Pozn.: Popis v článku vychází z FortiAnalyzer VM verze 6.2.3.
Dokumentace
- FortiAnalyzer 6.2
- VMWare ESXi VM Install Guide 6.2.0
- FortiAnalyzer 6.2.3 Administration Guide
- FortiAnalyzer 6.2.0 Cookbook
![FortiAnalyzer hlavní strana FortiAnalyzer hlavní strana](/gallery2/002409.png)
Instalace FortiAnalyzer VMware
FortiAnalyzer je k dispozici jako VM (Virtual Machine) pro různé platformy (VMware vSphere, Citrix Xen Server, Xen, KVM, Microsoft Hyper-V a další cloudové služby). Podporuje maximálně 10 000 zařízení/VDOM a různé množství denních logů (od 1 GB) a úložné kapacity (od 500 GB), což je řešeno licenčně. Minimální HW nároky jsou 2 vCPU, 4 GB vRAM a 1 vNIC, ale doporučené minimum je 4 vCPU, 8 GB vRAM a 1 vNIC.
FortiAnalyzer Image můžeme stáhnout z webu Fortinet Customer Service & Support, sekce Download - VM Images. Kde si vybereme produkt a platformu. Pro VMWare ESXi stáhneme zip (FAZ_VM64-v6-build1235-FORTINET.out.ovf.zip), který obsahuje OVF šablonu a disky. Bez zalicencování funguje 14 denní trial.
Stručný postup úvodního zprovoznění VM
- vytvoříme virtuál ze šablony (Deploy OVF Template a vybereme všechny soubory)
- vybíráme úložiště a typ disku, FortiAnalyzer potřebuje velký prostor, tak může být vhodné použít Thin Provision a případně vytvořit větší disk, než aktuálně plánujeme (je to jednodušší než budoucí rozšiřování)
- image má 4 síťové adaptéry, síť Network 1 (Network Adapter 1 = Port 1) nastavíme do management sítě, ostatní můžeme vypnout
- patrně můžeme upgradovat VM compatibility (třeba na VM version 13)
- než VM nastartujeme, tak upravíme HW parametry, vCPU, vRAM, vNIC, disky Hard Disk 1 je systémový (neměnit), Hard Disk 2 je pro logy (musíme zvětšit)
- nastartujeme VM
- připojíme se na konzoli, uživatel admin prázdné heslo, nastavíme nové heslo
- v CLI nastavíme síťové parametry, abychom se následně mohli připojit na webové rozhraní (defaultně je povolen přístup HTTPS a SSH)
Můžeme vypsat síťová rozhraní
diagnose fmnetwork interface list
Nastavení IP adresy na port 1
config system interface edit port1 set ip 192.168.0.10 255.255.255.0 end
Nastavení brány
config system route edit 1 set device port1 set gateway 192.168.0.1 end
Otestování komunikace
execute ping 192.168.0.10
Registrace licence
Na webu Fortinet Customer Service & Support Register/Activate Contracts zadáme Registration Code. Můžeme zároveň registrovat podporu. Zadáme jméno pro identifikaci a musíme zadat IP adresu, kterou má některé rozhraní FortiAnalyzer. Pokud máme rozšiřující licence, tak nejprve všechny registrujeme na webu, získáme společný licenční soubor a ten nahrajeme na FortiAnalyzer.
Licence se nahrává přes CLI nebo GUI System Settings > Dashboard v sekci License Information. Po nahrání licence je třeba restart.
![FortiAnalyzer Dashboard FortiAnalyzer Dashboard](/gallery2/002410.png)
Princip a nastavení ukládání logů (Log Storage)
Všechna log data se ukládají na disk FortiAnalyzer. Jsou uložena komprimovaná na souborovém systému a po určitou dobu se nachází v SQL databázi. Data mohou být v jedné ze tří fází:
- Real-time log - právě přijaté a nezpracované položky
- Analytics logs or historical logs - indexované položky v DB ve stavu online, mohou se použít pro reporty, Log View, SOC, Incidents & Events
- Archive logs - komprimované logy na disku ve stavu offline
Komprimované logy se přijímají a ukládají do log souboru na disk. Když log soubor dosáhne zadané velikosti (Device Log Settings), tak se archivuje a vytvoří nový. Zároveň se logy ukládají do databáze a indexují. To jsou online data, která slouží k analýze.
Data jsou v databázi uchována po zadanou dobu (Storage Info) a následně se odmazávají (pořád zůstávají v log souborech na disku). Offline archivní data na disku (zabírají výrazně méně místa než data v DB) jsou opět odmazávána po zadané době (Storage Info).
Prohlížení logů
- Log View - prohlížení logů, standardně zobrazuje Historical, ale můžeme přepnout Tools > Real-time Log
- Log View > Log Browse - může prohlížet i archivované logy
- SOC - FortiView
Globální nastavení odmazávání souborů
- System Settings > Advanced > File Management
Můžeme nastavit automatické odmazávání logů, reportů, archivů a souborů v karanténě po zadaném čase. Toto nastavení se uplatňuje vždy, pokud v politice ukládání logů nastavíme delší čas, tak budou stejně logy smazány dle tohoto globálního nastavení.
Nastavení log souboru
- Settings > Advanced > Device Log Settings
Můžeme nastavit velikost souborů s logy a přeposílání na další zařízení.
Informace o využití úložiště a nastavení politik
- System Settings > Storage Info
Ukazuje informace o využití ukládání logů. Editací položky můžeme konfigurovat politiky Log Storage Policy. V horní části vidíme graficky využití prostoru na disku pro analytická data (online) a archiv (offline). Kliknutím na graf se dostaneme na informace o jednotlivých zařízeních.
V dolní části se nachází nastavení politiky, které ovlivňuje logy a SQL databázi zařízení přiřazených k této politice. V části Data Policy nastavujeme, jak dlouho se mají uchovávat data. V části Disk Utilization pak konfigurujeme využití disku:
- Allocated - kolik z dostupného místa se má použít (systém si rezervuje určitou část disku pro své použití)
- Analytics : Archive - určujeme poměr využití disku pro online a offline data (default je 70:30)
- Alert and Delete When Usage Reaches - při daném obsazení disku se odešle alert a začnou se odmazávat nejstarší data
![FortiAnalyzer Storage Info - Log Storage Policy FortiAnalyzer Storage Info - Log Storage Policy](/gallery2/002411.png)
Základní nastavení
Dashboard
- System Settings > Dashboard
Různé widgety s informacemi, licencí, apod. V Unit Operation je restart a shutdown. V System Information je přejmenování jednotky, systémový čas, záloha a další.
Certifikáty
- System Settings > Certificates > Local Certificates
- System Settings > Certificates > CA Certificates
- System Settings > Admin > Admin Settings - HTTPS & Web Service Certificate
Administrative Domains
- System Settings > All ADOMs
Administrative Domains umožní vytvořit domény, do kterých zařadíme zařízení a přiřadíme jim administrátory. Tedy povolíme určitým správcům přístup na vybraná zařízení. Pokud ADOM nepoužíváme, tak existuje root ADOM v Security Fabric.
Editací (Root) ADOM vidíme zařazená zařízení a nastavení Log Storage Policy.
Správci
- System Settings > Admin > Administrators
Administrátoři se mohou ověřovat lokálně (i certifikátem) nebo vůči LDAP, RADIUS, TACACS+. Nastavení je podobné jako na FortiGate. FortiAnalyzer 6.2.5 - Authentication
Je možno nastavit, že členové LDAP skupiny jsou správci. Technical Note: How to configure FortiAnalyzer administrators LDAP account using the wildcard setting
Nastavení sítě
- System Settings > Network
Nastavíme adresy, DNS, povolení přístupů pro správu.
Poštovní server
- System Settings > Advanced > Mail Server
Připojení FortiGate k FortiAnalyzer
Nastavení FortiGate
- Global - Log & Report - Log Settings
- část Remote Logging and Archiving zapneme Send logs to FortiAnalyzer/FortiManager
Zadáme IP adresu FortiAnalyzer a můžeme otestovat Test Conenctivity, měli bychom dostat informaci, že FortiGate není autorizován. Můžeme změnit odesílání logů na Real Time.
![FortiGate Send logs to FortiAnalyzer FortiGate Send logs to FortiAnalyzer](/gallery2/002412.png)
Nastavení FortiAnalyzer
- Device Manager
Pod Unauthorized Devices vidíme náš FW, který autorizujeme a zadáme jméno.
FortiAnalyzer upgrade
Dokumentace FortiAnalyzer 6.2.5 Upgrade Guide, FortiAnalyzer 6.2.5 Release Notes, FortiAnalyzer 6.4.0 Compatibility with FortiOS
Upgrade je podrobně popsán v oficiální dokumentaci, zde jsou jen základní kroky.
FortiAnalyzer Firmware Image pro upgrade stáhneme z webu Fortinet Customer Service & Support, sekce Download - VM Images. Vybereme produkt FortiAnalyzer, záložka Download a doklikáme se k požadované verzi. Pro VMWare ESXi jde o soubor začínající FAZ_VM64
s příponou .out
, to je soubor pro upgrade (64-bit firmware image to upgrade your existing FortiAnalyzer VM installation). Jméno je třeba FAZ_VM64-v6-build1307-FORTINET.out. Soubor s příponou .out.ovf.zip
obsahuje balíček pro novou VM instalaci (OVF a VMDK).
Přípravné kroky
- Device Manager - kontrola zařízení, že žádné není ve stavu Log Status Down
- System Settings - Dashboard - kontrola stavu systému, licence, vytížení
- System Settings - Dashboard - System Configuration - Backup
Upgrade
- System Settings - Dashboard - Firmware Version - Upgrade Firmware
- zvolíme soubor a potvrdíme OK
- balíček s firmwarem se okamžitě začne nahrávat a bez dalšího potvrzení probíhá upgrade a restart, vše trvá pár minut
![FortiAnalyzer Upgrade Firmware FortiAnalyzer Upgrade Firmware](/gallery2/002458.png)
Kontrola
- přihlásíme se na FortiAnalyzer
- System Settings - Event Log - zkontrolujeme logy
- po upgradu může probíhat rebuild DB
Zatím zde nejsou žádné komentáře.