Приветствуем на втором уроке курса FortiAnalyzer Getting Started. Сегодня мы поговорим про механизм административных доменов на FortiAnalyzer, также обсудим процесс обработки логов — понимание принципов работы данных механизмов необходимо для первоначальных настроек FortiAnalyzer. И после этого мы обсудим макет, который будем использовать в ходе курса, а также проведем начальную конфигурацию FortiAnalyzer. Теоретическая часть, а также полная запись видеоурока находятся под катом.

Для начала еще раз поговорим про административные домены. Есть несколько вещей, которые необходимо про них знать, перед тем, как начать использовать:

  1. Возможность создания административных доменов включается и отключается централизованно.
  2. Для регистрации любых устройств, кроме FortiGate, необходим отдельный административный домен. То есть, если вы хотите зарегистрировать на устройстве несколько устройств FortiMail, вам необходим отдельный административный домен для этого. Но это не отменяет того, что для удобства группировки устройств FortiGate можно создавать различные административные домены.
  3. Максимальное число поддерживаемых административных доменов зависит от модели устройства FortiAnalyzer.
  4. При включении возможности создания административных доменов необходимо выбрать режим их работы — Normal или Advanced. В режиме Normal нельзя добавлять различные виртуальные домены (или по другому VDOMы) одного FortiGate в различные административные домены устройства FortiAnalyzer. В Advanced режиме такое возможно. Режим Advanced позволяет обрабатывать данные различных виртуальных доменов и получать по ним отдельную отчетность. Если вы забыли, что такое виртуальный домены, посмотрите второй урок курса Fortinet Getting Started, там это рассказано довольно подробно.

Создание административных доменов и распределение памяти между ними мы рассмотрим чуть позже в рамках практической части урока.

Теперь поговорим о механизме записи и обработки логов, поступающих на FortiAnalyzer.
Логи, поступающие на FortiAnalyzer, сжимаются и сохраняются в log файл. Когда этот файл достигает определенного размера, он перезаписывается и архивируется. Такие логи называются архивированными. Они считаются оффлайн логами, поскольку их невозможно проанализировать в реальном времени. Для просмотра они доступны только в raw формате. Политика хранения данных в административном домене определяет, сколько такие логи будут храниться в памяти устройства.
В это же время логи индексируются в базе данных SQL. Данные логи используются для анализа данных с помощью механизмов Log View, FortiView и Reports. Политика хранения данных в административном домене определяет, сколько такие логи будут храниться в памяти устройства. После того, как данные логи будут удалены из памяти устройства, они могут остаться в виде архивированных логов, но это зависит от политики хранения данных в административном домене.

Для понимания первоначальных настроек данных знаний нам вполне достаточно. Теперь обсудим наш макет:



На нём вы видите 6 устройств — FortiGate, FortiMail, FortiAnalyzer, контроллер домена, компьютер внешнего пользователя и компьютер внутреннего пользователя. FortiGate и FortiMail необходимы для генерации логов различных устройств Fortinet, чтобы на примере рассмотреть аспекты работы с различными административными доменами. Внутренний и внешний пользователи, а также контроллер домена необходимы для генерации различного трафика. На компьютере внутреннего пользователя установлена ОС Windows, а на компьютере внешнего — Kali Linux.

В данном примере FortiMail работает в режиме Server, то есть является отдельным почтовым сервером, с помощью которого внутренний и внешний пользователи могут обмениваться электронными сообщениями. Необходимые настройки, такие как MX записи, сконфигурированны на контроллере домена. Для внешнего пользователя DNS сервером является внутренний контроллер домена — это осуществлено с помощью проброса портов (или по другому технологии Virtual IP) на FortiGate.

Эти настройки не рассматриваются в ходе урока, поскольку они не относятся к теме курса. Будут рассмотрены развертывание и начальная конфигурация устройства FortiAnalyzer. Остальные составляющие текущего макета были подготовлены заранее.

Системные требования, предъявляемые к различным устройствам, представлены ниже. У меня данный макет работает на заранее подготовленной машине в виртуальной среде VMWare Workstation. Характеристики данной машины также указаны ниже.
Устройство RAM, GB vCPU HDD, GB
Контроллер домена 6 3 40
Внутренний пользователь 4 2 32
Внешний пользователь 2 2 8
FortiGate 2 2 30
FortiAnalyzer 8 4 80
FortiMail 2 4 50
Машина для макета 28 19 280
Системные требования, приведенные в данной таблице, являются минимальными — в реальных условиях обычно необходимо выделять больше ресурсов. Дополнительную информацию по системным требованиям можно найти на данном сайте.

В видеоуроке представлены теоретический материал, рассмотренный выше, а также практическая часть — с начальной конфигурацией устройства FortiAnalyzer. Приятного просмотра!


На следующем уроке мы подробно рассмотрим аспекты работы с логами. Чтобы не пропустить его, подписывайтесь на наш Youtube канал.

Также можете следить за обновлениями на следующих ресурсах:

Группа Вконтакте
Яндекс Дзен
Наш сайт
Телеграм канал