FortiCloud:FAQ

Aus Fortinet Wiki
Version vom 17. Juli 2014, 16:12 Uhr von Solivaan (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „FortiCloud(FAMS):FAQ Category:Fortinet __TOC__ == Vorwort == Diese FAQ's sind für Fortinet Systeme basierend auf OS 4 MR3 sowie 5.0/5.2. Zu Test-Zweck…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

FortiCloud(FAMS):FAQ

Vorwort

Diese FAQ's sind für Fortinet Systeme basierend auf OS 4 MR3 sowie 5.0/5.2. Zu Test-Zwecken stand eine Fortigate 60C/D zur Verfügung!


Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                    COMCEPT NET SWITZERLAND.                       *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
  schriftliche Zustimmung von der ComCept Net gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

FAQ

FortiCloud (FAMS)

Was ist unter FortiCloud (FAMS, Fortinet Analys and Mgmt. System) zu verstehen?

Nun Fortinet Devices haben teilweise keine lokale Disk's dh. solche Geräte loggen in's Memory (RAM 10%). Ist dieser Platz vollends aufgebraucht werden die bestehenden Logs aus dem Memory wiederrum überschrieben und die alten Logs gehen unwiederruflich verloren. Wird ein Neustart des Gerätes ausgeführt werden die Logs -da im Memory gespeichert- ebenfalls komplett gelöscht. Devices mit Disk's benützen Flash basierende Disk's was für das Logging problematisch ist. Folgendes ist zu berücksichtigen um festzustellen welcher Device über welche Log Option verfügt: 

       Ab FortiOS 4.3 Patch 12 sowie FortiOS 5.0.2 wird das Logging bei kleineren Devices (100D und kleiner) deaktiviert?
       
       Fortigate:FAQ#Ab_FortiOS_4.3_Patch_12_sowie_FortiOS_5.0.2_wird_das_Logging_bei_kleineren_Devices_.28100D_und_kleiner.29_deaktiviert.3F 

       Ab FortiOS 5.2 wird das Logging auf Disk (FortiGate 100D und kleiner) deaktiviert und Disk steht nicht mehr zur Verfügung?
       
       Fortigate:FAQ#Ab_FortiOS_5.2_wird_das_Logging_auf_Disk_.28FortiGate_100D_und_kleiner.29_deaktiviert_und_Disk_steht_nicht_mehr_zur_Verf.C3.BCgung.3F

       Desweiteren gibt die "Software Matrix" Auskunft welche Funktionen (Logging) auf welchem Device wie zur Verfügung steht:
       
       Fortigate:FAQ#Welche_Ger.C3.A4te.2FDevices_werden_vom_neuen_FortiOS_5_unterst.C3.BCtzt_und_welche_neuen_Features_umfasst_FortiOS_5.3F

Möchte man nun diese Logs extern speichen etc. hat man mehrere Möglichkeiten: 

       - FortiCloud (FAMS, Fortinet Analys and Mgmt. System)
       - FortiManager/FortiAnalyzer
       - Syslog

Dieser FortiCloud (FAMS) Service ist im "keinem" Service (Subscription) enthalten sondern steht zur Verfügung sobald ein Device registriert wurde. Der Name "FortiCloud" wird im Zusammenhang mit FortiOS 5.0.2 gebracht dh. früher hies der Service FAMS (Fortint Analys and Mgmt. System). Jedem Device steht 1 GB Storage (100 MB Log max. pro Tag und max 30 Tage Archiv) zur Verfügung (Daten werden im Datencenter in Vancouver gespeichert sowie die Komunikation in dieses Datencenter dh. von der Fortgate zur FortiCloud (FAMS) Infrastruktur ist/sind verschlüsselt). Wenn 1 GB aufgebraucht ist stoppt das Logging auf dem FortiCloud (FAMS) Server und alte Infos müssen zuerst gelöscht werden (Keine Auto-Roll Funktion). Ebenfalls können über den FortiCloud (FAMS) Service Reports erstellt werden. Diese Report's können jedoch nicht selbst erstellt werden. Die Report Funktion auf dem Device im üblichen Sinne stehen bei kleineren Geräten nicht mehr zur Verfügung (Menüpunkt fehlt vollends). Möchte man "mehr" Storage erwerben um die Daten länger aufzubewahren -auf dem FAMS Server- so kann ein Storage Contract abgeschlossen werden (Zusätzliche Subscription). Mit diesem Contract lässt sich dann individuell definieren wielange diese Logs aubewahrt werden sollen. Um den FortiCloud (FAMS) Service auf einem Gerät zu aktivieren gehe folgendermassen vor: 

       Folgendes Offizielle Dokument von Fortinet gibt Auskunft ueber verschiedenen Fragen im Zusammenhang mit FortiCloud (FAMS):
       
       Datei:FortiCloud FAQ.pdf
       Datei:Forticloud-guide.pdf
       Datei:FortiCloud data sheet.pdf

       -> Erstelle auf folgenden Internet Link einen Account (kann auch über den Device selber über Menüpunkt "FortiCloud" (FAMS) > Activate erstellt werden) dh. 
       
          https://www.forticloud.com  NEW (Oktober 2012)
          http://fams.fortinet.com    OLD
       
          NOTE Sobald die entsprechende Account ID für das Gerät existiert kann unter den Einstellungen im Account
               selber (Rechts Oben am Rand) ein Master Account ID hinzugefügt werden dh. später sind diese Geräte dann 
               auch in diesem Master Account ID ersichtlich dh. für den Endkunden sollten seperate Account ID's
               erstellt werden und danach den Reseller Account als Master Account ID hinzugefügt werden! Die 
               gleiche Hirachie kann bei einem Grossen Endkunden für Niederlassungen benützt werden. Ebenfalls
               wird unter den Einstellungen in der Account ID ein allfälliger "Storage Contract" hinzugefügt. Unter den
               Einstellungen in der Account ID findet man auch eine Menüpunkt "Users". Mit diesem Menüpunkt lassen sich 
               zusätzliche User für diese Account ID erfassen die zB nur "Read-Only" Funktion haben.
       
       -> Anhand der neu erstellten Account ID kann dann der Device selber über das Dashboard registriert werden dh. wähle (Anweisungen basierend auf 4.3 MR7):
       
          System > Dashboard > Status > License Information Widget > FAMS (Activate)
        
       -> Um den Device Anzuweisen die Logs dem FAMS zu senden führe folgendes durch:
        
          Log&Report > Log Config > Log Setting > Logging and Archiving > Updload logs remotely > FAMS (In Realtime)
        
       -> Erstelle eine Policy/Rule die das Logging zum FAMS erlaubt!
        
       -> Aktiviere in den entsprechenden Policy/Rule die Logging Funktion "Log Allowed Traffic"
        
       -> Wenn kein "FortiGuard Web service" existiert auf dem Device, jedoch betreffend URL Filter ein "web activity report" 
          gewünscht ist kann dies folgendermassen erreicht werden:
        
          --> Erstelle eine URL Filter der für JEDE URL Filter matched ("^.*$")
          --> Erstelle die entsprechende Policy/Rule für diesen URL Filter
          --> Aktiviere in dieser Policy/Rule für diesen URL Filter "Log Allowed Traffic"
        
          NOTE Durch diesen URL Filter matched anhand "Regular Expression" jede URL und da das Log für diese
               Policy/Rule für den URL Filter aktiviert ist, werden die entsprechenden Infos an den FortiCloud (FAMS) 
               Server übermittelt.

Sobald der Service FAMS registriert ist so komuniziert der Device mit dem FAMS Service über folgende Ports: 

          SSL over TCP Port 443, 514 und 541.

Nachfolgend einige Printscreens dieses FortiCloud (FAMS) Server und dessen Möglichkeiten: 

      Fortinet-208.jpg

      Fortinet-209.jpg

      Fortinet-210.jpg

      Fortinet-211.jpg

Gibt es für den FortiCloud (FAMS) Service betreffend Device Management Funktionen wie Backup, Script etc.?

Per Default stehen diese Management Funktionen über FortiCloud (FAMS) nicht zur Verfügung denn die Funktion benötigt eine Mgmt. Konfiguration auf der FortiGate. Dies bedeutet zu diesem Zweck muss der Mgmt. Tunnel auf der FortiGate zum FortiCloud (FAMS) Service konfiguriert werden (TCP 541). Um diesen Mgmt. Tunnel zu konfigurieren führe auf dem Device folgendes aus: 

       # config system central-management
       # set mode backup
       # set type fortiguard
       # end

Danach wird ein Mgmt. Tunnel in die FortiCloud (FAMS) etabliert und im Account in der FortiCloud (FAMS) können die Funktionen genutzt werden.

Ist es möglich mit dem FortiCloud (FAMS, Fortinet Analys and Mgmt. System) Service die Logs zu "rotieren" oder ein "purge" auszuführen?

Ja dies ist so möglich jedoch eingeschränkt dh. wenn über FortiGuard der Services FAMS oder neu unter "FortiCloud" genutzt wird können die entstehenden Logs auf der Platform nicht manuell manipuliert werden dh. zB ein "purge" oder ein "rotate" ausgeführt werden (Es kann nur Rolling Logs aktiviert oder deaktiviert werden)! Die Limite des FortiCloud (FAMS) Standard Accounts liegt bei max 100 MB pro Tag und max 1 GB Storage sowie 30 Tage Rotation. Wenn das Maximum erreicht ist, wird das Logging gestoppt (kein Alert über Email etc möglich) und es muss manuell eingegriffen werden resp. die Logs gelöscht werden. Weitere Informationen ueber den Service findet man im folgenden Artikel: 

       Fortigate:FAQ#Was_ist_unter_FortiCloud_.28FAMS.2C_Fortinet_Analys_and_Mgmt._System.29_zu_verstehen.3F

Um die Log's manuell zu löschen muss folgendermassen vorgegangen werden: 

       - Unter folgender Position "System > Dashboard > Status >License Information > FortiCloud (FAMS) > Account" erscheint folgendes:
       
         100% storage quota of FGT60C3G12005279 has been used! Logs are no longer being sent from 
         your FortiGate or FortiWiFi. Please delete some data or subscribe to the service.
       
       - Wähle unter "System > Dashboard" das "Device" Widget! Im "Device" Widget selektiere das "Icon" rechts neben dem Device Namen.
       
       - Wähle "Delete" Data. Nun kann anhand eines Datums definiert werden welche Informatione entfernt werden sollen dh. alle Daten
         "vor" dem definierten Datum werden unwiederruflich gelöscht.
       
         NOTE Weitere Informationen betreffend diesem Vorgang findet man im KB Artikel:
              
              http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD33905&sliceId=1&docTypeID=DT_KCARTICLE_1_1&dialogID=51971751&stateId=0 0 51973191

Soll ermöglicht werden die Logs zu rotieren (Definierung der Tage für die Rotation) resp. zu verwalten so muss betreffend "FortiCloud" (FAMS) ein Zusatz Vertrag (Subscription) erworben werden der dies danach ermöglicht: 

       FC-10-90801-131-02-12      1 year FortiCloud Basic Service with up to 200GB of storage for a single FortiGate

Unter Dashboard erscheint unter FortiCloud Status die Meldung "Activation Pending. Please view confirmation email"?

Wenn FortiCloud (FAMS) aktiviert wird kann es vorkommen, dass nach der Aktivierung diese Meldung auf dem "Dashboard" unter FortiCloud bestehen bleibt und die Aktivierung nicht abgeschlossen werden kann. Ist dies der Fall führe folgendes durch: 

       # config system fortiguard-log
       # unset service-account-id
       # end

Durch "unset service-account-id" wird der Cache betreffend ID gelöscht. Danach kann anhand folgendes Kommando die Aktivierung mitverfolgt werden: 

       # execute fortiguard-log update
Abgerufen von „http://fortinet.also.ch/wiki/index.php?title=FortiCloud:FAQ&oldid=6019