Вы находитесь на странице: 1из 87

FortiGate I

Logging and Monitoring

FortiGate 5.4.1
© Copyright Fortinet Inc. All rights reserved. Last Modified: 27 June 2017
1
Objectives
• Describe log types and subtypes
• Describe log severity levels
• Describe log format (header and body)
• Identify log storage locations
• Configure log settings
• Configure remote logging
• Enable logging on firewall policies
• View, filter, download, and export logs
• Monitor your network
• Configure alert email
• Configure, run, and view reports

2
Logging and Monitoring

FortiGate • Monitor network and Internet


traffic volumes
• Diagnose problems
• Establish normal baselines to
recognize anomalies

3
Cuando el tráfico pasa a través de FortiGate a su red, FortiGate escanea el tráfico y luego toma acción basándose en las políticas de
firewall en su lugar. Esta actividad se registra y la información está contenida en un mensaje de registro. El mensaje de registro se
almacena en un archivo de registro que luego se almacena en un dispositivo capaz de almacenar registros, como FortiGate o un
dispositivo de almacenamiento externo.

El propósito de los registros es ayudarle a supervisar su tráfico de red, localizar problemas, establecer líneas de base y más. Los
registros le proporcionan una mayor perspectiva de su red, lo que le permite realizar ajustes en la seguridad de su red, si es necesario.

Algunas organizaciones tienen requisitos legales cuando se trata de registrar, por lo que es importante estar al tanto de las políticas de su
organización durante la configuración.

4
Understanding Logs
Log Types and Subtypes

Traffic Event Security

Forward Endpoint Control Application Control


WAN optimization logs are
Local High Availability Antivirus found within traffic logs.

Sniffer System Data Leak Prevention (DLP)


GPRS Tunneling Protocol
User Anti-Spam (GTP) logs are now
handled separately from
Router Web Filter
default event logs.
VPN Intrusion Prevention System (IPS)
If no security logs exist, the
WAD Anomaly (DoS-policy) log menu item does not
appear under the Log &
Wireless WAF Report menu.

6
En FortiGate, hay tres tipos diferentes de registros: registros de tráfico, registros de eventos y registros de
seguridad. Cada tipo se divide en sub-tipos.

Los registros de tráfico registran la información del flujo de tráfico, como una solicitud HTTP / HTTPS y su
respuesta, si la hay. Contiene subtipos denominados adelante, local y sniffer.
Los registros de tráfico directo contienen información sobre el tráfico que FortiGate aceptó o rechazó de acuerdo
con una directiva de firewall.
Los registros de tráfico locales contienen información sobre el tráfico directamente hacia y desde las direcciones
IP de administración de FortiGate. También incluyen conexiones a las consultas GUI y FortiGuard.
Los registros de sniffer contienen información relacionada con la captura de paquetes

7
Security Events
• View security events in the Forward Traffic log under the Log Details
pane
o Less CPU intensive with fewer open files

8
• Debe tenerse en cuenta que, de forma predeterminada, los
eventos relacionados con la seguridad aparecen en el registro
de tráfico directo en el panel Detalles del registro en la pestaña
Seguridad. Esto es para el rendimiento: menos identificadores
de archivo abiertos es menos intensivo de CPU para el sistema
operativo.

9
Log Severity Levels

Levels Description

0 – Emergency System unstable

1 – Alert Immediate action required

2 – Critical Functionality affected

3 – Error Error exists that can affect functionality

4 – Warning Functionality could be affected

5 – Notification Information about normal events

6 – Information General system information

10
Cada entrada de registro incluye un nivel de registro (o nivel de prioridad) que varía en orden de importancia desde la
emergencia a la información.

También hay un nivel de depuración, el nivel más bajo. Coloca la información de diagnóstico en el registro de eventos. El
nivel de depuración se utiliza raramente, a menos que esté investigando activamente un problema con el Soporte técnico de
Fortinet. Generalmente, el nivel más bajo que desea utilizar es información, pero incluso este nivel genera muchos registros
y podría causar un fallo prematuro del disco duro. Dependiendo del tipo de registro y las necesidades de su organización, es
posible que desee registrar sólo niveles de notificación o superiores.

Usted y las políticas de su organización dictan lo que debe registrarse.

11
Log Message Layout
• Log header (similar in all logs)
o Type and subtype = name of log file o Level = severity level
date=2016-06-14 time=12:05:28 logid=0316013056 type=utm subtype=webfilter
eventtype=ftgd_blk level=warning vd=root

• Log body (varies by log type)


o policyid = Firewall policy applied to o srcip and dstip = Source and destination IP
session o action = Action by FortiGate
o hostname = URL or IP of host o msg = Reason for the action
policyid=1 sessionid=10879 user="" srcip=10.0.1.10 srcport=60952
srcintf="port3" dstip=52.84.14.233 dstport=80 dstintf="port1" proto=6
service="HTTP" hostname="miniclip.com" profile="default" action=blocked
reqtype=direct url="/favicon.ico" sentbyte=297 rcvdbyte=0 direction=outgoing
msg="URL belongs to a denied category in policy" method=domain cat=20
catdesc="Games" crscore=30 crlevel=high

12
• Cada mensaje de registro tiene un diseño estándar compuesto de dos secciones: una cabecera y un
cuerpo.

• El encabezado contiene campos comunes a todos los tipos de registro, como fecha y hora de origen,
identificador de registro, categoría de registro, nivel de gravedad y dominio virtual (VDOM). El valor de
cada campo, sin embargo, es específico para el mensaje de registro. Como se puede ver en el ejemplo
de entrada de registro crudo, el tipo de registro es UTM, el subtipo es webfilter y el nivel es de
advertencia. El tipo y el subtipo de registros determinan qué campos aparecen en el cuerpo del registro.

• El cuerpo, por lo tanto, describe la razón por la que se creó el registro y las acciones tomadas por
FortiGate. Estos campos varían según el tipo de registro. En el ejemplo anterior, el campo policyid indica
qué regla de firewall coincide con el tráfico, el campo scrip indica la dirección IP de origen, el campo dstip
indica la dirección IP de destino, el hostname indica la dirección URL o IP del host, el campo de acción
indica qué FortiGate hizo cuando encontró una política que coincidía con el tráfico, y los campos msg
indican el motivo de la acción tomada. En este ejemplo, la acción está bloqueada, lo que significa que
FortiGate evitó que este paquete IP pasara, y la razón es porque pertenecía a una categoría denegada
en la directiva de firewall.

• Si se registra en un dispositivo de otro fabricante, como un servidor syslog, conocer la estructura de


registro es crucial para la integración. Para obtener información sobre estructuras de registro y sus
significados asociados, visite http://docs.fortinet.com.

13
Log Storage
Log Storage Locations

FortiCloud
Syslog SNMP
Hard drive
Memory FortiAnalyzer
FortiManager

Local logging Remote logging

15
Puede elegir almacenar registros en una variedad de lugares, tanto dentro como fuera del dispositivo FortiGate.
Localmente, FortiGate tiene su propia memoria y muchos dispositivos tienen un disco duro incorporado.
Externamente, puede almacenar registros en servidores Syslog, FortiCloud, SNMP o un dispositivo FortiAnalyzer
o FortiManager.

16
FortiAnalyzer and FortiManager Log Storage

Register FortiGate

FortiAnalyzer/FortiManager

• FortiAnalyzer and FortiManager have a list of registered (allowed) devices


• FortiGate uses port 514 for log transmission
• Optionally, you can encrypt communications using SSL-secured OFTP

17
• FortiAnalyzer y FortiManager son dispositivos de registro externos con los que FortiGate
puede comunicarse. Puede colocar FortiAnalyzer o FortiManager en la misma red que
FortiGate, o fuera de ella.

• Para que FortiGate envíe registros a FortiAnalyzer o FortiManager, debe registrar FortiGate
con FortiAnalyzer o FortiManager. Una vez registrado, FortiAnalyzer o FortiManager pueden
comenzar a aceptar registros entrantes de FortiGate.

• FortiGate utiliza el puerto 514 para la transmisión de registros. Opcionalmente, puede cifrar
las comunicaciones mediante el tráfico OFTP cifrado SSL, por lo que cuando se genera un
mensaje de registro, se transmite de forma segura a través de una red no segura.

• Los mensajes de registro se almacenan en el disco y se transmiten a FortiAnalyzer como


texto sin formato comprimido LZ4. Esto reduce el tamaño del registro del disco y reduce el
tiempo de transmisión del registro y el uso del ancho de banda.

18
Comparing FortiAnalyzer and FortiManager
• FortiAnalyzer – Long term, dedicated storage of log data
o Log limit dependent on model
• FortiManager – Central management of multiple FortiGate
devices
o Can also store logs and generate reports, but has fixed amount per day that
is less than FortiAnalyzer

• FortiGate can store and upload log events or upload in real time
o Store and upload only available to FortiGates with internal hard drive

19
• Hasta ahora, hemos discutido FortiAnalyzer y FortiManager como dispositivos de registro
externos intercambiables para FortiGate. Al configurar FortiGate para enviar registros a
FortiAnalyzer o FortiManager es idéntico - comparten una plataforma de hardware y software
común - FortiAnalyzer y FortiManager realmente tienen diferentes capacidades que vale la
pena anotar. Ambos tienen entradas de registro, pero el propósito principal de FortiManager
es administrar centralmente varios dispositivos FortiGate. Como tal, los volúmenes de
registro están limitados a una cantidad fija por día, que son inferiores a FortiAnalyzer. Por
otro lado, el objetivo principal de FortiAnalyzer es almacenar y analizar registros, por lo que
el límite de registro es mucho mayor (aunque el límite depende del modelo).

• En el nivel más básico, lo que puede hacer con los registros recibidos en FortiManager no es
diferente de lo que puede hacer con los registros recibidos en FortiAnalyzer.

• FortiGate tiene dos métodos para transmitir los eventos de registro: almacenar y cargar y en
tiempo real. La opción de almacenamiento y carga sólo está disponible para FortiGates con
discos duros internos.

20
FortiCloud and Syslog Log Storage
FortiCloud Syslog

o Hosted, subscription-based service o Logging server


o Long term log storage and reporting o Central repository for networked
o Bound to Fortinet Support account devices
o FortiGate includes 1 month free trial • Consolidates logs

o See documentation for quotas

21
• FortiCloud y Syslog son otras opciones externas de registro que puede utilizar para
almacenar registros de FortiGate.

• FortiCloud es un servicio de gestión de seguridad y log de Fortinet basado en


suscripciones que ofrece almacenamiento a largo plazo de registros con informes. Si
tiene una red más pequeña, FortiCloud suele ser más factible que comprar un
dispositivo de registro dedicado.

• Cada FortiGate viene con una prueba gratuita de un mes de FortiCloud. A través de
la GUI de FortiGate, puede vincular FortiCloud a su cuenta de Soporte Técnico y
Servicio al Cliente de Fortinet, activar la prueba y comenzar a enviar registros.
Cuando el uso del disco está configurado para la optimización WAN (wanopt),
también se quita la opción de almacenamiento y carga para registrar a FortiCloud.

• Syslog es un servidor de registro que se utiliza como repositorio central para


dispositivos en red. FortiGate puede enviar registros a un servidor Syslog.

22
Configuring Log Settings
Registro La actividad de FortiGate requiere ciertos ajustes de configuración para que FortiGate pueda registrar la
actividad. Estos ajustes se denominan ajustes de registro. Si bien puede configurar registros a través de la CLI
utilizando el comando config log, esta sección se centra principalmente en la GUI.

Para un registro efectivo, la fecha y la hora del sistema FortiGate deben ser exactas. Puede configurar manualmente
la fecha y hora del sistema o configurar FortiGate para que mantenga automáticamente su hora correcta
sincronizando con un servidor NTP (Network Time Protocol).
Which Settings Generate Logs
Policy Log Setting Security Profiles Behavior

Log Allowed Traffic = disabled Disabled No Forward Traffic or Security Logs


Log Allowed Traffic = disabled Enabled No Forward Traffic or Security Logs
Security Events = enabled Disabled No Forward Traffic or Security Logs
Security Events = enabled Enabled Security log events appear in Forward Traffic log and Security log. A
Forward Traffic log generates for packets causing a security event.
All Sessions = enabled Disabled A Forward Traffic log generates for every single session.
All Sessions = disabled Enabled Security log events appear in Forward Traffic log and Security log.
A Forward Traffic log generates for every single session

• Hardware acceleration affects logging


o Traffic offloaded to NP processors is not logged
• Can disable hardware acceleration
• Can enable NP packet logging (degrades NP performance)

25
Este gráfico ilustra el comportamiento esperado cuando habilita diferentes opciones de registro.

La primera columna, Configuración del registro de políticas, muestra el valor de registro en la directiva de firewall:
Registro de tráfico permitido (habilitar o deshabilitar), Eventos de seguridad (habilitar o deshabilitar) o Todas las
sesiones (habilitar o deshabilitar). En la captura de pantalla del ejemplo asociado, se ha habilitado Permitir tráfico
permitido y Todas las sesiones está habilitada.

La segunda columna muestra si un perfil de seguridad está habilitado o deshabilitado en la directiva de firewall. En
la captura de pantalla del ejemplo asociado, se habilita un perfil de seguridad de Antivirus.

La última columna muestra el comportamiento. Si habilita los perfiles de su directiva y el registro no está
habilitado, no obtendrá registros de ningún tipo, incluso si el perfil está configurado para bloquear el tráfico. Por lo
tanto, si aplica un perfil de seguridad, es importante considerar la configuración de registro.

26
Local Log Settings

• Log & Report > Log Settings


o Disk logging
• If disabled, FortiView logs are only
available in real-time
o Local reports
o Historical FortiView
• Requires disk logging
• Back up and restore local disk
logs from the CLI
# execute log backup <filename> Logs older than 7 days (default) are deleted from disk

27
• Desde la página Configuración de registro, puede habilitar el registro local en el disco, así como
habilitar los informes locales y FortiView histórico. Un gráfico circular ilustra el uso del disco,
informándole cuánto espacio utilizado y espacio libre está disponible en su disco local. También
está disponible una tabla de uso del disco histórico.

• El registro de discos debe estar habilitado para que aparezca información en los cuadros de
mando de FortiView (si está deshabilitado, los registros se muestran sólo en tiempo real).
También puede habilitar esta configuración mediante el comando CLI config log disk setting.
Sólo ciertos modelos de FortiGate admiten el registro de discos.

• Tenga en cuenta que los registros mayores de siete (7) días, de forma predeterminada, se
eliminan del disco (la edad del registro es configurable). Si su disco de registro se llena, los
registros de eventos se eliminan por último.

• Puede realizar una copia de seguridad de los registros del disco local mediante el comando CLI
de copia de seguridad del registro de ejecución.

28
Remote Logging Settings: FortiAnalyzer/FortiManager

• Can configure up to • Log & Report > Log Settings


three separate
FortiAnalyzer and
FortiManager devices
through the CLI
o Multiple
devices may be
needed for redundancy
o Generating and sending
logs requires
resources – # config log [fortianalyzer|fortianalyzer2|fortianalyzer3] setting
be aware! set status enable
set server x.x.x.x
end Commands not cumulative

29
• Puede configurar el registro remoto en FortiAnalyzer o FortiManager a través de la GUI y la CLI.

• GUI: En la página Configuración de registro, habilite el registro en FortiAnalyzer / FortiManager e


ingrese la dirección IP del dispositivo de registro remoto.
• CLI: Para FortiAnalyzer y FortiManager, utilice el comando config log fortianalyzer. Aunque
FortiManager no se menciona explícitamente en el comando, también se utiliza para FortiManager.
A través de la CLI, se pueden agregar hasta tres dispositivos separados para la máxima protección
contra fallos de los datos de registro. El comando para los tres dispositivos no es acumulativo.

• También debe especificar cómo desea cargar sus registros. Puede elegir almacenar los registros en
disco y luego subir a FortiAnalyzer o FortiManager más tarde, en cuyo caso debe especificar un
horario (por ejemplo, a las 00:59), o puede cargar registros en tiempo real. Generar registros utiliza
recursos del sistema, por lo que si FortiGate crea y envía frecuentemente registros a varios lugares,
el uso de CPU y RAM aumentará.

• Puede cifrar las comunicaciones mediante OFTP protegido por SSL habilitando la transmisión de
registro cifrada.

30
Remote Logging Settings: FortiCloud
• Log & Report > Log Settings
o Must activate FortiCloud account first through the dashboard

31
• También puede configurar el registro remoto en FortiCloud a
través de la página Configuración de registro. Pero antes de
poder habilitar el registro en FortiCloud, primero debe activar
su cuenta de FortiCloud. Una vez activado, puede habilitar el
registro de FortiCloud. Debe agregar su cuenta de FortiCloud
para que FortiGate pueda comunicarse con su cuenta de
FortiCloud y establecer la opción de carga. Si desea almacenar
sus registros en el disco primero y luego cargar en FortiCloud,
debe especificar una programación.

32
Remote Logging Settings: Syslog
• Log & Report > Log
Settings
o Enable
and add
IP/FQDN of Syslog
• Ensure Syslog is
configured for logging
• Can configure up to
four remote Syslog # config log <syslogd | syslogd2 | syslogd3 | syslogd4>
servers from the CLI

33
• También puede configurar el registro remoto en Syslog a través de la
página Configuración de registro. Debe agregar la dirección IP Syslog o
FQDN para que FortiGate y Syslog puedan comunicarse.

• Desde la CLI, puede configurar hasta cuatro servidores Syslog remotos


con el comando config log syslogd.

34
Local Traffic and Event Logging Settings
• Log & Report > Log Settings
• Local traffic logs = traffic directly to and from FortiGate
o Disabled by default
• Event logs = system information generated by the FortiGate
device

35
• También puede elegir qué eventos desea que aparezcan en el registro de tráfico local y en el
registro de eventos.

• Los registros de tráfico local proporcionan información sobre el tráfico directamente hacia y
desde FortiGate. Esta opción está desactivada de forma predeterminada debido al gran
número de registros que pueden generar.

• Los registros de eventos proporcionan toda la información del sistema generada por el
dispositivo FortiGate, como los inicios de sesión del administrador, los cambios de
configuración realizados por los administradores, la actividad del usuario y las operaciones
diarias del dispositivo. Por ejemplo, las VPN basadas en rutas que suben y bajan o la
actividad del protocolo de enrutamiento no son causadas por el tráfico que pasa a través de
una directiva de firewall. Una excepción podría ser el registro de usuario, ya que registra
eventos de inicio de sesión / cierre de sesión de usuarios en el tráfico que pasa a través de
directivas.

• Los registros de eventos que elija habilitar dependen de las funciones que implementa y de
la información que necesita para salir de los registros.

36
GUI Preference Log Settings
• Log & Report > Log Settings
• Display logs from:
o Memory

o Disk

o FortiAnalyzer

• Can translate IPs to host names for convenience


o Can impact CPU usage and page responsiveness

37
• Además, puede configurar cómo se muestran los registros en
la GUI.

• Por ejemplo, puede especificar si la GUI:

• Muestra registros de memoria, disco o FortiAnalyzer


• Resuelve IPs a nombres de host. Esto requiere que FortiGate
realice búsquedas DNS inversas para todos los IPs. Si su
servidor DNS no está disponible o es lento para responder,
esto puede afectar su capacidad de mirar a través de los
registros como las solicitudes de tiempo de espera.

38
Configuring Threat Weight
• Log & Report >
Threat Weight
• Set risk level values for
low, medium, high, and
critical
• Associate a threat
weight
• View detected threats
from FortiView >
Threats

39
• Puede configurar la definición de peso de amenaza a través de la
página Peso de amenaza. Esto le permite establecer los valores
de riesgo para niveles bajos, medios, altos y críticos y, a
continuación, aplicar un peso de amenaza a cada elemento
basado en categorías.

• En el ejemplo anterior, el malware tiene un peso de amenaza


crítico. Puede ajustar este peso de amenaza según los requisitos
de su organización. Una vez configurado el peso de la amenaza,
puede ver todas las amenazas detectadas desde la página de
amenazas.

40
Enabling Logging on Firewall Policies
• Firewall policy setting decides if a
log message is generated or not
o LogSettings only decides if and
where log is stored

Must enable logging on the


firewall policy!

41
• Una vez configuradas todas las opciones de registro, puede habilitar el registro en sus
políticas de firewall. Sólo cuando se habilita en una directiva de firewall se puede generar
un mensaje de registro (basado en la configuración de registro configurada).

• Generalmente, si configura FortiGate para inspeccionar el tráfico, también debe habilitar el


registro para esa característica de seguridad para ayudarle a rastrear y depurar el flujo de
tráfico. Excepto en el caso de las infracciones que consideras de baja severidad, por
ejemplo, filtrado web, querrás saber si tu FortiGate está bloqueando ataques. La mayoría
de los ataques no tienen éxito en una violación de seguridad en el primer intento. Un
enfoque proactivo, cuando observa a un atacante persistente cuyos métodos parecen
estar evolucionando, puede evitar una brecha de seguridad. Para obtener avisos
anticipados como este, habilite el registro para sus perfiles de seguridad.

• Para habilitar el registro en perfiles de seguridad, edite la directiva de firewall, habilite el


perfil de seguridad y seleccione el perfil de seguridad configurado en la lista desplegable
asociada. Recuerde que no obtendrá registros de ningún tipo si el tráfico permitido por
registro no está habilitado en la sección Opciones de registro.

42
Affect of Logging on Performance
• More Logs = More CPU + More Disk Space
• Security profiles log when matching criteria is met
• Traffic logs record every session
o Extra information for troubleshooting
Enable performance statistic
o Some UTM events too logging for remote logging
o More system intensive devices on FortiGate

# config system global


set sys-perf-log-interval <number from 0-15>
end

43
• Es importante recordar que cuantos más registros se generen, mayor será el
costo de la CPU y los recursos de memoria. El almacenamiento de registros
durante un período de tiempo también requiere espacio en disco, al igual que
acceder a ellos. Por lo tanto, antes de configurar el registro, asegúrese de que
valga la pena los recursos adicionales y que su sistema puede manejar la
afluencia.

• También es importante tener en cuenta el comportamiento de registro con perfiles


de seguridad. Los perfiles de seguridad crean eventos de registro cuando se
detecta tráfico. Dependiendo de la cantidad de tráfico que tenga y la configuración
de registro habilitada, los registros de tráfico pueden aumentar y, en última
instancia, afectar el rendimiento de su firewall.

• En dispositivos de registro remotos, como FortiAnalyzer y Syslog, puede habilitar


el registro de estadísticas de rendimiento en FortiGate desde la CLI para que se
produzca cada 1-15 minutos. Esto no está disponible para el registro de disco
local o FortiCloud.

44
Viewing and Managing Logs
Viewing Log Messages (GUI)

Items in Log & Report


menu depend on Changed from Log
configuration as well as Settings page
incoming logs

46
Puede ver los registros en la GUI en el menú Registro y Reporte. Las opciones que aparecen en este menú
dependen de su configuración. Los registros de seguridad aparecen sólo si existen eventos de seguridad.

Seleccione el tipo de registro que desea ver, por ejemplo, Tráfico directo. A continuación, los registros aparecen
en una vista de tabla con formato. Para ver los detalles del registro, seleccione el registro de la tabla. A
continuación, los detalles del registro aparecen en el panel Detalles del registro a la derecha.

Si el archivado está habilitado en los perfiles de seguridad que lo admiten (como DLP), la información de
archivado aparece en el panel Detalles del registro en la sección Archived Data (Datos archivados). Los registros
archivados también se registran cuando se utiliza FortiAnalyzer o FortiCloud.

Si configuró FortiGate para iniciar sesión en varias ubicaciones y desea ver registros desde esas ubicaciones,
debe especificar la ubicación en la página Configuración de registro. En esta captura de pantalla, la ubicación del
registro se establece en Disco, ya que es la configuración configurada en la página Configuración de registro. Si el
registro en una ubicación remota, como Syslog, debe ver los registros a través de ese dispositivo en su lugar.

47
Filter Settings
• Reduces the number of
log entries displayed
• Filters are per column;
more can be added
• Right-click the column
of a specific log for
quick filter options
o Filteroptions based on
log type and column

48
• Dependiendo de su configuración, su FortiGate podría registrar un alto volumen
de registros. Esto puede hacer más difícil localizar un registro específico o un tipo
de registro, especialmente durante una investigación.

• Para navegar más eficientemente los registros, puede configurar filtros de


registro. Cuanta más información especifique en el filtro, más fácil será encontrar
la entrada de registro precisa. Los filtros son configurables para cada columna de
datos de registro en la pantalla.

• De forma predeterminada, se muestran las columnas más comunes y se ocultan


columnas menos comunes. En consecuencia, si filtrar datos basados en una
columna que está oculta, asegúrese de agregar la columna como una columna
seleccionada. Para agregar columnas, haga clic con el botón secundario en
cualquier campo de columna y, en el menú emergente que aparece, seleccione la
columna de la sección Columnas disponibles.

49
Quick Filters and Log Viewer Quarantine
• Right-click log to apply quick filters
• Option to quarantine
o Simplifies administration
• Quarantine Source
o Block
traffic from user (Source IP)
permanently or for a period of time
• Quarantine FortiClient
o Activates host quarantine
• Release user from Monitor > User
Quarantine

50
• También hay una opción para aplicar un filtro rápido a los registros.
Haga clic con el botón secundario en la columna de un mensaje de
registro específico y seleccione una de las opciones de filtro que
aparecen (las opciones varían según el tipo de registro y la
columna).

• FortiGate también le permite poner rápidamente en cuarentena la


dirección de origen a través del visor de registro. Haga clic con el
botón secundario en el registro y seleccione Dirección de origen de
cuarentena en el cuadro de diálogo que aparece. Puede establecer
la cuarentena en Temporal o Permanente y posteriormente
administrar la cuarentena desde la página Cuarentena de usuario.
51
Viewing Logs Associated with a Firewall Policy
• Policy & Objects > IPv4 Policy
• Access log messages generated
by individual policies

52
Downloading Logs
• Log & Report

• Download debug logs


o System > Advanced

53
• Puede descargar registros crudos (no formateados) haciendo
clic en el ícono de descarga en la página del tipo de registro
asociado (por ejemplo, registros de sucesos del sistema).
Puede filtrar los registros primero si desea descargar sólo un
subconjunto de registros.

• También puede descargar los registros de depuración de la


página Avanzada. Los mensajes de registro de depuración sólo
se generan si el nivel de gravedad del registro está establecido
en Debug. El Soporte al Cliente puede solicitar registros de
depuración para ayudar con la solución de problemas.

54
Backing Up Logs

• Three methods for backing up logs


(copying log files from database to
specified location):
o FTP

o TFTP

o USB

# execute backup disk alllogs usb

# execute backup disk log usb <log_type>

55
• Existen tres métodos para exportar registros: FTP, TFTP y USB.

• Para USB, los registros se exportan como archivos comprimidos LZ4. Puede
exportar a USB desde la CLI y la GUI.

• Cuando inserta una unidad USB en el puerto USB de su FortiGate, el menú USB
aparece en la GUI. El menú muestra la cantidad de almacenamiento disponible en
el disco USB, así como el tamaño del archivo de registro. Haga clic en Copiar en
USB para copiar el archivo de registro en la unidad USB.

• Desde la CLI, utilice el comando de ejecutar el disco de copia de seguridad alllogs


usb para realizar una copia de seguridad de todos los registros en USB. O para
realizar una copia de seguridad de los registros de tráfico en USB, utilice el
comando ejecutar disco de copia de seguridad usb <log_type> (donde <log_type>
es tráfico, evento, virus, filtro web, etc.).

56
Monitoring
La supervisión de su FortiGate es crítica para la respuesta a incidentes. Si está monitoreando su red
continuamente, puede ser capaz de detener un ataque en progreso o, si una violación es exitosa, saber
dónde se necesita refuerzo. La forma en que ocurre el ataque puede revelar debilidades en su configuración
o dar pistas importantes sobre la identidad del atacante.

Hay muchas maneras de supervisar su red. Puede supervisar a través de la Consola de mensajes de alerta,
el menú FortiView, el menú Monitor, el correo electrónico de alerta y SNMP.
Alert Message Console
• Alert Message Console (Dashboard)
o Customizable alert options
o Individual
alerts can be acknowledged and
removed from the list

59
• La consola de mensajes de alerta es un widget situado en el panel de
control de la GUI. Puede configurar el widget para que muestre las
alertas de acuerdo con sus preferencias haciendo clic en el icono de
lápiz. Por ejemplo, puede configurar los eventos que desea que
aparezcan como alertas y el número de alertas que se muestran.
Estas alertas no son alertas relacionadas con el registro, sino alertas
relacionadas con el sistema.

• Cuando aparece una alerta en la consola de mensajes de alerta,


permanece allí hasta que se reconozca. Una vez que investigue el
problema (y haga los ajustes necesarios), puede eliminarlo de la lista.

60
FortiView
• Comprehensive monitoring
system for your network Add filters to narrow search
Web Sites page
o Integrates real-time and
historical data into a single
view
o Logs and monitors threats to
networks, filters data, tracks
administrative activity and Filter by time
more
• Allows you to investigate
traffic activity
o Information provided in both
text and visual format
Drill down for more information Visual display

61
• FortiView es un completo sistema de monitoreo para su red que
integra datos en tiempo real e históricos en una sola vista en su
FortiGate. Puede registrar y monitorear las amenazas a las redes,
filtrar los datos en varios niveles, realizar un seguimiento de la
actividad administrativa y mucho más.

• A través de varias páginas del menú FortiView, puede investigar la


actividad de tráfico y emplear varios filtros para restringir su vista en
un período de tiempo específico (el almacenamiento local es
necesario para ver los registros 24 horas en el pasado). Tenga en
cuenta que algunos modelos FortiGate admiten una visualización de
tiempo de 7 días. Esto sólo puede habilitarse a través de la CLI
utilizando el comando config log setting.

62
FortiView monitoring options

• Sources and Destinations: Traffic sources and destinations


• Interfaces: Current and historical data per interface (includes
bandwidth)
• Countries: Source and destination countries (includes country map
visualization)
• Traffic Shaping: Existing traffic shapers information (sessions,
bandwidth, dropped bytes, and more)
• All Sessions: All FortiGate traffic
• Applications and Cloud Applications: Applications and cloud
applications being used on your network
• Web Sites: Top allowed and blocked websites
• Threats: Top users involved in incidences and top threats to network
• Threat Map: Risks from international locations arriving at your
location
• System Events: Security events detected by FortiGate

63
• Algunas de las áreas que puede supervisar bajo el menú FortiView incluyen:

• Fuentes: Le permite ver información sobre las fuentes de tráfico en su FortiGate. Usted
puede usar esto para investigar un pico en el tráfico, por ejemplo.
• Interfaces: Le permite realizar monitoreo actual e histórico por interfaz, con la capacidad
de monitorear el ancho de banda, en particular. Puede utilizar esto para investigar los
picos de tráfico asociados con una dirección IP, por ejemplo.
• Países: le permite filtrar el tráfico según los países de origen y de destino. Esto incluye
la opción para ver la visualización del mapa del país. Puede utilizar esto para investigar
el uso de ancho de banda de origen internacional para fuentes específicas, por ejemplo.
• Todas las sesiones: le permite ver información sobre todo el tráfico de FortiGate. Esta
consola tiene el mayor número de opciones de filtro de columna. Puede usar esto para
filtrar sesiones por número de puerto y tipo de aplicación, por ejemplo.
• Aplicaciones: Le permite ver información sobre las aplicaciones que se están utilizando
en su red.
• Aplicaciones en la nube: le permite ver información sobre las aplicaciones basadas en
la nube que se están utilizando en su red.
• Sitios Web: le permite ver información sobre los sitios web superiores permitidos y
superiores bloqueados por categorías de dominio o FortiGuard. Puede usar esto para
investigar una instancia de evitación de proxy, por ejemplo.
• Amenazas: le permite ver información sobre los principales usuarios involucrados en
incidencias, así como las principales amenazas en su red.
• Mapa de amenazas: le permite ver los riesgos procedentes de varios lugares
internacionales que llegan a su ubicación, mostrados a través de un mapa. Puede usar
esto para investigar diversas amenazas internacionales.

64
Monitoring
• Monitor  Collects monitoring functions

65
• También puede monitorear varias
funciones de monitoreo desde el menú
Monitor, tales como enrutamiento, DCHP,
enlace WAN, cuota de FortiGuard, IPsec,
SSL VPN, usuarios de firewall, cuarentena
de usuario, FortiClient, WiFi y AP rogue.

• Por ejemplo, el Monitor de enrutamiento


muestra información de enrutamiento que
incluye tipo, subtipo, red, puerta de enlace,
interfaz y tiempo de activación.

66
Alert Email

• Send notification to email


upon detection of event
• Must configure SMTP server first! Configure up to
o System > Advanced three recipients

Send alert by type OR


by severity level

Once SMTP server configured, Alert E-Mail menu item appears

67
• Puesto que no siempre se puede estar físicamente en el dispositivo, puede
supervisar los eventos mediante la configuración de correo electrónico de
alerta. Los correos electrónicos de alerta proporcionan un método eficaz y
directo de notificar a un administrador de los eventos.

• Antes de configurar el correo electrónico de alerta, debe tener configurado


un servidor SMTP en FortiGate. Una vez configurado, aparece el elemento
de menú Correo electrónico de alerta.

• Puede configurar mensajes de alerta desde la página Correo electrónico


de alerta. Puede activar mensajes de alerta basados en el tipo (por
ejemplo, cuando se detecta una intrusión o hay un fallo de autenticación
del firewall) o en el nivel de gravedad mínimo del registro (como todos los
registros en el nivel de alerta o superior). Puede configurar hasta tres
destinatarios.

68
SNMP Monitoring

SNMP agent Fortinet MIB

FortiGate SNMP manager

• SNMP agent sends traps, events, and query messages to SNMP


manager
o SNMP manager interprets using Management Information Base (MIB) files
(must load MIBs into SNMP manager)
• Implementation read-only access to FortiGate
through queries only

69
• Simple Network Management Protocol (SNMP) le permite monitorear hardware en su red.
Puede configurar el hardware, como el agente SNMP de FortiGate, para que informe la
información del sistema y envíe trampas (alarmas o mensajes de sucesos) a los
administradores SNMP. Un administrador SNMP, o host, es normalmente un equipo que
ejecuta una aplicación que puede leer los mensajes entrantes de captura y de eventos del
agente y enviar consultas SNMP a los agentes SNMP.

• Para configurar FortiGate para la supervisión SNMP, su administrador SNMP necesita el


archivo MIB (Management Information Base). Una MIB es un archivo de texto que describe
una lista de objetos de datos SNMP y proporciona información que el administrador SNMP
necesita para interpretar los traps SNMP y eventos enviados por el agente SNMP del
dispositivo FortiGate.

• La implementación de FortiGate SNMP es de sólo lectura. Los administradores SNMP v1,


v2c y v3 compatibles con SNMP tienen acceso de sólo lectura a la información del sistema
FortiGate a través de consultas y pueden recibir mensajes de trampas de FortiGate.

• Puede descargar los archivos MIB desde la página Sistema> SNMP o desde el sitio web de
soporte técnico de Fortinet (support.fortinet.com).

70
Reports
Report Overview
• Reports extract information from the
database
• Log database uses Structured Query
Language (SQL)
• Reports are built from datasets (SQL
statements)
• Two default reports:
o Learning Report
o Local Report

72
• La base de datos FortiGate que se utiliza para almacenar registros
también se utiliza para extraer información para los informes. La base
de datos de registro utiliza SQL (Structured Query Language).

• Los informes se crean a partir de conjuntos de datos, que son


sentencias SQL que le indican a FortiGate qué información extraer de la
base de datos.

• FortiGate también incluye dos informes por defecto: Informe de


aprendizaje e Informe

73
Cyber Threat Assessment Learning Report
• Learning report: Cyber Threat Assessment Learning Report
• Action = LEARN on firewall policy
• Captures data across all traffic and security vectors
• Collects and logs meaningful data for recommendation purposes,
including:
o Deployment Methodology
o Executive Summary
o Security and Threat Prevention
• High Risk Applications; Application Vulnerability Exploits; Malware, Botnets, and
Spyware/Adware; At-Risk Devices and Hosts
o User Productivity
• Application Usage, Web Usage

74
• Cuando el modo de aprendizaje está activado en una directiva de firewall, los
datos de todos los vectores de tráfico y seguridad se capturan y generan en el
Informe de aprendizaje de evaluación de amenazas informáticas. El propósito de
este informe es permitir a los usuarios implementar fácilmente un monitor y luego
hacer cumplir el proceso.

• Los datos incluyen:

• Metodología de implementación
• Resumen ejecutivo
• Seguridad y prevención de amenazas, que incluye aplicaciones de alto riesgo;
Vulnerabilidades de vulnerabilidades de aplicaciones; Malware, botnets y spyware
/ adware; Y dispositivos y equipos en riesgo
• Productividad del usuario, que incluye el uso de aplicaciones y el uso de la web

75
Enabling Learning Reports
• Requirements:
o Enable disk logging
o Ensure Policy Learning is
enabled on System > Feature
Select, so Learning Report
menu visible
o Enable LEARN
mode on a
firewall policy
• Per-VDOM

76
• Para habilitar los informes de aprendizaje, debe habilitar el registro
de disco y asegurarse de que Policy Learning esté habilitado en la
página Feature Select.

• También debe establecer Acción para APRENDER en la directiva de


firewall. Una vez habilitada, la directiva aplica automáticamente
perfiles estáticos predeterminados y transmite tráfico a perfiles de
seguridad para su supervisión. También permite el registro con
capacidades completas, que se etiquetan como Aprendizaje en los
registros.

• Los informes de aprendizaje están habilitados por VDOM.

77
Viewing Learning Reports
• View full report or report
summary report
• Specify time period Full report provides
o5 minutes category explanations

o1 hour
o 24 hours

78
• Puede seleccionar ver el informe completo o el resumen del
informe. Ambos proporcionan los mismos datos, pero el informe
completo proporciona explicaciones suplementarias basadas en
texto de las distintas categorías de informes.

• También puede especificar el período de tiempo del informe. El


informe puede proporcionar datos para los últimos 5 minutos, 1 hora
o 24 horas.

79
FortiGate Security Report
• Local Report: FortiGate Security Report
o Can run the report on demand, daily, or weekly
o Can email report
• Compiles security feature activity from various security-related
logs

80
• El informe de seguridad de FortiGate compila la actividad de
características de seguridad de varios registros relacionados
con la seguridad, como los registros de virus y ataques. Puede
ejecutar el informe a petición, o sobre una base diaria o
semanal, así como elegir enviar por correo electrónico el
informe generado.

81
Enabling Local Reports
• Requirements:
o Enable disk logging
o Enable local reports

o Ensure Local Reports is


enabled on System > Feature
Select, so Local Report menu
visible
• Per-VDOM

82
• Los informes FortiOS se configuran desde los registros almacenados
en el disco duro FortiGate. Como tal, debe habilitar el registro de disco
en la página Configuración de registro. También debe habilitar los
informes locales para poder ver y editar los informes.

• Si no ve los Informes locales en el menú de la GUI, vaya a la página de


selección de características y active los informes locales.

• Los informes locales están habilitados por VDOM.

83
Configuring, Running, and Viewing Reports
• Log & Report > Local Reports

Set schedule: daily, weekly, or on


demand

Generate on demand report (even if


scheduling enabled)

View generated
reports

84
• Puede configurar opciones de informe, ejecutar informes bajo
demanda y ver informes desde la página Informes locales.

• Las opciones de informe incluyen especificar un programa para


ejecutar un informe (por ejemplo, diariamente o semanalmente en una
hora específica del día) y especificar si enviar por correo electrónico
los informes generados. Si no desea programar informes, puede
elegir generar en la demanda en su lugar. Puede ejecutar informes de
demanda incluso si la programación está habilitada haciendo clic en
Ejecutar ahora.

• Puede ver todos los informes generados desde la tabla Informes


históricos.

85
Review
 Describe log types and subtypes
 Describe log severity levels
 Describe log format (header and body)
 Identify log storage locations
 Configure log settings
 Configure remote logging
 Enable logging on firewall policies
 View, filter, download, and export logs
 Monitor your network
 Configure alert email
 Configure, run, and view reports

86
 Después de esta lección, usted debe tener los conocimientos y habilidades
necesarias para:

 Describir los tipos y subtipos de registros


 Describir los niveles de gravedad del registro
 Describir el formato de registro (encabezado y cuerpo)
 Identificar ubicaciones de almacenamiento de registros
 Configurar la configuración del registro
 Configurar el registro remoto
 Habilitar el registro en las políticas de firewall
 Ver, filtrar, descargar y exportar registros
 Supervise su red
 Configurar el correo electrónico de alerta
 Configurar, ejecutar y ver informes

87

Вам также может понравиться