日志和报警Course201v4.0日志存储的种类与配置•选择日志方式和级别:FortiAnalyzerSysLog内存硬盘(200A、300A、400A可选硬盘版本或AMC硬盘)WebtrendsFortiGuard的服务如何启用FortiAnalyzer记录日志设置FortiAnalyzer的IP地址点击测试连接FortiAnalyzer设备(主机名称)FortiAnayler设备的主机名称。FortiGate设备(设备ID)FortiGate设备的序列号。注册状态FortiGate设备的注册状态。连接状态绿色对勾表示连接正常,灰色打叉表示没有连接。磁盘空间设定的空间分配给日志的存储空间。使用的空间以及使用的空间。未使用的空间剩余空间。权限显示发送与查看日至与报告的权限。Tx表示FortiGate设备配置将日志数据包发送到FortiAnalyzer设备。Rx表示FortiGate设备被允许查看存储在FortiAnalyzer设备中的报告与日志。检查指示框表示FortiGate设备具有发送与查看日志信息以及报告的权限。X表示FortiGate设备不被允许发送与查看日志信息。日志级别•级别:EmergencyAlertCriticalErrorWarningNotificationInformationDebug•例子:2007-01-1114:23:37log_id=0104032126type=eventsubtype=adminpri=notificationvd=rootuser=adminui=GUI(192.168.96.1)seq=3msg=Useradminaddednewfirewallpolicy3fromGUI(192.168.96.1)日志的种类•事件日志•流量日志•内容检测日志病毒过滤日志攻击日志Web过滤日志垃圾邮件日志IM和P2P日志VOIP日志•归档日志•捕获的IPS数据包如何启用流量日志•流量日志最好记录到外围设备,比如说FortiAnalyzer和SysLog不推荐本地硬盘记录流量日志•流量日志可以以下面两种方式启动:基于防火墙策略基于接口•基于防火墙策略记录流量更易于定位故障如何启动事件日志•启动非常简单•内容:系统事件VPN事件管理时间启用内容检测日志在防火墙的保护内容表中设置病毒过滤日志根据文件类型和文件名阻断的日志记录超过阈值的文件FortiGuard过滤日志查看事件、流量和内容检测日志文件•日志记录在本地,或者FortiAnalyzer,可以通过“日志访问”来查看启用内容归档•可以对以下协议传输的日志进行归档:HTTPFTPNNTPIM(AIM,ICQ,MSN,Yahoo!)Mail(POP3,IMAP,SMTP)•能够归档下载的文件和邮件•需要FortiAnalyzer只记录头内容只记录页面内容查看内容归档•日志与报告内容归档告警E-mail•根据消息的级别来产生邮件定义好的级别or事件类别•添加三个接收者•支持SMTP认证FortiAnalyzer设备•存储日志已备分析和归档FortiGate日志过滤设置哪些日志类型可以发送•日志文件传输可以通过IPSec通道加密•对没有硬盘的设备来说可以作为远程日志信息存放地•仅仅接受注册设备的日志信息SNMP•支持SNMPV1和V2c•MIB库可以从Fortinet支持网站上下载到•在接口上启用•Read(get)accessonly实验•1、记录管理员修改配置的日志•2、记录http协议的归档日志、病毒日志和流量。