Bienvenue dans la deuxième leçon du cours de mise en route FortiAnalyzer . Aujourd'hui, nous parlerons du mécanisme des domaines administratifs sur FortiAnalyzer , nous discuterons également du processus de traitement des journaux - la compréhension des principes de fonctionnement de ces mécanismes est nécessaire pour les paramètres initiaux de FortiAnalyzer . Et après cela, nous discuterons de la mise en page que nous utiliserons pendant le cours, ainsi que de la configuration initiale de FortiAnalyzer . La partie théorique, ainsi que l'enregistrement complet de la leçon vidéo, sont sous la coupe.
Pour commencer, parlons à nouveau des domaines administratifs. Il y a plusieurs choses que vous devez savoir à leur sujet avant de commencer à les utiliser:
- La possibilité de créer des domaines administratifs est activée et désactivée de manière centralisée.
- , FortiGate, . , FortiMail, . , FortiGate .
- FortiAnalyzer.
- — Normal Advanced. Normal ( VDOM) FortiGate FortiAnalyzer. Advanced . Advanced . , , Fortinet Getting Started, .
Nous examinerons la création de domaines administratifs et l'allocation de mémoire entre eux un peu plus tard dans le cadre de la partie pratique de la leçon.
Parlons maintenant du mécanisme d'enregistrement et de traitement des logs reçus par FortiAnalyzer.
Les journaux envoyés à FortiAnalyzer sont compressés et enregistrés dans un fichier journal. Lorsque ce fichier atteint une certaine taille, il est écrasé et archivé. Ces journaux sont appelés archivés. Ils sont considérés comme des journaux hors ligne car ils ne peuvent pas être analysés en temps réel. Ils sont disponibles pour la visualisation uniquement au format brut. La politique de stockage des données dans le domaine administratif détermine la quantité de ces journaux qui seront stockés dans la mémoire de l'appareil.
En même temps, les journaux sont indexés dans la base de données SQL. Ces journaux sont utilisés pour l'analyse des données à l'aide des mécanismes Log View, FortiView et Reports. La politique de stockage des données dans le domaine administratif détermine la quantité de ces journaux qui seront stockés dans la mémoire de l'appareil. Une fois ces journaux supprimés de la mémoire de l'appareil, ils peuvent rester sous la forme de journaux archivés, mais cela dépend de la politique de stockage des données dans le domaine administratif.
Pour comprendre les paramètres initiaux, cette connaissance nous suffit. Parlons maintenant de notre mise en page:
Vous y voyez 6 appareils: FortiGate, FortiMail, FortiAnalyzer, contrôleur de domaine, ordinateur de l'utilisateur externe et ordinateur de l'utilisateur interne. FortiGate et FortiMail sont nécessaires pour générer des journaux pour divers appareils Fortinet, afin de prendre en compte les aspects du travail avec divers domaines administratifs par exemple. Les utilisateurs internes et externes ainsi qu'un contrôleur de domaine sont nécessaires pour générer un trafic différent. L'ordinateur de l'utilisateur interne exécute Windows et l'ordinateur de l'utilisateur externe est Kali Linux.
Dans cet exemple, FortiMail fonctionne en mode Serveur, ce qui signifie qu'il s'agit d'un serveur de messagerie séparé via lequel les utilisateurs internes et externes peuvent échanger des e-mails. Les paramètres requis, tels que les enregistrements MX, sont configurés sur le contrôleur de domaine. Pour un utilisateur externe, le serveur DNS est un contrôleur de domaine interne - cela se fait à l'aide de la redirection de port (ou d'une autre technologie IP virtuelle) sur FortiGate.
Ces paramètres ne sont pas traités dans cette leçon car ils ne sont pas pertinents pour le sujet du cours. Le déploiement et la configuration initiale de l'appliance FortiAnalyzer seront couverts. Le reste des composants de la mise en page actuelle ont été préparés à l'avance.
La configuration système requise pour divers appareils est présentée ci-dessous. Cette mise en page fonctionne pour moi sur une machine pré-préparée dans l'environnement virtuel VMWare Workstation. Les caractéristiques de cette machine sont également indiquées ci-dessous.
| Dispositif | RAM, Go | vCPU | Disque dur, Go |
| Contrôleur de domaine | 6 | 3 | 40 |
| Utilisateur interne | 4 | 2 | 32 |
| Utilisateur externe | 2 | 2 | 8 |
| FortiGate | 2 | 2 | trente |
| FortiAnalyzer | 8 | 4 | 80 |
| FortiMail | 2 | 4 | 50 |
| Machine de mise en page | 28 | 19 | 280 |
Le didacticiel vidéo présente le matériel théorique discuté ci-dessus, ainsi que la partie pratique - avec la configuration initiale du dispositif FortiAnalyzer. Bonne visite!
Dans la prochaine leçon, nous examinerons de plus près les aspects de l'utilisation des journaux. Pour ne pas le rater, abonnez-vous à notre chaîne Youtube .
Vous pouvez également suivre les mises à jour sur les ressources suivantes:
Groupe Vkontakte
Yandex Zen
Notre site Web
Chaîne télégramme