "local" und zB keine "globalen" Konfigurationspunkte wie "System Settings":
Datei:Fortinet-412.jpg
Wie finde ich heraus welche Administratoren momentan auf einem FortiAnalyzer eingeloggt sind?
Unter folgender Position sieht man die momentanen Session für die eingeloggten Administratoren (Nur mit "Super_admin" Profil):
System Settings > General > Dashboard > Current Administrators
Datei:Fortinet-411.jpg
Wenn man nun auf "Detail" geht so öffnet sich ein Fenster indem die vers. Sessions der Administratoren aufgelistet sind. Möchte man eine Session eines Administrators löschen kann dies über die Checkbox durchgeführt werden (aktivieren und auf delete):
Datei:Fortinet-413.jpg
Wie kann ich für einen FortiAnalyzer Administratoren basierend auf "ActiveDirectory" sowie Gruppen Zugehörigkeit konfigurieren?
Wenn man für die Authentifizierung der Administratoren ein "ActiveDirectory" einbinden möchte ist dies ohne grossen Aufwand möglich. Innerhalb dieser Konfiguration ist es möglich direkt eine bestimmte "Gruppe im ActiveDirectory" zu konfigurieren in der die Administratoren verwalten werden die auf den FortiManager Zugriff erhalten. Dabei ist jedoch zu berücksichtigen das innerhalb dieser Gruppe - für verschiedene User - es nicht möglich ist verschiedenen "Access Profiles" sowie "VDom" zu konfigurieren. Dies bedeutet: Wird für ein ActiveDirectory eine Gruppe definiert kann innerhalb dieser Gruppe nur ein "Access Profile" sowie "ADOM/s" zugewiesen werden. Möchte man eine zweite Gruppe mit underschiedlicher Zuweisung konfigurieren muss erneut ein neuer Eintrag für dieses ActiveDirectory mit der neuen Gruppen konfiguriert werden in der die neue Zuweisung von "Access Profile" sowie "ADOM/s" durchgeführt werden kann. Um das ActiveDirectory mit der entsprechenden Gruppe zu konfigurieren führe folgendes durch:
In diesem Beispiel wird von folgenden Komponenten/Informationen ausgegangen:
- ActiveDirectory Controller IP 10.0.0.1
- Domaine also.com
- OU "RemoteAdmins" entält die Gruppe "fmgAdmins" sowie "fazAdmins"
- Administrator Account für Gruppe "fmgAdmins" sowie "fazAdmins" ist "LDAPservice"
- Administrator Account "LDAPservice" verfügt über Domain Admin Rechte sowie "never expiring password"
- Administrator Account "LDAPservice" wird benützt um auf das ActiveDirectory zu verbinden
# config system admin ldap
# edit [Name des Eintrages für das ActiveDirectory zB "LDAP"]
# set server "10.0.0.1"
# set secondary-server "0.0.0.0"
# set port 389
# set cnid "sAMAccountName"
# set dn "DC=also,DC=com"
# set type regular
# set username "CN=LDAPservice,OU=RemoteAdmins,DC=also,DC=com"
# set password [Password des Service Account "LDAPservice"]
# set adom [Definiert den Namen der der ADOM oder mehrerer ADOM's]
# set group CN=fmgAdmins,OU=RemoteAdmins,DC=also,DC=com
# set filter (&(objectcategory=group)(member=*))
# next
# end
Nun muss für alle User in der Gruppe "fmgAdmins" sowie "fazAdmins" ein user erfasst werden der als "wildcard" benutzt wird resp. alle User darstellt in "fmgAdmins" sowie "fazAdmins":
# config system admin user
# edit "RemoteAdmins"
# set profileid "Super_User"
# set adom [Definiert den Namen der der ADOM oder mehrerer ADOM's]
# set policy-package [Definiert folgendes: [ <adom name>: <policy package id> | <adom policy folder name>/<package name> | all_policy_packages]
# set user_type ldap
# set ldap-server "AD1"
# set wildcard enable
# next
# end
Backup / Restore
Wie kann ich über CLI eine Backup der FortiAnalyzer Konfiguration durchführen?
Grundsätzlich kann über WebInterface ein Backup durchgeführt werden dh.:
System Settings > General > Dashboard > System Configuration > Backup
Möchte man jedoch über CLI ein Backup durchführen kann dies über folgende Protokolle durchgeführt werden:
FTP / SFTP
SCP
Folgende Kommandos müssen benutzt werden:
# execute backup all-settings [FTP oder SFTP] [Server IP Adresse] [Pfad sowie Filename zB backup/full-backup] [User Name] [Passwort]
Starting backup all settings in background, Please wait.
Starting transfer the backup file to FTP server...
Backup all settings...Ok.
oder
# execute backup all-settings scp [Server IP Adresse] [Pfad sowie Filename zB backup/full-backup] [User Name] [SSH Zertifikat] [Cryptpasswort]
NOTE Anstelle von "all-settings" stehen folgende Optionen zur Verfügung:
logs [Device Name speariert durch Komma (,) oder all]
logs-only [Device Name speariert durch Komma (,)]
reports [Report Name speariert durch Komma (,) oder all]
reports-config [ADOM Name speariert durch Komma (,) oder all]
Wenn eine VMware Installation benützt wird dh. eine Virtualisierung eines FortiAnalyzers ist die Snapshot Variante die bevorzugte resp. empfohlen Variante um ein Backup durchzuführen. Desweiteren ist folgendes zu berücksichtigen:
Wenn ein Backup durch einen Administrator für eine spezifizierte VDOM durchgeführt wird so enthält das Backup folgende
Informationen: "Global Settings, Settings für spezifizierte VDOM"
Wenn ein Backup durch den "regulären" Administrator durchgeführt wird so enthält das Backup folgende Informationen:
"Global Settings, Settings für alle VDOM"
Somit muss berücksichtigt werden, dass Logs sowie Reports nicht anhand "all-settings" automatisch gesichert werden. Um ein komplettes Backup manuell durchzuführen muss folgendes ausgeführt werden:
Backup Logs anhand FTP sowie anhand "regulärem Administrator"
# execute backup logs-only all [FTP oder SFTP] [Server IP Adresse] [Pfad sowie Filename zB backup/full-backup] [User Name] [Passwort]
Backup Reports anhand FTP sowie anhand "regulärem Administrator"
# execute backup reports all [FTP oder SFTP] [Server IP Adresse] [Pfad sowie Filename zB backup/full-backup] [User Name] [Passwort]
Backup Settings anhand FTP sowie anhand "regulärem Administrator"
# execute backup all-settings [FTP oder SFTP] [Server IP Adresse] [Pfad sowie Filename zB backup/full-backup] [User Name] [Passwort]
Ausgehend davon wenn ein "Kompletter Restore" (Disaster Scenario) durchgeführt werden soll muss folgendes ausgeführt werden:
- Installiere den FortiAnalyzer anhand der Firmware (FortiOS) Version basierend auf dem vorhandenen Backup das für den Restore verwendet werden soll.
- Führe die Grundkonfiguration durch für das Netzwerk des FortiAnalyzer resp. damit der Zugriff auf den FortiAnalyzer gewährleistet ist.
- Bevor ein Restore durchgeführt wird setze den FortiAnalyzer in den "factory reset state" was wiederum bedeuet:
führe auf der CLI folgendes Kommando durch:
# execute reset all-settings
# execute format [disk-ext4 | disk]
NOTE Nach beiden Kommandos wird ein Neustart des FortiAnalyzers ausgeführt!
Restore Settings anhand FTP sowie anhand "regulärem Administrator"
# execute restore all-settings [FTP oder SFTP] [Server IP Adresse] [Pfad sowie Filename zB backup/full-backup] [User Name] [Passwort]
Wenn ein Restore über Web Mgmt. Interface durchgeführt werden soll führe diesen durch über folgende Position:
System Settings > General > Dashboard > System Configuration > Restore
Restore Logs anhand FTP sowie anhand "regulärem Administrator"
# execute restore logs-only all [FTP oder SFTP] [Server IP Adresse] [Pfad sowie Filename zB backup/full-backup] [User Name] [Passwort]
Restore Reports anhand FTP sowie anhand "regulärem Administrator"
# execute restore reports all [FTP oder SFTP] [Server IP Adresse] [Pfad sowie Filename zB backup/full-backup] [User Name] [Passwort]
Nach einem Restore muss kontrolliert werden ob ein Database rebuild ausgeführt wird. Dazu siehe nachfolgenden Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_auf_einem_FortiAnalyzer_.C3.BCberpr.C3.BCfen_ob_ein_Database_Rebuild_durchgef.C3.BChrt_wird.3F
Wird der Database rebuild "nicht automatisch" ausgeführt muss dieser manuell durchgeführt werden um die Informationen des Restores in der Databse zu verarbeiten. Dies kann einige Zeit in Anspruch nehmen sprich bei hohem Datenvolumen kann dies mehrer Stunden dauern. Dazu siehe nachfolgender Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_auf_einem_FortiAnalyzer_ein_Database_Rebuild_manuel_durchf.C3.BChren.3F
Kann ich ein Backup für einen FortiAnalyzer automatisieren?
Ja, dies ist ab Version 5.0.5 möglich und steht über die Kommandozeile zur Verfügung:
# set status [enable | disable]
# set server [IPv4 Adresse des Servers oder FQDN]
# set user [Username]
# set passwd [Password]
# set directory [Name des Verzeichnis auf Zielserver in Form "/[Name des Verzeichnis]
# set week_days [Wochentag für die Ausführung "monday tuesday wednesday thursday friday saturday sunday"]
# set time [hh:mm:ss]
# set protocol [Protokoll Angabe "ftp | scp | sftp"]
# set cert [SSH Zertifikat String für "scp"]
# set crptpasswd [Optionales Passwort]
# end
Wie kann ich ein Backup eines FortiAnalyzers herstellen sowie einen Restore durchführen?
Nun ein Backup für den FortiAnalzter lässt sich einfach durchführen sprich wähle folgendes:
System Settings > General > Dashboard > System Configuration
Datei:Fortinet-408.jpg
NOTE Im Gegensatz zu einem FortiGate Backup ist das eines FortiAnalyzers nicht lesbar dh.7 es kann für einen Restore auch
nicht manipuliert werden! Es wird ein *.dat File zur Speicherung des Backup's durchgeführt zB:
"SYS_FAZ-VM0000000001_FortiAnalyzer-VM_20121205_1346.dat"
Ein Restore lässt sich ebenfalls über diese Position im Dashboard durchführen! Beim Backup resp. Restore ist zu berücksichtigen WAS bei einem Backup gesichert wird. Dies bedeutet: In einem Backup das über Web Mgmt. Interface durchgeführt wird sind nur die "Global Settings, Settings für spezifizierte VDOM und/oder Settings für alle VDOM's" enthalten. Logs sowie Reports resp. Report Konfigurationen sind nicht enthalten. Weitere Informationen dazu siehe siehe nachfolgender Artikel der erklärt wie diese Backups über Kommandozeile durchgeführt werden:
FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_.C3.BCber_CLI_eine_Backup_der_FortiAnalyzer_Konfiguration_durchf.C3.BChren.3F
Wie kann ich von einem FortiAnalyzer Konfiguration die System Konfig (system.conf) aus einem Backup File extrahieren?
Wenn auf einem FortiAnalyzer ein Backup durchgeführt wird sei es automatisiert oder manuell dann wird ein File erstellt in folgender Form:
"SYS_FAZ-VM0000000001_FortiAnalyzer-VM_20121205_1346.dat"
Dieses File enhält keine Logs noch Reports dh. dieses File enthält nur System spezifische Informationen/Konfigurationen. Ebenfalls enhält das Backup File das Konfigurations File "system.conf". In diesem Konfigurations File sind in "clear-text" folgende System Konfiguration enthalten (Beispiel basierend auf FortiOS 5.2 Kurzform dh. ohne Details):
--------------- system.conf ---------------
#config-version=FAZVM64-5.2-FW-build0738-150923
config system global
config system interface
config system snmp sysinfo
config system route
config system ntp
config system certificate oftp
config system backup all-settings
config system admin profile
config system admin radius
config system certificate ca
config system certificate local
config system password-policy
config system admin user
config system admin setting
config system alertemail
config system alert-console
config system locallog disk setting
config system locallog disk filter
config system locallog memory setting
config system locallog memory filter
config system locallog fortianalyzer filter
config system locallog fortianalyzer2 filter
config system locallog fortianalyzer3 filter
config system locallog fortianalyzer setting
config system locallog fortianalyzer2 setting
config system locallog fortianalyzer3 setting
config system locallog syslogd setting
config system locallog syslogd filter
config system locallog syslogd2 setting
config system locallog syslogd2 filter
config system locallog syslogd3 setting
config system locallog syslogd3 filter
config system locallog setting
config system fips
config system central-management
config fmupdate av-ips fgt server-override
config fmupdate av-ips fct server-override
config fmupdate av-ips push-override
config fmupdate av-ips push-override-to-client
config fmupdate av-ips web-proxy
config fmupdate fct-services
config fmupdate av-ips advanced-log
config fmupdate av-ips update-schedule
config fmupdate analyzer virusreport
config fmupdate service
config fmupdate publicnetwork
config fmupdate disk-quota
config fmupdate server-access-priorities
config fmupdate device-version
config fmupdate server-override-status
config fmupdate multilayer
config fmupdate support-pre-fgt43
config fmupdate fds-setting
config system log alert
config system log settings
config system aggregation-service
config system sql
config system report est-browse-time
config system report auto-cache
config system report setting
config system fortiview setting
config system auto-delete
--------------- system.conf ---------------
Somit kann dieses Konfigurations File dazu dienen, im Fall eines Migration Scenario so schnell als möglich ein System Wiederherzustellen. Damit man an das File "system.conf" kommt muss nicht anderes durchgeführt werden als das Backup File zu "extrahiere" dh. mit zB ZIP zu entpacken. Wenn dies durchgführt wird, entsteht ein File mit dem Namen:
SYS_FAZ-VM0000000001_FortiAnalyzer-VM_20121205_1346
Entpacke das File wiederum mit ZIP und es entsteht ein Verzeichniss mit dem Namen des Files. In diesem Verzeichnis befindet sich folgende Verzeichnis Struktur:
var/
/dm
/dvm
/fwclienttemp
/pm2
/portal
/rtm
Das Konfigurations File "system.conf" befindet sich in "clear-text" Form im Verzeichnis "/fwclienttemp" und kann zB mit WordPad geöffnet werden.
Wie tausche ich bei einem Defekt einer FortiGate diese im FortiAnalyzer aus?
Ausgehend davon, dass eine FortiGate im FortiAnalyzer ordnungsgemäss im Konfigurationsmodus eingebunden ist, stellt sich die Frage "Was ist zu tun" wenn eine FortiGate anlässlich eines Defekts ausgetauscht werden muss. Wenn eine FortiGate im FortiAnalyzer eingebunden wird so geschieht dies anhand Ihrer Serien Nummer. Dieses Serien Nummer ist Basis um den FortiGate Device eindeutig zu identifizieren. Nachfolgend die Prozedur die anzuwenden ist um ein "Replacement" durchzuführen unter FortiAnalyzer 5:
FortiGate Device Defekt [Serien Nummer]
FortiGate Device Austausch [Serien Nummer]
• Als Erstes muss eine RMA durchgeführt werden! Weitere Informationen siehe Artikel:
Fortinet:Support-RMA#Wie_f.C3.BChre_ich_f.C3.BCr_eine_Fortinet_Hardware.2FDevice_eine_RMA_durch.3F
• Sobald der Device eintrifft konfiguriere den neuen Device (RMA / Austausch Device) folgendermassen:
Lade auf dem Austauschgerät die entsprechende Firmware dh. die gleiche Firmware wie auf dem defekten Device:
FortiGate-5.0-5.2:FAQ#Ist_es_m.C3.B6glich_ein_Firmware_Wiederherstellung_durchzuf.C3.BChren.3F
Verififziere die neue Serien Nummer:
# get system status | grep Serial
Konfiguriere das "externe" Interface so, dass es die alte Konfiguration (IP) des defekten Device
wiederspiegelt. Bei einer statischen IP wäre dies zB:
# config system interface
# edit [Gebe das entsprechende Interface an zB "wan1"]
# set ip [IPv4 Adresse mit Subnet zB xxx.xxx.xxx.xxx/xx]
# set allowaccess [Aktiviere das Interface für FortiManager Mgmt. "fgfm"]
# end
NOTE Es "MUSS" https auf dem externen Interface (fgfm aktiviert) aktiviert werden. Der Grund ist dahingehend, dass sobald
in den nächsten Schritten der "Mgmt. Tunnel" neu initiert wird, über https die SSL basierende Mgmt. Verschlüsselung
etabliert wird. Bei der Initierung der "Mgmt. Tunnel's" wird wie gewohnt der Port TCP-541 requested und ein "syn"
gesendet. Ist der Port für HTTPS auf dem externen Interface nicht aktiviert kann über den HTTPS Port intern die
Verschlüsselung nicht etabliert werden!
Setze sofern nötig den Default Gateway für das externe Interface:
# config router static
# edit 1
# set device [Gebe das entsprechende Interface an zB "wan1"]
# set gateway [IPv4 Adresse mit Subnet zB xxx.xxx.xxx.xxx]
# end
Konfiguriere für die FortiGate den FortiAnalyzer Server mit dessen IP sowie dessen Username und
Passwort:
# config log fortianalyzer setting
# set status enable
# set ips-archive enable
# set server [IPv4 Adresse des FortiAnalyzers]
# set enc-algorithm default
# set upload-option realtime
# end
NOTE Diese Konfiguration "realtime" bedeutet, dass die Logs "real-time" zum FortiAnalyzer gesendet wird.
Per Standard gilt "one's a day" zu einer bestimmten zu definierenden Zeit (Ueber Webinterface)!
# config system admin
# edit [Name des Administrators der benützt wird für FortiManager Login]
# set accprofile "super_admin"
# set vdom "root"
# set password [Passwort]
# end
NOTE Auf dem "defekten" Device wurde ein Administrator definiert (kann auch der Standard Administrator "admin" sein)
mit dessen Passwort der dazu benützt wurde um die FortiGate auf dem FortiAnalyzer einzubinden. Diese Informationen
müssen für das Austauschgerät identisch gesetzt werden um ein erfolgreiches "Replacement" durchzuführen! Ist das
betreffende Passwort des "alten defekten" Devices nicht mehr bekannt kann dieses auf dem FortiAnalyzer geändert
werden anhand folgenden Befehls:
# execute device replace pw [Gebe den entsprechenden Namen des Device an gemäss FortiAnalyzer]
This operation will clear the password of the device.
Do you want to continue? (y/n)y
• Nun bevor wir nun die FortiGate Online bringen muss auf dem FortiAnalyzer die alte Serien Nummer des defekten Device mit der
neuen Serien Nummer des "Austauschgerätes" ersetzt werden. Mit folgenden Befehl kann die Information des "defekten" Device
resp. dessen Namen sowie deren Serien Nummer eruiert werden um nachträglich diese Serien Nummer zu ersetzen:
# diagnose dvm device list
• Eruiere in der Device Liste den korrekten Device Namen und führe um die Serien Nummer zu ersetzen folgendes durch:
# execute device replace sn [Device Name] [Neue Serien Nummer des Austauschgerätes]
• Verifiziere in der Device Liste ob das "Replacement" der Serien Nummer erfolgreich war:
# diagnose dvm device list
• Nun verbinde die FortiGate mit dessen konfigurierten Interface damit diese über dieses Interface den FortiAnalyzer erreichen
kann. Die FortiGate nimmt mit dem von uns konfigurierten Interface sowie mit dem durch uns definierten Administrator Username
und Passwort mit dem FortiAnalyzer kontakt auf. Nach einiger Zeit erscheint der Device im FortiAnalyzer "Device Manager" unter
"Connectivity" als UP:
Routing
Wo kann ich das Routing für einen FortiAnalyzer konfigurieren?
Ein FortiAnalyzer verfügt im normal Fall über mehrere Interfaces dh. diese können für verschiedenen Segmente konfiguriert werden. Das Routing das für die Interfaces konfiguriert wird kann über folgende Position konfiguriert werden:
System Settings > General > Network > Routing Table
NOTE Der Default Gateway wird nicht über die "Routing Table" konfiguriert sondern
über die Position "Default Gateway" und ist nachträglich in der Routing Tabelle
ersichtlich!
Datei:Fortinet-407.jpg
Um das Routing über CLI zu konfigurieren führe folgendes aus:
# config system route
# edit [Routing ID/Sequenz]
# set device [Name des Ports für das Routing]
# set dst [IPV4 Adresse für Destination Routing]
# set gateway [IPv4 Adresse für Default Gateway]
# end
Log / View
Wie sieht der Workflow betreffend Logs eines FortiAnalyzers aus?
Nachfolgende Abbildung illustriert den Prozess des Data logging, Data Analyzing sowie die Generierung der Reports. Diese Abbildung gilt für den FortiAnalyzer im Standalone sowie im Analyzer Mode:
Datei:Fortinet-383.jpg
Nachfolgend eine weitere Sicht des Workflow des FortiAnalyzer:
Sobald das SQL Plugin die Daten verarbeitet hat kann ein Report ausgeführt werden. Dieser Workflow sieht folgendermassen aus:
Weitere Informationen in welchem Mode ein FortiAnalyzer betrieben werden kann siehe nachfolgender Artikel:
FortiAnalyzer-5.0-5.2:FAQ#In_welchen_Mode_kann_ein_FortiAnalyzer_betrieben_werden.3F
Was bedeuteten die verschiedenen Farben (Grün, Orange/Gelb und Rot) in der Spalte "Logs" im Device Manager des FortiAnalyzers?
Wenn man im Device Manager die verschiedenen eingebundenen Devices anschaut dann fällt einem auf das in der Spalte "Logs" für einen Device das entsprechende Symbole entweder mit Grün, Orange oder Rot angzeigt wird. Die Bedeutung dieser Farben für das Symbole unter der Spalte "Logs" sind die Folgenden:
Grün --> Logs werden im Moment vom entsprechenden Device zum FortiAnalyzer übermittelt
Organge/Gelb --> Es wurden keine Logs vom entsprechenden Device in den letzten 15 Minuten zum FortiAnalyzer übermittelt
Rot --> Es wurden keine Logs vom entsprechenden Device in der letzten Stunde (60 Minuten) zum FortiAnalyzer übermittelt
Was bedeuteten die verschiedenen Status Informationen für das "action" Feld im Log eines FortiGate Devices im FortiAnalyzer?
Wenn man für ein Log eines FortiGate Devices eine Analyze durchführt, fällte einem auf das neben "allow" oder "deny" noch andere "action" Informationen aufgeführt sind. Dabei ist jedoch zu berücksichtigen, dass dieses Informationen zwischen FortiGate FortiOS 5.0 und 5.2 unterschiedlich sind. Nachfolgend aufgeführt die verschiednen Möglichen Status Informationen für das "action" Feld unter FortiGate FortiOS 5.0 und/oder 5.2:
FortiGate FortiOS 5.0:
• accept Für das Ende von nicht TCP Traffic
• close Für das Ende von TCP Traffic der beendet wurde mit FIN/FIN-ACK/RST
• deny Für ein Block durch eine Firewall Policy
• start Für eine TCP Session die gestartet wurde und erlaupt wurde durch eine Firewall Policy wenn Log
Settings einer Firewall Policy auf "logging start of a session" aktiviert wurde.
• timeout Für ein ende einer TCP Session durch IDLE
FortiGate FortiOS 5.2:
• close Für das Ende von TCP Traffic der beendet wurde mit FIN/FIN-ACK/RST
• deny Für ein Block durch eine Firewall Policy
• dns Für eine DNS Session die nicht durchgeführt werden konnte (failed)
• ip-conn: Für eine IP Verbindung die nicht anhand einer Session durchgeführt werden konnte
• start Für eine TCP Session die gestartet wurde und erlaupt wurde durch eine Firewall Policy wenn Log
Settings einer Firewall Policy auf "logging start of a session" aktiviert wurde.
• timeout Für ein ende einer TCP Session durch IDLE
Diese Informationen werden in den Dokumenten der Log Refrence beschrieben:
Datei:Fortianalyzer-5-dataset reference guide.pdf Datei:Fortianalyzer log message reference 52.pdf
Wieso sollte ein "daily" Rolling konfiguriert werden auf dem FortiAnalyzer anstelle "weekly"?
Wenn für ein "Rolling" zB ein "weekly" Rolling defniert wird so werden mehr Resourcen alloziert für "basic" Funktionen wie zB Log View, Log Search, Log Archivierung. Dies bedeutet: Wenn ein Suchauftrag in ein Log ausgeführt wird und "weekly" benutzt wird so alloziert das System durch die Grösse der Logs mehr Resourcen als wenn ein "daily" Log durchsucht wird. Ebenfalls werden beim Archivieren mehr Resourcen alloziert durch die Grösse des Logs wenn für diese ein "weekly" konfiguriert wurde anstelle eines "daily" Rolling. Aus diesem Grund sollte darauf geachtet werden, dass für die Logs auf "daily" Base konfiguriert wird. Dies wird über folgende Position konfiguriert:
System Settings > Advanced > Device Log Settings
Weitere Informationen zu dieser Konfiguration siehe:
FortiAnalyzer-5.0-5.2:FAQ#Wie_k.C3.B6nnen_die_FortiGate_Device_Logs_auf_einem_FortiAnalyzer_zB_t.C3.A4glich_.22Rotiert.22_und.2Foder_.22Archiviert.22_werden.3F
Wie kann ich Logs von einer FortiGate auf einem FortiAnalyzer archivieren?
Nun wenn eine FortiGate konfiguriert wird um Logs auf einem FortiAnalyzer zu übermitteln, kann auf der FortiGate selber gewählt werden ob die Logs ebenfalls lokal auf der FortiGate gespeichert werden sollen. Ist dies der Fall -jedoch möchte man die Logs zB Täglich "rotieren" und auf den FortiAnalyzer spielen damit diese dort archiviert werden- kann dies mit folgender Konfiguration durchgeführt werden:
FortiGate-5.0-5.2:FAQ#Wie_konfiguriere_ich_auf_einer_FortiGate_eine_Log-Rotation.3F FortiGate-5.0-5.2:FAQ#Wie_kann_ich_automatisiert_die_Log_Files_auf_einen_FTP_Server.2FFortiAnalyzer_spielen.3F
NOTE Ab FortiOS 5.2 ist das speichern der Logs auf kleineren Devices wie FortiGate-60D nicht mehr möglich. Aus diesem Grund kann auch keine "Rotation" konfiguriert werden. Weitere Informationen betreffend Log speichern Im Zusammenhang mit FortiOS 5.2 siehe nachfolgender Artikel: FortiGate-5.0-5.2:FAQ#Ab_FortiOS_5.2_wird_das_Logging_auf_Disk_.28FortiGate_100D_und_kleiner.29_deaktiviert_und_Disk_steht_nicht_mehr_zur_Verf.C3.BCgung.3F
Kann ich die Logs des FortiAnalyzer für die Archivierung auf einen externen Server sichern?
Die Logs des FortiAnalyzer können sofern gewünscht zu Archivierungs Zwecken auf einem FTP, SFTP, SCP oder FortiAnalyzer gespielt werden. Ebenfalls können diese zu Archivierungszwecken "rotiert" werden dh. nach Tag oder Grösse:
FortiOS 5.0.4
FortiOS 5.0.2
Datei:Fortinet-416.jpg
Diese Konfiguration kann ebenfalls auf der Kommandozeile durchgeführt werden. Nachfolgend ein Beispiel dazu:
NOTE Nachfolgendes Beispiel zeigt die Konfiguration eines "wöchentlichen" Upload nach dem
"rotieren" der Log's am Montag Morgen 06:00:
# config system locallog disk setting
# set status enable
# set severity notification
# set upload enable
# set uploadip [IPv4 Adresse]
# set server-type FTP
# set uploadport 21
# set uploaduser [Username]
# set uploadpass [Passwort]
# set uploaddir [Angabe des Zielverzeichnis zB "/archive-logs/logs-faz"
# set uploadtype event
# set uploadzip enable
# set uploadsched disable
# set upload-delete-files enable
# set max-log-file-size 250
# set roll-schedule weekly
# set roll-day monday
# set roll-time 00:00
# set diskfull overwrite
# set log-disk-full-percentage 80
# set upload-time 06:00
# end
Kann ich die Logs eines FortiMail dem FortiAnaylzer übermitteln?
Ja dies kann konfiguriert werden. Für nähere Information siehe folgenden Artikel:
FortiMail:FAQ#Kann_ich_die_Logs_eines_FortiMails_dem_FortiAnalyzer_.C3.BCbermitteln.3F
Wo finde ich die effektiven Logs des FortiAnalyzers mit deren Grösse etc.?
Nun die Logs der Devices werden auf dem FortiAnalyzer abgelegt resp. vorhergehend eingelesen in die Datenbank. Die effektiven Logs und deren Grösse sowie Download Möglichkeit sind unter folgender Position über das WebGui ersichtlich:
FortiOS 5.0.7
FortiOS 5.0.4
FortiOS 5.0.2
Datei:Fortinet-424.jpg
Wo finde ich die Realtime sowie Historical Logs eines FortiGate Devices auf dem FortiAnalyzer?
Nun die Realtime Logs sowie die Hystorical Logs findet man für einen bestimmten Devices unter folgender Position:
FortiOS 5.0.7
FortiOS 5.0.4
FortiOS 5.0.2
Datei:Fortinet-433.jpg
Wie können die FortiGate Device Logs auf einem FortiAnalyzer zB täglich "Rotiert" und/oder "Archiviert" werden?
Die Logs auf einem FortiAnalyzer betreffend den FortiGate Devices werden per Default "nicht" Rotiert noch archiviert. Es ist zu empfehlen so eine "Rotate" und/oder "Archivierung" einzurichten. Dies bedeutet die Funktion "Rotate" rotiert die Logs je nach Konfiguration auf täglicher, wöchentlicher Basis und legt dazu seperate Files ab die nachträglich eingesehen werden können. Die Archivierung spielt diese Logs auf einen FTP, SCP (je nach Konfiguration) etc. Server. Dabei können die Logs bei der Archivierung Kommpremiert werden sowie auf dem FortiManager nach erfolgreichen Upload gelöscht werden. Als Beispiel in einem Szenarion indem wir folgendes erreichen wollen würde die Konfiguration die nur über CLI möglich ist folgendermassen aussehen:
- Rotiere Files auf "wöchentlicher" Basis
- Upload Files in "native" Format auf FTP Server und lösche Files nach erfolgreichen Upload
# config system log settings:
# config rolling-regular
# get
file-size : 100
upload : disable
when : none
NOTE Wenn das Device Log "nur" betreffend Grösse konfiguriert werden soll dh. "Disk Quota" sowie
ob die Logs danach "Ueberschrieben" oder das Logging "gestoppt" werden soll kann dies über
über den Device Manager konfiguriert werden dh. über die Funktion "Edit". Diese Konfiguration gilt
jedoch nur für Device Logs und nicht für "Log Array's".:
Device Manager > [Wähle die entsprechende ADOM] > [Wähle den entsprechenden Device] > [Rechte Maustaste] > Edit
Es stehen folgende Optionen zur Verfügung:
# set ?
del-files Enable/disable log file deletion after uploading.
directory Upload server directory.
file-size Roll log files when they reach this size (MB).
gzip-format Enable/disable compression of uploaded log files.
hour Log files rolling schedule (hour).
ip Upload server IP address.
log-format Format of uploaded log files.
min Log files rolling schedule (minutes)
password Upload server login password.
server-type Upload server type.
upload Enable/disable log file uploads.
upload-hour Log files upload schedule (hour).
upload-trigger Event triggering log files upload.
username Upload server login username.
when Roll log files periodically.
Ausgehend von unserem Beispiel konfigurieren wir folgendes:
# config system log settings
# config rolling-regular
# set file-size 250
# set upload enable
# set when weekly
# set days mon
# set del-files disable
# set directory "/log-archive/log-archive-faz/"
# set gzip-format enable
# set hour 6
# set ip [IPv4 Adresse des Zielservers]
# set log-format native
# set min 0
# set password [Passwort]
# set server-type ftp
# set upload-hour 0
# set upload-mode backup
# set upload-trigger on-roll
# set username [Username]
# end
# end
NOTE Ab FortiOS 5.0.4 können zwei zusätzliche Server für den Upload konfiguriert werden dh zusätzlich zu den
Variablen "ip", "username" sowie "password" steht folgendes zur Verfügung:
# set ip2 [IP Server]
# set ip3 [IP Server]
# set username2 [Username Server IP 2]
# set username3 [Username Server IP 3]
# set password2 [Password Server IP 2]
# set password3 [Password Server IP 2]
Damit nicht alle Server für den "Upload" benutzt werden sondern nur im "fallback" Fall muss folgendes
Kommando abgesetzt werden:
# set upload-mode backup
Dieses Kommando "set upload-mode backup" bewirkt das bei einem Verbindungsfehler auf Server 1 der zweite
Server angegangen wird und wenn diese Verbindung erfolgreich ist, wird der 3te Server nicht mehr angegangen!
Die Option "hour" steht per Standard auf 00:00 somit werden die Logs um 00:00 Rotiert. Wenn dies geschehen ist findet man die "rotierten" Logs unter folgender Position:
FortiOS 5.0.4
Log View > [Wähle die entsprechende ADOM] > Log Browse
FortiOS 5.0.7
FortiView > Log View > [Wähle die entsprechende ADOM] > Log Browse
Die Files werden wie unter "rolling-regular" konfiguriert als "gzip" File im folgenden Format auf den -in unserem Beispiel- angegebenen FTP Server gespielt:
FGT60C3G12013754-elog.1368246885.log-2013-05-14-00-01-03.gz
NOTE Ist der upload Server zu diesem Zeitpunkt nicht erreichbar wird durch den FortiManager jede 30 Sekunden versucht
den upload Server zu erreichen bis das der Fall ist! Das Format das benutzt wird um die Logs auf den FTP Server zu senden
ist das Folgende:
<FGT_SN>-<type>log.<itime>-<date>.gz
Die einzelnen Positionen haben folgende Bedeutung:
<FGT_SN> FortiGate Serien Nummer
<type> Definiert den "Log type" dh. zB tlog für Traffic Log und elog für Event Log.
<itime> Wird definiert über den ersten Log Eintrag im Log File.
<date> Wird definiert über den letzten Log Eintrag im Log File.
Für das Zeitformat wird das "epoch time" Format benutzt dh. auch bekannt als "Unix Time".
Wenn dieses Zeitformat auf ein übliches Format umgestellt werden soll kann folgendes
durchgeführt werden:
# config system log settings
# set log-file-archive-name extended
# end
Dadurch wird das Zeitformat umgestellt auf ein "übliches" Format. Für "log-file-archive-name"
folgende Beispiele:
FGT60C3G12013754-elog.1368246885.log-2013-05-14-00-01-03.gz --> "basic" "Unix Time" Format
FGT60C3G12013754.2013-05-14:00:01:03.elog.1368246885.log.gz --> "extended" "Friendly Human Readable"
Um das "epoch time" Format umzukonvertieren kann folgendes Tool benutzt werden:
http://www.epochconverter.com/
Gebe auf dieser Seite das "epoche time" Format ein das im Log File Namen enthalten ist (Beispiel: 1368246885)
Das Ganze kann ebenfalls über WebGui konfiguriert werden dh.:
System Settings > Advanced > Device Log Settings
Wie werden die Logs eines FortiGate Device's zum FortiAnalyzer übermittelt (verschlüsselt/unverschlüsselt)?
Nun ab FortiOS 5.0.4 steht auf dem "FortiGate" Device unter folgender Position folgender Menüpunkt zur Verfügung:
Log & Report > Log Config > Log Settings > Send Logs to FortiAnalyzer/FortiManager > Encrypt Log Transmission
Wird dieser Menüpunkt "Encrypt Log Transmission" aktiviert so werden die Logs der FortiGate Devices anhand "SSL-encrypted FTP Protokoll" verschlüsselt (enc-algorithm enable) dem FortiManager und/oder FortiAnalyzer übermittelt (OFTPD Server auf FMG/FAZ). Um die Option auf Kommandozeile zu setzen benütze folgendes Kommando:
# config log fortianalyzer setting
# set status enable
# set server [IPv 4 Adresse des FortiAnalyzer]
# set enc-algorithm enable
# set upload-option realtime
# end
NOTE Diese Konfiguration aktiviert die Verschlüsselung anhand SSL-encrypted FTP Protokoll. Diese Verschlüsselung ist
per Standard auf der FortiGate resp. FortiAnaylzer aktiiert. Möchte man diese Verschlüsselung erhöhen kann dies über
die entsprechenden Optionen auf der FortiGate resp. FortiAnalyzer durchgeführt werden:
FortiAnalyzer
# config system global
# set enc-algorithm [low (gilt als Standard) | medium | high]
# end
FortiGate
# config log fortianalyzer setting
# set enc-algorithm [low (gilt als Standard) | medium | high]
# end
Beide Einstellungen dh. auf der FortiGate resp. FortiAnalyzer müssen für eine bestimmte Verschlüsselung auf den gleichen
Wert gesetzt werden. Werden mehrere Devices resp. FortiGates eingebunden mit underschiedlichen Verschlüsselungen dh. low,
medium sowie high muss der FortiAnalyzer auf den tiefsten benutzen Algorithmus gesetzt werden. Möchte man einen IPSec
Tunnel zwichen der Fortigate und dem FortiAnalyzer/FortiManager benuetzen muss nachfolgenden Konfiguration ausgeführt
werden resp. explizit durch folgenden Befehl die SSL Verschlüsselung deaktivieren werden:
# set enc-algorithm disable
Soll ein FortiAnalyzer 4.2/4.3 für IPSec konfiguriert werden so muss folgendes durchgeführt werden:
# config log device
# edit [ID gemäss Konfiguration FortiGate]
# set type fgt
# set secure psk
# set psk [Pre-Shared Secret gemäss Konfiguration auf der FortiGate]
# set id [ID gemäss Konfiguration FortiGate]
# end
Wenn die Logs per IPSec Tunnel von der FortiGate auf den FortiAnalyzer übermittelt werden sollen so muss dies anhand eines "Pre-Shared Key" und einer "ID" auf beiden Devices explizit definiert werden. Um die Konfiguration auf der FortiGate durchzuführen benütze folgendes:
FortiGate FortiOS 5.4
Die Konfiguration eines IPSec für FortiAnalyzer steht unter FortiOS 5.4 nicht mehr zur Verfügung!
FortiGate FortiOS 5.0/5.2
# config log fortianalyzer setting
# set status enable
# set server [IPv 4 Adresse des FortiAnalyzer]
# set enc-algorithm disable
# set localid [ID gemäss Konfiguration auf dem FortiManager/FortiAnalyzer]
# set encrypt enable
# set psksecret [Pre-Shared Secret gemäss Konfiguration auf dem FortiManager/FortiAnalyzer]
# set upload-option realtime
# end
FortiGate FortiOS 4.2
# config log fortianalyzer setting
# set status enable
# set server [IPv 4 Adresse des FortiAnalyzer]
# set encrypt enable
# set psksecret [Pre-Shared Secret gemäss Konfiguration auf dem FortiManager/FortiAnalyzer]
# set localid [ID gemäss Konfiguration auf dem FortiManager/FortiAnalyzer]
# end
FortiGate FortiOS 4.3
# config log fortianalyzer setting
# set status enable
# set server [IPv 4 Adresse des FortiAnalyzer]
# set encrypt enable
# set psksecret [Pre-Shared Secret gemäss Konfiguration auf dem FortiManager/FortiAnalyzer]
# set localid [ID gemäss Konfiguration auf dem FortiManager/FortiAnalyzer]
# set upload-option realtime
# end
NOTE Die "localid" sowie das "psksecret" muss auf dem FortiAnalyzer/FortiManager dementsprechend konfiguriert werden.
Die entsprechende Position findet man auf dem Web Mgmt. Interface unter folgener Position:
Device Manager > [Markiere den entsprechenden Device] > [Rechte Maustaste] > Edit
Danach kann unter dem Menüpunkt "Secure Connection" die folgenden Position gesetzt werden:
ID (Muss gleich gesetzt werden wie "set localid" auf der Fortigate)
Pre-Shared Key (Muss gleich gesetzt werden wie "set psksecret " auf der Fortigate)
Wenn die Konfiguration durchgeführt wurde wird die erfolgreiche Konfiguration eines IPSec Tunnels anhand der "ID" und einem "Pre-Shared Secret" auf dem FortiAnalyzer/FortiManager im Device Manager angezeigt unter "Secure Connection" anhand eines grünen Symbols.
NOTE Wird die Konfiguration anhand SSL Verschlüsselung durchgeführt wird unter "Secure Connection" im Device
Manager dies nicht angezeigt (Symbole bleibt Rot)! In einem Cluster muss die Konfiguration resp. das Setzen
der "ID" sowie "Pre-Shared Key" auf dem FortiManager/FortiAnalyzer für alle Nodes im Cluster durchgeführt werden.
Nur der Device der momentan aktiv ist und Logs übermittelt wird innerhalb "Secure Connection" mit einem grünen
Symbol angzeigt. Die nicht aktiven Nodes im Cluster zeigen ein rotes Symbol.
Mein FortiAnalyzer bekommt Logs von meiner FortiGate (Realtime) jedoch ältere Logs stehen nicht zur Verfügung?
Ob ein FortiAnalzer Logs bekommt nachdem die FortiGate konfiguriert wurde, kann einfach über das Traffic Log auf dem FortiAnalyzer kontrolliert werden (Realtime Log). Realtime Logs werden nicht Indexiert und sind daher direkt "realtime" ersichtlich. Alle älteren Logs (History) müssen durch das System (log_indexer) zuerst Indexiert werden (SQL Database). Sind ältere Logs nicht Indexiert sind diese nicht auf dem FortiAnalyzer ersichtlich. Wenn so ein Fall eintrifft dh. ältere Logs sind nicht ersichtlich obwohl Indexiert, sollte zuerst das Filesystem überprüft werden um festzustellen ob der FortiAnalzer auf "ext3" Filesystem läuft und nicht auf "raiserfs" formatiert ist (Basis ältererer FortiAnalyzer Installation V4.x). "raiserfs" wurde früher ausgeliefert und ist von der Stabilität her Problematisch. Aus diesem Grund MUSS auf "ext3" gewechselt werden. Dazu siehe Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_einen_FortiAnalzer_von_.22raiserfs.22_auf_.22ext3.22_Filesystem_umkonvertieren.3F
Wie schon erwähnt beruht der indexierungs Vorgang auf dem Deamon "log_indexer". Dieser kann über folgenden Befehl angezeigt werden um festzustellen ob dieser eine übliche Auslastung zeigt etc.:
# diagnose sys top
Der Output zeigt sich folgendermassen:
Run Time: 3 days, 17 hours and 2 minutes
14U, 30N, 30S, 25I; 2027T, 1739F, 0KF
log_indexer 4068 R N 73.6 2.0
oftpd 30709 R 9.4 0.1
fortilogd 360 R 6.3 1.5
fortilogd 359 S 0.9 1.5
oftpd 30711 S 0.9 0.1
NOTE Das "N" indiziert die "low priority" des Deamons!
Im FortiAnalyzer werden keine "application control log" angezeigt; Wieso?
Ab FortiAnalyzer 5.0.1 wird das "application control log" nicht per Standard angezeigt. Um dieses zu aktivieren muss über CLI auf der FortiGate die entsprechenden UTM Logs aktiviert werden. Weitere Informatonen zu diesem Thema findet man im nachfolgenden Artikel:
FortiGate-5.0-5.2:FAQ#Wie_aktiviere_ich_auf_einer_FortiGate_das_.22Extended-UTM-Log.22.3F
Nach der Konfiguration auf der FortiGate kann die Funktionsweise mit folgenden Kommando getestet werden:
FortiGate-5.0-5.2:FAQ#Das_Kommando_.22diagnose_log_test.22_kann_nicht_unter_FortiOS_5.0.2_ausgef.C3.BChrt_werden.3F
Wenn das Kommando das im vorhergenden Artikel beschrieben wird abgesetzt wird, werden "Test Log Einträge" lokal auf der FortiGate erstellt -für jedes mögliche Log-! Ist der FortiGate Device so konfiguriert, dass das Logging auf dem FortiAnalyzer stattfindet, müssen diese Logs nachträglich auf dem FortiAnalyzer im entsprechenden Log des Devices und/oder Log Array ersichtlich sein.
Logs eines Clusters werden als einzelne Devices angezeigt und nicht als ein Device?
Logs werden im FortiAnalyzer immer "per" Device angezeigt somit hat man in einem Cluster (HA) mit zwei Device's je ein Log, sprich zwei Logs. Möchte man das Log des Clusters resp. der zwei Devices zusammenfassen so muss ein sogenannte "Log Array" (früher Gruppe) erstellt werden. Dieser "Log Array" gruppiert das Log der Devices eines Clusters. Weitere Informationen wie so ein "Log Array" erstellt wird siehe nachfolgenden Artikel:
NOTE Neu kann man die Devices im Device Manager unter FortiAnalyzer 5.2 als Cluster definieren dh. im Device Manager kann man den
entsprechenden Device "editieren" und den entsprechenden Node zum Cluster hinzufügen (Master/Slave). Wird dies durchgeführt
wird in der Datenbank nur ein Log geführt (CID). Der Unterschied zwischen der Defintion eines Clusters unter dem Devices selber
und in der Konfiguration eines "Log Arrays" liegt darin, dass wenn ein "Log Array" für einen Cluster angelegt wird in der
Datenbank für jeden Device ein Log angelegt wird und diese unter dem "Array" zusammengefügt werden. Wenn der Cluster unter dem
Device konfiguriert wird so wir in der Datenbank ein Log (CID) für den Cluster angelegt. Ein "Log Array" sollte nicht zusätzlich
zur Konfiguration resp. Definition eines Clusters unter dem entsprechenden Device angelegt werden dh. ein Cluster sollte entweder
durch die Definition des Cluster unter dem Device oder eines Log Arrays defniert werden!
FortiAnalyzer-5.0-5.2:FAQ#Kann_ich_innerhalb_des_Device_Managers_diese_Devices_Gruppieren_.28Log_Array.29.3F
NOTE Wenn ein "Log Array" erstellt/modifiziert wird muss/sollte die Datenbank erneuert werden! Weitere Informationen betreffend diesem Vorgang findet man unter folgenden Artikel: FortiAnalyzer-5.0-5.2:FAQ#Was_muss_ich_ber.C3.BCcksichtigen_wenn_ich_einen_.22Log_Array.22_.28Gruppe.29_Modifiziere.2FVer.C3.A4ndere.3F NOTE Für Device Logs kann im Device Manager pro Device eine Quota gesetzt werden. Weitere Informationen der Konfiguration einer Quota für "Log Array's" findet man im nachfolgenden Artikel: FortiAnalyzer-5.0-5.2:FAQ#Kann_ich_f.C3.BCr_die_Device_Logs_und.2Foder_Log_Array.27s_eine_Log_Quota_setzen.3F
Ebenso kann der "Log Array" wie ein Device auch zu einem entsprechenden Report hinzugefügt werden sowie dieser per Schedule ein Report erstellt und/oder geplant werden. Weitere Informationen siehe Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Wie_erstelle_ich_einen_Report_auf_einen_FortiAnalyzer.3F
Was muss ich berücksichtigen wenn ich einen "Log Array" (Gruppe) Modifiziere/Verändere?
Wenn ein "Log Array" (früher eine Device Gruppe) modifiziert wird dh. zB einen Device aus einen "Log Array" entfernt wird, muss die Datenbank mit folgenden Befehl auf den neusten Stand gebracht werden:
NOTE Dieser Befehl nimmt alte Logs zB in den "Log Array" hineine oder entfernt diese dh. dieser Befehl
"erneuert" (rebuild) die Datenbank und bringt diese auf den Stand der die neue "Log Array" Konfig
wiederspiegelt!
Gebe folgenden Befehl ein um alle "Log Arrays" aufzulisten:
# execute sql-local rebuild-device ?
<Device ID> example: FG300A3907552101, FGTGRP229
available Device ID:
FG300C3913601712 - FG300C3913601712
FG300C3913602452 - FG300C3913602452
FGTGRP152 - root[adom:root]
FGTGRP153 - VDOM-1[adom:VDOM-1]
FGTGRP155 - VDOM-2[adom:VDOM-2]
FGTGRP154 - VDOM-3[adom:VDOM-3]
Nun wähle die entsprechende "Device ID" resp. "Log Array" auf dem die Erneuerung
durchgeführt werden soll (rebuild):
# execute sql-local rebuild-device FGTGRP152
The SQL logs for following members of group 'FGTGRP152' will be rebuilt too:
FG300C3913601712
FG300C3913602452
Do you want to continue? (y/n)y
The SQL logs for the members of the log array will be rebuilt. To verify that the array rebuild was
successful, select the Log View tab to view the log array and logs
Wie kann ich Logs/Files/Archive auf einem FortiAnalyzer automatisiert löschen?
Ab FortiAnalyzer 5.0.4 wurde eine neue Funktion hinzugefügt basierend auf dem Kommando:
config system auto-delete
Anhand dieser Funktion können folgende Files automatisiert gelöscht werden:
DLP Archive
Quarantine Files
Device Log Files
Report Files
Dies wird auf der Kommandozeile folgendermassen durchgeführt:
DLP Archive
# config system auto-delete
# config dlp-files-auto-deletion
# set status [enable | disable]
# set value [Gebe eine Anzahl ein für die Definition "when" dh. zB "7"]
# set when [days | hours | months | weeks]
# end
# end
Quarantine Files
# config system auto-delete
# config quarantine-files-auto-deletion
# set status [enable | disable]
# set value [Gebe eine Anzahl ein für die Definition "when" dh. zB "7"]
# set when [days | hours | months | weeks]
# end
# end
Device Log Files
# config system auto-delete
# config regular-auto-deletion
# set status [enable | disable]
# set value [Gebe eine Anzahl ein für die Definition "when" dh. zB "7"]
# set when [days | hours | months | weeks]
# end
# end
Report Files
# config system auto-delete
# config report-auto-deletion
# set status [enable | disable]
# set value [Gebe eine Anzahl ein für die Definition "when" dh. zB "7"]
# set when [days | hours | months | weeks]
# end
# end
Diese Konfiguration ist ab FortiOS 5.0.7 ebenfalls über Gui ersichtlich resp. durchführbar:
System Settings > Advanced > File Management > Automatically Delete
Wie kann ich die Logs eines Devices auf einen entfernten Server per FTP/SCP sichern?
Weitere Informationen zu diesem Thema siehe Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Wie_k.C3.B6nnen_die_FortiGate_Device_Logs_auf_einem_FortiAnalyzer_zB_t.C3.A4glich_.22Rotiert.22_und.2Foder_.22Archiviert.22_werden.3F
Kann ich für die Device Logs und/oder Log Array's eine Log Quota setzen?
Unter folgender Position im "Device Manager" kann pro Device eine "Log Quota" gesetzt werden sowie ob die Log's des Devices bei Erreichung dieser Quota überschrieben werden soll oder ob das Logging gestoppt werden soll:
NOTE Wird anhand von Device's ein "Log Array" erstellt (Gruppierung von Device Logs), so wird im "Log Array" die Konfiguration der Device's betreffend "Log Quota" ignoriert. Diese gilt für FortiOS 5.0.6. Ab FortiOS 5.0.7 wurde diese Konfiguration soweit geändert das die "Log Quota" für jeden Device in einem "Log Array" zählt. Dies bedeutet: Wird für jeden Device in einem "Log Array" (inkl. Cluster Nodes) ein Wert gesetzt wird dieser Wert im "Log Array" zusammengezählt. Weitere Informationen betreffend der Erstellung von "Log Array's" findet man im nachfolgenden Artikel: FortiAnalyzer-5.0-5.2:FAQ#Kann_ich_innerhalb_des_Device_Managers_diese_Devices_Gruppieren_.28Log_Array.29.3F Desweiteren benötigen die "raw" Logs eines Device's mehr Speicherplatz in der Datenbank als die Grösse der effekten "raw" Logs (Overhead der Datenbank). Dieser Wert muss bei der Kalkulation einer Quota berücksichtigt werden. Wie dieser Wert pro Device resp. "raw" Logs zu berrechnen ist siehe nachfolgender Artikel: FortiAnalyzer-5.0-5.2:FAQ#Wieviel_Speicher.2FStorage_muss_ich_f.C3.BCr_die_Logs_in_der_Datenbank_des_FortiAnalyzer.27s_kalkulieren.3F
Device Manager > [Wähle die entsprechende ADOM] > [Wähle den entsprechenden Device] > [Rechte Maustaste] > Edit
Was muss konfiguriert werden damit ein FortiAnalyzer seine Logs einem "syslog" Server übermittelt?
In früheren Versionen (5.0.7 und tiefer) konnte ein "syslog" Server im Mgmt. Web Interface erfasst werden damit der FortiAnalyzer und/oder FortiManager seine Logs einem "syslog" Server übermittelt. Ab Version 5.0.7 muss die Konfiguration über Mgmt. Web Interface durchgeführt werden sowie in der Kommandozeile. Dies bedeutet folgendes:
System Settings > Advanced > Syslog Server
NOTE Um diese Konfiguration in der Kommandozeile durchzuführen muss folgendes ausgeführt werden:
# config system syslog
# edit [Name des "syslog" Servers]
# set ip [IPv4 Adresse des "syslog" Servers]
# end
Durch die Definierung des "syslog" Servers werden die Logs eines FortiAnalyzers resp. FortiManagers nicht zum "syslog" Server übermittelt dh. dies muss in der Kommandozeile aktiviert werden dh. folgendes ist durchzuführen (ab Version 5.0.7):
# config system locallog syslogd setting
# set syslog-name [Name des "syslog" Server der vergeben wurde unter "config system syslog"]
# set severity [Setze die entsprechende "Severity" dh emergency | alert | critical | error | warning | notification | information | debug]
# set status [enable | disable]
# set csv [enable | disable]
# set facility [alert | audit | auth | authpriv | clock | cron | daemon | ftp | kernel | local0 | local1 | local2 | local3 | local4 | local5 | local6 | local7 | lpr | mail | news | ntp | syslog | user | uucp]
# set port [Port des "syslog" Servers]
# end
NOTE Damit der FortiAnalyzer sowie FortiManager Logs (Standard Nachrichten) dem "syslog" Server übermittelt dh. betreffend
"Severity" muss diese auf "information" gesetzt werden!
Kann ich das Log (Event Log) eines FortiAnalyzer resp. FortiManager zu einem Zentralen FortiAnalyzer übermitteln?
Wenn das "Event Log" eines FortiAnalyzer resp. FortiManger's zu einem bestimmten FortiAnalyzer übermittelt werden soll steht ab Version 5.2.2 eine neue Funktion zur Verfügung dh. durch folgende Konfiguration wird der FortiAnylzer/FortiManager angewiesen sein Event Log einem bestimmten FortiAnalyzer zu übermitteln:
# config system locallog fortianalyzer setting
# set status realtime
# set server-ip [IPv4 Adresse des FortiAnalyzer]
# set secure-connection enable
# set severity information
# end
NOTE Das Event Log eines FortiAnalyzer/FortiManager steht per Standard auf Information. Somit sollte die Konfiguration ebenfalls
auf diese "severity" gesetzt werden. Wenn der "debug" Modus für das Event Log aktiviert ist so muss -sofern gewünscht- die
"severity" ebenfalls angepasst werden. Weitere Informationen betreffend "debug" Modus für das Event Log siehe nachfolgender
Artikel:
FortiManager-5.0-5.2:FAQ#Wie_kann_ich_f.C3.BCr_das_.22Event_Log.22_auf_dem_FortiManager_den_.22debug.22_Modus_einschalten.3F
Wie kann ich Logs eines FortiGate Devices (Standalone) zu einem späteren FortiGate HA Cluster hinzufügen?
Wenn ein FortiGate Device als Standalone im FortiAnalyzer konfiguriert ist und dessen Logs auf dem FortiAnalyzer exisiteren, werden die Logs nicht zu einem HA Cluster hinzugefügt wenn dieser Standalone FortiGate Device zu einem HA Cluster hinzugefügt wird. Dies bedeutet: Logs eines FortiGate Devices Standalone werden nicht automatisch migriert und fehlen somit in der History eines HA FortiGate Device Clusters. Somit muessen die Logs des FortiGate Standalone Devices manuell zu den Logs des HA Clusters hinzugefügt werden. Bevor diese manuelle Migration der Logs durchgeführt wird, sollte der Status verifziert werden dh. führe folgendes Kommando aus:
# diagnose dvm device listTYPE
OID SN HA IP NAME ADOM FIRMWARE
faz enabled 401 FG100D9327501267 - 10.108.16.150 FGVMDH-40 lab 5.0 MR2 (727)
|- STATUS: db: unknown; conf: unknown; cond: unknown; dm: none; conn: unknown
|- vdom:[3]root flags:0 adom:lab pkg:[never-installed]
faz enabled 413 FG100D9327501268 - 10.108.16.150 FGVMDH-42 lab 5.0 MR2 (727)
|- STATUS: db: unknown; conf: unknown; cond: unknown; dm: none; conn: unknown
|- vdom:[3]root flags:0 adom:lab pkg:[never-installed]
In diesem Beispiel werden zwei Devices aufgelistet als Standalone dh. FG100D9327501267 sowie FG100D9327501268. Danach führe folgendes Kommando aus:
# execute log device logstore list
Device ID logfiles archive files status
==================================================================
(1) FG100D9327501267 0MB 0MB active.
(2) FG100D9327501268 0MB 0MB active.
Dieser Befehl listet den Logrotate Status auf in dem die zwei Devices für unser Beispiel korrekt erscheinen. Wenn nun diese beiden FortiGate Devices dh. FG100D9327501267 sowie FG100D9327501268 zu einem HA Cluster konfiguriert werden sollen, kann dies nun über Device Manager durchgeführt werden. Dazu muss der eine der FortiGate Device im Device Manager editiert werden und unter der Option "HA Cluster" der entsprechende zweite Node zum HA Cluster hinzugefügt werden. Dabei ist zu beachten das als "Quote" mindestens der kleinste Wert eingegeben wird der zwei Nodes da ansonsten Logs im Hintergrund gelöscht werden da die entsprechende Quote resp. Storage nicht mehr zur Verfügung steht. Im Hintergrund wird nun ein HA Cluster Log "_CID" für die FortiGate Devices erstellt und eine Migration zu einem HA Cluster automatisch durchgeführt. Nach der automatischen Migration zum HA Cluster führe folgendes Kommando abermals aus:
# execute log device logstore list
Device ID logfiles archive files status
==================================================================
(1) FG100D9327501267 N/A N/A zombie
(2) FG100D9327501268 N/A N/A zombie
(3) FGHA000999185129_CID 0MB 0MB active
Für den FortiGate HA Cluster wurde eine automatische Migration durchgeführt was durch den Eintrag "FGHA000999185129_CID" bestätigt wird. Die Einträge der Standalone FortiGate Devices dh. FG100D9327501267 sowie FG100D9327501268 sind jedoch immer noch vorhanden und als "zombie" gekennzeichnet. Um diese Logs nun zum FortiGate HA Cluster Device manuell zu migrieren führe folgendes aus:
# execute log device logstore move FG100D9327501267 FGHA000999185129_CID
# execute log device logstore move FG100D9327501268 FGHA000999185129_CID
Danach kontrolliere abermals die Logstore Liste:
# execute log device logstore list
Device ID logfiles archive files status
==================================================================
(3) FGHA000999185129_CID 0MB 0MB active
Im Device Manager existieren die Devices immer noch als Standalone und können nun über den Device Manager gelöscht werden. Danach kann ein Database Rebuild ausgeführt werden:
# execute sql-local rebuild-adom [Name der ADOM zB "root"]
Wie kann ich die Logs eines FortiAnalyzers zusätzlich zu einem Syslog Server senden?
Wenn alle Logs die ein FortiAnalyzer erhält zusätzlich zu einem Sylsog Server gesendet werden sollen kann folgendes Konfiguriert werden:
Konfiguriere einen entsprechenden Syslog Server'
# config system syslog
# edit [Name des entsprechenden Syslog Servers zB "syslog"]
# set ip [IPv4 Adresse des entsprechenden Syslog Servers]
# set port 514
# next
# end
Konfiguriere die Syslog Aggregation
# config system aggregation-client
# edit [Vergebe einen entsprechenden Integer zB "1"]
# set mode realtime
# set fwd-facility local7
# set fwd-min-level information
# set fwd-log-source-ip local_ip
# set fwd-remote-server [Name des entsprechenden Syslog Servers zB "syslog"]
# set server-ip [IPv4 Adresse des entsprechenden Syslog Servers]
# set server-port 514
# next
# end
Für die Option "set mode" stehen folgende Optionen zur Verfügung:
aggregation Aggregate logs and archives to Analyzer.
both Forward logs and aggregate archives to Analyzer.
disable Do not foward or aggregate logs.
realtime Realtime foward logs to Analyzer.
Reports
Was für Report's kann ich per Standard auf einem FortiAnalyzer erstellen?
Eine FortiAnalyzer Installation beinhaltet etliche vorkonfigurierte/-definierte Report's (Template's) die benutzt werden können. Diese können "nicht" gelöscht und/oder modifiziert werden. Jedoch lassen sich diese Report's kopieren und nachträglich die Kopie anpassen. Ein FortiAnalyzer basierend auf 5.0.4 beinhaltet folgende Standard Report's:
NOTE Um einen Report zu erstellen siehe folgender Artikel: FortiAnalyzer-5.0-5.2:FAQ#Wie_erstelle_ich_einen_Report_auf_einen_FortiAnalyzer.3F
Wie erstelle ich einen Report auf einen FortiAnalyzer?
Ein Report auf einem FortiAnalyzer wird anhand von Templates erstellt. Diese Templates ermöglichen den Report selber zusammenzustellen dh. ein Report enthält folgende Basis:
Kopfzeilen (headings)
Text Boxen
Images
Charts
Seitenumbruch (line page breaks)
Um ein neues Report Template zu erstellen wähle folgendes:
Reports > [Wähle die entsprechende ADOM] > [Rechte Maustaste] > Report > Create New
Vergebe einen Namen für das Report Template und konfiguriere die entsprechenden Positionen. Es kann direkt ein "Schedule" konfiguriert werden oder für eine einmalige resp. manuelle Ausführung setzt man die Position "Generate PDF Report Every" auf "On Demand":
Nun gehe auf "Next" und es wird als Grundlage dieses Reports das dazugehörige "Report Template" angezeigt:
NOTE Die benützten "Chart's" stammen von Vorlagen. Diese können durch "Clone" kopiert sowie selber erstellt werden. Weitere Informationen findet man unter: FortiAnalyzer-5.0-5.2:FAQ#Wo_sind_die_Vorlagen_der_Charts_abgelegt_und_kann_ich_diese_auch_selbst_erstellen.3F
NOTE Nun wird das Report Template angezeigt in dem die Charts, Sections etc. verändert werden können. Dies geschieht anhand der "section toolbar": Datei:Fortinet-442.jpg
Möchte man die Farben/Schrift des "Workspaces" ändern wähle "Settings":
Wenn das Report Template verändert wurde muss dieses mit "Save" gespeichert werden:
Ueber "Return" kann zur "Report" Ansicht gewechselt werden:
Unter der "Report" Ansicht kann der Schedule und die Filter jederzeit verändert werden. Möchte man wieder in die "Report Template" Ansicht wählt man den Button "Template". Um den Report zu testen kann der Button "Run Now" benutzt werden:
Wenn auf dem entsprechenden "Report" einen rechten Mausklick ausgeführt wird stehen dort vers. Funktionen zur Verfügung wie Import/Export, Clone (kopieren). Es kann ebenfalls über diese Position direkt in die "Report Template" Ansicht (Go To Template) gewechselt werden:
Im Report kann ein "Output Profile" konfiguriert werden. Die Definition eines "Output Profile" geschieht über folgende Position:
Reports > [Wähle die entsprechende ADOM] > Advanced > Output Profile
NOTE Im "Output Profile" kann/muss ein Email Server angegeben werden. Dieser kann über folgende Position
definiert werden:
Wie erstelle ich für einen Report einen Schedule?
Wenn ein Report erstellt wurde kann dieser über die schedule Funktion Zeitlich zu einem bestimmten Zeitpunkt erstellt oder manuell (On Demand) ausgeführt werden. Um einen Schedule für einen Report zu erstellen muss der Report selber angewählt werden:
Reports > [Wähle die entsprechende ADOM] > Reports
NOTE Betreffend "Output Profile" siehe Artikel
FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_einen_Report_einer_Email_Adresse_automatisch_zustellen_lassen.3F
Wenn der Report getestet werden soll resp. sofort ausgeführt werden soll kann dies anhand "Run Now" durchgeführt werden:
Erstellte Reports (History) sei es per "Schedule" oder "On Demand" werden innerhalb des Reports selber aufgelistet. Dort kann auch die max. Anzahl der Reports angegeben werden:
Wenn vers. "Schedule's" erstellt werden für die vers. Reports bietet der "Report Calender" eine Uebersicht über die vers. "Schedule's". Die Einträge der "Schedules" können direkt angewählt werden um zum entsprechenden Report zu gelangen:
Reports > [Wähle die entsprechende ADOM] > Report Calender
Wo sind die Vorlagen der Charts abgelegt und kann ich diese auch selbst erstellen?
Um einen Report zu erstellen benützt man ein entsprechendes Template. Darin enthalten sind die sogenannten "Chart's". Diese stammen von Vorlagen. Diese Vorlagen sind unter folgender Position abgelegt:
NOTE Weitere Informationen dazu wie ein Report erstellt wird siehe nachfolgender Artikel: FortiAnalyzer-5.0-5.2:FAQ#Wie_erstelle_ich_einen_Report_auf_einen_FortiAnalyzer.3F.
Reports > [Wähle die entsprechende ADOM] > Chart
NOTE Unter FortiAnalyzer 5.2 steht neu unter "Chart" ein Wizard zur Verfügung der anhand des Wizards ein "Chart"
erstellt!
Die per Standard existierenden "Chart's" können nicht verändert werden. Jedoch können diese über "clone" kopiert und nachträglich verändert werden. Es steht ebenfalls ein "Wizard" zur Verfügung der dazu genutzt werden kann um eine entsprechende Vorlage resp. "Chart" zu erstellen:
Im nächsten Schritt können vers. Filter hinzugefügt werden:
Als letzter Schritt steht ein Preview zur Verfügung:
NOTE Wenn man oben Links auf den "Information" Button klickt wird eine Verbindung zu den Tutorials von Fortinet erstellt. Diese Tutorials zeigen in Videos wie ein "Chart" erstellt wird.
Wo finde ich die Datasets die in den Charts benützt werden und kann ich diese auch selbst erstellen?
"Reports" basieren auf Ihren "Report Template's". Diese "Report Template's" benützen wiederum die verschiedenen "Chart's". Diese "Chart's" basieren wiederum auf Datenbank Abfragen (SQL Queries) die im FortiAnalyzer "Dataset's" genannt werden. Die Datasets die in den Vorlagen der "Chart's" benutzt werden findet man unter folgender Position:
NOTE Weitere Informationen betreffend den "Chart's" findet man unter folgenden Artikel und Dokument: Datei:Fortianalyzer-5-dataset reference guide.pdf FortiAnalyzer-5.0-5.2:FAQ#Wo_sind_die_Vorlagen_der_Charts_abgelegt_und_kann_ich_diese_auch_selbst_erstellen.3F
Reports > [Wähle die entsprechende ADOM > Advanced > Datasets
NOTE Weitere Information betreffend "SQL Queries" findet man im nachfolgenden Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Welche_Datenbank_wird_beim_FortiAnalyzer_benutzt_und_kann_ich_diese_selber_mit_Querys_abfragen.3F
Die per Standard existierenden "Dataset" können weder gelöscht (Deleted) noch modifiziert (Edit) werden. Soll ein "Dataset" das per Standard existiert abgeändert werden, muss dieses vorhergehend kopiert (Clone) werden. Ein "Dataset" kann auch von Grund auf neu erstellt werden:
Wie kann ich einen Report einer Email Adresse automatisch zustellen lassen?
Dies ist möglich dh. es wird die Funktion es "Output Profile (Notification)" herangezogen um dies zu ermöglichen. Wenn ein Report erstellt wird FortiAnalyzer-5.0-5.2:FAQ#Wie_erstelle_ich_f.C3.BCr_einen_Report_einen_Schedule.3F so kann man innerhalb des "Report's" ein "Output Profile (Notification)" definieren. Dieses "Output Profile (Notification)" wird unter folgender Position erstellt:
Reports > [Wähle die entsprechende ADOM] > Advanced > Output Profile
Grundsätzlich stehen zwei Möglichkeiten zur Verfügung um einen Report zu zustellen:
-> E-Mail Uebermittlung
-> Server Upload Uebermittlung (FTP, SCP sowie SFTP)
Der E-Mail Server der dazu benutzt wird die E-Mail Uebermittlung durchzuführen wird unter folgender Position erfasst:
System Settings > Advanced > Mail Server
Ist es möglich die Reports automatisch auf einen Server zB per FTP zu übermitteln?
Siehe Artikle FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_einen_Report_einer_Email_Adresse_automatisch_zustellen_lassen.3F
Ist es möglich einen bestehenden Report von einer FortiAnalyzer Installation zu einer anderen FortiAnalyzer Installation zu kopieren?
Dies ist möglich jedoch erst ab FortiAnalyzer 5.0.2 oder höher dh. über die nachfolgende Menüpositon kann ein Report Template Exportiert sowie auf dem neuen FortiAnalyzer Importiert werden:
Reports > [Wähle die entsprechend ADOM] > Report > [Wähle den entsprechenden Report] > [Rechte Maustaste] > [Wähle import oder export]
NOTE Der Report wird als "[Name des Report's].dat" File exportiert und ist ein Datenbank Export File.
Wie kann ich Report's sowie deren Konfiguration auf einen entfernten Server per FTP/SCP sichern?
Die Reports und deren Konfiguration können auf einen entferten Server über FTP/SCP gesichert werden. Weitere Informationen siehe Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_.C3.BCber_CLI_eine_Backup_der_FortiAnalyzer_Konfiguration_durchf.C3.BChren.3F
Wie kann ich Reports Zeitbasierend Automatisiert aus dem FortiAnalyzer löschen?
Wenn man Reports Zeitbasierend und Automatisiert aus dem FortiAnalyzer löschen möchte ist dies über die Funktion "config system auto-delete" ab FortiAnalyzer 5.0.4 möglich. Diese Funktion steht auf über die Kommandozeile zur Verfügung. Weitere Informationen betreffend dieser Funktion resp. dem Kommando siehe folgender Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_Logs.2FFiles.2FArchive_auf_einem_FortiAnalyzer_automatisiert_l.C3.B6schen.3F
Was für Reports stehen auf dem FortiAnalyzer zur Verfügung?
Auf dem FortiAnalyzer 5.0.4 wurden die Reports grundsätzlich überarbeitet und sind nun SOC Compliant. Es stehen im FortiAnalyzer (ebenso im FortiManager 5.0.4 jedoch nicht so ausführlich) ausführliche Reports zur Verfügung. Diese Reports können ebenfalls manuell erstellt und erweitert werden. Nachfolgend einige Beispiel solcher Reports:
Datei:Admin and System Events Report-2013-10-19-0001.pdf Datei:Security Analysis-2013-10-19-0002.pdf Datei:Threat Report-2013-10-19-0003.pdf Datei:User Security Analysis-2013-10-19-0001.pdf Datei:Web Usage Report-2013-10-19-0001.pdf
Drill Down / FortiView
Was ist Drill Down / FortiView und wie funktioniert dies im Zusammenhang mit den Devices?
Der Register "RTM" (Real Time Monitor) steht ab FortiAnalyzer 5.0.4 nicht mehr zur Verfügung und wurde mit dem Register "Drill Down" ersetzt. Diesesr Menüpunkt wurde ab FortiOS 5.0.7 umbenannt in "FortiView" und findet sich ebenfalls wieder im FortiOS 5.2 auf der FortiGate. Der neue Menüpunkt "FortiView" stellt Grundsätzlich eine Kurzübersicht anhand von grafischen Uebersichten zur Verfügung betreffend Traffic wie "Web, EMail, Threat Activity usw":
FortiOS 5.0.4
Sobald eine Selektierung stattgefunden hat dh. ADOM, Device, Time Period usw klickt man auf "Go" und das entsprechende Resultat wird nach einer Berrechnung angezeigt. Möchte man Details zB über die gefundenen Applikationen (Ports) kann die entsprechende Position gewählt werden und es werden die Details rechts angezeigt. Nachfolgend ein Beispiel einer Firewall "alsochlu-sg0e0-root" in der VDOM "root" betreffend Domain Name System (DNS):
Event Management
Wie kann ich die Funktion Event Management konfigurieren für einen FortiAnalyzer?
Unter FortiAnalyzer 5.0.4 findet man eine neue Menüpositon "Event Management". Diese Position ersetzt die bisherige Position "Alert" die unter "System Settings > Advanced > Alerts" zu finden war! Ueber dieses Event Management lassen sich über Filter Benachrichtigungen (Alert's) dh. über Email, SNMP Community oder Syslog Server senden. Die Basis stellen alle oder einzelne Devices und Log Arrays dar. Für einen Event kann das dazugehörige Log File resp. Log Eintrag des Devices/Array direkt eingesehen werden. Ebenso kann man diese Event mit einem "Acknowledge" versehen um diese als "gesehen" zu markieren.
Event Management > [Wähle die entsprechende ADOM]
Unter dieser Position hat man Einsicht über:
All Events
Events By Severity
Events By Handler
Solche Event's können unter dem Menüpunkt "Event Handler" erstellt werden. Per Standard existieren folgende "Event Handler" (per Default aktiviert):
Antivirus
Event Severity: High
Filters: Traffic Log, Log messages that match all conditions:
• Level Greater Than or Equal To Notice
• Security Event Equal To AntiVirus
Event Handling: Generate alert when 1 or more of each type occur in 30 minutes
APP Ctrl
Severity: Medium
Filters: Traffic Log, Log messages that match all conditions:
• Security Action Equal To Blocked
• Security Event Equal To Application Control
Event Handling: Generate alert when 1 or more of each type occur in 30 minutes
DLP
Severity: Medium
Filters: Traffic Log, Log messages that match all conditions:
• Level Greater Than or Equal To Notice
• Security Event Equal To DLP
Event Handling: Generate alert when 1 or more of each type occur in 30 minutes
IPS
Event Severity: High
Filters: Traffic Log, Log messages that match all conditions:
• Level Greater Than or Equal To Notice
• Security Event Equal To IPS
Event Handling: Generate alert when 1 or more of each type occur in 30 minutes
Web Filter
Severity: Medium
Filters: Traffic Log, Log messages that match all conditions:
• Security Action Equal to Blocked
• Security Event Equal to WebFilter
Event Handling: Generate alert when 1 or more of each type occur in 30 minutes
Diese können aktiviert, deaktiviert, editiert, kopiert usw. werden:
Um einen neuen Event Handler basierend auf "Traffic Log" zu erstellen gehe folgendermassen vor:
Event Management > [Wähle die entsprechende ADOM] > Event Handler > Create New
Vergebe nun einen Namen für den "Event" und konfiguriere diesen mit den zur Verfügung stehenden Positionen:
NOTE Unter dem "Generic Text Filter" kann folgendes manuell konfiguriert werden:
NOTE Für das "Event Handling" kann die Email Adresse manuell definiert werden! Der Mail Server sowie der
SNMP und/oder Syslog Server müssen vorgängig erfasst werden unter folgender Position:
SNMP v1/2c
Mail Server
Syslog Server
Möchte man einen Event basierent auf dem "Event Log" erstellen wähle unter Log Type "Event Log":
Event Management > [Wähle die entsprechende ADOM] > Event Handler > Create New
Vergebe nun einen Namen für den "Event" und konfiguriere diesen mit den zur Verfügung stehenden Positionen:
NOTE Für das "Event Handling" kann die Email Adresse manuell definiert werden! Der Mail Server sowie der
SNMP und/oder Syslog Server müssen vorgängig erfasst werden!
NOTE Unter dem "Generic Text Filter" kann folgendes manuell konfiguriert werden:
Disk / Filesystem
Kann ich ein Raid Disk System konfigurieren für einen FortiAnalyzer Device?
Für einen FortiAnlyzer VM dh. virtualisiert kann kein Raid System konfiguriert werden da der virtualisierte FortiAnalyzer das Disk System der Virtualisierung benutzt. Für einen FortiAnylzer Device (Appliance) kann ein Raid System konfiguriert werden (Web Mgmt. Interface). Für die verschiedenen Devices des FortiAnalyzers dh. Appliance stehen vers. Raid Möglichkeiten zur Verfügung jedoch unterstützt nicht jede Appliance jedes Raid System:
NOTE Welche Appliance des FortiAnlyzers welches Raid System unterstützt kann aus den Datasheets entnommen werden. Weitere Informationen dazu siehe nachfolgenden Artikel: Fortinet:ProduktInfo#FortiAnalyzer
Weitere Informationen um ein Raid System zu troubleshooten siehe nachfolgender Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Mit_welchen_Kommandos_kann_ich_auf_einem_FortiAnalyzer_ein_Raid_System_Troubleshooten.3F
Mit welchen Kommandos kann ich auf einem FortiAnalyzer ein Raid System Troubleshooten?
Folgende Kommandos sollten abgesetzt werden wenn es auf einem FortiAnalyzer betreffend Raid System zu Problemen kommt:
# diagnose raid info
# get system raid
# diagnose system df
# diagnose system disk attributes
# diagnose system disk info
# diagnose system disk health
# diagnose system disk errors
# diagnose system fsystem
Der Output dieser Kommandos sollte dem Support zur weiteren Lösung übermittelt werden!
Wie kann ich einen FortiAnalzer von "raiserfs" auf "ext3" Filesystem umkonvertieren?
Frühere Versionen von FortiAnalyzer wurden mit dem Filesystem "raiserfs" ausgeliefert. Dieses Filesystem ist nicht stable und sollte deshalb umkonvertiert werden auf "ext3" Filesystem. Um zu überprüfen ob das korrekte Filesystem dh. "ext3" installiert ist führe folgendes durch:
# diagnose system fsystem
Wenn das Filesystem bereits auf "ext3" ist so sollte folgendes angzeigt werden:
Log disk is ext3 file system.
Log disk directories are indexed.
Wenn dem nicht der Fall ist dh. "raiserfs" installiert ist führe folgendes durch:
--> Sichere die momentane Konfiguration des FortiAnalyzer's:
System> Maintenance > Back&Restore
--> Um ein Backup der Logs anzulegen führe folgendes durch:
# execute backup logs [ftp_ip_address] [ftp_username] [ftp_password] [ftp_dir]
--> Sobald die Logs gesichert sind formatiere die Disk in "ext3"
# execute formatlogdisk
NOTE Bevor formatiert wird sollte event. ein Firmware Upgrade durchgeführt werden!
--> Nachdem Firmware Upgrade und/oder Formatierung der Disk in "ext3" führe ein Restore durch der Konfig:
System> Maintenance > Back&Restore
--> Danach spiele die Logs wiederum zurück:
# execute restore logs [device] [ftp_ip_address] [ftp_username] [ftp_password] [ftp_dir]
Danach führe einen Neustart aus und kontrolliere nachträglich den FortiAnalyzer!
Wie kann ich die Disk/Festplatten Platz einer FortiAnalyzers VMware vergrössern/erweitern?
Wenn ein FortiAnalyzer lizensiert wird in der VM-Base (ohne zusätzliche GB / day) gilt folgendes:
FortiAnalyzer-5.0-5.2:FAQ#Wie_wird_ein_FortiAnalyzer_unter_VMware_lizensiert.3F
Dies bedeutet in der VM-Base steht ein Festplatten Platz von 200GB zur Verfügung. Diese 200GB werden ebenfalls herangezogen für die Quota die unter folgender Position ersichtlich ist:
System Settings > License Information > Device Quota Allowed / Device Quota Used
Wenn man jedoch unter "System Resources" (Widget unter "System Settings") Hard Disk Usage anschaut dann fällt einem auf das dieser Wert nicht basierend auf den 200GB ist. Dies bedeutet bei einer "Standard Installation" werden nicht über die VMWare die gesmanten 200GB addressiert. Dies kann folgendermassen verifiziert werden:
# execute lvm info
disk01 In use 80.0(GB)
disk02 not present
disk03 not present
disk04 not present
disk05 not present
disk06 not present
disk07 not present
disk08 not present
disk09 not present
disk10 not present
disk11 not present
disk12 not present
NOTE Wird bei diesem Befehl eine Fehlermeldung ausgegeben kontrolliere ob der "lvm" Deamon
gestartet ist resp. starte diesen:
# execute lvm start
Im Output von "lvm" sieht man das zusätzliche Disk Platzhalter zur Verfügung stehen. Um den Festplatten Platz zu erweitern müssen diese genutzt werden. Dies kann folgendermassen durchgeführt werden:
NOTE Berücksichtige bei der Erweiterung die Lizenz dh. wenn mehr Kapazität hinzugefügt wird als
die Lizenz (Device Quota) erlaubt kommt es zu Lizenz Problemen!
1. Stoppe den FortiAnalyzer mit folgenden Kommando:
# execute shutdown
The system will be halted.
Do you want to continue? (y/n) y
2. Nun gehe in der VMWare Console (VMWare vSphaere Client) auf die entsprechende Instanz des FortiAnalyzers und
wähle deren "Virtuelle Machine Properties" (Einstellungen). Dort unter "Hardware" wähle "Add" und füge eine
neue Disk hinzu:
NOTE Bei einer Standard Installation bestehen 2 Festplatten dh. "Hard disk 1 und 2". Die Festplatte die unter
dem Kommando "execute lvm info" ausgegeben wird (in unserem Beispiel 80.0 (GB)) ist die Hard disk 2!
3. Sobald die neue "virtuelle Hard disk" hinzugefügt wurde kann die Instanz des FortiAnalyzers wieder in der VMware gestartet
werden.
4. Nachdem Neustart des FortiAnalyzer kann man unter folgenden Kommando feststellen, dass die neue Disk "nicht" hinzugefügt
wurde noch ersichtlich ist:
# get system status
Wenn man jedoch wiederum das folgende Kommando absetzt sieht man, dass die neue Disk für eine Einbindung zur Verfügung steht:
# execute lvm extend
Disk(s) currently not in use:
disk02 32.0(GB)
5. Nun kann die neue Disk in den FortiAnalyzer eingebunden werden:
# execute lvm extend disk02
This operation will need to reboot the system.
Do you want to continue? (y/n) y
NOTE Möchte man mehrere Disk auf einem Einbinden können die vers. Disk mit folgenden Befehl alle auf Einmal
eingebunden werden:
# execute lvm extend disk02 disk03 disk04
6. Nach einem erfolgreichen Neustart des FortiAnalyzer's kann die Einbindung der neuen Disk kontrolliert werden:
# execute lvm info
disk01 In use 80.0(GB)
disk02 In use 32.0(GB)
disk03 not present
disk04 not present
disk05 not present
disk06 not present
disk07 not present
disk08 not present
disk09 not present
disk10 not present
disk11 not present
disk12 not present
Der zusätzliche Festplatten Platz wird nun ebenfalls unter folgenden Kommando als Total der Summe der Kapazität
angezeigt:
# get system status
Database
Wieviel Speicher/Storage muss ich für die Logs in der Datenbank des FortiAnalyzer's kalkulieren?
Die FortiAnalyzer Logs werden in einer PostgresSQL Datenbank abgespeichert. Diese Informationen der Logs benötigen weiteren Speicherplatz in der Datenbank dh. wenn mit 100MB "raw" Logs gerechnet wird benötigt die Datenbank ca. 250MB. Um den nötigen Speicherplatz zu berrechnen unter Quota wird folgende Regel angewendet werden:
NOTE Bei 100MB "raw" Log gilt: 100MB raw X 2 = 200 X 25% = 250MB.
Welche Datenbank wird beim FortiAnalyzer benutzt und kann ich diese selber mit Querys abfragen?
Die Datenbanken die für einen FortiAnalyzer benutzt wird sind:
Lokale Datenbank PostgreSQL
Remote Datenbank MySQL
NOTE Ab Version 5.0.7 sowie 5.2 unterstützt der FortiAnalyzer für Remote Datenbanken nur die effektven Log Informationen.
Dies bedeutet "Historische Log Suche" sowie "Reporting Funktionen" werden ab den genannten Versionen nicht mehr
unterstützt. Weitere Informationen siehe nachfolgender Artikel:
Fortinet:Support-Alerts#FortiAnalyzer_Limited_Support_for_Remote_SQL_Database.3F
Diese Datenbanken sei es Lokal und/oder Remote können über SQL Queries abgefragt werden um so eigene "Datasets" für die "Charts" die wiederum die Basis zur Verfügung stellen für die "Reports" zu erstellen. Es gibt von Fortinet kein effektives Dokument das Auskunft gibt über die DB Struktur etc. Die einzige Möglichkeiten sind:
Log Message Refrence Dokument - FortiGate-5.0-5.2:FAQ#Gibt_es_f.C3.BCr_die_Fortigate_betreffend_FortiOS_ein_Dokument_betreffend_Log_Referenzen.3F Fortinet:DeveloperNetwork
NOTE Neu steht zur Referenz der Datenbank Struktur im FortiAnalyzer Download Verzeichnis das Schema der "Postgres" sowie der "MySQL" zur Verfügung. Nachfolgendes Beispiel zeigt die Struktur basierend auf 5.0.6: Datei:Mysql.schema Datei:Postgres.schema NOTE Nachfolgend eine Kurzübersicht der zur Verfügung stehenden Informationen im Schema:
Wie kann ich auf einem FortiAnalyzer überprüfen ob ein Database Rebuild durchgeführt wird?
Wenn ein Upgrade durchgeführt wird auf einem FortiAnalyzer speziell bei den Versionen 5.0.6/7 wird ein Neustart nachdem Upgrade durchgeführt. Nachdem Neustart wird auf dem FortiAnalyzer ein Database Rebuild durchgeführt um in der Database neue Funktionen (Felder) abbilden zu könnne. Dieser Database Rebuild wird auf dem Mgmt. Web Interface als Info im Header Bereich angezeigt. Wenn ein event. Database Rebuild durchgeführt wird jedoch dieser nicht über das Mgmt. Web Interface angezeigt wird kann dies über CLI kontrolliert werden anhand des folgenden Befehls:
# diagnose sql status rebuild-db
NOTE Je nach Database Grösse etc. kann ein Rebuild seine Zeit in Anspruch nehmen. Solange dieser Database Rebuild
durchgeführt wird sind die Logs in der jeweiligen ADOM nicht zugänglich und/oder können eingesehen werden!
Wie kann ich auf einem FortiAnalyzer einen "automatischen Database Rebuild betreffend Datum/Zeit definieren?
Wenn auf einem FortiAnalyzer ein "automatischer" Database Rebuild definiert werden möchte auf ein bestimmtes Datum sowie Zeit kann folgender Befehl benutzt werden:
# config system sql
# set rebuild-event [enable | disable]
# set rebuild-event-start-time [Definiton Zeit und Datum anhand von "hh:mm" "yyyy/mm/dd"]
# end
Dieses Kommando ist jedoch nicht zu verwechseln mit der Option "start-time", denn diese Option steuern welche Log's verarbeitet werden. Weitee Informationen siehe nachfolgenden Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_bei_einem_Database_Rebuild_die_Datenbank_anweisen_alte_Logs_aus_der_Vergangenheit_zu_ber.C3.BCcksichtigen.3F
Wie kann ich bei einem Database Rebuild die Datenbank anweisen alte Logs aus der Vergangenheit zu berücksichtigen?
Das gesetzte Datum unter in der Option "start-time" definiert ab welchen Zeitpunkt Log's im Database Rebuild berücksichtigt werden. Wenn zB eine die Database komplett gelöscht wurde definiert die Option ab welchem Datum die logs berücksichtig werden. Im nachfolgenden Kommando wird der FortiAnaylzer betreffend der SQL Database angewiesen Logs ab Datum und Zeit vom "00:00 2000/01/01" zu berücksichtigen. Wenn dieses Datum resp. Zeit nicht gesetzt wird berücksichtigt der FortiAnalyzer ausschliesslich Log vom "jetzigen" Zeitpunkt und nicht von der Vergangenheit. Zu berücksichtigen ist auch ob die Logs der Vergangenheit für die Verarbeitung überhaupt noch lokal zur Verfügung stehen oder diese bereits zB auf einem FTP Server archiviert wurden:
# config system sql
# set start-time [Definiton Zeit und Datum anhand von "hh:mm" "yyyy/mm/dd" zB 00:00 2000/01/01]
# end
Wenn es zu Problemen kommt kann die Database eine FortiAnalyzer auch komplett gelöscht werden. Weitere Informaionen dazu siehe nachfolgenden Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_auf_einem_FortiAnalyzer_die_Database_f.C3.BCr_die_Logs_komplett_entfernen.2Fl.C3.B6schen_und_eine_neue_anlegen.3F
Wie kann ich auf einem FortiAnalyzer die Database für die Logs komplett entfernen/löschen und eine neue anlegen?
Dieser Vorgang sollte man sich gut überlegen dh. ist nur durchzuführen wenn man sich der Konsequenzen und Auswirkungen im Klaren ist. Wenn jedoch die SQL Datenbank eines FortiAnalyzer komplett gelöscht werden soll kann folgendes durchgeführt werden:
Schritt 1: Wechsle den FortiAnaylzer Mode in "Collector Mode":
# config system global
# set log-mode collector
# end
Schritt 2: Da der FortiAnalzer nun im "Collector Mode" ist kann die Datenbank entfernt werden:
# config system sql
# set status disable
# end
# execute sql-local remove-db
Schritt 3: Im "Collector Mode" lege die SQL Datenbank neu an:
# config system sql
# set status local
# end
Schritt 4: Wechsle den FortiAnaylzer Mode zurück in den "FortiAnylzer Mode":
# config system global
# set log-mode analyzer
# end
Schritt 5: Führe einen Database Rebuild durch:
Berücksichtige folgenden Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_bei_einem_Database_Rebuild_die_Datenbank_anweisen_alte_Logs_aus_der_Vergangenheit_zu_ber.C3.BCcksichtigen.3F
FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_auf_einem_FortiAnalyzer_ein_Database_Rebuild_manuel_durchf.C3.BChren.3F
# execute sql-local rebuild-db
Wie kann ich auf einem FortiAnalyzer ein Database Rebuild manuel durchführen?
Bevor ein Database Rebuild manuell durchgeführt wird muss dessen Konsequenzen miteingerechnet werden dh. je nach Database Grösse kann dies einige Zeit in Anspruch nehmen und die Logs stehen für die jeweilige ADMO in dieser Zeit nicht zur Verfügung. Bevor ein Database Rebuild durchgeführt werden soll sollte kontrolliert werden ob bereit ein Database Rebuild durchgeführt wird:
# diagnose sql status rebuild-db
Rebuilding log SQL database has been processed 5%
Um einen Database Rebuild im "Gesamten" auf einem FortiAnalyzer durchzuführen benutze folgenden Befehl:
# execute sql-local rebuild-db
NOTE Ein manuell ausgeführter Database Rebuild sollte erst letzte Option durchgeführt werden!
Ab FortiAnalyzer 5.2.2 kann ein Database Rebuild auch explizit für eine ADOM durchgeführt werden:
# execute sql-local rebuild-adom [Name der ADOM]
Rebuild log SQL database of ADOM 'root' has been requested.
This operation will remove the log SQL database for ADOM 'root' and rebuild from log data.
Do you want to continue? (y/n)y
Um den Fortschritt eines Database Rebuild einzusehen kann folgender Befehl benutzt werden:
# diagnose sql status rebuild-adom
[ADOM Name] percent: 52% bg-rebuild:Yes start:"Mon () 2015_06_01 16:54:10" took:138(s) remain:127(s)...
Grundsätzlich ist zu berücksichtigen, dass ein Database Rebuild immer 2 X durchgeführt werden sollten um ein Optiomum herauszuholen dh. die hier gezeigten Database Rebuild Kommandos sollten 2 Mal nacheinander ausgeführt werden.
Was bedeuten die Database (SQL) Felder im FortiAnalyzer "date, time, dtime und itime"?
Der FortiAnalyzer hat 4 Zeitabhängige Database Felder dh. "date, time, dtime und itime".
"itime" -> wird generiert durch den FortiAnaylzer wenn dieser die Logs erhält (FAZ local time)
"dtime" -> wird durch den FortiAnalyzer kalkuliert in UTC basierend auf den DB Feldern "date und "time".
SQL: In der Database Table werden nur folgende Felder geführt "dtime" und "itime"
GUI: Web Mgmt. Interface "Date/Time" basieren auf der Database Table "itime"
Raw Logs: Alle Felder werden aufgeführt dh. "date, time, dtime und itime"
Um in einem Report Datum und Zeit einzufügen stehen folgende "build-in" Funktionen zur Verfügung die das Datum und die Zeit in "human readable" im Report aufführen:
from_itime(itime)
from_dtime(dtime)
CLI
Das Kommando "fmsystem" steht unter FortiAnalyzer 5.0.2 nicht mehr zur Verfügung?
Folgende Kommandos im Zusammenhang mit "fmsystem" wurde unter FortiAnalyzer 5.0.2 entfernt und ersetzt mit dem Kommando "system" (merged):
# config system interface
# config system route
# config system dns
# config system sql
# config system setting
Wie kann ich einen FortiAnalyzer neu Starten oder Runterfahren?
Grundzätzlich steht diese Funktion über WebGui zur Verfügung dh. über:
System Settings > General > Dashboard > Unit Operation > Shutdown oder Reboot
Möchte man den FortiAnalyzer über CLI Runterfahren oder neu Starten führe folgendes aus:
# execute reboot
# execute shutdown
NOTE Fahre einen FortiAnalyzer immer ordnungsgemäss runter etc. ansonsten besteht die Gefahr das
die Datenbank des FortiAnalyzers korrupt wird!
Troubleshooting
Wie kann ich nachvollziehen WAS genau durchgeführt wurde auf einem FortiAnalyzer?
Wenn mehrere Administratoren auf einem FortiAnalyzer arbeiten ist es wichtig bei Problemen nachzuvollziehen WAS genau durchgeführt wurde durch einen dieser Administratoren. Diese History kann unter folgendem Punkt über das WebGui eingesehen werden:
Datei:Fortinet-425.jpg
Wie kann ich auf einem FortiAnalyzer überprüfen ob eine bestimmten Device über den Mgmt. Port TCP 514 verbunden ist?
Wenn auf einem FortiAnalyzer überprüft werden soll ob ein bestimmter Device (zB FortiGate) mit dem FortiAnalyzer über den Port TCP 514 kommuniziert kann folgendes Kommando benutzt werden:
# diagnose fmnetwork netstat tcp
Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 198.18.0.11:514 82.136.123.97:541 Listen
tcp 0 0 198.18.0.11:514 212.59.153.125:541 Listen
Wenn die Liste der Device realtiv gross/lang ist filtere die Liste nach der Fix IP die durch den Device benutzt wird um zum FortiAnalyzer zu verbinden:
# diagnose fmnetwork netstat tcp | grep 82.136.123.97
Wie kann ich für das "Event Log" auf dem FortiAnalyzer den "debug" Modus einschalten?
Der FortiAnalyzer verfügt über ein eigenes Log dh. "Event Log" in diesem Log werden alle Aenderungen betreffend FortiAnalyzer Konfiguration sowie im Zusammenhang mit den Device aufgezeichnet. Dieses "Event Log" steht per Standard auf "severity notification". Wenn es bei Installationen/Konfigurationen zu Problemen kommt können wichtige Informationen aus dem "Event Log" ausgelesen werden. Damit das "Event Log" die entsprechenden Informationen aufzeigt muss die "severity" erhöht werden dh. auf den "debug" Level. Um dies durchzuführen führe folgendes auf der Kommandozeile aus:
# config system locallog disk setting
# get
status : enable
severity : notification
upload : disable
server-type : FTP
max-log-file-siez : 100
roll-schedule : none
diskfull : overwrite
log-disk-full-percentage : 80
# set severity debug
# end
NOTE Vergesse auf keinen Fall nach dem "troubleshooting" den "debug" Level wieder auf "notification" zu setzen!