大家好，我是讯享网，很高兴认识大家。

讯享网

 在本课中，你将学习如何保护、查看和管理FortiAnalyzer上的日志。通过了解FortiAnalyzer上的日志记录，你将能够使用日志数据重构和分析基于网络的攻击，以及解决和调查网络问题。

 在这节课中，你将探索这张幻灯片上所展示的主题。

 完成本部分后，你应该能够实现这张幻灯片上显示的目标。通过演示理解日志收集、日志存储和日志文件工作流的目的，你将更好地理解日志是如何编译和收集的。

 日志消息有助于描绘出网络中正在发生的事情。你可以确定网络设备上的负载，跟踪服务使用情况，并确定网络中的任何安全漏洞。然而，重要的是要理解日志就像一个谜题，你必须将几个部分组合在一起，以便完全理解所发生的事情。通常需要多个日志消息来确定导致入侵的确切活动链，单独的日志通常无法帮助你最好地配置网络，以防止将来出现此类入侵。

　　这就是集中日志存储如此重要的原因。

 在某些物理领域和某些业务领域，有一些规定要求并强制公司记录特定信息，并在最短的时间内存储日志。

　　条例常常详细说明所需的日志和数据的具体类型，因为这些日志条目可以在未经授权或非法活动的情况下作为证据。数据必须能够在法庭上站得住脚，所以能够理解和分析你的日志是非常重要的。

　　然而，信息泛滥是一个真实的问题。你希望确保所记录的任何信息都足以满足要求，同时仍然能够完成你的工作。拥有太多的数据和拥有太少的数据一样糟糕(在某些方面更糟糕)。

 重要的不仅是要收集和存储日志，而且要有效地管理它们。如果不创建管理日志的**实践，可能会导致数据丢失，甚至收入损失。特别是如果网络攻击导致了法律案件，你必须在法庭上提供适当的数据。

　　一些**实践包括以下内容：

　　● 记录被记录的内容和原因。如果需要根据日志数据调查一个新事件，可以查看文档，查看到底记录了什么，这样就知道是否有可能进行识别。

　　● 确保捕获所有设备和应用程序的数据，而不是过滤。监控设备以确保它们正在发送日志。

　　● 日志集中存储，存储格式统一。这使你的工作更容易，因为不需要检查多个位置来查看日志数据。

　　● 同步所有已记录设备的时间。如果你的防火墙说现在是凌晨3点，你的FortiAnalyzer说现在是凌晨12点30分，而你的计算机说现在是早上8点56分，交叉引用日志可能会非常困难。

　　● 维护日志备份，并设置日志保留周期

　　● 定义保存数据完整性的过程

　　● 测试和重新测试你的事件响应计划，以确保它能够正常工作，并且其他管理员知道他们的角色。

 为了能够分析和解释日志，了解不同的日志类型和它们包含的信息，以及FortiAnalyzer从每个支持的设备收集的日志是很重要的。

　　正如你在FortiGate培训中学到的，日志有三种类型：流量日志、事件日志和安全日志。每种日志类型都有对应的日志子类型。

　　在FortiAnalyzer上显示的日志取决于记录到它的设备类型和启用的特性。该表说明了FortiAnalyzer从各种支持的设备收集的日志类型和子类型。请注意，为了支持非FortiGate日志记录，你必须启用ADOM。

 当注册设备向FortiAnalyzer发送日志时，日志自动输入如下流程：

　　1. 原始日志被压缩并保存在FortiAnalyzer磁盘上的日志文件中。最终，当日志文件达到特定大小时，它就会滚动并归档。压缩阶段的日志称为归档日志。这些日志被认为是脱机的，不提供即时的分析支持。如果需要对归档日志进行分析，可以使用日志获取功能。日志获取将在本课后面讨论。

　　2. 这些相同的日志同时在SQL数据库中建立索引，以支持分析。ADOM数据策略决定了这些日志在分析中保存的时间。索引阶段的日志称为分析日志。这些日志被认为是在线的，并提供即时的分析支持。分析日志会按照数据策略中指定的方式从SQL数据库中清除，但它们仍然在归档中保持压缩。最终，该存档将根据ADOM数据策略删除。

 知识检查

 知识检查

 很好！现在你已经理解了基本的日志概念。

　　接下来，你将了解如何保护日志数据。

 完成本部分后，你应该能够实现这张幻灯片上显示的目标。

　　通过以不同的方式展示你可以保护日志的能力，你将能够满足对日志的组织或法律要求。

 你可以通过使用RAID来保护日志。这样，当FortiAnalyzer上发生关键事件时，你就可以拥有一份日志的副本。不是所有FortiAnalyzer型号都支持RAID。

  即使你使用RAID，它也不能代替备份日志。你可以通过GUl或CLI备份你的日志。

　　● Log View允许你下载特定的过滤视图。

　　● 通过Log Browse下载滚动日志。FortiAnalyzer还提供了上传日志到FTP、SFTP或SCP服务器的选项。

　　● CLI命令execute backup logs发送你指定的任何设备的所有内容。数据在发送之前被压缩，所以传输不是立即开始的。设备需要对日志进行处理并归档，这可能会花费一些时间。这个大容量数据转储可能包含大量数据，因此请确保您的服务器有足够的磁盘空间。

　　用户可以通过GUI和CLI两种方式恢复日志。

 为了在日志传递期间保护日志，你可以向你的环境添加冗余。在FortiGate到FortiAnalyzer环境中，有几个选项。

　　一种选择是配置FortiAnalyzer HA集群。当FortiAnalyzer主设备发生故障时，FortiAnalyzer HA提供实时冗余。当主设备故障时，会选择集群中的其他设备作为主设备。它可以在多个FortiAnalyzer设备之间安全地同步日志和数据。同时同步适用于HA的系统和配置。它还为运行报告等进程提供负载平衡。

　　第二个选项是配置FortiGate，将一组相同的日志发送到第二个日志服务器，例如第二个FortiAnalyzer或syslog。请注意，这将增加FortiGate设备上的负载，因为日志守护进程必须处理到第二个日志设备的额外TCP连接。但是，通过适当的系统大小，这种额外的负载将不会是一个因素。此选项不适用于不支持第二设备的较小的FortiGate设备。

　　另一种选择是在聚合模式下建立日志转发。通常，你的中心(聚合)设备将是一个更大的FortiAnalyzer，但这不是必需的。采集器将向聚合服务器发送日志增量(增量变化)。这两个设备比较它们存储的数据，收集器只发送分析仪没有的数据。这不仅减少了发送的通信量，而且还提供了一定程度的冗余。如果分析仪设备发生灾难性故障转移，收集器将发送它拥有的所有数据并自动重新填充分析仪。聚合模式仅在两台FortiAnalyzer设备之间支持。

 除了聚合模式外，日志转发还可以采用其他模式，聚合模式只适用于两台FortiAnalyzer设备之间。FortiAnalyzer还可以以实时方式将日志转发到syslog服务器、公共事件格式(CEF)服务器或其他FortiAnalyzer。将日志转发给另一个服务器的FortiAnalyzer扮演客户端角色，而接收者扮演服务器角色。

　　在配置日志转发之前，需要完成以下配置：

　　1. 配置日志转发方式：聚合或转发。

　　● 转发模式对收到的日志进行转发。它不转发内容文件(DLP、反病毒隔离和IPS)。

　　● 聚合模式存储日志和内容文件，并在计划的时间上传到FortiAnalyzer服务器。

　　2. 配置日志接收服务器。

　　3. 配置客户机(转发日志的FortiAnalyzer)。你还可以指定转发哪些设备的日志，并设置日志过滤器，只发送符合过滤条件的日志。

　　除了转发日志外，FortiAnalyzer客户端还保留日志的本地副本。日志的本地副本取决于FortiAnalyzer客户端上存档日志的数据策略设置。

 最后，你可以通过加密设备之间的日志通信来保护日志。

　　当信息在FortiAnalyzer和FortiGate之间同步时，通过SSL使用OFTP。OFTP监听端口TCP/514和UDP/514。

　　OFTPS是保护FortiGate和FortiAnalyzer之间通信的默认设置。

　　SSL通信在FortiAnalyzer和FortiGate之间是自动协商的，所以OFTP服务器将使用SSL加密的FTP，只有当连接的FortiGate使用它时。默认情况下，FortiGate和FortiAnalyzer使用高加密级别。FortiAnalyzer的加密级别必须等于或小于FortiGate设备。

 为了防止日志在存储时被篡改，可以使用config system global命令添加日志校验和。你可以配置FortiAnalyzer来记录日志文件散列值、时间戳和身份验证代码，当日志被滚动和归档时，以及当日志被上传时(如果启用了该特性)。这也可以帮助防止中间人在日志上传期间从FortiAnalyzer传输到SSH文件传输协议(SFTP)服务器。

　　以下日志校验和可用：

　　● md5：只记录日志文件的md5哈希值

　　● md5-auth：记录日志文件的MD5哈希值和认证码

　　● none：不记录日志文件校验和

　　也可以使用config system certificate OFTP命令将OFTP证书更改为自定义证书。你需要一个隐私增强邮件(PEM)格式的证书和相关联的PEM格式私钥。

 知识检查

 知识检查

 很好！现在你了解了如何保护日志。

　　接下来，你将了解在FortiAnalyzer上查看和搜索日志的方法。

 完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　通过展示查看日志、日志摘要和仪表板的能力，你将能够找到和查看与日志相关的各种信息。

 通过日志视图，可以查看每个ADOM的流量日志、事件日志和安全日志信息。可以将日志视图限制为ADOM中的一个或多个设备，也可以限制为一个日志组，日志组是放在单个逻辑对象中的一组设备。

　　日志组是虚拟的。它们没有SQL数据库，也不占用额外的磁盘空间。

 如果需要在日志视图中查询具体的日志，请在左侧菜单中选择设备和日志类型，并设置相应的过滤器。在这张幻灯片的例子中，过滤器被设置为类别描述“恶意网站”，你也可以指定一个ADOM中的所有设备或一个特定的设备，设定时间框架。

　　日志视图过滤器支持自动完成设置过滤器值。你可以使用下面的CL命令来控制这个特性：

　　#config system global

　　#set default-logview-auto-completion {Enable | DisabLe}

　　默认情况下，自动完成是启用的。

　　你还可以通过添加或删除列和查看实时或历史日志、原始或格式化日志来更改视图。

　　要查看有关日志的更多信息，双击日志条目。详细信息窗格出现在屏幕的右侧。

 你可以使用工具栏上的自定义视图图标将频繁搜索保存为自定义视图。设置过滤器，执行搜索，然后在自定义视图下保存搜索。

 你可以使用工具栏上的自定义视图图标将频繁搜索保存为自定义视图。设置过滤器，执行搜索，然后在自定义视图下保存搜索。

 FortiAnalyzer应用程序(如事件管理和自动化剧本)生成本地审计日志，可以在每个ADOM的Log View中访问。在根ADOM中，管理员既可以查看根ADOM的本地事件日志，也可以查看根ADOM的应用程序日志，其他ADOM只显示应用程序日志。

　　要查看应用程序日志的详细信息，请使用幻灯片中所示的日志浏览。右键单击App Events，然后选择Display查看详细信息。你也可以下载日志文件。

 FortiView是查看日志数据的另一种方式。FortiView包括FortiView和Monitors窗格。在FortiView窗格中，每个ADOM都有自己的数据分析，所以在查看FortiView窗格的内容之前，请确保你处于正确的ADOM中。

　　可以通过命令行禁用FortiAnalyzer FortiView模块进行性能调优。当禁用时，GUI将隐藏FortiView并停止该特性的后台处理。

　　使用命令行禁用FortiView。

　　config system global

　　    set disable-module fortiview-noc

 　　end

 FortiView是查看日志数据的另一种方式。FortiView将实时和历史数据集成到单个汇总视图中。只有分析日志中的数据是可用的。不显示归档日志中的数据。

　　FortiView窗格允许你在控制台中使用多个筛选器，使你能够根据用户ID或本地IP地址、应用程序等将视图缩小到特定的时间。你可以使用它来调查流量活动，例如用户在网络范围内的用户群或个人用户级别上上传和下载或在YouTube上观看的视频。

 FortiView允许你以表格和图形格式查看日志数据的摘要，FortiGate FortiCarrier和FortiClient EMS设备。例如，你可以查看你的网络面临的最大威胁、网络流量的最大来源和网络流量的最大目的地等。对于每个摘要视图，你可以深入到细节以及设置过滤器来显示特定的数据。

 FortiView监视器窗格是专为网络和安全操作中心，其中多个仪表板显示在一个SOC或NOC环境中的大监视器。

　　监视器显示实时监控和历史趋势。这种集中的监控和感知帮助你有效地监控网络事件、威胁和安全警报。使用监视器仪表板来查看网络活动的多个窗格，包括监控网络安全、被破坏的主机、漏洞安全结构、Wi-Fi安全、系统性能、终端、全球威胁研究和FortiClient软件清单。

 FortiView监控仪表板和小部件非常灵活，允许你做以下事情：

　　● 创建预定义使用模板或自定义仪表板。

　　● 为预定义和自定义仪表板添加、删除、移动或调整小部件的大小。

　　● 你可以在相同或不同的监视器上多次添加相同的仪表板。

　　● 监视每个窗口部件上的一个活动。

　　● 多次添加相同的小部件，并对每个部件应用不同的设置。例如，你可以添加窗口小部件来使用不同的图表类型、刷新间隔或时间段来监视相同的活动。

　　● 调整小部件的大小或以全屏显示小部件。

　　例如，如果一个仪表板有太多的小部件，可以在另一个监视器上创建相同或不同的仪表板，以更大的尺寸显示小部件。

 FortiView监视器包括预定义的仪表板，威胁，流量，应用和网站，被破坏的主机，FortiSandbox检测，端点，安全结构，VPN，WiFi，FortiClient软件清单，FortiClient(威胁，应用和网站，和端点)，本地系统性能，全球威胁研究和安全SD-WAN。

　　以下是一些仪表盘的详细信息：

　　● 威胁：包含的小部件有Top威胁目的地、Top威胁、威胁地图、按权重和次数排列的Top威胁和按时间排列的Top病毒事件。

　　● 受威胁的主机：这个监视器只有一个显示破坏宿主的小部件。默认情况下，这个小部件包括两个窗格：破坏宿主和破坏宿主事件。

　　● 本地系统性能：这个仪表板监视运行FortiView模块的FortiAnalyzer单元的系统性能，而不是日志设备。它包括CPU和内存使用率，多核CPU使用率，插入率vs接收率，接收率vs转发率，磁盘I/O，资源利用率平均值，资源利用率峰值，失败的认证尝试，系统事件和管理员登录。

　　● 安全SD-WAN监测：包含的小部件有SD-WAN性能状态、抖动、延时、丢包、应用的SD-WAN利用率。根据SD-WAN规则计算的带宽利用率、SD-WAN链路利用率、SD-WAN高事件和关键事件，SD-WAN规则利用率。

 FortiView值得一提的是威胁指标(IOC)。IOC引擎根据IOC签名(基于FortiGuard订阅)检查新的和历史日志，从而检测终端用户是否存在可疑的web使用危害。

　　FortiAnalyzer上的漏洞检测引擎采用FortiGuard威胁检测服务（TDS）智能的通过分析web过滤日志进行漏洞检测。TDS情报每天更新以反映真实世界的威胁情况。请注意，来自AV/IPS等的日志不会被使用，因为这些威胁已经被FortiGate上的这些服务检测到或阻止了。当发现威胁匹配时，将根据TDS的总体排名评分为最终用户提供威胁评分。当检查完成时，FortiAnalyzer将汇总终端用户的所有威胁评分，并对终端用户的总体IOC给出其判定。判决可能是以下之一：

　　● 已感染：表示真正的违规。日志中有或有被加入黑名单的IP或域生成算法 (DGA) 匹配。

　　● 高度可疑：表示可能存在违规。

　　对于恶意软件、僵尸网络和入侵检测的报告和历史审计，你可以查看威胁报告。

 为了配置IOC，你需要以下内容：

　　● 向IOC订阅一年。请注意，FortiAnalyzer确实包含一个评估许可，但它是有限制的，只是为了让你了解该特性是如何工作的。

　　● FortiGate上的web过滤服务订阅

　　● FortiGate上的Web过滤策略，用于将流量发送到FortiAnalyzer

 下面是FortiView中IOC命中的一个例子。漏洞检测引擎已确定一个真正的漏洞，如“感染”裁决所示。威胁的#列表示有10种不同的威胁与此命中相关联。

　　你还可以看到两种主要的智力类型：

　　● 黑名单，包括僵尸网络恶意IP和DNS天坑，以及DGA域名。

　　● 可疑列表，其中每个URL都与一个排名分数相关联。排名的分数是相对的基于威胁情报众包，每天处理一次。

　　在IOC FortiView中，你可以：

　　● 通过添加过滤器、指定设备或时间段来过滤条目。你最多可以查看7天的历史，每次检测都使用当天的威胁情报。

　　● 通过单击确认列中的Ack确认IOC(你仍然可以查看确认的lOC)。

　　● 双击一个条目以下钻并查看威胁详细信息。

 在FortiView中，如果IP地址没有解析为主机名，则必须在FortiAnalyzer上配置本地DNS服务器。然后，输入本幻灯片所示的CLI命令。

　　这将在每次FortiView刷新时引起轻微的延迟，因为它需要解决。在非常大的环境中，延迟可能更明显，这取决于需要解析的IP数量，以及DNS服务器的速度。

　　建议在FortiGate端进行IP解析，作为**实践。这是因为你同时获得了源和目标，并且它从FortiAnalyzer卸载了工作。在FortiAnalyzer上，该IP解析只针对目的IP。

 使用FortiAnalyzer，你可以启用日志获取。这允许FortiAnalyzer从另一个FortiAnalyzer获取指定设备的存档日志，然后你可以对其运行查询或报告以进行取证分析。日志获取通过以下方式大大简化了基于日志数据的报表生成：

　　● 允许管理用户选择要建立索引的设备和时间段

　　● 允许对纳入ADOM的索引日志进行自定义日志保留设置，以适应基于旧日志生成报告的目的

　　● 避免在从外部备份源导入时可能发生的日志重复

　　获取日志的FortiAnalyzer设备作为获取客户端，而发送日志的另一个FortiAnalyzer设备作为获取服务器。日志抓取只能发生在两个FortiAnalyzer设备之间，并且它们必须运行相同的固件版本。一个FortiAnalyzer设备可以执行获取服务器或客户端角色，它可以在另一端使用不同的FortiAnalyzer设备同时执行两个角色。在两个FortiAnalyzer设备之间，一次只能建立一个日志获取会话。

　　如果你只有一个FortiAnalyzer，日志获取不是一个选项。在本例中，你将导出和导入日志文件。你可能希望在重新导入FortiAnalyzer之前删除导出的日志文件，这样归档文件中就不会有这些日志的副本。

 FortiSoC是一种订阅服务，它支持FortiAnalyzer上的安全编排、自动化和响应(SOAR)以及安全信息和事件管理(SIEM)功能。

　　FortiAnalyzer SIEM能够解析、规范化和关联来自Fortinet产品的日志以及Windows和Linux主机的安全事件日志(与Fabric Agent集成)。解析是预定义的不需要管理员手动配置。在日志视图中，SIEM日志显示为Fabric日志。

　　FortiSoC提供了通过剧本自动化来加速事件响应的事件管理能力。

　　请注意，在FortiAnalyzer上启用SOAR特性时，Incident & Events窗格是FortiSOC的一部分。

 当FortiAnalyzer拥有有效的订阅许可证时，FortiSoC模块将被激活，管理员可以访问SOAR特性。SOC分析师可以使用剧本配置任务自动化，剧本由触发器和自动化操作序列组成。

　　剧本可以从头创建，也可以使用预定义模板之一创建。通过允许剧本使用连接的设备(包括FortiOS和FortiClient EMS)执行任务，Fabric连接器进一步增强了FortiSoC功能。

　　剧本包括一个启动事件(触发器)，它决定剧本何时执行。每个剧本只能包含一个触发点。导火索总是剧本的第一步。一旦触发了剧本，它将使用这个触发器作为起点，通过剧本中的路由定义的其余任务。

　　任务包括在带有配置FortiSoC连接器的FortiAnalyzer或设备上发生的自动操作。任务可以按顺序链接在一起。一旦剧本被触发，并且在它之前的所有连接任务都完成，任务就会运行。任务可以配置默认输入值，也可以从触发器或前面的任务中获取输入。

　　你可以在FortiSoC > Automation > Playbook Monitor中查看剧本工作的状态。

　　状态包括：

　　● 运行

　　● 成功

　　● 失败

　　请注意，包含一个或多个失败任务的剧本作业在playbook Monitor中被标记为失败。然而，个别操作可能已经成功完成。

 FortiSoC包括多个仪表板，用于查看以下信息：

　　● Playbooks

　　● Incidents

　　● Events

　　Playbook仪表板包括“总执行剧本”、“总执行剧本动作”、“总执行剧本”、“总节省时间”和“总执行剧本和动作”

　　Incidents事件仪表板包括“总事件”。尚未解决的事件和事件的时间表。

　　Events仪表板包括生成/减轻/未处理的事件总数、按严重级别的事件、按类型的顶级事件和按处理程序的顶级事件。

 通过Fabric View模块，你可以创建Fabric连接器并查看端点列表。你可以使用FortiAnalyzer来创建以下类型的Fabric连接器：

　　● ITSM连接器包括：ServiceNow、Webhook，一个通用连接器

　　● Storage连接器包括：Amazon S3、Microsoft Azure、Goold Cloud

　　● Security Fabric连接器包括：FortiClient EMS在端点上执行EMS操作。一旦配置完成，fabric连接器将丰富资产和FortiSoC中可用的事件响应相关操作。

 Fabric View > Identity Center窗格从相关日志中显示网络中的用户和端点列表，并将它们与FortiAnalyzer模块关联。标识中心对于用户和端点映射非常有用。一些用户可能在网络中使用多个端点，端点可能使用多个不同的接口进行连接，网络接口可能有多个IP地址，等等。当你分析日志、事件和事件时，用户及其端点的映射为你提供了更好的可视性。这也有助于你的报道。

　　Fabric View > Assets窗格是安全分析人员查看端点和用户信息以确保它们符合要求的中心位置。端点是网络中的重要资产，因为它们是网络安全漏洞的主要入口点。

　　Assets窗格对于以下情况是有用的：

　　● 事件响应：在SOC分析和事件响应过程中检查受感染或易受攻击的资产。

　　● 遵从性：识别未知的和不遵从的用户和端点。

　　可以直接从FortiView、Log view和Incidents & Events窗格查看相关的身份和资产日志。单击用户或端点日志，然后单击弹出窗口中的Topography链接。

　　注意，如果你的安装中没有FortiClient，最终用户信息是有限的：

　　● 基于MAC地址检测端点，以IP地址而不是主机名显示端点。

　　● 用户相关信息可能不可用。

　　● 详细信息，如操作系统版本、化身和社会ID信息是不可用的。

 知识检查

 知识检查

 非常好！现在你已经了解了如何查看和搜索日志。

　　接下来，你将学习如何排除故障并管理日志。

 完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　通过展示故障排除和日志管理方面的能力，你将能够确保不会丢失有价值的日志数据。

 为了了解你的日志卷以及你的磁盘配额是否配置正确，你可以使用本幻灯片中显示的CLI命令来收集日志速率和设备使用统计信息。例如，如果你的日志量太高，你将无法将日志保存在分析和归档中，以满足在ADOM中配置的时间量。

　　在运行幻灯片中所示的命令之前，运行# diagnose debug enable。

 为了了解每个ADOM的日志速率和日志卷，可以使用本幻灯片所示的CLI命令来收集日志速率和卷统计信息。这在FortiAnalyzer管理员使用多个ADOM来管理多个FortiGate设备(如MSSP)的环境中非常有用。

　　在运行本幻灯片所示的命令之前，运行# diagnose debug enable。

 你还可以使用相应的仪表板小部件查看日志插入速率、接收速率和日志插入延迟时间。默认情况下，这些小部件不会添加到仪表板中。要添加这些小部件，可以单击左上角的Toggle Widgets并添加这些小部件。

　　插入速率与接收速率是一个图表，它显示了原始日志到达FortiAnalyzer的速率(接收速率)和被SQL数据库和sqlplugind守护进程索引的速率(插入速率)。

　　日志插入延迟时间显示了从接收日志到建立日志索引之间的时间。

 根据你的日志速率和设备使用统计数据，你可能需要调整ADOM磁盘配额，以避免丢失有价值的日志数据。

　　始终监视ADOM中每个设备的日志速率。如果日志量很大，请增加ADOM配额，这样最早的日志就不会过早丢失。

　　给ADOM分配配额不足会导致许多问题。它可以：

　　● 防止你达到你的日志保留的目标

　　● 导致不必要的CPU资源强制配额日志删除和数据库修剪

　　● 如果配额执行在报告完成之前对分析数据采取行动，则会对报告产生不利影响

 除了增加磁盘日志配额之外，还可以做些什么来更好地管理磁盘上的日志?

　　你可以：

　　● 指定全局日志滚动策略，当日志大小超过设置的阈值时进行滚动或上传

　　● 为FortiAnalyzer上的所有日志文件、隔离文件、报告和内容归档文件指定全局自动删除策略

 知识检查

 知识检查

 非常好！现在你已经了解了如何排除故障并管理日志。

　　接下来，你将学习如何监视事件。

 完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　通过演示事件处理程序的能力，你将能够提高调查事件的效率。

 在FortiSoC窗格下，事件监视器屏幕显示了启用和配置的事件处理程序生成的所有事件。

　　双击事件可以提供有关该事件的详细信息，包括相关的日志。它还允许你为你的记录留下评论，并确认事件。

　　事件处理程序在原始日志中工作，而不是在数据库日志中。

 事件处理程序是原始日志中的特定匹配条件，它们决定要生成什么事件。

　　系统包含许多预定义的事件处理程序，你可以启用它们来生成事件。你还可以配置事件处理程序，以通过电子邮件、SNMP trap或syslog服务器发送警报通知。为了使用任何这些通知方法，你必须首先设置后端(例如，用于电子邮件通知的电子邮件服务器)。

　　如果没有预定义的事件处理程序满足你的需求，你可以创建自定义事件处理程序。

 在配置事件处理程序时，通用文本筛选器允许更精确和灵活地控制哪些日志触发事件。支持多个操作符和逻辑。你可以将光标悬停在问号上以查看示例。

　　作为提示，你可以在原始日志中搜索希望在其上添加事件处理程序的日志文件，并复制希望匹配的字符串。

 你现在可以在新的附加信息字段的事件处理程序中创建自定义消息。你可以使用缺省信息或配置自定义消息。自定义消息可以包括变量和日志字段。使用此特性可以提供自定义信息，包括来自字段和变量的特定细节。

　　这些附加信息可以包含在电子邮件通知中，或传递到ITMS平台，如ServiceNow。使用此特性，你可以在不进入日志的情况下查看事件细节。

 知识检查

 下面是一些日志记录的**实践：

　　● 上传FortiAnalyzer本地日志到远程服务器

　　● 将本地事件日志记录级别提高到调试级别

　　● 配置系统关键事件的SNMP trap

　　● 对于每天滚动的日志，配置日志上传

 恭喜你！你已经完成了这一课。

　　现在，你将回顾你在本课中涉及到的目标。

 这张幻灯片显示了你在本课中涉及的目标。

　　通过掌握本课的目标，你学习了如何在你的系统中有效地使用日志。