Академический Документы
Профессиональный Документы
Культура Документы
FortiGate 5.4.1
© Copyright Fortinet Inc. All rights reserved. Last Modified: 27 June 2017
1
Objectives
• Describe log types and subtypes
• Describe log severity levels
• Describe log format (header and body)
• Identify log storage locations
• Configure log settings
• Configure remote logging
• Enable logging on firewall policies
• View, filter, download, and export logs
• Monitor your network
• Configure alert email
• Configure, run, and view reports
2
Logging and Monitoring
3
Cuando el tráfico pasa a través de FortiGate a su red, FortiGate escanea el tráfico y luego toma acción basándose en las políticas de
firewall en su lugar. Esta actividad se registra y la información está contenida en un mensaje de registro. El mensaje de registro se
almacena en un archivo de registro que luego se almacena en un dispositivo capaz de almacenar registros, como FortiGate o un
dispositivo de almacenamiento externo.
El propósito de los registros es ayudarle a supervisar su tráfico de red, localizar problemas, establecer líneas de base y más. Los
registros le proporcionan una mayor perspectiva de su red, lo que le permite realizar ajustes en la seguridad de su red, si es necesario.
Algunas organizaciones tienen requisitos legales cuando se trata de registrar, por lo que es importante estar al tanto de las políticas de su
organización durante la configuración.
4
Understanding Logs
Log Types and Subtypes
6
En FortiGate, hay tres tipos diferentes de registros: registros de tráfico, registros de eventos y registros de
seguridad. Cada tipo se divide en sub-tipos.
Los registros de tráfico registran la información del flujo de tráfico, como una solicitud HTTP / HTTPS y su
respuesta, si la hay. Contiene subtipos denominados adelante, local y sniffer.
Los registros de tráfico directo contienen información sobre el tráfico que FortiGate aceptó o rechazó de acuerdo
con una directiva de firewall.
Los registros de tráfico locales contienen información sobre el tráfico directamente hacia y desde las direcciones
IP de administración de FortiGate. También incluyen conexiones a las consultas GUI y FortiGuard.
Los registros de sniffer contienen información relacionada con la captura de paquetes
7
Security Events
• View security events in the Forward Traffic log under the Log Details
pane
o Less CPU intensive with fewer open files
8
• Debe tenerse en cuenta que, de forma predeterminada, los
eventos relacionados con la seguridad aparecen en el registro
de tráfico directo en el panel Detalles del registro en la pestaña
Seguridad. Esto es para el rendimiento: menos identificadores
de archivo abiertos es menos intensivo de CPU para el sistema
operativo.
9
Log Severity Levels
Levels Description
10
Cada entrada de registro incluye un nivel de registro (o nivel de prioridad) que varía en orden de importancia desde la
emergencia a la información.
También hay un nivel de depuración, el nivel más bajo. Coloca la información de diagnóstico en el registro de eventos. El
nivel de depuración se utiliza raramente, a menos que esté investigando activamente un problema con el Soporte técnico de
Fortinet. Generalmente, el nivel más bajo que desea utilizar es información, pero incluso este nivel genera muchos registros
y podría causar un fallo prematuro del disco duro. Dependiendo del tipo de registro y las necesidades de su organización, es
posible que desee registrar sólo niveles de notificación o superiores.
11
Log Message Layout
• Log header (similar in all logs)
o Type and subtype = name of log file o Level = severity level
date=2016-06-14 time=12:05:28 logid=0316013056 type=utm subtype=webfilter
eventtype=ftgd_blk level=warning vd=root
12
• Cada mensaje de registro tiene un diseño estándar compuesto de dos secciones: una cabecera y un
cuerpo.
• El encabezado contiene campos comunes a todos los tipos de registro, como fecha y hora de origen,
identificador de registro, categoría de registro, nivel de gravedad y dominio virtual (VDOM). El valor de
cada campo, sin embargo, es específico para el mensaje de registro. Como se puede ver en el ejemplo
de entrada de registro crudo, el tipo de registro es UTM, el subtipo es webfilter y el nivel es de
advertencia. El tipo y el subtipo de registros determinan qué campos aparecen en el cuerpo del registro.
• El cuerpo, por lo tanto, describe la razón por la que se creó el registro y las acciones tomadas por
FortiGate. Estos campos varían según el tipo de registro. En el ejemplo anterior, el campo policyid indica
qué regla de firewall coincide con el tráfico, el campo scrip indica la dirección IP de origen, el campo dstip
indica la dirección IP de destino, el hostname indica la dirección URL o IP del host, el campo de acción
indica qué FortiGate hizo cuando encontró una política que coincidía con el tráfico, y los campos msg
indican el motivo de la acción tomada. En este ejemplo, la acción está bloqueada, lo que significa que
FortiGate evitó que este paquete IP pasara, y la razón es porque pertenecía a una categoría denegada
en la directiva de firewall.
13
Log Storage
Log Storage Locations
FortiCloud
Syslog SNMP
Hard drive
Memory FortiAnalyzer
FortiManager
15
Puede elegir almacenar registros en una variedad de lugares, tanto dentro como fuera del dispositivo FortiGate.
Localmente, FortiGate tiene su propia memoria y muchos dispositivos tienen un disco duro incorporado.
Externamente, puede almacenar registros en servidores Syslog, FortiCloud, SNMP o un dispositivo FortiAnalyzer
o FortiManager.
16
FortiAnalyzer and FortiManager Log Storage
Register FortiGate
FortiAnalyzer/FortiManager
17
• FortiAnalyzer y FortiManager son dispositivos de registro externos con los que FortiGate
puede comunicarse. Puede colocar FortiAnalyzer o FortiManager en la misma red que
FortiGate, o fuera de ella.
• Para que FortiGate envíe registros a FortiAnalyzer o FortiManager, debe registrar FortiGate
con FortiAnalyzer o FortiManager. Una vez registrado, FortiAnalyzer o FortiManager pueden
comenzar a aceptar registros entrantes de FortiGate.
• FortiGate utiliza el puerto 514 para la transmisión de registros. Opcionalmente, puede cifrar
las comunicaciones mediante el tráfico OFTP cifrado SSL, por lo que cuando se genera un
mensaje de registro, se transmite de forma segura a través de una red no segura.
18
Comparing FortiAnalyzer and FortiManager
• FortiAnalyzer – Long term, dedicated storage of log data
o Log limit dependent on model
• FortiManager – Central management of multiple FortiGate
devices
o Can also store logs and generate reports, but has fixed amount per day that
is less than FortiAnalyzer
• FortiGate can store and upload log events or upload in real time
o Store and upload only available to FortiGates with internal hard drive
19
• Hasta ahora, hemos discutido FortiAnalyzer y FortiManager como dispositivos de registro
externos intercambiables para FortiGate. Al configurar FortiGate para enviar registros a
FortiAnalyzer o FortiManager es idéntico - comparten una plataforma de hardware y software
común - FortiAnalyzer y FortiManager realmente tienen diferentes capacidades que vale la
pena anotar. Ambos tienen entradas de registro, pero el propósito principal de FortiManager
es administrar centralmente varios dispositivos FortiGate. Como tal, los volúmenes de
registro están limitados a una cantidad fija por día, que son inferiores a FortiAnalyzer. Por
otro lado, el objetivo principal de FortiAnalyzer es almacenar y analizar registros, por lo que
el límite de registro es mucho mayor (aunque el límite depende del modelo).
• En el nivel más básico, lo que puede hacer con los registros recibidos en FortiManager no es
diferente de lo que puede hacer con los registros recibidos en FortiAnalyzer.
• FortiGate tiene dos métodos para transmitir los eventos de registro: almacenar y cargar y en
tiempo real. La opción de almacenamiento y carga sólo está disponible para FortiGates con
discos duros internos.
20
FortiCloud and Syslog Log Storage
FortiCloud Syslog
21
• FortiCloud y Syslog son otras opciones externas de registro que puede utilizar para
almacenar registros de FortiGate.
• Cada FortiGate viene con una prueba gratuita de un mes de FortiCloud. A través de
la GUI de FortiGate, puede vincular FortiCloud a su cuenta de Soporte Técnico y
Servicio al Cliente de Fortinet, activar la prueba y comenzar a enviar registros.
Cuando el uso del disco está configurado para la optimización WAN (wanopt),
también se quita la opción de almacenamiento y carga para registrar a FortiCloud.
22
Configuring Log Settings
Registro La actividad de FortiGate requiere ciertos ajustes de configuración para que FortiGate pueda registrar la
actividad. Estos ajustes se denominan ajustes de registro. Si bien puede configurar registros a través de la CLI
utilizando el comando config log, esta sección se centra principalmente en la GUI.
Para un registro efectivo, la fecha y la hora del sistema FortiGate deben ser exactas. Puede configurar manualmente
la fecha y hora del sistema o configurar FortiGate para que mantenga automáticamente su hora correcta
sincronizando con un servidor NTP (Network Time Protocol).
Which Settings Generate Logs
Policy Log Setting Security Profiles Behavior
25
Este gráfico ilustra el comportamiento esperado cuando habilita diferentes opciones de registro.
La primera columna, Configuración del registro de políticas, muestra el valor de registro en la directiva de firewall:
Registro de tráfico permitido (habilitar o deshabilitar), Eventos de seguridad (habilitar o deshabilitar) o Todas las
sesiones (habilitar o deshabilitar). En la captura de pantalla del ejemplo asociado, se ha habilitado Permitir tráfico
permitido y Todas las sesiones está habilitada.
La segunda columna muestra si un perfil de seguridad está habilitado o deshabilitado en la directiva de firewall. En
la captura de pantalla del ejemplo asociado, se habilita un perfil de seguridad de Antivirus.
La última columna muestra el comportamiento. Si habilita los perfiles de su directiva y el registro no está
habilitado, no obtendrá registros de ningún tipo, incluso si el perfil está configurado para bloquear el tráfico. Por lo
tanto, si aplica un perfil de seguridad, es importante considerar la configuración de registro.
26
Local Log Settings
27
• Desde la página Configuración de registro, puede habilitar el registro local en el disco, así como
habilitar los informes locales y FortiView histórico. Un gráfico circular ilustra el uso del disco,
informándole cuánto espacio utilizado y espacio libre está disponible en su disco local. También
está disponible una tabla de uso del disco histórico.
• El registro de discos debe estar habilitado para que aparezca información en los cuadros de
mando de FortiView (si está deshabilitado, los registros se muestran sólo en tiempo real).
También puede habilitar esta configuración mediante el comando CLI config log disk setting.
Sólo ciertos modelos de FortiGate admiten el registro de discos.
• Tenga en cuenta que los registros mayores de siete (7) días, de forma predeterminada, se
eliminan del disco (la edad del registro es configurable). Si su disco de registro se llena, los
registros de eventos se eliminan por último.
• Puede realizar una copia de seguridad de los registros del disco local mediante el comando CLI
de copia de seguridad del registro de ejecución.
28
Remote Logging Settings: FortiAnalyzer/FortiManager
29
• Puede configurar el registro remoto en FortiAnalyzer o FortiManager a través de la GUI y la CLI.
• También debe especificar cómo desea cargar sus registros. Puede elegir almacenar los registros en
disco y luego subir a FortiAnalyzer o FortiManager más tarde, en cuyo caso debe especificar un
horario (por ejemplo, a las 00:59), o puede cargar registros en tiempo real. Generar registros utiliza
recursos del sistema, por lo que si FortiGate crea y envía frecuentemente registros a varios lugares,
el uso de CPU y RAM aumentará.
• Puede cifrar las comunicaciones mediante OFTP protegido por SSL habilitando la transmisión de
registro cifrada.
30
Remote Logging Settings: FortiCloud
• Log & Report > Log Settings
o Must activate FortiCloud account first through the dashboard
31
• También puede configurar el registro remoto en FortiCloud a
través de la página Configuración de registro. Pero antes de
poder habilitar el registro en FortiCloud, primero debe activar
su cuenta de FortiCloud. Una vez activado, puede habilitar el
registro de FortiCloud. Debe agregar su cuenta de FortiCloud
para que FortiGate pueda comunicarse con su cuenta de
FortiCloud y establecer la opción de carga. Si desea almacenar
sus registros en el disco primero y luego cargar en FortiCloud,
debe especificar una programación.
32
Remote Logging Settings: Syslog
• Log & Report > Log
Settings
o Enable
and add
IP/FQDN of Syslog
• Ensure Syslog is
configured for logging
• Can configure up to
four remote Syslog # config log <syslogd | syslogd2 | syslogd3 | syslogd4>
servers from the CLI
33
• También puede configurar el registro remoto en Syslog a través de la
página Configuración de registro. Debe agregar la dirección IP Syslog o
FQDN para que FortiGate y Syslog puedan comunicarse.
34
Local Traffic and Event Logging Settings
• Log & Report > Log Settings
• Local traffic logs = traffic directly to and from FortiGate
o Disabled by default
• Event logs = system information generated by the FortiGate
device
35
• También puede elegir qué eventos desea que aparezcan en el registro de tráfico local y en el
registro de eventos.
• Los registros de tráfico local proporcionan información sobre el tráfico directamente hacia y
desde FortiGate. Esta opción está desactivada de forma predeterminada debido al gran
número de registros que pueden generar.
• Los registros de eventos proporcionan toda la información del sistema generada por el
dispositivo FortiGate, como los inicios de sesión del administrador, los cambios de
configuración realizados por los administradores, la actividad del usuario y las operaciones
diarias del dispositivo. Por ejemplo, las VPN basadas en rutas que suben y bajan o la
actividad del protocolo de enrutamiento no son causadas por el tráfico que pasa a través de
una directiva de firewall. Una excepción podría ser el registro de usuario, ya que registra
eventos de inicio de sesión / cierre de sesión de usuarios en el tráfico que pasa a través de
directivas.
• Los registros de eventos que elija habilitar dependen de las funciones que implementa y de
la información que necesita para salir de los registros.
36
GUI Preference Log Settings
• Log & Report > Log Settings
• Display logs from:
o Memory
o Disk
o FortiAnalyzer
37
• Además, puede configurar cómo se muestran los registros en
la GUI.
38
Configuring Threat Weight
• Log & Report >
Threat Weight
• Set risk level values for
low, medium, high, and
critical
• Associate a threat
weight
• View detected threats
from FortiView >
Threats
39
• Puede configurar la definición de peso de amenaza a través de la
página Peso de amenaza. Esto le permite establecer los valores
de riesgo para niveles bajos, medios, altos y críticos y, a
continuación, aplicar un peso de amenaza a cada elemento
basado en categorías.
40
Enabling Logging on Firewall Policies
• Firewall policy setting decides if a
log message is generated or not
o LogSettings only decides if and
where log is stored
41
• Una vez configuradas todas las opciones de registro, puede habilitar el registro en sus
políticas de firewall. Sólo cuando se habilita en una directiva de firewall se puede generar
un mensaje de registro (basado en la configuración de registro configurada).
42
Affect of Logging on Performance
• More Logs = More CPU + More Disk Space
• Security profiles log when matching criteria is met
• Traffic logs record every session
o Extra information for troubleshooting
Enable performance statistic
o Some UTM events too logging for remote logging
o More system intensive devices on FortiGate
43
• Es importante recordar que cuantos más registros se generen, mayor será el
costo de la CPU y los recursos de memoria. El almacenamiento de registros
durante un período de tiempo también requiere espacio en disco, al igual que
acceder a ellos. Por lo tanto, antes de configurar el registro, asegúrese de que
valga la pena los recursos adicionales y que su sistema puede manejar la
afluencia.
44
Viewing and Managing Logs
Viewing Log Messages (GUI)
46
Puede ver los registros en la GUI en el menú Registro y Reporte. Las opciones que aparecen en este menú
dependen de su configuración. Los registros de seguridad aparecen sólo si existen eventos de seguridad.
Seleccione el tipo de registro que desea ver, por ejemplo, Tráfico directo. A continuación, los registros aparecen
en una vista de tabla con formato. Para ver los detalles del registro, seleccione el registro de la tabla. A
continuación, los detalles del registro aparecen en el panel Detalles del registro a la derecha.
Si el archivado está habilitado en los perfiles de seguridad que lo admiten (como DLP), la información de
archivado aparece en el panel Detalles del registro en la sección Archived Data (Datos archivados). Los registros
archivados también se registran cuando se utiliza FortiAnalyzer o FortiCloud.
Si configuró FortiGate para iniciar sesión en varias ubicaciones y desea ver registros desde esas ubicaciones,
debe especificar la ubicación en la página Configuración de registro. En esta captura de pantalla, la ubicación del
registro se establece en Disco, ya que es la configuración configurada en la página Configuración de registro. Si el
registro en una ubicación remota, como Syslog, debe ver los registros a través de ese dispositivo en su lugar.
47
Filter Settings
• Reduces the number of
log entries displayed
• Filters are per column;
more can be added
• Right-click the column
of a specific log for
quick filter options
o Filteroptions based on
log type and column
48
• Dependiendo de su configuración, su FortiGate podría registrar un alto volumen
de registros. Esto puede hacer más difícil localizar un registro específico o un tipo
de registro, especialmente durante una investigación.
49
Quick Filters and Log Viewer Quarantine
• Right-click log to apply quick filters
• Option to quarantine
o Simplifies administration
• Quarantine Source
o Block
traffic from user (Source IP)
permanently or for a period of time
• Quarantine FortiClient
o Activates host quarantine
• Release user from Monitor > User
Quarantine
50
• También hay una opción para aplicar un filtro rápido a los registros.
Haga clic con el botón secundario en la columna de un mensaje de
registro específico y seleccione una de las opciones de filtro que
aparecen (las opciones varían según el tipo de registro y la
columna).
52
Downloading Logs
• Log & Report
53
• Puede descargar registros crudos (no formateados) haciendo
clic en el ícono de descarga en la página del tipo de registro
asociado (por ejemplo, registros de sucesos del sistema).
Puede filtrar los registros primero si desea descargar sólo un
subconjunto de registros.
54
Backing Up Logs
o TFTP
o USB
55
• Existen tres métodos para exportar registros: FTP, TFTP y USB.
• Para USB, los registros se exportan como archivos comprimidos LZ4. Puede
exportar a USB desde la CLI y la GUI.
• Cuando inserta una unidad USB en el puerto USB de su FortiGate, el menú USB
aparece en la GUI. El menú muestra la cantidad de almacenamiento disponible en
el disco USB, así como el tamaño del archivo de registro. Haga clic en Copiar en
USB para copiar el archivo de registro en la unidad USB.
56
Monitoring
La supervisión de su FortiGate es crítica para la respuesta a incidentes. Si está monitoreando su red
continuamente, puede ser capaz de detener un ataque en progreso o, si una violación es exitosa, saber
dónde se necesita refuerzo. La forma en que ocurre el ataque puede revelar debilidades en su configuración
o dar pistas importantes sobre la identidad del atacante.
Hay muchas maneras de supervisar su red. Puede supervisar a través de la Consola de mensajes de alerta,
el menú FortiView, el menú Monitor, el correo electrónico de alerta y SNMP.
Alert Message Console
• Alert Message Console (Dashboard)
o Customizable alert options
o Individual
alerts can be acknowledged and
removed from the list
59
• La consola de mensajes de alerta es un widget situado en el panel de
control de la GUI. Puede configurar el widget para que muestre las
alertas de acuerdo con sus preferencias haciendo clic en el icono de
lápiz. Por ejemplo, puede configurar los eventos que desea que
aparezcan como alertas y el número de alertas que se muestran.
Estas alertas no son alertas relacionadas con el registro, sino alertas
relacionadas con el sistema.
60
FortiView
• Comprehensive monitoring
system for your network Add filters to narrow search
Web Sites page
o Integrates real-time and
historical data into a single
view
o Logs and monitors threats to
networks, filters data, tracks
administrative activity and Filter by time
more
• Allows you to investigate
traffic activity
o Information provided in both
text and visual format
Drill down for more information Visual display
61
• FortiView es un completo sistema de monitoreo para su red que
integra datos en tiempo real e históricos en una sola vista en su
FortiGate. Puede registrar y monitorear las amenazas a las redes,
filtrar los datos en varios niveles, realizar un seguimiento de la
actividad administrativa y mucho más.
62
FortiView monitoring options
63
• Algunas de las áreas que puede supervisar bajo el menú FortiView incluyen:
• Fuentes: Le permite ver información sobre las fuentes de tráfico en su FortiGate. Usted
puede usar esto para investigar un pico en el tráfico, por ejemplo.
• Interfaces: Le permite realizar monitoreo actual e histórico por interfaz, con la capacidad
de monitorear el ancho de banda, en particular. Puede utilizar esto para investigar los
picos de tráfico asociados con una dirección IP, por ejemplo.
• Países: le permite filtrar el tráfico según los países de origen y de destino. Esto incluye
la opción para ver la visualización del mapa del país. Puede utilizar esto para investigar
el uso de ancho de banda de origen internacional para fuentes específicas, por ejemplo.
• Todas las sesiones: le permite ver información sobre todo el tráfico de FortiGate. Esta
consola tiene el mayor número de opciones de filtro de columna. Puede usar esto para
filtrar sesiones por número de puerto y tipo de aplicación, por ejemplo.
• Aplicaciones: Le permite ver información sobre las aplicaciones que se están utilizando
en su red.
• Aplicaciones en la nube: le permite ver información sobre las aplicaciones basadas en
la nube que se están utilizando en su red.
• Sitios Web: le permite ver información sobre los sitios web superiores permitidos y
superiores bloqueados por categorías de dominio o FortiGuard. Puede usar esto para
investigar una instancia de evitación de proxy, por ejemplo.
• Amenazas: le permite ver información sobre los principales usuarios involucrados en
incidencias, así como las principales amenazas en su red.
• Mapa de amenazas: le permite ver los riesgos procedentes de varios lugares
internacionales que llegan a su ubicación, mostrados a través de un mapa. Puede usar
esto para investigar diversas amenazas internacionales.
64
Monitoring
• Monitor Collects monitoring functions
65
• También puede monitorear varias
funciones de monitoreo desde el menú
Monitor, tales como enrutamiento, DCHP,
enlace WAN, cuota de FortiGuard, IPsec,
SSL VPN, usuarios de firewall, cuarentena
de usuario, FortiClient, WiFi y AP rogue.
66
Alert Email
67
• Puesto que no siempre se puede estar físicamente en el dispositivo, puede
supervisar los eventos mediante la configuración de correo electrónico de
alerta. Los correos electrónicos de alerta proporcionan un método eficaz y
directo de notificar a un administrador de los eventos.
68
SNMP Monitoring
69
• Simple Network Management Protocol (SNMP) le permite monitorear hardware en su red.
Puede configurar el hardware, como el agente SNMP de FortiGate, para que informe la
información del sistema y envíe trampas (alarmas o mensajes de sucesos) a los
administradores SNMP. Un administrador SNMP, o host, es normalmente un equipo que
ejecuta una aplicación que puede leer los mensajes entrantes de captura y de eventos del
agente y enviar consultas SNMP a los agentes SNMP.
• Puede descargar los archivos MIB desde la página Sistema> SNMP o desde el sitio web de
soporte técnico de Fortinet (support.fortinet.com).
70
Reports
Report Overview
• Reports extract information from the
database
• Log database uses Structured Query
Language (SQL)
• Reports are built from datasets (SQL
statements)
• Two default reports:
o Learning Report
o Local Report
72
• La base de datos FortiGate que se utiliza para almacenar registros
también se utiliza para extraer información para los informes. La base
de datos de registro utiliza SQL (Structured Query Language).
73
Cyber Threat Assessment Learning Report
• Learning report: Cyber Threat Assessment Learning Report
• Action = LEARN on firewall policy
• Captures data across all traffic and security vectors
• Collects and logs meaningful data for recommendation purposes,
including:
o Deployment Methodology
o Executive Summary
o Security and Threat Prevention
• High Risk Applications; Application Vulnerability Exploits; Malware, Botnets, and
Spyware/Adware; At-Risk Devices and Hosts
o User Productivity
• Application Usage, Web Usage
74
• Cuando el modo de aprendizaje está activado en una directiva de firewall, los
datos de todos los vectores de tráfico y seguridad se capturan y generan en el
Informe de aprendizaje de evaluación de amenazas informáticas. El propósito de
este informe es permitir a los usuarios implementar fácilmente un monitor y luego
hacer cumplir el proceso.
• Metodología de implementación
• Resumen ejecutivo
• Seguridad y prevención de amenazas, que incluye aplicaciones de alto riesgo;
Vulnerabilidades de vulnerabilidades de aplicaciones; Malware, botnets y spyware
/ adware; Y dispositivos y equipos en riesgo
• Productividad del usuario, que incluye el uso de aplicaciones y el uso de la web
75
Enabling Learning Reports
• Requirements:
o Enable disk logging
o Ensure Policy Learning is
enabled on System > Feature
Select, so Learning Report
menu visible
o Enable LEARN
mode on a
firewall policy
• Per-VDOM
76
• Para habilitar los informes de aprendizaje, debe habilitar el registro
de disco y asegurarse de que Policy Learning esté habilitado en la
página Feature Select.
77
Viewing Learning Reports
• View full report or report
summary report
• Specify time period Full report provides
o5 minutes category explanations
o1 hour
o 24 hours
78
• Puede seleccionar ver el informe completo o el resumen del
informe. Ambos proporcionan los mismos datos, pero el informe
completo proporciona explicaciones suplementarias basadas en
texto de las distintas categorías de informes.
79
FortiGate Security Report
• Local Report: FortiGate Security Report
o Can run the report on demand, daily, or weekly
o Can email report
• Compiles security feature activity from various security-related
logs
80
• El informe de seguridad de FortiGate compila la actividad de
características de seguridad de varios registros relacionados
con la seguridad, como los registros de virus y ataques. Puede
ejecutar el informe a petición, o sobre una base diaria o
semanal, así como elegir enviar por correo electrónico el
informe generado.
81
Enabling Local Reports
• Requirements:
o Enable disk logging
o Enable local reports
82
• Los informes FortiOS se configuran desde los registros almacenados
en el disco duro FortiGate. Como tal, debe habilitar el registro de disco
en la página Configuración de registro. También debe habilitar los
informes locales para poder ver y editar los informes.
83
Configuring, Running, and Viewing Reports
• Log & Report > Local Reports
View generated
reports
84
• Puede configurar opciones de informe, ejecutar informes bajo
demanda y ver informes desde la página Informes locales.
85
Review
Describe log types and subtypes
Describe log severity levels
Describe log format (header and body)
Identify log storage locations
Configure log settings
Configure remote logging
Enable logging on firewall policies
View, filter, download, and export logs
Monitor your network
Configure alert email
Configure, run, and view reports
86
Después de esta lección, usted debe tener los conocimientos y habilidades
necesarias para:
87