FortiAnalyzer-5.4: Unterschied zwischen den Versionen

FortiAnalyzer-5.4:FAQ

 24 X 7 PROMOTION bis 31. März 2016
 
                        Weitere Informationen finden Sie hier!

Vorwort

Diese FAQ's sind für FortiAnalyzer Systeme basierend auf 5.x

Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

FAQ

Documentation

Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?

Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiAnalyzer Devices:

       Fortinet:ProduktInfo

Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:

       http://community.fortinet.com/

Auf folgender Seite findet man alle orginal Dokumente betreffend Fortigate:

       http://docs.fortinet.com/fortianalyzer/admin-guides (Legacy Link http://docs.fortinet.com/fa40.html)

       FortiOS 5.4
       Datei:Fortianalyzer-54-administration-guide.pdf      (FortiAnalyzer v5.4 Administration Guide)
       Datei:Fortianalyzer-54-VM-install-guide.pdf          (FortiAnalyzer v5.4 Install Guide für VM)
       Datei:Fortianalyzer-54-upgrade-guide.pdf             (FortiAnalyzer v5.4 Upgrade Guide)
       Datei:Fortianalzyer-54-CLI-Ref.pdf                   (FortiAnalyzer v5.4 CLI Reference)
       Datei:Fortianalyzer-54-dataset reference guide.pdf   (FortiAnalyzer v5.4 Datasets Set Refrence Guide)
       Datei:FortiOS-Compatibility-FAZ.pdf                  (FortiAnalyzer v5.x Managed Compatibility Matrix)

       NOTE Betreffend FortiAnalyzer Upgrade und Upgrade Guide siehe folgender Artikel:
            
            FortiAnalyzer-5.4#Wie_f.C3.BChre_ich_ein_regul.C3.A4res_Firmware_Upgrade_f.C3.BCr_den_FortiAnalyzer_durch.3F

Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind?

       http://pub.kb.fortinet.com/index/

Hardware

Was für ein Kabel benötige ich für den Consolen Anschluss (Seriell RS232) einer Fortinet?

Weitere Informationen siehe folgender Artikle:

       FortiGate-5.4:FAQ#Was_f.C3.BCr_ein_Kabel_.28Converter.29_ben.C3.B6tige_ich_f.C3.BCr_den_Consolen_Anschluss_.28Seriell_RS-232.29_auf_einer_FortiGate.3F

Upgrade

Wie führe ich ein reguläres Firmware Upgrade für den FortiAnalyzer durch?

Wenn für den FortiAnalyzer ein reguläres Firmware Upgrade durchgeführt werden soll kann dies über das WebGui durchgeführt werden. Bevor so ein Upgrade durchgeführt wird führe ein ordentliches Backup durch. Danach kann ein Upgrade anhand der neuen Firmware über das WebGui durchgeführt werden:

       
       
       NOTE Es ist dringend Notwendig die entsprechende Release Notes gut durchzulesen um eventuell wichtige
            Informationen zu berücksichtigen! Ebenfalls steht folgendes Dokument für Upgrades zur Verfügung:
            
            Datei:Fortianalyzer-54-upgrade-guide.pdf             (FortiAnalyzer v5.4 Upgrade Guide)

Setup

In welchen Mode kann ein FortiAnalyzer betrieben werden?

Ein FortiAnalzer kann in zwei versschiedenen Modi betrieben werden:

       - Analyzermode 
       - Collectormode

Nachfolgend eine kurze Uebersicht welche Features in welchem Mode unterstützt werden:

       Collector Mode
       Der Collector Mode ist ein reiner Log Server ohne Reporting Funktionen. Die Log's im Collector Mode behalten das orginale
       Log Format (Binary) und werden nicht in die Datenbank eingelesen. Ein FortiManager mit aktivieren FortiAnalyzer Funktionen
       kann nicht im "Collector Mode" betrieben werden. 
       
       

       Analyzer Mode
       Der Analyzer Mode kann auch als Reporting Server bezeichnet werden denn dieser Mode erhält seine Log's vom FortiAnalyzer 
       im Collector Mode. Alle Logs werden in die Datenbank eingelesen und stehen dort von verschiedenen FortiAnalyzer Collectors 
       zur Verfügung um anhand der Reporting Templates Reports zu ziehen oder Auswertungen zu generieren. 
       
       

Um den betreffenden Mode zu wechseln führe über das WebGui folgendes aus:

       System Settings > Dashboard > Sysem Information > Operation Mode [Analyzer | Collector]
       
       

Kann ein FortiAnalyzer im "Collector" Mode einem FortiManager Logs übermitteln?

Weitere Informationen siehe Artikel:

       FortiManager-5.0-5.2:FAQ#Kann_der_FortiManager_in_Zusammenhang_mit_FortiAnalyzer_im_.22Collector.22_Mode_ben.C3.BCtzt_werden.3F NOCH LINK korrigieren auf 5.4

Welche Devices können in einne FortiAnaylzer eingebunden werden und wie werden diese Unterstützt?

Auf einem FortiAnalyzer können verschiedene Devices eingebunden werden denn der FortiAnalyzer ist im Grundsatz ein Syslog Server auf dem Logs in einer Datenbank (SQL) abgespeichert werden und somit ausgewertet werden können. Verschiedene Devices können zwar eingebunden werden jedoch die Reporting Möglichkeiten sind eingeschränkt. Nachfolgend eine Tabelle die eine Uebersicht zeigt welche Devices eingebunden werden können und welche Funktionen genutzt werden können:

       
       
       NOTE Damit die entsprechenden Devices integriert werden können müssen diese über ein enstprechend unterstütztes FortiOS
            verfügen. Nachfolgend eine kurze Uebersicht über welche FortiOS Versionen diese verfügen müssen:
            
            Datei:Fortinet-1748.jpg

Welche Ports benützt eine FortiAnalyzer Installation?

Folgende Tabelle zeigt welche Ports durch einen FortiAnalyzer benutzt wird. Diese Ports umfassen folgendes:

       • Ports die benützt werden durch den FortiAnalyzer selber (outbound ports)
       • Ports die benützt werden durch den FortiAnalyzer um Traffic zu erhalten (listening ports)

       NOTE Die nachfolgende Auflistung zeigt ALLE Ports die möglich sind dh. je nach benutzten Optionen in der Konfiguration sind 
            diese Ports offen oder in Gebrauch! 
            
            

       outbound ports
       

       listening ports
       

Ist die Komunikation zwischen einer FortiGate und einem FortiAnalyzer Verschlüsselt?

Die Komunikation zwischen einer FortiGate und einem FortiAnalyzer ist per Standard verschlüsselt. Weitere Informationen dazu siehe:

       FortiAnalyzer-5.4:FAQ#Wie_kann_ich_einen_Device_zum_FortiAnalyzer_hinzuf.C3.BCgen.3F

Was sind die "Maximum Values" eines FortiAnalyzers?

Nachfolgend eine Aufstellung (Matrix) der Maximum Values eines FortiAnalyzers basierend auf FortiAnalyzer 5.0.9:

       Datei:Fortinet-1752.jpg
       Datei:Fortinet-1753.jpg

Wie sieht die Grundkonfiguration (Netzwerk) eines FortiAnalyzers aus?

Der FortiAnalyzer ist der zentrale Log Server. Wenn man zB über VMware einen FortiAnalyzer installiert (über ovf File) so muss dieser über die Console für den ersten Zugriff Grundkonfiguriert werden (Gilt auch für den Device) dh. damit später über das WebInterface zugegriffen werden kann. Diese Grundkonfiguration sieht folgendermassen aus:

       Interface Konfiguration
       
       # config system interface
       # edit [Name des Ports zB "port1"]
       # set status [up oder down]
       # set ip [IPv4 Adresse mit Subnet Mask zB "192.168.140.10 255.255.255.0"]
       # set allowaccess [Gebe Die Services an zB "http https ping snmp ssh telnet webservice"]
       # set serviceaccess [Name des Service Access zB "fclupdates und/oder fgtupdates"]
       # set speed [Gebe den Speed an zB "1000full 100full 100half 10full 10half auto"]
       # set description [Gebe die gewünschte Beschreibung des Interfaces an]
       # set alias [Gebe den gewünschten Alias für das Interface an]
       # config ipv6
       # set ip6-address [IPv4 Adresse mit Subnet Mask zB "192.168.140.10 255.255.255.0"]
       # set ip6-allowaccess [Gebe Die Services an zB "http https ping snmp ssh telnet webservice"]
       # end
       # end

       DNS Konfiguration
       
       # config system dns
       # set primary [DNS Server IPv4 Adresse]
       # set secondary [DNS Server IPv4 Adresse]
       # end

       Default Gateway
       
       # config system route
       # edit [Sequenz ID für eine Route]
       # set device [Name des Ports für die Route]
       # set dst [IPv4 Adresse sowie Subnet Mask für die Destination zB "192.168.10.0 255.255.255.0]
       # set gateway [IPv4 Adresse für Default Gateway]
       # end

Danach kann anhand der gesetzten IP auf das WebInterface zugegriffen werden:

       https://[IPv4 Adresse]

Wo setze ich den Hostnamen für einen FortiAnalyzer?

Der Hostname wird folgendermassen konfiguriert:

       System Settings > System Information > Host Name
       
       

Wie kann ich die entsprechende Zeitzone setzen sowie einen NTP Server?

Die Zeitzone sowie einen entsprechenden NTP Server kann unter folgender Position konfiguriert werden:

       System Settings > System Information > System Time
       
       

Wie aktiviere/deaktivere ich für einen FortiAnalyzer die SSLv3?

Für alle FortiAnaylzer gilt das diese per Standard mit aktivierten TLSv1 und SSLv3 konfiguriert sind. Eine Ausnahme gilt für die FortiAnalyzer-VM64-AWS Version. Möchte man zB die SSLv3 deaktivieren kann folgendes ausgeführt werden:

       # config system global
       # set ssl-protocol [tlsv1.2 | tlsv.1 | tlsv1.0 | sslv3]
       # end