FortiAnalyzer-5.4
FortiAnalyzer-5.4:FAQ
24 X 7 PROMOTION bis 30. Juni 2016 Weitere Informationen finden Sie hier!
Vorwort
Diese FAQ's sind für FortiAnalyzer Systeme basierend auf 5.x
Datenschutz
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"
FAQ
Documentation
Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?
Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiAnalyzer Devices:
Fortinet:ProduktInfo
Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:
http://community.fortinet.com/
Auf folgender Seite findet man alle orginal Dokumente betreffend Fortigate:
http://docs.fortinet.com/fortianalyzer/admin-guides (Legacy Link http://docs.fortinet.com/fa40.html)
FortiOS 5.4
Datei:Fortianalyzer-54-administration-guide.pdf (FortiAnalyzer v5.4 Administration Guide)
Datei:Fortianalyzer-54-VM-install-guide.pdf (FortiAnalyzer v5.4 Install Guide für VM)
Datei:Fortianalyzer-54-upgrade-guide.pdf (FortiAnalyzer v5.4 Upgrade Guide)
Datei:Fortianalzyer-54-CLI-Ref.pdf (FortiAnalyzer v5.4 CLI Reference)
Datei:Fortianalyzer-54-dataset reference guide.pdf (FortiAnalyzer v5.4 Datasets Set Refrence Guide)
Datei:FortiOS-Compatibility-FAZ.pdf (FortiAnalyzer v5.x Managed Compatibility Matrix)
NOTE Betreffend FortiAnalyzer Upgrade und Upgrade Guide siehe folgender Artikel:
FortiAnalyzer-5.4#Wie_f.C3.BChre_ich_ein_regul.C3.A4res_Firmware_Upgrade_f.C3.BCr_den_FortiAnalyzer_durch.3F
Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind?
http://pub.kb.fortinet.com/index/
Hardware
Was für ein Kabel benötige ich für den Consolen Anschluss (Seriell RS232) einer Fortinet?
Weitere Informationen siehe folgender Artikle:
FortiGate-5.4:FAQ#Was_f.C3.BCr_ein_Kabel_.28Converter.29_ben.C3.B6tige_ich_f.C3.BCr_den_Consolen_Anschluss_.28Seriell_RS-232.29_auf_einer_FortiGate.3F
Upgrade
Wie führe ich ein reguläres Firmware Upgrade für den FortiAnalyzer durch?
Wenn für den FortiAnalyzer ein reguläres Firmware Upgrade durchgeführt werden soll kann dies über das WebGui durchgeführt werden. Bevor so ein Upgrade durchgeführt wird führe ein ordentliches Backup durch. Danach kann ein Upgrade anhand der neuen Firmware über das WebGui durchgeführt werden:
NOTE Es ist dringend Notwendig die entsprechende Release Notes gut durchzulesen um eventuell wichtige Informationen zu berücksichtigen! Ebenfalls steht folgendes Dokument für Upgrades zur Verfügung: Datei:Fortianalyzer-54-upgrade-guide.pdf (FortiAnalyzer v5.4 Upgrade Guide)
Setup
In welchen Mode kann ein FortiAnalyzer betrieben werden?
Ein FortiAnalzer kann in zwei versschiedenen Modi betrieben werden:
- Analyzermode
- Collectormode
Nachfolgend eine kurze Uebersicht welche Features in welchem Mode unterstützt werden:
Collector Mode
Der Collector Mode ist ein reiner Log Server ohne Reporting Funktionen. Die Log's im Collector Mode behalten das orginale
Log Format (Binary) und werden nicht in die Datenbank eingelesen. Ein FortiManager mit aktivieren FortiAnalyzer Funktionen
kann nicht im "Collector Mode" betrieben werden.
Analyzer Mode
Der Analyzer Mode kann auch als Reporting Server bezeichnet werden denn dieser Mode erhält seine Log's vom FortiAnalyzer
im Collector Mode. Alle Logs werden in die Datenbank eingelesen und stehen dort von verschiedenen FortiAnalyzer Collectors
zur Verfügung um anhand der Reporting Templates Reports zu ziehen oder Auswertungen zu generieren.
Um den betreffenden Mode zu wechseln führe über das WebGui folgendes aus:
System Settings > Dashboard > System Information > Operation Mode [Analyzer | Collector]
Kann ein FortiAnalyzer im "Collector" Mode einem FortiManager Logs übermitteln?
Weitere Informationen siehe Artikel:
FortiManager-5.0-5.2:FAQ#Kann_der_FortiManager_in_Zusammenhang_mit_FortiAnalyzer_im_.22Collector.22_Mode_ben.C3.BCtzt_werden.3F NOCH LINK korrigieren auf 5.4
Welche Ports benützt eine FortiAnalyzer Installation?
Folgende Tabelle zeigt welche Ports durch einen FortiAnalyzer benutzt wird. Diese Ports umfassen folgendes:
• Ports die benützt werden durch den FortiAnalyzer selber (outbound ports)
• Ports die benützt werden durch den FortiAnalyzer um Traffic zu erhalten (listening ports)
NOTE Die nachfolgende Auflistung zeigt ALLE Ports die möglich sind dh. je nach benutzten Optionen in der Konfiguration sind
diese Ports offen oder in Gebrauch!
outbound ports
listening ports
Was sind die "Maximum Values" eines FortiAnalyzers?
Nachfolgend eine Aufstellung (Matrix) der Maximum Values eines FortiAnalyzers basierend auf FortiAnalyzer 5.0.9:
Datei:Fortinet-1752.jpg Datei:Fortinet-1753.jpg
Wie sieht die Grundkonfiguration (Netzwerk) eines FortiAnalyzers aus?
Der FortiAnalyzer ist der zentrale Log Server. Wenn man zB über VMware einen FortiAnalyzer installiert (über ovf File) so muss dieser über die Console für den ersten Zugriff Grundkonfiguriert werden (Gilt auch für den Device) dh. damit später über das WebInterface zugegriffen werden kann. Diese Grundkonfiguration sieht folgendermassen aus:
Interface Konfiguration
# config system interface
# edit [Name des Ports zB "port1"]
# set status [up oder down]
# set ip [IPv4 Adresse mit Subnet Mask zB "192.168.140.10 255.255.255.0"]
# set allowaccess [Gebe Die Services an zB "http https ping snmp ssh telnet webservice"]
# set serviceaccess [Name des Service Access zB "fclupdates und/oder fgtupdates"]
# set speed [Gebe den Speed an zB "1000full 100full 100half 10full 10half auto"]
# set description [Gebe die gewünschte Beschreibung des Interfaces an]
# set alias [Gebe den gewünschten Alias für das Interface an]
# config ipv6
# set ip6-address [IPv4 Adresse mit Subnet Mask zB "192.168.140.10 255.255.255.0"]
# set ip6-allowaccess [Gebe Die Services an zB "http https ping snmp ssh telnet webservice"]
# end
# end
DNS Konfiguration
# config system dns
# set primary [DNS Server IPv4 Adresse]
# set secondary [DNS Server IPv4 Adresse]
# end
Default Gateway
# config system route
# edit [Sequenz ID für eine Route]
# set device [Name des Ports für die Route]
# set dst [IPv4 Adresse sowie Subnet Mask für die Destination zB "192.168.10.0 255.255.255.0]
# set gateway [IPv4 Adresse für Default Gateway]
# end
Danach kann anhand der gesetzten IP auf das WebInterface zugegriffen werden:
https://[IPv4 Adresse]
Wo setze ich den Hostnamen für einen FortiAnalyzer?
Der Hostname wird folgendermassen konfiguriert:
System Settings > System Information > Host Name
Wie kann ich die entsprechende Zeitzone setzen sowie einen NTP Server?
Die Zeitzone sowie einen entsprechenden NTP Server kann unter folgender Position konfiguriert werden:
System Settings > System Information > System Time
Wie aktiviere/deaktivere ich für einen FortiAnalyzer die SSLv3?
Für alle FortiAnaylzer gilt das diese per Standard mit aktivierten TLSv1 und SSLv3 konfiguriert sind. Eine Ausnahme gilt für die FortiAnalyzer-VM64-AWS Version. Möchte man zB die SSLv3 deaktivieren kann folgendes ausgeführt werden:
# config system global
# set ssl-protocol [tlsv1.2 | tlsv.1 | tlsv1.0 | sslv3]
# end
ADOM
ADOM
Was sind ADOM's und welche Ueberlegung sind in diesem Zusammenhang zu berücksichtigen?
ADOMs (Administrative Domains) sind virtuelle Container die Devices (FortiGate, VDOM) in verschiedenen ADOMs enthalten die durch die vers. Administratoren mit deren Rechten (Service Access Profile) administriert werden. Der "admin" Root Account hat sämtliche Rechte ALLE ADOMs zu administrieren. Zusätzliche erstellte Administratoren erhalten die nötigen Rechte ADOMs zu administrieren durch deren Profile. Es wird empfohlen ADOM's zu aktivieren da eine spätere Aktivierung mit einem nicht unerheblichen Aufwand zusammenhängt dh. bestehende Daten in eine ADOM zu verschieben. Ebenfalls sind ADOM's zu empfehlen im Zusammenhang mit VDOM denn nur durch ADOM's können Zugriffe auf vers. VDOM's auf einer FortiGate anhand ADOM's bewerkstelligt werden. Die Funktion ADOM wird über WebGui folgendermassen aktiviert:
System Settings > Dashboard > System Information > Administrative Domain > On
Ueber CLI wir die Funktion ADOM folgendermassen aktiviert:
# config system global
# set adom-status [enable oder disable]
# set adom-mode [advanced oder normal]
# end
NOTE Durch die Aktivierung "adom-status enable" werden alle bestehenden Daten in die ADOM "root" verschoben!
Wenn der "adom-mode advanced" benützt wird gilt folgendes: Wenn diese Funktion aktiviert wird so können
"verschiedene" VDOM's "einer" FortiGate "verschiedenen ADOM's zugewiesen werden was im Normal Fall unter "normal"
nicht möglich ist dh. ist "normal" gesetzt kann eine FortiGate mit "deren" VDOM's nur in "einer" ADOM existieren
resp. zugewiesen werden! Die Funktion "adom-mode" sollte nur in den "advanced" Mode gesetzt werden sofern umbedingt
nötig denn dieser Mode erhöht die Administrative Komplexität des FortiAnalyzer erheblich!
Kann ich eine FortiGate und deren VDOM in unterschiedlichen ADOM's hinzufügen?
Ja dies ist möglich jedoch Vorraussetzung ist, dass der ADOM Mode benutzt wird resp. aktiviert ist sowie "advanced" ADOM Mode benutzt wird! Um den ADOM Mode sowie den "advanced" ADOM Mode zu aktivieren führe folgendes durch:
# config system global
# set adom-status enable
# set adom-mode advanced
# end
Die Aktivierung des ADOM Mode sowie "advanced" Mode kann ebenfalls über das Gui durchgeführt werden und zwar unter:
ADOM Mode aktivieren --> System Settings > Dashboard > System Information > Administrative Domain
ADOM Mode auf "advanced" setzen --> System Settings > Advanced > Advanced Settings > ADOM Mode
Sobald der "advanced" Mode aktiviert wurde kann eine entsprechende VDOM in eine ADOM verschoben werden indem man über den "Device Manager" die entsprechende ADOM wählt und mit "rechter Maustaste" (Menü) auf "Edit" geht. Nun erscheinen dort die zu Verfügung stehenden Devices mit deren VDOM's. Wähle eine VDOM und verschiebe diese nach Links um diese der ADOM hinzu zu fügen!
NOTE Wenn eine VDOM in eine ADOM hinzugefügt wird und die FortiGate auf der die VDOM existiert befindet sich nicht
mehr in der gleichen ADOM, wird als Referenz zur ursprünglichen ADOM (auf der die FortiGate sich befindet) ein
Datenbank Link erstellt. Dies bedeutet in der neuen ADOM in der die VDOM hinzugefügt wurde wird eine Device DB
erstellt die zur Ursprünglichen ADOM (in der sich die FortiGate befindet) referenziert!
Kann ich in einer ADOM FortiGate's FortiOS 5.0 ,5.2 und 5.4 mischen?
Nein dies ist nicht möglich! Bei der Erstellunge einer ADOM muss diese deklariert werden ob in dieser Devices resp. FortiGate's mit FortiOS 5.0 , 5.2 oder 5.4 gemanaged werden. Somit wenn eine FortiGate durch ein Update von FortiOS 5.0 , 5.2 auf FortiOS 5.4 gebracht wird muss diese aus der ADOM die definiert ist mit FortiOS 5.0 oder 5.2 entfernt werden um diese erneut in die ADOM die definiert ist mit FortiOS 5.4 zu importieren. In so einem Scenario ist gut zu Ueberlegen wie vorgegangen werden soll.
Wie erstelle ich eine ADOM (Administrative Domain)?
Ein ADOM (Administrative Domain) wird über den Device Manager erstellt. Wähle dazu im WebGui folgendes:
System Settings > All ADOMs > Create New
Wenn man nun eine neue ADOM erstellt zB "local" dann können später zukünftige Devices in diese ADOM hinzugefügt werden:
NOTE Bei der Erstellung einer ADOM muss diese betreffend FortiOS Version deklariert werden dh. (5.0 GA, 5.2 GA, 5.4 GA).
Dies bedeutet wiederum, dass in einer ADOM nur diese Version im Zusammenhang mit den FortiGate Devices verwaltet werden
können.
Nach der Erstellung der ADOM "local" sieht man das nun dieser Container in der Liste existieren dh. "root" (Standard ADOM nach Aktivierung der Funktion ADOM) sowie unsere neu erstellt ADOM "local"!
User
Wo kann ich beim FortiAnalyzer 5.4 das Passwort des SuperAdmin (admin) ändern?
Per Standard existiert auf dem FortiAnalyzer ein SuperAdmin mit dem Username "admin". Diesem SuperAdmin wurde per Standard KEIN Passwort gesetzt. Wenn dieses neu gesetzt sowie modifiziert werden möchte kann dies unter folgender Position durchgeführt werden:
Alternativ kann auch folgendermassen das Passwort geändert werden:
System Settings > Admin > Admin Settings > Idle Timeout
NOTE: Wenn kein Passwort gesetzt wird, ist es auf der CLI nicht möglich auf die Shell zuzugreifen.
Wie erstelle ich beim FortiAnalyzer 5.4 einen Administrator und definiere seine Rechte ?
Um einen neuen Administrator einzurichten muss mit einem SuperAdmin Profil z.B "admin" eingeloggt sein.
System Settings > Admin > Administrator > Create New
Wenn ADOMs aktiviert sind ist es nach Situation erforderlich nur bestimmten Administratoren auf bestimmte ADOMs Zugriff zu ermöglichen. Dies setzt einen Administrator mit bestimmten Rechten vorraus. Um einen solchen Administrator zu erstellen gehe folgendermassen vor:
System Settings > Admin > Administrator > Create New
NOTE Wähle auf keinen Fall das "Super_admin" Profil denn dieses hat -obwohl restricted auf "specify"
ADOM's- Zugriff auf ALLE ADOM's! Spezielle Profile für die Administratoren können unter folgender
Position erstellt werden:
System Settings > Admin > Profile
Wenn nun der neue Administrator "Admin-VDOM-local" sich über das normale Login des FortiAnalyzers einloggt sieht dieser nur noch im Device Manager SEINE ADOM dh. "local" und zB keine "globalen" Konfigurationspunkte wie "System Settings":
Der Administrator kann unter folgendem Punkt sein Passwort ändern:
System Settings > Admin > Administrators > rechtsklick beim username admin -> Change Password
Wenn ein Administrator erfasst wird sei es als "lokaler" User sowie Radius oder LDAP User muss diesem ein entsprechendes Profile hinzugefügt werden. Dies bedeutet: Dieses Profile steuert die entsprechenden Rechte des Adminstrators. Um ein Profil zu erstellen für einen Administrator wähle folgendes:
System Settings > Admin > Profil > Create New
Per Standard existieren folgende Profile (Diese Standard Profile können zwar modifiziert jedoch nicht gelöscht werden):
Unter folgenden Punkt können diese Standard Profiles eingesehen werden sowie neue erstellt werden:
System Settings > Admin > Profile > Create New
Im Zusammenhang mit den "Access" Profiles dh. um differenzierte Rechte für Devices Access zu erstellen, stehen ebenfalls die ADOM Funktionalitäten. Weitere Informationen betreffend ADOM Funktionalität siehe auch nachfolgender Artikel:
FortiAnalyzer-5.4#Was_sind_ADOM.27s_und_welche_Ueberlegung_sind_in_diesem_Zusammenhang_zu_ber.C3.BCcksichtigen.3F
Zu den im Mgmt. Interface ersichtlichen Punkte stehen einige Konfigurationen zusätzlich auf der Kommandozeile zur Verfügung die noch eine granularere Konfiguration ermöglichen:
# config system admin profile
# edit [Name des Profiles]
# set change-password enable
# set description [text]
# set scope [adom | global]
# set system-setting [none | read | read-write]
# set adom-switch [none | read | read-write]
# set device-manager [none | read | read-write]
# set device-ap [none | read | read-write]
# set device-forticlient [none | read | read-write]
# set device-op [none | read | read-write]
# set device-wan-link-load-balance [none | read | read-write]
# set realtime-monitor [none | read | read-write]
# set log-viewer [none | read | read-write]
# set report-viewer [none | read | read-write]
# set event-management [none | read | read-write]
# set change-password [enable | disable]
# end
Wo kann ich das Timeout des Administrators konfigurieren?
Das Timout für den Administrator betreffend dem WebGui lässt sich über folgende Position konfigurieren:
System Settings > Admin > Admin Settings > Idle Timeout
Wie kann ich erlauben das ein lokaler Administrator sein vergebenes Passwort ändern kann?
Per Standard ist es nicht möglich das ein Administrator der lokal erfasst wurde auf dem FortiManager/FortiAnalyzer sein Passwort selber ändern kann. Ab FortiManager sowie FortiAnalyzer 5.2 ist dies jedoch möglich. Damit das ermöglicht wird muss ein entsprechendes Profile konfiguriert werden sowie der lokale Adminstrator dh. Im Access Profile selber muss die Funktion aktiviert werden damit diese Funktion zur Verfügung steht (Per Standard deaktiviert). Danach kann granular für jeden Adminstrator dies konfiguriert werden. Somit muss als Ausgangslage in erster Stelle ein entsprechendes Profile erstellt werden oder ein bestehndes konfiguriert werden damit das ändern eines Passwortes für einen Administrator ermöglicht wird. Wie ein Profile erfasst/konfiguriert wird siehe nachfolgenden Artikel:
FortiAnalyzer-5.4#Wie_erstelle_ich_beim_FortiAnalyzer_5.4_einen_Administrator_und_definiere_seine_Rechte_.3F
Danach muss folgende Option im Profile konfiguriert werden:
# config system admin profile
# edit [Name des Profiles]
# set change-password enable
# end
NOTE Wird ein "Read-Only" Profile erstellt kann die Option "change-password" nicht benutzt werden dh. diese Option steht
auch im per standard existierenden Profile "Read-Only" nicht zur verfügung!
Über Mgmt. Interface muss nun dem entsprechenden Adminstrator dieses Profile zugewiesen werden über folgende Position:
System Settings > Admin > Administrators > [Wähle den entsprechenden Administrator] > Admin Profile > [Wähle das entsprechende Profile]
Danach kann das ändern des Passwortes für den entsprechenden Administrator über Kommandozeile aktiviert werden:
# config system admin user
# edit [Name des Administrators]
# set change-password enable
# end
Sobald der entsprechende Administrator sich einloggt steht diesem im oberen linken Bereich ein neues Icon zur Verfügung im Form eines "Schlosses". Ueber diese Position kann nun der entsprechende Administrator sein Passwort ändern!
Wie finde ich heraus welche Administratoren momentan auf einem FortiAnalyzer eingeloggt sind?
Unter folgender Position sieht man die momentanen Session für die eingeloggten Administratoren (Nur mit "Super_admin" Profil):
System Settings > Dashboard > System Information > Current Administrators
Wenn man nun auf "Detail" geht so öffnet sich ein Fenster indem die vers. Sessions der Administratoren aufgelistet sind. Möchte man eine Session eines Administrators löschen kann dies über die Checkbox durchgeführt werden (aktivieren und auf delete):
Wie kann ich für einen FortiAnalyzer Administratoren basierend auf "ActiveDirectory" sowie Gruppen Zugehörigkeit konfigurieren?
Wenn man für die Authentifizierung der Administratoren ein "ActiveDirectory" einbinden möchte ist dies ohne grossen Aufwand möglich. Innerhalb dieser Konfiguration ist es möglich direkt eine bestimmte "Gruppe im ActiveDirectory" zu konfigurieren in der die Administratoren verwalten werden die auf den FortiManager Zugriff erhalten. Dabei ist jedoch zu berücksichtigen das innerhalb dieser Gruppe - für verschiedene User - es nicht möglich ist verschiedenen "Access Profiles" sowie "VDom" zu konfigurieren. Dies bedeutet: Wird für ein ActiveDirectory eine Gruppe definiert kann innerhalb dieser Gruppe nur ein "Access Profile" sowie "ADOM/s" zugewiesen werden. Möchte man eine zweite Gruppe mit underschiedlicher Zuweisung konfigurieren muss erneut ein neuer Eintrag für dieses ActiveDirectory mit der neuen Gruppen konfiguriert werden in der die neue Zuweisung von "Access Profile" sowie "ADOM/s" durchgeführt werden kann. Um das ActiveDirectory mit der entsprechenden Gruppe zu konfigurieren führe folgendes durch:
In diesem Beispiel wird von folgenden Komponenten/Informationen ausgegangen:
- ActiveDirectory Controller IPv4 10.0.0.1
- Domaine also.com
- OU "RemoteAdmins" entält die Gruppe "fmgAdmins" sowie "fazAdmins"
- Administrator Account für Gruppe "fmgAdmins" sowie "fazAdmins" ist "LDAPservice"
- Administrator Account "LDAPservice" verfügt über Domain Admin Rechte sowie "never expiring password"
- Administrator Account "LDAPservice" wird benützt um auf das ActiveDirectory zu verbinden
# config system admin ldap
# edit [Name des Eintrages für das ActiveDirectory zB "LDAP"]
# set server "10.0.0.1"
# set secondary-server "0.0.0.0"
# set port 389
# set cnid "sAMAccountName"
# set dn "DC=also,DC=com"
# set type regular
# set username "CN=LDAPservice,OU=RemoteAdmins,DC=also,DC=com"
# set password [Password des Service Account "LDAPservice"]
# set adom [Definiert den Namen der der ADOM oder mehrerer ADOM's]
# set group CN=fmgAdmins,OU=RemoteAdmins,DC=also,DC=com
# set filter (&(objectcategory=group)(member=*))
# next
# end
Nun muss für alle User in der Gruppe "fmgAdmins" sowie "fazAdmins" ein user erfasst werden der als "wildcard" benutzt wird resp. alle User darstellt in "fmgAdmins" sowie "fazAdmins":
# config system admin user
# edit "RemoteAdmins"
# set profileid "Super_User"
# set adom [Definiert den Namen der der ADOM oder mehrerer ADOM's]
# set policy-package [Definiert folgendes: [ <adom name>: <policy package id> | <adom policy folder name>/<package name> | all_policy_packages]
# set user_type ldap
# set ldap-server "AD1"
# set wildcard enable
# next
# end
User
Wo kann ich beim FortiAnalyzer 5.4 das Passwort des SuperAdmin (admin) ändern?
Per Standard existiert auf dem FortiAnalyzer ein SuperAdmin mit dem Username "admin". Diesem SuperAdmin wurde per Standard KEIN Passwort gesetzt. Wenn dieses neu gesetzt sowie modifiziert werden möchte kann dies unter folgender Position durchgeführt werden:
Alternativ kann auch folgendermassen das Passwort geändert werden:
System Settings > Admin > Admin Settings > Idle Timeout
NOTE: Wenn kein Passwort gesetzt wird, ist es auf der CLI nicht möglich auf die Shell zuzugreifen.
Wie erstelle ich beim FortiAnalyzer 5.4 einen Administrator und definiere seine Rechte ?
Um einen neuen Administrator einzurichten muss mit einem SuperAdmin Profil z.B "admin" eingeloggt sein.
System Settings > Admin > Administrator > Create New
Wenn ADOMs aktiviert sind ist es nach Situation erforderlich nur bestimmten Administratoren auf bestimmte ADOMs Zugriff zu ermöglichen. Dies setzt einen Administrator mit bestimmten Rechten vorraus. Um einen solchen Administrator zu erstellen gehe folgendermassen vor:
System Settings > Admin > Administrator > Create New
NOTE Wähle auf keinen Fall das "Super_admin" Profil denn dieses hat -obwohl restricted auf "specify"
ADOM's- Zugriff auf ALLE ADOM's! Spezielle Profile für die Administratoren können unter folgender
Position erstellt werden:
System Settings > Admin > Profile
Wenn nun der neue Administrator "Admin-VDOM-local" sich über das normale Login des FortiAnalyzers einloggt sieht dieser nur noch im Device Manager SEINE ADOM dh. "local" und zB keine "globalen" Konfigurationspunkte wie "System Settings":
Der Administrator kann unter folgendem Punkt sein Passwort ändern:
System Settings > Admin > Administrators > rechtsklick beim username admin -> Change Password
Wenn ein Administrator erfasst wird sei es als "lokaler" User sowie Radius oder LDAP User muss diesem ein entsprechendes Profile hinzugefügt werden. Dies bedeutet: Dieses Profile steuert die entsprechenden Rechte des Adminstrators. Um ein Profil zu erstellen für einen Administrator wähle folgendes:
System Settings > Admin > Profil > Create New
Per Standard existieren folgende Profile (Diese Standard Profile können zwar modifiziert jedoch nicht gelöscht werden):
Unter folgenden Punkt können diese Standard Profiles eingesehen werden sowie neue erstellt werden:
System Settings > Admin > Profile > Create New
Im Zusammenhang mit den "Access" Profiles dh. um differenzierte Rechte für Devices Access zu erstellen, stehen ebenfalls die ADOM Funktionalitäten. Weitere Informationen betreffend ADOM Funktionalität siehe auch nachfolgender Artikel:
FortiAnalyzer-5.4#Was_sind_ADOM.27s_und_welche_Ueberlegung_sind_in_diesem_Zusammenhang_zu_ber.C3.BCcksichtigen.3F
Zu den im Mgmt. Interface ersichtlichen Punkte stehen einige Konfigurationen zusätzlich auf der Kommandozeile zur Verfügung die noch eine granularere Konfiguration ermöglichen:
# config system admin profile
# edit [Name des Profiles]
# set change-password enable
# set description [text]
# set scope [adom | global]
# set system-setting [none | read | read-write]
# set adom-switch [none | read | read-write]
# set device-manager [none | read | read-write]
# set device-ap [none | read | read-write]
# set device-forticlient [none | read | read-write]
# set device-op [none | read | read-write]
# set device-wan-link-load-balance [none | read | read-write]
# set realtime-monitor [none | read | read-write]
# set log-viewer [none | read | read-write]
# set report-viewer [none | read | read-write]
# set event-management [none | read | read-write]
# set change-password [enable | disable]
# end
Wo kann ich das Timeout des Administrators konfigurieren?
Das Timout für den Administrator betreffend dem WebGui lässt sich über folgende Position konfigurieren:
System Settings > Admin > Admin Settings > Idle Timeout
Wie kann ich erlauben das ein lokaler Administrator sein vergebenes Passwort ändern kann?
Per Standard ist es nicht möglich das ein Administrator der lokal erfasst wurde auf dem FortiManager/FortiAnalyzer sein Passwort selber ändern kann. Ab FortiManager sowie FortiAnalyzer 5.2 ist dies jedoch möglich. Damit das ermöglicht wird muss ein entsprechendes Profile konfiguriert werden sowie der lokale Adminstrator dh. Im Access Profile selber muss die Funktion aktiviert werden damit diese Funktion zur Verfügung steht (Per Standard deaktiviert). Danach kann granular für jeden Adminstrator dies konfiguriert werden. Somit muss als Ausgangslage in erster Stelle ein entsprechendes Profile erstellt werden oder ein bestehndes konfiguriert werden damit das ändern eines Passwortes für einen Administrator ermöglicht wird. Wie ein Profile erfasst/konfiguriert wird siehe nachfolgenden Artikel:
FortiAnalyzer-5.4#Wie_erstelle_ich_beim_FortiAnalyzer_5.4_einen_Administrator_und_definiere_seine_Rechte_.3F
Danach muss folgende Option im Profile konfiguriert werden:
# config system admin profile
# edit [Name des Profiles]
# set change-password enable
# end
NOTE Wird ein "Read-Only" Profile erstellt kann die Option "change-password" nicht benutzt werden dh. diese Option steht
auch im per standard existierenden Profile "Read-Only" nicht zur verfügung!
Über Mgmt. Interface muss nun dem entsprechenden Adminstrator dieses Profile zugewiesen werden über folgende Position:
System Settings > Admin > Administrators > [Wähle den entsprechenden Administrator] > Admin Profile > [Wähle das entsprechende Profile]
Danach kann das ändern des Passwortes für den entsprechenden Administrator über Kommandozeile aktiviert werden:
# config system admin user
# edit [Name des Administrators]
# set change-password enable
# end
Sobald der entsprechende Administrator sich einloggt steht diesem im oberen linken Bereich ein neues Icon zur Verfügung im Form eines "Schlosses". Ueber diese Position kann nun der entsprechende Administrator sein Passwort ändern!
Wie finde ich heraus welche Administratoren momentan auf einem FortiAnalyzer eingeloggt sind?
Unter folgender Position sieht man die momentanen Session für die eingeloggten Administratoren (Nur mit "Super_admin" Profil):
System Settings > Dashboard > System Information > Current Administrators
Wenn man nun auf "Detail" geht so öffnet sich ein Fenster indem die vers. Sessions der Administratoren aufgelistet sind. Möchte man eine Session eines Administrators löschen kann dies über die Checkbox durchgeführt werden (aktivieren und auf delete):
Wie kann ich für einen FortiAnalyzer Administratoren basierend auf "ActiveDirectory" sowie Gruppen Zugehörigkeit konfigurieren?
Wenn man für die Authentifizierung der Administratoren ein "ActiveDirectory" einbinden möchte ist dies ohne grossen Aufwand möglich. Innerhalb dieser Konfiguration ist es möglich direkt eine bestimmte "Gruppe im ActiveDirectory" zu konfigurieren in der die Administratoren verwalten werden die auf den FortiManager Zugriff erhalten. Dabei ist jedoch zu berücksichtigen das innerhalb dieser Gruppe - für verschiedene User - es nicht möglich ist verschiedenen "Access Profiles" sowie "VDom" zu konfigurieren. Dies bedeutet: Wird für ein ActiveDirectory eine Gruppe definiert kann innerhalb dieser Gruppe nur ein "Access Profile" sowie "ADOM/s" zugewiesen werden. Möchte man eine zweite Gruppe mit underschiedlicher Zuweisung konfigurieren muss erneut ein neuer Eintrag für dieses ActiveDirectory mit der neuen Gruppen konfiguriert werden in der die neue Zuweisung von "Access Profile" sowie "ADOM/s" durchgeführt werden kann. Um das ActiveDirectory mit der entsprechenden Gruppe zu konfigurieren führe folgendes durch:
In diesem Beispiel wird von folgenden Komponenten/Informationen ausgegangen:
- ActiveDirectory Controller IPv4 10.0.0.1
- Domaine also.com
- OU "RemoteAdmins" entält die Gruppe "fmgAdmins" sowie "fazAdmins"
- Administrator Account für Gruppe "fmgAdmins" sowie "fazAdmins" ist "LDAPservice"
- Administrator Account "LDAPservice" verfügt über Domain Admin Rechte sowie "never expiring password"
- Administrator Account "LDAPservice" wird benützt um auf das ActiveDirectory zu verbinden
# config system admin ldap
# edit [Name des Eintrages für das ActiveDirectory zB "LDAP"]
# set server "10.0.0.1"
# set secondary-server "0.0.0.0"
# set port 389
# set cnid "sAMAccountName"
# set dn "DC=also,DC=com"
# set type regular
# set username "CN=LDAPservice,OU=RemoteAdmins,DC=also,DC=com"
# set password [Password des Service Account "LDAPservice"]
# set adom [Definiert den Namen der der ADOM oder mehrerer ADOM's]
# set group CN=fmgAdmins,OU=RemoteAdmins,DC=also,DC=com
# set filter (&(objectcategory=group)(member=*))
# next
# end
Nun muss für alle User in der Gruppe "fmgAdmins" sowie "fazAdmins" ein user erfasst werden der als "wildcard" benutzt wird resp. alle User darstellt in "fmgAdmins" sowie "fazAdmins":
# config system admin user
# edit "RemoteAdmins"
# set profileid "Super_User"
# set adom [Definiert den Namen der der ADOM oder mehrerer ADOM's]
# set policy-package [Definiert folgendes: [ <adom name>: <policy package id> | <adom policy folder name>/<package name> | all_policy_packages]
# set user_type ldap
# set ldap-server "AD1"
# set wildcard enable
# next
# end
Backup / Restore
Wie kann ich über das WebInterface ein Backup der FortiAnalyzer Konfiguration durchführen?
Nun ein Backup für den FortiAnalzter lässt sich einfach durchführen sprich wähle folgendes:
System Settings > Dashboard > System Configuration > Backup Icon auswählen
NOTE Im Gegensatz zu einem FortiGate Backup ist das eines FortiAnalyzers nicht lesbar das heisst
es kann für einen Restore auch nicht manipuliert werden! Es wird ein *.dat File zur Speicherung
des Backup's durchgeführt zB: "SYS_FAZ-VM0000000001_FortiAnalyzer-VM_20160305_1352.dat"
Wie kann ich über CLI ein Backup der FortiAnalyzer Konfiguration durchführen?
Möchte man über CLI ein Backup durchführen kann dies über folgende Protokolle durchgeführt werden:
FTP / SFTP
SCP
Folgende Kommandos müssen benutzt werden:
# execute backup all-settings [FTP oder SFTP] [Server IP Adresse] [Pfad sowie Filename zB backup/full-backup] [User Name] [Passwort]
Starting backup all settings in background, Please wait.
Starting transfer the backup file to FTP server...
Backup all settings...Ok.
oder
# execute backup all-settings scp [Server IP Adresse] [Pfad sowie Filename zB backup/full-backup] [User Name] [SSH Zertifikat] [Cryptpasswort]
NOTE Anstelle von "all-settings" stehen folgende Optionen zur Verfügung:
logs [Device Name speariert durch Komma (,) oder all]
logs-only [Device Name speariert durch Komma (,)]
reports [Report Name speariert durch Komma (,) oder all]
reports-config [ADOM Name speariert durch Komma (,) oder all]
Wenn eine VMware Installation benützt wird dh. eine Virtualisierung eines FortiAnalyzers ist die Snapshot Variante die bevorzugte resp. empfohlen Variante um ein Backup durchzuführen. Desweiteren ist folgendes zu berücksichtigen:
Wenn ein Backup durch einen Administrator für eine spezifizierte VDOM durchgeführt wird so enthält das Backup folgende
Informationen: "Global Settings, Settings für spezifizierte VDOM"
Wenn ein Backup durch den "regulären" Administrator durchgeführt wird so enthält das Backup folgende Informationen:
"Global Settings, Settings für alle VDOM"
Somit muss berücksichtigt werden, dass Logs sowie Reports nicht anhand "all-settings" automatisch gesichert werden. Um ein komplettes Backup manuell durchzuführen muss folgendes ausgeführt werden:
Backup Logs anhand FTP sowie anhand "regulärem Administrator"
# execute backup logs-only all [FTP oder SFTP] [Server IP Adresse] [Pfad sowie Filename zB backup/full-backup] [User Name] [Passwort]
Backup Reports anhand FTP sowie anhand "regulärem Administrator"
# execute backup reports all [FTP oder SFTP] [Server IP Adresse] [Pfad sowie Filename zB backup/full-backup] [User Name] [Passwort]
Backup Settings anhand FTP sowie anhand "regulärem Administrator"
# execute backup all-settings [FTP oder SFTP] [Server IP Adresse] [Pfad sowie Filename zB backup/full-backup] [User Name] [Passwort]
Wie kann ich ein Restore eines FortiAnalyzers durchführen?
Ein Restore lässt sich ebenfalls über diese Position im Dashboard durchführen! Beim Backup resp. Restore ist zu berücksichtigen WAS bei einem Backup gesichert wird. Dies bedeutet: In einem Backup das über Web Mgmt. Interface durchgeführt wird sind nur die "Global Settings, Settings für spezifizierte VDOM und/oder Settings für alle VDOM's" enthalten. Logs sowie Reports resp. Report Konfigurationen sind nicht enthalten. Weitere Informationen dazu siehe siehe nachfolgender Artikel der erklärt wie diese Backups über Kommandozeile durchgeführt werden:
FortiAnalyzer-5.4:FAQ#Wie_kann_ich_.C3.BCber_CLI_ein_Backup_der_FortiAnalyzer_Konfiguration_durchf.C3.BChren.3F
Ausgehend davon wenn ein "Kompletter Restore" (Disaster Scenario) durchgeführt werden soll muss folgendes ausgeführt werden:
- Installiere den FortiAnalyzer anhand der Firmware (FortiOS) Version basierend auf dem vorhandenen Backup das für den Restore verwendet werden soll.
- Führe die Grundkonfiguration durch für das Netzwerk des FortiAnalyzer resp. damit der Zugriff auf den FortiAnalyzer gewährleistet ist.
- Bevor ein Restore durchgeführt wird setze den FortiAnalyzer in den "factory reset state" was wiederum bedeuet:
führe auf der CLI folgendes Kommando durch:
# execute reset all-settings
# execute format [disk-ext4 | disk-ext3 | disk]
NOTE Nach beiden Kommandos wird ein Neustart des FortiAnalyzers ausgeführt!
Restore Settings anhand FTP sowie anhand "regulärem Administrator"
# execute restore all-settings [FTP oder SFTP] [Server IP Adresse] [Pfad sowie Filename zB backup/full-backup] [User Name] [Passwort]
Wenn ein Restore über Web Mgmt. Interface durchgeführt werden soll führe diesen durch über folgende Position:
System Settings > Dashboard > System Configuration > Restore Icon anwählen
Restore Logs anhand FTP sowie anhand "regulärem Administrator"
# execute restore logs-only all [FTP oder SFTP] [Server IP Adresse] [Pfad sowie Filename zB backup/full-backup] [User Name] [Passwort]
Restore Reports anhand FTP sowie anhand "regulärem Administrator"
# execute restore reports all [FTP oder SFTP] [Server IP Adresse] [Pfad sowie Filename zB backup/full-backup] [User Name] [Passwort]
Nach einem Restore muss kontrolliert werden ob ein Database rebuild ausgeführt wird. Dazu siehe nachfolgenden Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_auf_einem_FortiAnalyzer_.C3.BCberpr.C3.BCfen_ob_ein_Database_Rebuild_durchgef.C3.BChrt_wird.3F
Wird der Database rebuild "nicht automatisch" ausgeführt muss dieser manuell durchgeführt werden um die Informationen des Restores in der Databse zu verarbeiten. Dies kann einige Zeit in Anspruch nehmen sprich bei hohem Datenvolumen kann dies mehrer Stunden dauern. Dazu siehe nachfolgender Artikel:
FortiAnalyzer-5.0-5.2:FAQ#Wie_kann_ich_auf_einem_FortiAnalyzer_ein_Database_Rebuild_manuel_durchf.C3.BChren.3F
Wie kann ich ein Backup für einen FortiAnalyzer automatisieren?
Das Backup kann über die Kommandozeile folgendermassen konfiguriert werden:
# config system backup all-settings
# set status [enable | disable]
# set server [IPv4 Adresse des Servers oder FQDN]
# set user [Username]
# set passwd [Password]
# set directory [Name des Verzeichnis auf Zielserver in Form "/[Name des Verzeichnis]
# set week_days [Wochentag für die Ausführung "monday tuesday wednesday thursday friday saturday sunday"]
# set time [hh:mm:ss]
# set protocol [Protokoll Angabe "ftp | scp | sftp"]
# set cert [SSH Zertifikat String für "scp"]
# set crptpasswd [Optionales Passwort]
# end
Wie kann ich von einem FortiAnalyzer Konfiguration die System Konfig (system.conf) aus einem Backup File extrahieren?
Wenn auf einem FortiAnalyzer ein Backup durchgeführt wird sei es automatisiert oder manuell dann wird ein File erstellt in folgender Form:
"SYS_FAZ-VM0000000001_FortiAnalyzer-VM_20161804_1346.dat"
Dieses File enhält keine Logs noch Reports dh. dieses File enthält nur System spezifische Informationen/Konfigurationen. Ebenfalls enhält das Backup File das Konfigurations File "system.conf". In diesem Konfigurations File sind in "clear-text" folgende System Konfiguration enthalten (Beispiel basierend auf FortiOS 5.4 Kurzform dh. ohne Details):
--------------- system.conf ---------------
#config-version=FAZVM64-5.4-FW-build1019-160217
config system global
config system interface
config system snmp sysinfo
config system route
config system dns
config system ntp
config system certificate oftp
config system backup all-settings
config system admin profile
config system admin radius
config system certificate ca
config system certificate local
config system password-policy
config system admin user
config system admin setting
config system alertemail
config system mail
config system alert-console
config system locallog disk setting
config system locallog disk filter
config system locallog memory setting
config system locallog memory filter
config system locallog fortianalyzer filter
config system locallog fortianalyzer2 filter
config system locallog fortianalyzer3 filter
config system locallog fortianalyzer setting
config system locallog fortianalyzer2 setting
config system locallog fortianalyzer3 setting
config system locallog syslogd setting
config system locallog syslogd filter
config system locallog syslogd2 setting
config system locallog syslogd2 filter
config system locallog syslogd3 setting
config system locallog syslogd3 filter
config system locallog setting
config system fips
config system central-management
config fmupdate av-ips fgt server-override
config fmupdate av-ips fct server-override
config fmupdate av-ips push-override
config fmupdate av-ips push-override-to-client
config fmupdate av-ips web-proxy
config fmupdate fct-services
config fmupdate av-ips advanced-log
config fmupdate av-ips update-schedule
config fmupdate analyzer virusreport
config fmupdate service
config fmupdate publicnetwork
config fmupdate disk-quota
config fmupdate server-access-priorities
config fmupdate device-version
config fmupdate server-override-status
config fmupdate multilayer
config fmupdate support-pre-fgt43
config fmupdate fds-setting
config system log alert
config system log settings
config system log-fetch server-settings
config system aggregation-service
config system sql
config system report est-browse-time
config system report auto-cache
config system report setting
config system fortiview setting
config system fortiview auto-cache
config system auto-delete
--------------- system.conf ---------------
Somit kann dieses Konfigurations File dazu dienen, im Fall eines Migration Scenario so schnell als möglich ein System Wiederherzustellen. Damit man an das File "system.conf" kommt muss nicht anderes durchgeführt werden als das Backup File zu "extrahiere" dh. mit zB ZIP zu entpacken. Wenn dies durchgführt wird, entsteht ein File mit dem Namen:
SYS_FAZ-VM0000000001_FortiAnalyzer-VM_20161804_1346
Entpacke das File wiederum mit ZIP und es entsteht ein Verzeichniss mit dem Namen des Files. In diesem Verzeichnis befindet sich folgende Verzeichnis Struktur:
var/
/dm
/dvm
/fwclienttemp
/pm2
/portal
/rtm
Das Konfigurations File "system.conf" befindet sich in "clear-text" Form im Verzeichnis "/fwclienttemp" und kann zB mit WordPad geöffnet werden.
Wie tausche ich bei einem Defekt einer FortiGate diese im FortiAnalyzer aus?
Ausgehend davon, dass eine FortiGate im FortiAnalyzer ordnungsgemäss im Konfigurationsmodus eingebunden ist, stellt sich die Frage "Was ist zu tun" wenn eine FortiGate anlässlich eines Defekts ausgetauscht werden muss. Wenn eine FortiGate im FortiAnalyzer eingebunden wird so geschieht dies anhand Ihrer Serien Nummer. Dieses Serien Nummer ist Basis um den FortiGate Device eindeutig zu identifizieren. Nachfolgend die Prozedur die anzuwenden ist um ein "Replacement" durchzuführen unter FortiAnalyzer 5.4:
FortiGate Device Defekt [Serien Nummer]
FortiGate Device Austausch [Serien Nummer]
• Als Erstes muss eine RMA durchgeführt werden! Weitere Informationen siehe Artikel:
Fortinet:Support-RMA#Wie_f.C3.BChre_ich_f.C3.BCr_eine_Fortinet_Hardware.2FDevice_eine_RMA_durch.3F
• Sobald der Device eintrifft konfiguriere den neuen Device (RMA / Austausch Device) folgendermassen:
Lade auf dem Austauschgerät die entsprechende Firmware dh. die gleiche Firmware wie auf dem defekten Device:
FortiGate-5.0-5.2:FAQ#Ist_es_m.C3.B6glich_ein_Firmware_Wiederherstellung_durchzuf.C3.BChren.3F
Verififziere die neue Serien Nummer:
# get system status | grep Serial
Konfiguriere das "externe" Interface so, dass es die alte Konfiguration (IP) des defekten Device
wiederspiegelt. Bei einer statischen IP wäre dies zB:
# config system interface
# edit [Gebe das entsprechende Interface an zB "wan1"]
# set ip [IPv4 Adresse mit Subnet zB xxx.xxx.xxx.xxx/xx]
# set allowaccess [Aktiviere das Interface für FortiManager Mgmt. "fgfm"]
# end
NOTE Es "MUSS" https auf dem externen Interface (fgfm aktiviert) aktiviert werden. Der Grund ist dahingehend, dass sobald
in den nächsten Schritten der "Mgmt. Tunnel" neu initiert wird, über https die SSL basierende Mgmt. Verschlüsselung
etabliert wird. Bei der Initierung der "Mgmt. Tunnel's" wird wie gewohnt der Port TCP-541 requested und ein "syn"
gesendet. Ist der Port für HTTPS auf dem externen Interface nicht aktiviert kann über den HTTPS Port intern die
Verschlüsselung nicht etabliert werden!
Setze sofern nötig den Default Gateway für das externe Interface:
# config router static
# edit 1
# set device [Gebe das entsprechende Interface an zB "wan1"]
# set gateway [IPv4 Adresse mit Subnet zB xxx.xxx.xxx.xxx]
# end
Konfiguriere für die FortiGate den FortiAnalyzer Server mit dessen IP sowie dessen Username und
Passwort:
# config log fortianalyzer setting
# set status enable
# set ips-archive enable
# set server [IPv4 Adresse des FortiAnalyzers]
# set enc-algorithm default
# set upload-option realtime
# end
NOTE Diese Konfiguration "realtime" bedeutet, dass die Logs "real-time" zum FortiAnalyzer gesendet wird.
Per Standard gilt "one's a day" zu einer bestimmten zu definierenden Zeit (Ueber Webinterface)!
# config system admin
# edit [Name des Administrators der benützt wird für FortiManager Login]
# set accprofile "super_admin"
# set vdom "root"
# set password [Passwort]
# end
NOTE Auf dem "defekten" Device wurde ein Administrator definiert (kann auch der Standard Administrator "admin" sein)
mit dessen Passwort der dazu benützt wurde um die FortiGate auf dem FortiAnalyzer einzubinden. Diese Informationen
müssen für das Austauschgerät identisch gesetzt werden um ein erfolgreiches "Replacement" durchzuführen! Ist das
betreffende Passwort des "alten defekten" Devices nicht mehr bekannt kann dieses auf dem FortiAnalyzer geändert
werden anhand folgenden Befehls:
# execute device replace pw [Gebe den entsprechenden Namen des Device an gemäss FortiAnalyzer]
This operation will clear the password of the device.
Do you want to continue? (y/n)y
• Nun bevor wir nun die FortiGate Online bringen muss auf dem FortiAnalyzer die alte Serien Nummer des defekten Device mit der
neuen Serien Nummer des "Austauschgerätes" ersetzt werden. Mit folgenden Befehl kann die Information des "defekten" Device
resp. dessen Namen sowie deren Serien Nummer eruiert werden um nachträglich diese Serien Nummer zu ersetzen:
# diagnose dvm device list
• Eruiere in der Device Liste den korrekten Device Namen und führe um die Serien Nummer zu ersetzen folgendes durch:
# execute device replace sn [Device Name] [Neue Serien Nummer des Austauschgerätes]
• Verifiziere in der Device Liste ob das "Replacement" der Serien Nummer erfolgreich war:
# diagnose dvm device list
• Nun verbinde die FortiGate mit dessen konfigurierten Interface damit diese über dieses Interface den FortiAnalyzer erreichen
kann. Die FortiGate nimmt mit dem von uns konfigurierten Interface sowie mit dem durch uns definierten Administrator Username
und Passwort mit dem FortiAnalyzer kontakt auf. Nach einiger Zeit erscheint der Device im FortiAnalyzer "Device Manager" unter
"Connectivity" als UP:
Routing
Wo kann ich das Routing für einen FortiAnalyzer konfigurieren?
Ein FortiAnalyzer verfügt im normal Fall über mehrere Interfaces dh. diese können für verschiedenen Segmente konfiguriert werden. Das Routing das für die Interfaces konfiguriert wird kann über folgende Position konfiguriert werden:
System Settings > Network > Routing Table
NOTE Der Default Gateway wird nicht über die "Routing Table" konfiguriert sondern
über die Position "Default Gateway" und ist nachträglich in der Routing Tabelle
ersichtlich!
Um das Routing über CLI zu konfigurieren führe folgendes aus:
# config system route
# edit [Routing ID/Sequenz]
# set device [Name des Ports für das Routing]
# set dst [IPV4 Adresse für Destination Routing]
# set gateway [IPv4 Adresse für Default Gateway]
# end
Reports
Wie können mehrere Reports im FortiAnalyzer gleichzeitig generiert werden?
Über die CLI muss folgende globale Einstellung geändert werden, damit mehrere Reports gleichzeitig erstellt werden können:
# config system globale
# set max-running-reports [Anzahl gleichzeigiger Reports, maximaler Wert ist 10]
# end
NOTE Damit der Ressourcenbedarf möglichst klein gehalten wird, empfiehlt es sich,
die Nutzung gleichzeitiger Reports zu generieren möglichst klein zu halten.
Der Status wieviele Reports gleichzeitig generiert werden, kann unter folgendem Kommando festgestellt werden:
# diag report status
Max pending rpts: 100000
Current pendings: 0
Max running rpts: 10 <- Dieser Wert gibt an, wieviele Reports gleichzeitig generiert werden können.
Current runnings: 0
Semaphore state : initialized (1)
Sem value : 1 unlocked
CLI
Wie kann ich einen FortiAnalyzer neu Starten oder Runterfahren?
Grundzätzlich steht diese Funktion über WebGui zur Verfügung dh. über:
System Settings > Dashboard > Unit Operation > Shutdown oder Reboot
Möchte man den FortiAnalyzer über CLI Runterfahren oder neu Starten führe folgendes aus:
# execute reboot neustart des FortiAnalyzers
# execute shutdown herunterfahren des FortiAnalyzers
NOTE Fahre einen FortiAnalyzer immer ordnungsgemäss runter etc. ansonsten besteht die Gefahr das
die Datenbank des FortiAnalyzers korrupt wird!