Beruflich Dokumente
Kultur Dokumente
© FORTINET
Fortinet Forums
https://forum.fortinet.com
Fortinet Support
https://support.fortinet.com
FortiGuard Labs
http://www.fortiguard.com
Feedback
Email: courseware@fortinet.com
10/2/2018
DO NOT REPRINT
© FORTINET
TABLE OF CONTENTS
In this lesson, you will learn about the key features and concepts of FortiAnalyzer and how to initially
configure FortiAnalyzer.
FortiAnalyzer integrates logging, analytics, and reporting into one system so you can quickly identify and
react to network security threats.
In this lesson, you will explore the topics shown on this slide.
Después de completar esta sección, debe poder lograr los objetivos que se muestran en esta diapositiva.
Al demostrar competencia en las características y conceptos clave de FortiAnalyzer, podrá usar el dispositivo de
manera efectiva en su propia red.
FortiAnalyzer agrega datos de registro de uno o más dispositivos Fortinet, actuando así como un repositorio de
registro centralizado. Esto proporciona un solo canal para acceder a sus datos completos de red, por lo que no
necesita acceder a múltiples dispositivos varias veces al día.
2. FortiAnalyzer recopila y almacena esos registros de una manera que facilita la búsqueda y ejecución de informes.
3. Los administradores pueden conectarse a FortiAnalyzer usando la GUI para ver los registros manualmente o mirar
los datos en cualquier informe generado.
Algunas características clave de FortiAnalyzer incluyen informes, generación de alertas y archivo de contenido.
Los informes proporcionan una imagen clara de los eventos, actividades y tendencias de la red que se producen en
los dispositivos compatibles. Los informes de FortiAnalyzer recopilan la información en los registros para que pueda
interpretar la información y, si es necesario, actuar. Puede archivar y filtrar el conocimiento de la red que obtiene de
estos informes, así como extraerlo para fines de análisis histórico o de cumplimiento.
Las alertas de FortiAnalyzer le permiten reaccionar rápidamente ante las amenazas, ya que no es realista monitorear
físicamente su red durante todo el día. El sistema genera alertas cuando se cumplen condiciones específicas en los
registros, condiciones que usted configuró FortiAnalyzer para monitorear los dispositivos registrados. Puede ver sus
alertas en la GUI a través de Event Manager, y también puede enviar alertas a múltiples destinatarios por corr eo
electrónico, SNMP o syslog.
El archivo de contenido proporciona una manera de registrar y archivar simultáneamente copias completas o
resumidas del contenido transmitido a través de la red. Generalmente, el archivo de contenido se usa para evitar que
la información confidencial salga de la red de su organización, también puede usarla para registrar el uso de la red. El
motor de prevención de fuga de datos (DLP) puede examinar el tráfico de correo electrónico, FTP, NNTP y web, pero
debe configurar la configuración de archivo para cada regla en un sensor DLP en FortiGate, para que pueda
especificar qué desea archivar.
Los ADOM le permiten agrupar dispositivos para monitorear y administrar. Por ejemplo, los administradores pueden
administrar dispositivos específicos para su ubicación geográfica o división de negocios.
• Divida la administración de dispositivos por ADOM y para controlar (restringir) el acceso del administra dor. Si su red
utiliza dominios virtuales (VDOM), los ADOM pueden restringir aún más el acceso a los datos que provienen solo de
un VDOM de un dispositivo específico.
• Administre de manera más eficiente las políticas de datos y la asignación de espacio en disco, que configura por
ADOM
Las ADOM no están habilitadas de forma predeterminada y solo pueden ser configuradas por el administrador de
administración predeterminado (o un administrador que tenga el perfil de superusuario).
El dispositivo FortiAnalyzer tiene dos modos de operación: analizador y colector. El modo de operación que elija
dependerá de la topología de su red y de los requisitos individuales.
Cuando funciona en modo analizador, el dispositivo actúa como un agregador de registro central para uno o más
recopiladores de registros, como un dispositivo FortiAnalyzer que opera en modo recolector, o cualquier dispositivo
compatible que envíe registros. El analizador es el modo de funcionamiento predeterminado.
Cuando opera en modo colector, el dispositivo recopila registros de múltiples dispositivos y luego los envía, en su
formato binario original, a otro dispositivo, como un FortiAnalyzer que opera en modo analizador. (También puede
enviarlos a un servidor de syslog o un servidor de formato de evento común (CEF), dependiendo del modo de
reenvío). Un recopilador no tiene las mismas opciones ricas en características que un analizador, porque su único
propósito es recopilar y reenviar registros. No permite la gestión de eventos o informes.
Puede cambiar el modo de operación en el widget Información del sistema en el panel de control.
Al usar los modos analizador y recolector, aumenta el rendimiento de FortiAnalyzer: los recolectores descargan la
tarea de recibir registros de múltiples dispositivos desde el analizador para que pueda gastar sus recursos en la
recopilación y almacenamiento de esos registros de una manera que facilita la búsqueda y ejecución informes.
Además, debido a que un recopilador está estrictamente dedicado a la recopilación de registros, su tasa de recepción
de registros y su velocidad se maximizan. Si el ancho de banda es un problema, puede usar la opción de
almacenamiento y carga para enviar registros solo durante los períodos de poco ancho de banda.
SQL es el lenguaje de base de datos que FortiAnalyzer usa para el registro y la generación de informes.
Las capacidades de informes avanzadas requieren cierto conocimiento de SQL y bases de datos. Por ejemplo, es
posible que deba redactar consultas SQL personalizadas, conocidas como conjuntos de datos, para extraer los datos
que necesita de la base de datos.
¡Buen trabajo! Ahora entiende las características y conceptos clave de FortiAnalyzer. Ahora, aprenderá cómo
Después de completar esta sección, debe poder lograr los objetivos que se muestran en esta diapositiva.
Al demostrar competencia en la configuración inicial de FortiAnalyzer, podrá agregar FortiAnalyzer a su red y realizar
tareas administrativas básicas.
Puede encontrar la configuración predeterminada en su Guía de inicio rápido específica del modelo. Los diferent es
modelos de FortiAnalyzer tienen diferentes números de puertos, pero el puerto 1 es el puerto de administración y
siempre tiene esta IP predeterminada.
Al igual que FortiGate, la GUI y la CLI son las dos herramientas de configuración que puede utilizar para configurar y
administrar FortiAnalyzer. Puede usar ambas herramientas localmente, conectándose directamente a FortiAnalyzer, y
de forma remota, según sus ajustes configurados. (Puede negar o permitir el acceso según la dirección IP). Cuando
usa la CLI, puede ejecutar comandos a través del widget de la Consola de la CLI, disponible en el panel de la GUI, y a
través de una aplicación de emulación de terminal, como PuTTY. El uso de PuTTY requiere una conexi ón de Telnet,
SSH o consola local por separado.
Las funciones de FortiAnalyzer disponibles en la GUI y la CLI dependen del perfil de administrador registrado y del
modo de operación de FortiAnalyzer. Por ejemplo, cuando se opera en modo colector, la GUI n o incluye FortiView,
Event Manager, Reports o NOC - SOC. Además, si ha iniciado sesión con los perfiles de administrador
Standard_User o Restricted_User, los privilegios de acceso completo, como los otorgados al perfil Super_User, no
estarán disponibles. La CLI también incluye algunas configuraciones que no están disponibles a través de la GUI.
Cualquier cambio en la configuración que realice con la GUI y la CLI surten efecto inmediatamente, sin reiniciar el
sistema FortiAnalyzer ni interrumpir el servicio.
Tenga en cuenta que la base de datos SQL está deshabilitada de forma predeterminada cuando FortiAnalyzer está en
modo recopilador, por lo que los registros que requieren la base de datos SQL no están disponibles en modo
recopilador a menos que la base de datos SQL esté habilitada en la CLI.
Para iniciar sesión en la GUI de FortiAnalyzer por primera vez, abra un navegador e ingrese la URL https: // seguido
de <la dirección IP predeterminada de fábrica>. Una vez que se abra la pantalla de inicio de sesión, use las
credenciales de administrador predeterminadas de fábrica para iniciar sesión. El ID de usuario es admin (en
minúsculas) y deja el campo de contraseña vacío.
Para iniciar sesión en el CLI por primera vez, puede utilizar uno de los dos métodos siguientes:
• Widget de la consola CLI: inicie sesión en la GUI y vaya a Configuración del sistema. El widget está disponible desde
el panel de control. Una vez que haga clic en cualquier lugar del área de la consola, puede comenzar a ejecutar los
comandos de la CLI. (Usted está conectado automáticamente.)
• Aplicación de emulación de terminal (como PuTTY): ingrese la dirección IP del puerto 1 del FortiAnalyzer
predeterminado y seleccione un protocolo de acceso de administración compatible, como SSH. Cuando se conecte a
la IP y se le solicite iniciar sesión, use las credenciales de administrador predeterminadas de fábrica.
Por razones de seguridad, una de las primeras tareas que debe realizar es cambiar la contraseña de administrador
predeterminada. Desde la página Administradores, haga clic con el botón derecho en el usuario administrador y
seleccione Cambiar contraseña. Asegúrese de introducir una contraseña segura.
Tenga en cuenta que no hay una opción de recuperación de contraseña para FortiAnalyzer. Si olvida su contraseña y
pierde el acceso a FortiAnalyzer, la única opción es reiniciar su sistema y restaurar desde su última copia de
seguridad. Así que asegúrese de recordar su contraseña o guárdela en un lugar seguro.
Puede aumentar la seguridad de sus cuentas de administrador configurando una política de contraseña global para
todos los administradores en la página Configuración de administrador. De forma predeterminada, la política de
contraseña está deshabilitada.
La política le permite establecer una longitud de contraseña mínima, especificar si se deben incluir caractere s o
números en la contraseña, y especificar el número de días para los cuales una contraseña sigue siendo válida. Si
establece una fecha de vencimiento de la contraseña, asegúrese de cumplir con la política y de cambiarla antes de
que caduque, ya que no existe una opción de recuperación de contraseña.
Antes de revisar los ajustes de configuración, es necesario discutir la importancia de la seguridad. FortiAnalyzer
almacena la información de registro de su red, por lo que es vital que los datos estén protegidos adecuadamente.
• Implementar FortiAnalyzer en una red privada protegida y de confianza. Nunca debe implementarse fuera de la red.
• Utilice siempre métodos de conexión segura para la administración: HTTPS para la GUI o SSH para la CLI. Los
métodos no seguros (como HTTP o telnet) son texto simple, por lo que un atacante puede usar herramientas de
rastreo de paquetes para obtener información útil para violar su red.
• Use hosts de confianza en sus usuarios y permita el inicio de sesión solo desde ubicaciones específicas. Si necesita
abrir el acceso externo al dispositivo para que los dispositivos FortiGate remotos puedan conectarse, abra solo los
puertos necesarios para esto. Los puertos abiertos adicionales aumentan su riesgo de seguridad. Si necesita abrir el
acceso de inicio de sesión directo desde el exterior, asegúrese de configurar cuentas de usuario especiales para esto
y abra solo los protocolos que sean seguros. Use una contraseña segura porque son importantes si comienza a
transmitir tráfico a través de conexiones que cualquier persona (es decir, Internet) podría estar escuchando.
• Asegúrese de guardar su contraseña de administrador en un lugar seguro porque FortiAnalyzer no admite la
recuperación de la contraseña.
La configuración inicial de FortiAnalyzer es muy similar a FortiGate. Para configurar FortiAnalyzer para su red, debe
configurar la dirección IP y la máscara de red, seleccionar los protocolos de acceso administrativo admitidos y
especificar una puerta de enlace predeterminada para enrutar paquetes. Puedes hacer todo esto en la página de Red.
La configuración de su propia IP y máscara de red proporciona más seguridad que el uso de la dirección
predeterminada y, si se encuentra más de un FortiAnalyzer en la red, son obligatorias las diferentes configuraciones
de red. La interfaz de gestión debe tener una dirección dedicada (única).
Hay algunos protocolos de acceso administrativo no estándar que vale la pena mencionar también:
• Servicio web: permite el acceso a FortiAnalyzer desde un servicio web como SOAP, un protocolo de mensajería que
permite que los programas se ejecuten en diferentes sistemas operativos (como Windows y Linux). El servidor
FortiAnalyzer se ejecuta en Linux.
• FortiManager: permite que FortiAnalyzer sea administrado por un FortiManager.
Si desea configurar otro puerto en FortiAnalyzer, puede asignar rutas estáticas específicas IPv4 o IPv6 a una puerta de enlace diferente,
de modo que los paquetes se entreguen por una ruta diferente.
Si desea poder resolver los nombres de host en los registros, se requiere un servidor DNS. Las direcciones del servidor DNS primario y
secundario predeterminadas son los servidores DNS FortiGuard. Puede usar estas direcciones o cambiarlas a otra cosa, pero los
servidores deben estar en las redes a las que FortiAnalyzer se conecta. Es una buena práctica tener direcciones tanto primarias como
secundarias. Además, los tiempos de respuesta son una consideración para el DNS, así que elija las IP de DNS lo más cerca posible de
su red, como el DNS de su proveedor de Internet.
Si necesita restablecer su configuración, puede usar estos comandos. El comando execute reset all -settings borra la
configuración del programa en flash, que contiene la IP y las rutas, mientras que el comando execute reset all-except-
ip deja la configuración para IP y las rutas.
Después de restablecer una configuración, siempre debe reformatear el disco utilizando el disco de formato exe
mando.
Puede usar los comandos CLI que se muestran en esta diapositiva para examinar o solucionar problemas de
configuración de red en FortiAnalyzer.
Para acceder y ver información relacionada con el servidor, use los comandos de impresión del sistema de
diagnóstico. Para obtener una lista completa de los comandos, consulte la referencia de la CLI de FortiAnalyzer, que
puede obtener en https://docs.fortinet.com.
Una vez que haya completado su configuración inicial, debe realizar una copia de seguridad como una mejor práctica.
Puede realizar una copia de seguridad directamente en la GUI utilizando el widget Información del sistema.
La copia de seguridad contiene todo, excepto los registros reales y los informes generados. ¿Qué incluye la copia de
seguridad?
• Información del sistema, como la IP del dispositivo y la información administrativa del usuario.
• Lista de dispositivos, como cualquier dispositivo que haya configurado para permitir el acceso al registro.
• Información del informe, como cualquier configuración de informe configurada, así como todos los detalles de su
informe personalizado.
Puede guardar el archivo de copia de seguridad como un archivo cifrado para mayor seguridad, pero tenga en cuenta
que puede restaurar una copia de seguridad cifrada solo en el mismo modelo y versión de firmware. Además, si
necesita asistencia del Soporte de Fortinet y su configuración es necesaria para ayudar con la resolución de
problemas, su copia de seguridad no debe estar cifrada.
Si se realizan cambios en FortiAnalyzer que terminan afectando negativamente a su red, puede restaurar la
configuración desde cualquiera de sus copias de seguridad.
Las siguientes son algunas de las mejores prácticas para operar FortiAnalyzer:
• Siempre apague FortiAnalyzer con gracia porque no hacerlo puede dañar las bases de datos
• Haga que FortiAnalyzer funcione con una fuente de alimentación ininterrumpida (UPS) para evitar que se apague inesperadamente.
También asegúrese de que su UPS esté estable y tenga suficiente corriente para garantizar el comportamiento esperado.
• Para facilitar su uso, guarde una copia de seguridad sin cifrar en una ubicación segura. Debe utilizar una copia de seguridad no cifrada
cuando se trate de Fortinet Support porque permite el acceso sin conexión al archivo de configuración de la base de datos.
• Sincronice la hora en FortiAnalyzer y todos los dispositivos registrados con un servidor NTP para una correcta correlación de registros
This slide shows the objectives that you covered in this lesson.
En esta lección, aprenderá algunas funciones de administración y administración que puede usar para defender mejor
FortiAnalyzer (y los datos de registro confidenciales que almacena) contra amenazas externas o internas.
In this lesson, you will explore the topics shown on this slide.
Después de completar esta sección, debe poder lograr los objetivos que se muestran en esta diapositiva.
Al demostrar su competencia en el uso de controles de acceso administrativo, podrá proteger mejor la administración
y la administración de su dispositivo FortiAnalyzer y la información confidencial que recopila.
Dependiendo de su implementación, es posible que desee dividir las tareas administrativas de FortiAnalyzer entre
varios empleados mediante la creación de cuentas administrativas adicionales. Sin embargo, cada persona adicional a
la que le da acceso de administrador causa un crecimiento de riesgo lineal a exponencial.
Para proteger su red, puede controlar y restringir el acceso administrativo mediante los siguientes métodos:
• perfiles administrativos
• anfitriones de confianza
• Dominios administrativos (ADOMs)
Al dar acceso administrativo a varias personas y al emplear métodos de control, puede proteger mejor su red.
Nunca debe dar a los administradores más privilegios de los que necesitan para cumplir su función. Como tal,
FortiAnalyzer viene con tres perfiles predeterminados preinstalados que puede asignar a otros usuarios
administrativos. Los perfiles de administrador definen los privilegios de administrador y son necesarios para cada
cuenta administrativa. Los tres perfiles predeterminados son:
• Super_User, que, como FortiGate, proporciona acceso a todos los privilegios del sistema y del dispositivo
• Standard_User, que proporciona acceso de lectura y escritura a los privilegios del dispositivo, pero no a los
privilegios del sistema
• Restricted_User, que proporciona acceso de lectura solo a los privilegios del dispositivo, pero no a los privilegios del
sistema.
Puede asignar los perfiles predeterminados a las cuentas administrativas, o puede modificar los privilegios individuales
asociados con cada perfil predeterminado. Alternativamente, puede crear sus propios perfiles personalizados.
Además de controlar el acceso administrativo a través de los perfiles de administrador, puede controlar aún más el
acceso mediante la configuración de hosts de confianza para cada usuario administrativo. Esto restringe a los
administradores a los inicios de sesión solo de IP o subredes específicas. Incluso puede restringir a un administrador a
una sola dirección IP, si define solo una IP de host confiable.
Los hosts de confianza que define se aplican tanto a la GUI como a la CLI cuando se accede a través de SSH.
Otra forma de controlar el acceso administrativo es a través de ADOM. El uso de ADOM hace que la administración de
dispositivos sea más efectiva, ya que los administradores solo necesitan monitorear y administrar los dispositivos en
su ADOM asignada. También hace que la red sea más segura, ya que los administradores están restringidos solo a
aquellos dispositivos a los que deberían tener acceso. El riesgo de seguridad aumenta a medida que se abre y expone
más de su red.
Los administradores que tienen el perfil Super_User tienen acceso completo a todas las ADOM. Los administradores
con cualquier otro perfil tienen acceso solo a aquellos ADOM a los que están asignados, esto puede ser uno o más.
En lugar de crear administradores locales, donde los inicios de sesión son validados por FortiAnalyzer, puede
configurar servidores externos para validar sus inicios de sesión de administrador. RADIUS, LDAP, TACACS + y PKI
se pueden usar para autenticar a los administradores.
También puede usar la función de cuenta Wildcard para permitir que los administradores inicien sesión en
FortiAnalyzer utilizando sus credenciales en un servidor de autenticación remoto, como RADIUS, TACACS + y LDAP.
FortiAnalyzer no requiere credenciales locales si se está utilizando un servidor remoto. Esto simplifica la
administración. Por ejemplo, si un empleado abandona la empresa, su cuenta no existe en FortiAnalyzer, solo existe
como usuario en un servidor de autenticación remoto. Sin embargo, si no selecciona comodín, deberá proporcionar
una contraseña. Esta contraseña se usa solo si FortiAnalyzer no puede conectarse al servidor de autenticación.
Puede ver los grupos de servidores de autenticación remota, que se enumeran como Grupo en la lista desplegable
Tipo de administrador, para ampliar el acceso de administrador. Por lo general, puede crear un administrador comodín
solo para un único servidor. Si agrupa varios servidores de diferentes tipos, puede aplicar un administrador comodín a
todos los servidores del grupo. Si agregó un servidor LDAP y RADIUS a su grupo de autenticación y el administrador
tenía credenciales de inicio de sesión en ambos servidores, entonces el administrador podría autenticarse en
FortiAnalyzer usando sus credenciales LDAP o RADIUS.
Puede agrupar varios servidores del mismo tipo (por ejemplo, todos los servidores LDAP) para que actúen como
respaldo: si un servidor falla, el administrador todavía puede ser autenticado por otro servidor del grupo. Puede
agregar grupos de servidores de autenticación remota solo mediante la CLI. En el ejemplo de la diapositiva, se
agregaron dos servidores de autenticación existentes, un LDAP y un servidor RADIUS. En la CLI, se agregó un grupo
de servidores de autenticación y se llamó AuthServers. Luego, los servidores fueron agregados a este grupo.
Para agregar seguridad adicional a los administradores externos, puede configurar la autenticación de dos factores.
Para hacer esto, necesita FortiAuthenticator y FortiToken.
En el lado FortiAnalyzer, debe crear un servidor RADIUS que apunte a FortiAuthenticator y luego crear una cuenta de
administrador que apunte al servidor RADIUS. Sólo se permite una cuenta de comodín.
Además de usar una contraseña y un token, puede usar una contraseña más un certificado digital. Cuando utiliza PKI
como medio de autenticación, tiene la opción de autenticación de dos factores o solo de certificado.
Para obtener más información sobre la configuración de servidores externos y la autenticación de dos factores, consulte
la Guía de administración de FortiAnalyzer.
Después de completar esta sección, debe poder lograr los objetivos que se muestran en esta diapositiva.
Al demostrar competencia en la supervisión de eventos y tareas administrativas, podrá asegurarse de que los
administradores operen dentro de su función asignada, lo que mitigará los riesgos para su organización.
Puede hacer un seguimiento de las sesiones de usuario administrador, incluido quién está conectado actualmente y
en qué host de confianza, a través de la página Administradores. De forma predeterminada, solo los administradores
con acceso Super_User pueden ver la lista completa de administradores.
FortiAnalyzer audita la actividad del administrador, por lo que puede generar cambios a una persona.
Puede ver los mensajes del registro de eventos locales, como cambios de configuración e inicios de sesión, en la
página Registro de eventos. Para ajustar los resultados, puede agregar filtros. Por ejemplo, para ver eventos locales
realizados por un usuario administrativo específico, filtre por nombre de usuario.
La página Monitor de tareas le permite ver las tareas del administrador, así como el progreso y el estado de esas
tareas.
FortiAnalyzer también le permite monitorear la actividad de inicio de sesión administrativa de FortiGate a través de
FortiView.
La página Intentos de autenticación fallidos muestra los intentos de inicio de sesión fallidos e incluye la IP de origen
del inicio de sesión, el tipo de inicio de sesión, la interfaz y el número de intentos de inicio de sesión fallidos.
La página FortiView> Sistema> Inicio de sesión de administrador (no se muestra en esta diapositiva) muestra los
inicios de sesión, inicios de sesión fallidos, la duración del inicio de sesión y los cambios de configuración.
La página Eventos del sistema muestra todos los eventos invocados por el administrador y el sistema. En este
ejemplo, el Local-FortiGate no puede alcanzar el servidor NTP. Sincronizar la fecha y la hora en todos los servidores
registrados es importante para fines de registro.
Good job! You now understand how to monitor administrative events and tasks.
Después de completar esta sección, debe poder lograr los objetivos que se muestran en la diapositiva.
Al demostrar competencia en dominios administrativos, podrá agrupar dispositivos para que los administradores puedan
monitorear y administrar, así como administrar de manera más eficiente las políticas de datos y la asignación de espacio en disco.
Los ADOM no están habilitados de forma predeterminada. De forma predeterminada, solo los administradores con
acceso Super_User pueden habilitar y configurar ADOM. Debe configurar los ADOM que se requieren si desea
registrar un dispositivo que no sea FortiGate en FortiAnalyzer.
Puede habilitar o deshabilitar ADOM en la GUI a través de Configuración del sistema o la CLI a través del sistema de
configuración global. Una vez que cambia el modo ADOM, el sistema cierra la sesión para que pueda reinicializarse
con la nueva configuración. El número máximo de ADOM que puede habilitar varía según el modelo de FortiAnalyzer.
Después de iniciar sesión con ADOM habilitados, debe seleccionar el ADOM que desea ver de su lista de ADOM
configurados.
Una configuración global de ADOM puede funcionar en modo normal, que es el modo predeterminado o modo
avanzado.
En el modo normal, no puede asignar dominios virtuales de FortiGate (VDOM) desde un solo dispositivo a varios
ADOM de FortiAnalyzer. Debe asignar el dispositivo FortiGate y todos sus VDOM a un solo ADOM.
En el modo avanzado, puede asignar FortiGate VDOM desde un solo dispositivo a varios FortiAnalyzer ADOM. Este
modo le permite utilizar las funciones FortiView, Gestión de eventos e Informes para analizar datos para VDOM
individuales. El modo avanzado da como resultado escenarios de gestión más complicados.
En la página Todas las ADOM, puede ver todas las ADOM configuradas, así como las ADOM predeterminadas para
todos los dispositivos que no sean FortiGate. Si las ADOM predeterminadas no se ajustan a sus requisitos, puede
crear las suyas propias.
El tipo de ADOM que cree debe coincidir con el tipo de dispositivo que está agregando. Por ejemplo, si desea crear un
ADOM para un FortiGate, debe seleccionar FortiGate como el tipo de ADOM. Con FortiGate ADOMs específicamente,
también debe seleccionar la versión de firmware del dispositivo FortiGate.
Una vez que crea un ADOM, puede establecer la cuota de disco. Esta cuota se asigna al ADOM y no a los dispositivos
individuales que se le agregan. De forma predeterminada, la cuota de disco máxima permitida se establece en 50 GB.
Tenga en cuenta que no puede eliminar los ADOM predeterminados. Tampoco puede eliminar ADOM personalizadas
con dispositivos asignados hasta que elimine todos los dispositivos de ADOM.
A continuación, aprenderá acerca de la matriz redundante de discos independientes (RAID) y cómo se aplica a
FortiAnalyzer.
Después de completar esta sección, debe poder lograr los objetivos que se muestran en la diapositiva.
Al demostrar competencia en RAID, podrá proteger mejor sus registros en caso de que FortiAnalyzer deje de
ejecutarse.
RAID le permite almacenar sus datos en diferentes lugares, en varios discos duros. RAID distribuye datos a través de
unidades de diferentes maneras, denominadas niveles RAID. El nivel que seleccione depende de su objetivo. Cada
nivel proporciona un equilibrio diferente de confiabilidad, disponibilidad, rendimiento y capacidad.
Puede incluir la mayoría de los dispositivos en muchos tipos de arreglos RAID. Para configurar una matriz RAID, debe
tener varias unidades (al menos dos) del mismo tamaño.
Tenga en cuenta que RAID no reemplaza la copia de seguridad de sus registros. Aún debe hacer una copia de
seguridad de sus registros, incluso si emplea RAID.
Con la creación de reflejo, en lugar de escribir el archivo en un solo disco duro, también lo escribe en otro disco duro.
De esta manera usted tiene una copia en tiempo real de los datos. Con la creación de bandas, dos o más unidades se
combinan en una sola unidad lógica. Cuando los datos se almacenan en la unidad, los divide en partes y los distribuye
en todas las unidades de la matriz.
Es importante tener en cuenta que no todas las versiones de RAID funcionan de la misma manera. Algunos solo
hacen reflejos, otros solo hacen rayas y otros hacen ambas cosas. También hay versiones que incluyen paridad
distribuida, que es una forma de lograr redundancia. Con la paridad distribuida, los datos de paridad se distribuyen
entre varias unidades y requieren tres o más discos (RAID 5 y superior). Además, la cantidad de unidades que pueden
fallar depende del nivel de RAID. Independientemente del nivel, demasiadas unidades fallidas provocarán la pérdida
de datos.
No todos los modelos admiten RAID, por lo que la opción de menú para configurar RAID puede no aparecer en la GUI. Asegúrese de
verificar las especificaciones del modelo para ver si se admite RAID y a qué nivel.
Si se admite RAID, puede configurar RAID en la página de Administración de RAID. Los niveles admitidos incluyen: lineal, RAID 0, RAID
1, RAID 1 + de repuesto, RAID 5, RAID 5 + de repuesto, RAID 6, RAID 6 + de repuesto,
RAID 10, RAID 50 y RAID 60.
Algunos niveles RAID comunes son: RAID 0 (división), RAID 1 y sus variantes (creación de reflejo), RAID 5 (paridad
distribuida), RAID 6 (paridad dual), RAID 50 (división y paridad distribuida) y RAID 60 (división y distribución) Doble
paridad distribuida).
• RAID 0 consiste en la división de datos de manera uniforme en dos o más discos. La velocidad y el rendimiento son
los objetivos principales. No hay información de paridad o redundancia de datos. Esto significa que no hay tolerancia a
fallas; Si un disco falla, afecta a toda la matriz.
• RAID 1 consiste en una copia exacta de un conjunto de datos en dos o más discos. El rendimiento de lectura y la
fiabilidad son los objetivos principales. RAID 1 incluye tolerancia a fallos, por lo que si un disco falla, el otro puede
seguir funcionando, ya que contiene una copia exacta de los datos.
• RAID 5 consiste en una división a nivel de bloque con paridad distribuida. Los datos y la paridad se dividen en tres o
más discos. Este nivel RAID proporciona un mejor rendimiento que la duplicación, así como la tolerancia a fallos.
Puede soportar la falla de una sola unidad, ya que las lecturas subsiguientes pueden calcularse a partir de la paridad
distribuida, de modo que no se pierdan datos.
• RAID 6 extiende RAID 5 agregando otro bloque de paridad. En consecuencia, consiste en una división a nivel de
bloques con dos bloques de paridad distribuidos en todos los discos miembros. Es más robusto que RAID 5, ya que el
sistema puede permanecer operativo, incluso si fallan dos discos.
• RAID 10 combina las características de RAID 1 y RAID 0, asegurándose de que los datos se reflejen y repartan en
varias unidades y discos. RAID 10 equilibra el rendimiento y la seguridad de los datos. Es posible recuperar datos si
fallan dos unidades en una configuración RAID 10, pero depende de cuáles dos
las unidades fallan
• RAID 50 combina la división en bloque de RAID 0 con la paridad distribuida de RAID 5. El rendimiento de escritura
se mejora con respecto a RAID 5 y proporciona una mejor tolerancia a fallas que un solo nivel RAID. Con este nivel,
una unidad de cada uno de los conjuntos RAID 5 puede fallar.
• RAID 60 combina la división en bloque de RAID 0 con la doble paridad distribuida de RAID 6. El rendimiento de
escritura se ve afectado, pero la redundancia mejorada brinda tranquilidad. La paridad dual permite el fallo de dos
discos en cada matriz RAID 6.
Para obtener más información sobre los niveles RAID, consulte la Guía de administración de FortiAnalyzer.
En la página de Administración de RAID, también puede ver el estado de cada disco en la matriz RAID y el uso de espacio en disco.
• Listo
• Reconstrucción
• Inicializando
• Verificando
• Degradado
• Inoperable
Puede ver cualquier falla de RAID en el widget de Alert Message Console en el panel de control. Aparece un mensaje
de registro en este widget si hay algún error.
Si falla un disco duro en un FortiAnalyzer, debe reemplazarlo. En los dispositivos FortiAnalyzer que admiten RAID de
hardware, puede reemplazar el disco mientras FortiAnalyzer todavía se está ejecutando. Esto se conoce como
intercambio en caliente. Fortinet admite el intercambio en caliente solo en el hardware RAID, por lo que se recomienda
que en los dispositivos FortiAnalyzer con el software RAID, debe apagar FortiAnalyzer antes de cambiar el disco duro.
Utilice el comando CLI diagnose system raid status para ver el estado de la matriz RAID, así como el estado de los
discos individuales.
Use el comando diagnose system raid hwinfo para ver información detallada sobre el hardware de los discos
individuales en FortiAnalyzer.
This slide shows the objectives that you covered in this lesson.
En esta lección, aprenderá a registrar dispositivos en FortiAnalyzer para la recopilación de registros, así como a
solucionar problemas de comunicación entre FortiAnalyzer y sus dispositivos registrados. También examinaremos la
cuota de disco de FortiAnalyzer, una condición importante para garantizar que se recopilen todos los registros, y cómo
administrar los dispositivos registrados.
Después de completar esta sección, debe poder lograr los objetivos en esta diapositiva.
Al demostrar la competencia en el registro de dispositivos, podrá configurar FortiAnalyzer para recopilar registros de
dispositivos registrados.
Para que FortiAnalyzer comience a recopilar registros de un dispositivo, debe convertirse en un dispositivo registrado
en FortiAnalyzer.
Para FortiAnalyzer, solo hay dos tipos de dispositivos externos: los que están registrados y los que no están
registrados.
Un dispositivo registrado es uno que tiene autorización para almacenar registros en FortiAnalyzer, mientras que un
dispositivo no registrado es uno que solicita almacenar registros en FortiAnalyzer.
El primer método implica una solicitud de registro desde un dispositivo compatible. Cuando el administrador de
FortiAnalyzer recibe esa solicitud, la solicitud es aceptada (aunque puede ser denegada).
Los administradores pueden registrar cada dispositivo con un dominio administrativo, conocido como ADOM. Sin embargo, los
dispositivos solo se pueden agregar a su ADOM específica del dispositivo. Por ejemplo, un dispositivo FortiMail se puede registrar solo
con el tipo ADOM de FortiMail.
FortiAnalyzer incluye ADOM predeterminados para cada dispositivo que admite. Puede usar estos ADOM o puede crear sus propios
ADOM personalizados. Cuando creas una ADOM personalizada, aún debe estar asociada con el tipo de ADOM del dispositivo que le
estás agregando. Tenga en cuenta que no puede agregar diferentes tipos de dispositivos a la misma ADOM, ya sea una ADOM
predeterminada o personalizada.
De forma predeterminada, los ADOM no están habilitados. Solo existe una raíz ADOM, que se basa en el tipo FortiGate ADOM. Como
tal, con las ADOM deshabilitadas, no puede registrar ningún dispositivo que no sea FortiGate en FortiAnalyzer.
En el primer método, FortiGate solicita el registro en FortiAnalyzer habilitando el registro remoto y especificando la IP
de FortiAnalyzer. Tenga en cuenta que si hace clic en Conectividad de prueba, se abre un cuadro de diálogo de error
que indica: "No se puede recuperar el estado de FortiAnalyzer / FortiManager". Esto se debe a que el administrador
de FortiAnalyzer aún no ha aceptado la solicitud de registro; FortiAnalyzer y FortiGate aún no están conectados. En
esta etapa, el FortiGate sigue siendo un dispositivo no registrado.
Una vez que el dispositivo compatible realiza la solicitud, la solicitud aparece automáticamente bajo la raíz de ADOM
en el Administrador de dispositivos. El administrador de FortiAnalyzer debe revisar los detalles del dispositivo no
registrado y, si está satisfecho, agregar el dispositivo.
Durante la aceptación de la solicitud de registro, si los ADOM están habilitados, tiene la opción de mantener FortiGate
en el ADOM raíz o agregarlo a cualquier ADOM FortiGate personalizado que haya configurado.
Tenga en cuenta que si hace clic en Conectividad de prueba, aparecerá un cuadro de diálogo de
error que indica: "No se puede recuperar el estado de FortiAnalyzer / FortiManager". Esto se debe a
que el administrador de FortiAnalyzer aún no ha aceptado la solicitud de registro; FortiAnalyzer y
FortiGates aún no están conectados. En esta etapa, los FortiGates siguen siendo un dispositivo no
registrado.
Una vez que el dispositivo compatible realiza la solicitud, la solicitud aparece automáticamente bajo
la raíz de ADOM en el Administrador de dispositivos. El administrador de FortiAnalyzer debe revisar
los detalles del dispositivo no registrado y, si está satisfecho, agregar el dispositivo.
Durante la aceptación de la solicitud de registro, si los ADOM están habilitados, tiene la opción de
mantener FortiGates en el ADOM raíz o agregarlo a cualquier ADOM FortiGate personalizado que
haya configurado.
Tenga en cuenta que se recomienda agregar todos los dispositivos FortiGate conectados a través de
The Security Fabric bajo una ADOM. Sin embargo, es posible separar los dispositivos FortiGate y
asignarlos a diferentes ADOM.
Con este método, utiliza el asistente de registro de dispositivos en el Administrador de dispositivos de FortiAnalyzer.
El administrador de FortiAnalyzer inicia proactivamente y, en última instancia, realiza el registro. El administrador debe
tener detalles específicos sobre el dispositivo que se va a registrar, como la dirección IP, el número de serie, el tipo de
dispositivo, el modelo y la versión del firmware. Si la información del dispositivo se verifica, el estado dice "Dispositivo
agregado correctamente" y el dispositivo aparece en el Administrador de dispositivos.
Si los ADOM están habilitados, el dispositivo se registra automáticamente en su ADOM específico del dispositivo. Sin
embargo, si ya ha creado una ADOM personalizada y desea agregar el dispositivo directamente a esa ADOM, cambie
a la ADOM antes de agregar un dispositivo con el asistente.
Después de registrar varios dispositivos Fortinet, aparecen en la pestaña Administrador de dispositivos para ese
ADOM. También puede ver detalles sobre el estado del registro y el almacenamiento usado para esa ADOM.
Los dispositivos no registrados solo aparecen bajo la raíz de ADOM hasta que se registran y asignan a una ADOM.
Cuando se registra un dispositivo, FortiAnalyzer tiene automáticamente permiso para recopilar los siguientes tipos de
registros, si están habilitados en FortiGate:
• Registros: este tipo de registro detalla información sobre el tráfico, los eventos y la seguridad. Sin embargo, varía
según el dispositivo, porque FortiAnalyzer solo admite tipos de registros específicos de cada dispositivo.
• Archivo DLP: este tipo de registro detalla información sobre cualquier información confidencial que intente entrar o
salir de su red.
• Cuarentena: este tipo de registro detalla los archivos que se pusieron en cuarentena en el dispositivo.
• Registro de paquetes IPS: este tipo de registro detalla información sobre los paquetes de red que contienen las
firmas IPS que coinciden con el tráfico.
Ahora, aprenderá sobre las formas de solucionar problemas de comunicación entre FortiAnalyzer y sus dispositivos
registrados.
Después de completar esta sección, debe poder solucionar los problemas de comunicación
del dispositivo. Al demostrar competencia en la resolución de problemas de comunicación,
podrá solucionar de manera eficiente los problemas que podrían evitar la recopilación de
registros..
Esta diapositiva muestra algunos comandos CLI básicos que puede usar para verificar el estado del
sistema, el rendimiento y las estadísticas de hardware.
Cuando utilice el comando obtener estado del sistema para solucionar problemas del sistema, la siguiente información
puede ser útil:
• Versión: asegúrese de que la versión de firmware de FortiAnalyzer sea compatible con el dispositivo que está
registrando (consulte las Notas de la versión de FortiAnalyzer para ver las versiones de firmware compatibles)
• Configuración del dominio de administración: asegúrese de que las ADOM estén habilitadas si se intenta registrar un
dispositivo que no sea FortiGate.
• Hora actual: asegúrese de que la fecha y la hora se configuren de acuerdo con sus necesidades. Para que funcionen
muchas funciones, incluidas las funciones de programación, registro y dependientes de SSL, la hora del sistema
FortiAnalyzer debe ser precisa. Si bien puede configurar manualmente la fecha y la hora, se recomienda que
sincronice con un servidor de Protocolo de tiempo de red (NTP).
• Uso del disco: asegúrese de tener suficiente espacio libre en el disco para aceptar y almacenar registros de
dispositivos registrados.
• Estado de la licencia: asegúrese de tener una licencia válida. Esto es solo para una máquina virtual.
Cuando use el comando obtener rendimiento del sistema para solucionar problemas del sistema, observe el espacio
utilizado para la CPU, la memoria, el disco duro y la memoria flash. Si alguno de estos se acerca a su capacidad,
puede experimentar problemas con la recopilación de registros. La capacidad utilizada no necesita ser del 100% antes
de que experimente problemas. Por ejemplo, la cuota de disco duro no está completamente disponible para los
registros, ya que parte del espacio está reservado para el uso del sistema y el desbordamiento inesperado de cuotas.
La cuota de disco se trata más adelante en esta lección.
Para las máquinas virtuales FortiAnalyzer, tenga en cuenta que se recomienda un mínimo de 8 GB para la memoria.
Cuando utilice el comando de información de hardware de diagnóstico para solucionar problemas del
sistema, consulte las secciones de memoria y RAID.
Si RAID está habilitado y se utiliza como una solución de almacenamiento de alto rendimiento, el nivel
de RAID afectará la determinación del tamaño del disco y el nivel de cuota reservado.
Esta diapositiva muestra los comandos de la CLI de FortiAnalyzer que puede ejecutar para descubrir qué dispositivos
e IP se están conectando a FortiAnalyzer; qué ADOMs están habilitados y configurados; y qué dispositivos están
actualmente registrados y no registrados.
Si tiene problemas de comunicación entre FortiGate y FortiAnalyzer, primero asegúrese de que los dos dispositivos se
puedan alcanzar. Utilice el comando de ejecución de la CLI de ping en cualquier dispositivo para verificar que los
dispositivos puedan enrutarse entre sí (todos los cortafuegos intermedios deben habilitar y permitir el ping).
También puede ejecutar sniffers en ambos dispositivos para ver si los paquetes que salen de FortiGate están llegando
a FortiAnalyzer. Si los paquetes salen de FortiGate, pero no llegan a FortiAnalyzer, mire a otros dispositivos en la red,
ya que un enrutador o firewall intermedio puede estar bloqueando el tráfico o enrutándolo de manera inadecuada.
Puede usar los siguientes comandos al mismo tiempo para solucionar problemas de comunicación: Paso uno:
Ejecute el siguiente comando en FortiAnalyzer:
Si FortiAnalyzer deja de estar disponible para FortiGate por cualquier motivo, FortiGate utiliza su proceso miglogd
para almacenar en caché los registros. El tamaño del caché tiene un valor máximo, y el proceso miglogd eliminará los
registros almacenados en caché. Cuando se restaura la conexión entre los dos dispositivos, el proceso miglogd
comienza a enviar los registros en caché a FortiAnalyzer. Por lo tanto, el búfer FortiGate mantendrá los registros el
tiempo suficiente para mantener un reinicio de su FortiAnalyzer (por ejemplo, si está actualizando el firmware). Pero
no está destinado a un largo apagón de FortiAnalyzer.
On FortiGate, the CLI command diagnose test application miglogd 6 displays statistics for
the miglogd process, including the maximum cache size, and current cache size.
The CLI command diagnose log kernel-stats will show an increase in failed-log if the cache
is full and needs to drop logs.
Después de completar esta sección, debe poder lograr los objetivos que se muestran en esta diapositiva.
Al demostrar competencia para comprender las cuotas de disco y cómo modificarlas, podrá utilizar las cuotas de disco
de manera más efectiva en su red.
Los dispositivos FortiAnalyzer tienen espacio en disco finito. Cuando el espacio de disco de registro asignado está lleno, ocurre lo siguiente:
• Un mensaje de alerta se genera automáticamente en la consola de mensajes de alerta como un registro de eventos con la advertencia
de nivel
• Se sobrescriben los registros más antiguos. Esta es la configuración predeterminada, pero puede ajustar este comportamiento para
detener el registro cuando el disco está lleno.
Ningún administrador quiere perder datos de registro valiosos y correr el riesgo de no cumplir con la retención de datos. Como tal, es vital
que conozca su cuota de disco FortiAnalyzer, cómo se aplica y qué espacio está reservado y, por lo tanto, no está disponible para almacenar
registros.
La cuota de disco incluye registros sin formato, archivos de almacenamiento y tablas de bases de datos SQL. Cada
porción consume una parte de su cuota.
Puede obtener el uso del registro de su disco, incluido el uso de cada ADOM, mediante el comando
CLI diagnose log device.
El valor de la cuota total se determina restando el almacenamiento total del sistema del espacio
reservado. El espacio asignado se determina agregando la cuota de archivo y análisis para todos los
ADOM.
El espacio utilizado se determina agregando los registros de archivo y análisis y todos los archivos
del sistema montados en la unidad. Puede recibir el valor del archivo del sistema usando el comando
CLI diagnose system print df.
Tenga en cuenta que el widget Información de licencia muestra un valor inferior al de la cuota. Esto se debe a que
solo informa sobre la cantidad de registros enviados a FortiAnalyzer ese día. Además, solo informa sobre el tráfico de
ingreso, que se limita a la parte del registro sin procesar. No incluye el archivo de registro, la tienda FortiGate y los
registros de carga, los registros agregados de FortiAnalyzer o los registros de FortiClient. Las tablas de la base de
datos SQL tampoco se incluyen, ya que FortiAnalyzer realiza la indexación una vez que se ha recibido el registro.
De forma predeterminada, a cada ADOM se le permite 1000 MB (o menos de 1 GB) de espacio de disco en
FortiAnalyzer para almacenar datos de registro. Sin embargo, este número es configurable. No puede establecer el
mínimo por debajo de 100 MB, y el máximo depende de la asignación de espacio en disco del dispositivo
FortiAnalyzer específico. El sistema FortiAnalyzer reserva entre un 5% y un 20% de espacio en disco para ar chivos de
compresión, archivos de carga y archivos de informes temporales, dejando aproximadamente un 75% a un 90% de
espacio en disco para la asignación a dispositivos.
Es importante tener en cuenta que si utiliza RAID, el nivel de RAID afecta la determinación del tamaño del disco y el
nivel de cuota reservada.
• El proceso de archivo de registro aplica el tamaño de archivo de registro sin procesar y también es responsable de la
aplicación de la cuota de disco al monitorear los otros procesos.
• El proceso sqlplugind impone el tamaño de la base de datos SQL
• El proceso oftpd impone el tamaño del archivo de almacenamiento.
Logfiled verifica los procesos cada dos minutos (a menos que los recursos del sistema sean altos) y estima el espacio
utilizado por la base de datos SQL. Si se estima que la cuota de disco (sin formato + SQL) es superior al 95%,
FortiAnalyzer elimina los registros sin procesar y los registros correspondientes en los archivos (con la tabla SQL)
hasta que se reduzcan al 85%.
Si las ADOM están habilitadas, puede ajustar su cuota de disco en la página Todas las ADOM. Si las ADOM no están
habilitadas, puede ajustar su cuota desde Almacenamiento del sistema.
Los cálculos de las cuotas de disco son difíciles y se deben monitorear según la velocidad de registro que proviene de
cada dispositivo. Si hay mucho registro en FortiGate, dispositivos grandes o dispositivos con mucho tráfico y UTM,
considere aumentar la cuota de disco ADOM.
Tenga en cuenta que, de forma predeterminada, la cuota de disco para un ADOM se establece en el disco máximo
disponible.
Si el aumento de la cuota de disco no es suficiente en función de la velocidad de registro supervisada, es posible que
deba aumentar el espacio total del disco. Con las máquinas virtuales FortiAnalyzer, puede agregar dinámicamente
más espacio de disco a su FortiAnalyzer utilizando el procedimiento descrito anteriormente. Sin embargo, con el
hardware FortiAnalyzer, debe agregar otro disco, ya que el espacio en el disco es fijo. Si está utili zando RAID,
también tendrá que reconstruir su matriz RAID si agrega otro disco. Por lo tanto, es importante tener en cuenta un
mayor crecimiento y tamaño correctamente desde el principio.
Después de completar esta sección, debe poder lograr los objetivos que se muestran en esta diapositiva. Al demostrar
competencia para mover dispositivos entre ADOM y agregarlos a los clústeres de alta disponibilidad, podrá
administrar los dispositivos registrados de manera efectiva en su red.
Puede mover dispositivos entre ADOM después del registro en la página Todos los ADOM. Si bien no debe
mover dispositivos entre ADOM a menos que tenga que hacerlo, uno de esos casos de uso es si tiene una
combinación de tasas de registro de bajo volumen y alto volumen en un ADOM. En esta situación, se
recomienda que coloque dispositivos de tasa de registro de volumen bajo en una ADOM y dispositivos de
tasa de registro de volumen alto en otra ADOM. Esto evita que la aplicación de cuotas afecte negativamen te
a los dispositivos de registro de bajo volumen.
Puede mover dispositivos entre ADOM editando la ADOM personalizada a la que desea agregar el
dispositivo y luego seleccionando el dispositivo que desea agregar.
Tenga en cuenta que no necesita mover dispositivos a una nueva ADOM si actualiza su firmware FortiGate.
Existen algunas consideraciones importantes al mover dispositivos entre ADOM, especialmente si ya se están
recopilando registros para el dispositivo que está moviendo:
• ¿Cuál es la cuota de disco de la nueva ADOM? Asegúrese de que el nuevo ADOM tenga suficiente espacio.
• ¿Se requieren los registros de análisis del dispositivo para los informes en la nueva ADOM? Si es así, necesita
reconstruir la nueva base de datos SQL de ADOM. Cuando mueve un dispositivo, solo los registros de archivo
(registros comprimidos) se migran a la nueva ADOM. Los registros analíticos (registros indexados) permanecen en la
antigua ADOM hasta que se reconstruye la base de datos.
• ¿Desea ver los registros de análisis del dispositivo en la antigua ADOM? Si no, necesita reconstruir la antigua base
de datos SQL de ADOM. De lo contrario, se eliminarán de acuerdo con la política de datos.
FortiAnalyzer descubre automáticamente si un dispositivo FortiGate está en un clúster de alta disponibilidad (esto también se aplica a
otros dispositivos Fortinet). Sin embargo, si registra su dispositivo con FortiAnalyzer antes de agregarlo a un clúster, puede agregarlo
manualmente en FortiAnalyzer.
Con un clúster de alta disponibilidad, el único dispositivo que se comunica con FortiAnalyzer es el dispositivo principal del clúster; los
otros dispositivos del clúster envían sus registros al dispositivo principal, que luego los envía a FortiAnalyzer.
Para habilitar un clúster, edite el dispositivo registrado en FortiAnalyzer en el Administrador de dispositivos y habilite la opción Clúster
HA. Puede agregar los dispositivos existentes al clúster o ingresar manualmente los números de serie asociados con cada dispositivo al
clúster.
FortiAnalyzer distingue diferentes dispositivos según sus números de serie. Estos se encuentran en los encabezados para todos los
diferentes tipos de mensajes de registro.
Congratulations! You have completed this lesson. Now, you will review the objectives that you covered in
this lesson.
This slide shows the objectives in this lesson. By mastering the objectives covered in this lesson, you
learned how to add, manage, and maintain devices in your network.
En esta lección, aprenderá cómo proteger, ver y administrar registros en FortiAnalyzer. Al comprender el inicio de sesión en
FortiAnalyzer, podrá usar los datos de registro para reconstruir y analizar los ataques basados en la red, así como
solucionar problemas e investigar los problemas de la red.
In this lesson, you will explore the topics shown on this slide.
Después de completar esta sección, debe poder lograr los objetivos que se muestran en esta diapositiva.
Al demostrar su competencia para comprender el propósito de la recopilación de registros, el almacenamiento de registros y
el flujo de trabajo del archivo de registro, comprenderá mejor cómo se compilan y recopilan los registros.
Los mensajes de registro ayudan a dibujar una imagen de lo que está sucediendo en su red. Puede determinar la carga en
sus dispositivos de red, rastrear el uso del servicio e identificar cualquier brecha de seguridad en su red. Sin embargo, es
importante entender que los registros son como un rompecabezas: debe juntar varias piezas para obtener una comprensión
completa de lo que está sucediendo. Con frecuencia, se requieren múltiples mensajes de registro para determinar la cadena
exacta de actividad que conduce a una violación: un registro en aislamiento a menudo no lo ayudará a configurar mejor su
red para evitar dichas violaciones en el futuro.
En ciertas áreas físicas, y en algunas áreas de negocios, existen regulaciones que exigen y obligan a las empresas a
registrar información específica y almacenar registros por un tiempo mínimo.
Las regulaciones a menudo detallan los tipos específicos de registros y datos requeridos, ya que esas entradas de registros
se pueden usar como evidencia en casos de actividad no autorizada o ilegal. Los datos deben poder presentarse ante el
tribunal, por lo que es muy importante poder entender y analizar sus registros.
El desbordamiento de información, sin embargo, es un problema real. Desea asegurarse de que la información que está
registrando es suficiente para cumplir con las regulaciones mientras aún puede hacer su trabajo. Tener demasiados datos
es tan malo (y de alguna manera peor) que tener muy poca información.
Es importante no solo recopilar y almacenar registros, sino también gestionarlos de manera eficiente. Si no crea las mejores prácticas
para administrar sus registros, puede provocar la pérdida de datos e incluso la pérdida de ingresos. Especialmente si el ataque a la red
resulta en un caso legal, es esencial que proporcione los datos apropiados en el tribunal.
• Documentar lo que se está registrando y por qué. Si alguna vez necesita investigar un nuevo evento basado en sus datos de registro,
puede mirar su documento y ver exactamente qué está registrando para saber si es posible identificar
• Asegurarse de que los datos de todos sus dispositivos y aplicaciones se capturen y no se filtren. Monitoree sus dispositivos para
asegurarse de que están enviando registros
• Centralización del almacenamiento de registros y almacenamiento en un formato común. Esto facilita su trabajo, ya que no es necesario
verificar varias ubicaciones para ver los datos de registro
• Sincronización de la hora en todos los dispositivos registrados. Si su firewall dice que son las 3 AM, su FortiAnalyzer lo dice a las 12:30
AM, y su computadora dice que son las 8:56 AM, los registros de referencias cruzadas pueden ser muy difíciles
• Mantener una copia de seguridad de los registros e implementar una política que especifique los períodos de retención del registro
• Definición de procedimientos para preservar la integridad de los datos.
• Probar y volver a probar su plan de respuesta a incidentes para garantizar que funcione y que otros administradores conozcan sus
funciones
Para poder analizar e interpretar sus registros, es importante comprender los diferentes tipos de registros y la información que contienen,
así como los registros que FortiAnalyzer recopila de cada dispositivo compatible.
Como aprendió en la capacitación de FortiGate, hay tres tipos de registros: registros de tráfico, registros de eventos y registros de
seguridad. Cada tipo de registro tiene subtipos de registro correspondientes.
Los registros que se muestran en su FortiAnalyzer dependen del tipo de registro del dispositivo y de las funciones habilitadas. Esta tabla
ilustra los tipos y subtipos de registro que FortiAnalyzer recopila de varios dispositivos compatibles. Tenga en cuenta que debe habilitar
ADOM para poder admitir el registro que no sea FortiGate.
Cuando los dispositivos registrados envían registros a FortiAnalyzer, los registros ingresan al siguiente flujo de trabajo
automático:
1. Los registros sin procesar se comprimen y se guardan en un archivo de registro en los discos FortiAnalyzer. Finalmente,
cuando el archivo de registro alcanza un tamaño específico, se desplaza y se archiva.
Los registros en la fase comprimida se conocen como registros de archivo. Estos registros se consideran fuera de línea y no
ofrecen soporte analítico inmediato. Si necesita hacer un análisis de los registros de archivo, puede usar la función de
recuperación de registros. La obtención de registros se trata más adelante en esta lección.
2. Esos mismos registros se indexan simultáneamente en la base de datos SQL para admitir el análisis. La política de datos
de ADOM determina durante cuánto tiempo se mantienen estos registros en los análisis.
Los registros en la fase indexada se conocen como registros analíticos. Estos registros se consideran en línea y ofrecen
soporte analítico inmediato.
Los registros de análisis se eliminan de la base de datos SQL como se especifica en la política de datos, pero aún
permanecen comprimidos en el archivo. Finalmente, ese archivo se elimina según la política de datos de ADOM.
Now, you will learn about ways you can protect your log data.
Después de completar esta sección, debe poder lograr los objetivos que se muestran en esta diapositiva.
Al demostrar competencia en las diferentes formas en que puede proteger sus registros, podrá cumplir con los requisitos
organizativos o legales de los registros.
Puede proteger sus registros utilizando RAID. Esto le permite tener una copia de sus registros en caso de que ocurra un
evento crítico en su FortiAnalyzer. RAID no es compatible con todos los modelos FortiAnalyzer.
Incluso si usa RAID, no es un reemplazo para hacer copias de seguridad de sus registros. Puede hacer una copia de
seguridad de sus registros a través de la GUI o la CLI.
Para proteger sus registros durante la entrega de registros, puede agregar redundancia a su entorno. En un entorno
FortiGate-FortiAnalyzer, hay algunas opciones.
Una opción es configurar FortiGate para enviar un conjunto idéntico de registros a un segundo servidor de registro, como un
segundo FortiAnalyzer o un syslog. Tenga en cuenta que esto aumentará la carga en el dispositivo FortiGate, ya que el
demonio de registro debe manejar una conexión TCP adicional al segundo dispositivo de registro. Sin embargo, con el
tamaño adecuado del sistema, esta carga adicional no será un factor. Esta opción no está disponible para FortiGates más
pequeños que no admiten un segundo dispositivo.
Otra opción es configurar el reenvío de registros en el modo Agregación. En general, su dispositivo central (de agregación)
será un FortiAnalyzer más grande, pero esto no es un requisito. El recopilador enviará un delta (cambios incrementales) de
los registros al servidor de agregación. Los dos dispositivos comparan lo que han almacenado y el recopilador envía solo lo
que el analizador no tiene. Esto no solo reduce la cantidad de tráfico que se envía, sino que también proporciona un nivel de
redundancia. Si se produce una conmutación por error catastrófica del dispositivo analizador, el recopilador envía todos los
datos que tiene y vuelve a llenar el analizador automáticamente. El modo de agregación solo se admite entre dos
dispositivos FortiAnalyzer.
El reenvío de registros se puede ejecutar en modos distintos del modo de agregación, que solo es aplicable entre dos
dispositivos FortiAnalyzer. FortiAnalyzer también puede reenviar registros en modo de tiempo real a un servidor de syslog,
un servidor de formato de evento común (CEF) u otro FortiAnalyzer. El FortiAnalyzer que envía los registros a otro
desempeña la función del cliente, mientras que el destinatario desempeña la función del servidor.
Además de reenviar los registros, el cliente FortiAnalyzer conserva una copia local de los registros. La copia local de los
registros está sujeta a la configuración de la política de datos para los registros de archivo en el cliente FortiAnalyzer.
Finalmente, puede proteger sus registros cifrando la comunicación de registro entre dispositivos.
OFTP se usa sobre SSL cuando la información se sincroniza entre FortiAnalyzer y FortiGate. OFTP escucha en los puertos
TCP / 514 y UDP / 514.
OFTPS es la configuración predeterminada para asegurar las comunicaciones entre FortiGate y FortiAnalyzer.
Las comunicaciones SSL se negocian automáticamente entre FortiAnalyzer y FortiGate, por lo que el servidor de oftp usará
FTP cifrado con SSL, solo si lo está utilizando FortiGate de conexión. De forma predeterminada, FortiGate usa el nivel de
cifrado predeterminado y FortiAnalyzer usa el nivel de cifrado bajo. El nivel de encriptación de FortiAnalyzer debe ser igual o
menor que el de FortiGate.
Para evitar que se manipulen los registros mientras están almacenados, puede agregar una suma de comprobación de
registro utilizando el comando global del sistema de configuración. Puede configurar FortiAnalyzer para que registre un valor
hash, una marca de hora y un código de autenticación del archivo de registro cuando el registro se enrolla y archiva, y
cuando se carga el registro (si esa característica está habilitada). Esto también puede ser útil contra Man-in-the-middle solo
para la transmisión de FortiAnalyzer a un servidor de Protocolo de transferencia de archivos SSH (SFTP) durante la carga
del registro.
También puede cambiar el certificado OFTP por uno personalizado utilizando el comando config system certificate oftp.
Necesita un certificado con formato de correo con privacidad mejorada (PEM) y una clave privada con formato PEM
asociada.
Now, you will learn about ways to view and search your logs in FortiAnalyzer.
Después de completar esta sección, debe poder lograr los objetivos que se muestran en esta diapositiva.
Al demostrar su competencia en la visualización de registros, resúmenes de registros y paneles, podrá encontrar y ver
información variada relacionada con los registros.
La vista de registro le permite ver los registros de tráfico, los registros de eventos y la información de registros de seguridad
para cada ADOM. Puede restringir la vista de registro a uno o más dispositivos en ADOM o a un grupo de registro, que es
un grupo de dispositivos colocados juntos en un solo objeto lógico.
Los grupos de registro son virtuales. No tienen bases de datos SQL ni ocupan espacio de disco adicional.
Para buscar registros específicos en la Vista de registro, seleccione el tipo de registro en el menú de la izquierda y luego
configure los filtros apropiados. En el ejemplo que se muestra en esta diapositiva, el filtro se establece en la descripción de
la categoría "Sitios web maliciosos". También puede especificar todos los dispositivos dentro de una ADOM o un dispositivo
específico dentro de la ADOM, y establecer el marco de tiempo.
También puede cambiar su vista agregando o eliminando columnas y viendo registros en tiempo real o histórico, o como
registros sin formato o con formato.
Para ver más información sobre un registro, haga doble clic en la entrada del registro. El panel de detalles aparece en el
lado derecho de la pantalla.
Puede guardar búsquedas frecuentes como una vista personalizada utilizando el icono de Vista personalizada en la barra
de herramientas. Configure sus filtros, realice su búsqueda y luego guarde la búsqueda en una vista personalizada.
Si sus filtros de búsqueda no devuelven ningún resultado cuando los datos de registro existen, el filtro puede estar mal
formado. FortiAnalyzer busca una coincidencia exacta en el registro, por lo que debe formar la cadena de búsqueda SQL
correctamente.
Aquí hay algunos consejos para búsquedas de registros o para solucionar problemas de búsquedas de registros:
• Verifique que la Búsqueda de mayúsculas y minúsculas esté habilitada en el menú Herramientas. Desactivar para mayor
flexibilidad de búsqueda.
• Busque un registro en la tabla de registro que incluya los datos que desea buscar. Por ejemplo, si desea buscar ataques
que incluyan inyecciones de código, haga clic con el botón derecho en esos datos y aparecerá una ventana emergente con
los filtros de búsqueda establecidos automáticamente para usted. Si selecciona el filtro de búsqueda, devuelve los resultados
basados en ese filtro.
• Al configurar un filtro, puede seleccionar una opción de filtro existente en la lista desplegable o escribir su propio nombre de
filtro. Si no conoce el nombre del filtro adecuado tal como aparece en la tabla de SQL, habilite la columna usando
Configuración de columna (puede que tenga que actualizar la página después). El filtro aparece como una opción en la lista
desplegable.
FortiView es otra forma de ver los datos de registro. FortiView integra datos históricos y en tiempo real en vistas de resumen
únicas. Sólo los datos de los registros de análisis están disponibles. Los datos de los registros de archivo no se muestran.
Cada ADOM tiene su propio análisis de datos en FortiView, así que asegúrese de estar en el ADOM correcto antes de ver
los contenidos de FortiView.
FortiView le permite ver resúmenes de datos de registro en formatos tabulares y gráficos para FortiGate y FortiCarrier. Por
ejemplo, puede ver las principales amenazas a su red, las principales fuentes de tráfico de red y los principales destinos del
tráfico de red, por nombrar algunos. Para cada vista de resumen, puede profundizar en detalles, así como configurar filtros
para mostrar datos específicos.
Un FortiView que vale la pena mencionar es Indicator of Compromise (IOC). El motor de IOC detecta usuarios finales con
un uso sospechoso de la web al verificar los registros nuevos e históricos con las firmas de IOC, que se basan en una
suscripción de FortiGuard.
El motor de detección de infracciones en FortiAnalyzer utiliza la inteligencia del Servicio de Detección de Amenazas (TDS)
de FortiGuard para analizar los registros de filtros web para la detección de infracciones. La inteligencia de TDS se actualiza
diariamente para reflejar el panorama de amenazas del mundo real. Tenga en cuenta que los registros de AV / IPS, y así
sucesivamente, no se utilizarán, ya que estos servicios ya han sido detectados o prevenidos por FortiGate. Cuando se
encuentra una coincidencia de amenaza, se otorga una puntuación de amenaza al usuario final en función de la puntuación
de clasificación general de TDS. Cuando se completa la verificación, FortiAnalyzer agrega todas las puntuaciones de
amenaza de un usuario final y emite su veredicto sobre el IOC general del usuario final. El veredicto puede ser uno de los
siguientes:
• Infectado: Indica una brecha real. Se ha encontrado una coincidencia o coincidencias de los algoritmos de generación de
dominios / IP (DGA) en la lista negra en los registros web.
• Altamente sospechoso: Indica un posible incumplimiento.
Para obtener informes y una auditoría más histórica de las detecciones de malware, botnet e intrusiones, puede consultar el
informe de amenazas.
Aquí hay un ejemplo de un golpe de COI en FortiView. El motor de detección de infracciones ha determinado una infracción
real, como lo indica el veredicto de Infectado. La columna # de amenazas indica que hay 10 amenazas diferentes asociadas
con este golpe.
• Lista negra, que incluye direcciones IP maliciosas para botnets y sumideros DNS, así como nombres de dominio por DGA.
• Lista sospechosa, donde cada URL está asociada con un puntaje clasificado. El puntaje clasificado es relativo según el
crowdsourcing de inteligencia de amenazas, que se procesa una vez al día.
• Filtre las entradas agregando filtros, así como especificando dispositivos o un período de tiempo. Puede ver el historial de
hasta 7 días, cada detección utilizando la inteligencia de amenazas de ese día.
• Confirme el IOC haciendo clic en Ack en la columna Reconocimiento (aún puede ver los IOC reconocidos)
• Haga doble clic en una entrada para profundizar y ver los detalles de la amenaza.
En FortiView, si las direcciones IP no se resuelven en un nombre de host, debe configurar los servidores DNS locales en FortiAnalyzer.
Luego, ingrese el comando CLI que se muestra en esta diapositiva.
Esto provocará un ligero retraso en cada actualización de FortiView porque debe resolverse. En entornos muy grandes, la demora puede
ser más notable, dependiendo de la cantidad de IP que deban resolverse, así como de la velocidad de sus servidores DNS.
Como práctica recomendada, se recomienda resolver los IP en el extremo FortiGate. Esto se debe a que obtiene tanto el origen como el
destino, y descarga el trabajo de FortiAnalyzer. En FortiAnalyzer, esta resolución de IP solo hace IP de destino.
Usando FortiAnalyzer, puede habilitar la obtención de registros. Esto permite a FortiAnalyzer obtener los registros archivados
de dispositivos específicos de otro FortiAnalyzer, en el que luego puede ejecutar consultas o informes para el análisis forense.
La obtención de registros simplifica en gran medida la generación de informes basados en los datos de registro al:
• Permitir que el usuario administrativo seleccione los dispositivos y el período de tiempo a indexar
• Permitir configuraciones de retención de registros personalizadas para los registros indexados introducidos en la ADOM
para que se adapten al propósito de la generación de informes basados en registros más antiguos
• Evitar la duplicación de registros, que puede ocurrir durante una importación desde un origen de copia de seguridad externo
El dispositivo FortiAnalyzer que recupera los registros funciona como el cliente de recuperación, y el otro dispositivo
FortiAnalyzer que envía los registros funciona como el servidor de recuperación. La obtención de registros solo puede
realizarse entre dos dispositivos FortiAnalyzer, y ambos deben estar ejecutando la misma versión de firmware. Un dispositivo
FortiAnalyzer puede realizar el servidor de recuperación o la función del cliente, y puede realizar dos funciones al mismo
tiempo con diferentes dispositivos FortiAnalyzer en el otro extremo. Puede establecer solo una sesión de recuperación de
registros a la vez entre dos dispositivos FortiAnalyzer.
Si solo tiene un FortiAnalyzer, la recuperación de registros no es una opción. En este caso, usted exportaría e importaría el
archivo de registro. Es posible que desee eliminar el archivo de registro exportado del FortiAnalyzer antes de volver a importar,
por lo que no tendría una copia duplicada de esos registros en su archivo.
El NOC (Centro de operaciones de red) y el SOC (Centro de operaciones de seguridad) están diseñados para un centro de
operaciones de red y seguridad donde se muestran varios paneles en monitores grandes en un entorno NOC y SOC.
NOC y SOC muestran tanto el monitoreo en tiempo real como las tendencias históricas. Esta supervisión y reconocimiento
centralizados lo ayudan a supervisar eficazmente los eventos de red, las amenazas y las alertas de seguridad.
Use los paneles de NOC y SOC para ver múltiples paneles de actividad de la red, incluida la supervisión de la seguridad de
la red, los hosts comprometidos, las vulnerabilidades, la estructura de seguridad, la seguridad de WiFi y el rendimiento del
sistema.
Los paneles y widgets de NOC y SOC son muy flexibles y le permiten hacer lo siguiente:
Por ejemplo, si un panel tiene demasiados widgets, simplemente cree el mismo o un panel diferente en otro monitor para
mostrar los widgets en un tamaño más grande.
NOC y SOC incluyen paneles de control predefinidos para Monitor de seguridad, Monitor de hosts comprometidos, Monitor
de vulnerabilidades, Fabric de seguridad, Monitor de WiFi y Rendimiento del sistema.
• Rendimiento de sistema
o Este panel controla el rendimiento del sistema de la unidad FortiAnalyzer que ejecuta NOC y SOC y no los dispositivos de
registro. Incluye CPU y uso de memoria, uso de CPU multinúcleo, tasa de inserción frente a tasa de recepción, tasa de
recepción vs tasa de reenvío, E / S de disco.
Good job! You now understand how to view and search your logs.
Now, you will learn how to troubleshoot and manage your logs.
Después de completar esta sección, debe poder lograr los objetivos que se muestran en esta diapositiva.
Al demostrar competencia en la resolución de problemas y la administración de sus registros, podrá asegurarse de no
perder datos de registro valiosos.
Para comprender su volumen de registro y si su cuota de disco está configurada adecuadamente, puede usar los comandos
de la CLI que se muestran en esta diapositiva para recopilar estadísticas de uso de dispositivos y tasa de registro. Por
ejemplo, si su volumen de registro es demasiado alto, no podrá mantener sus registros en análisis y archivado durante el
tiempo configurado en ADOM.
Run # diagnose debug enable Antes de ejecutar los comandos que se muestran en la diapositiva.
También puede ver la tasa de inserción de registro, la tasa de recepción y el tiempo de demora de inserción de registro
utilizando los respectivos widgets del panel de control. De forma predeterminada, estos widgets no se agregan al panel de
control. Para agregar, puede hacer clic en Alternar widgets en la parte superior izquierda y agregar estos widgets.
La tasa de inserción frente a la tasa de recepción es un gráfico que muestra la tasa a la que los registros sin procesar
alcanzan el FortiAnalyzer (tasa recibida) y la tasa a la que la base de datos SQL y el demonio sqlplugind indexan (tasa de
inserción).
Log Insert Lag Time (Tiempo de retraso de inserción de registro) muestra la cantidad de tiempo entre el momento en que se
recibió un registro y cuando se indexó.
Según la tasa de registro y las estadísticas de uso del dispositivo, es posible que deba ajustar la cuota de disco de ADOM
para no perder datos de registro valiosos.
Siempre supervise su tasa de registro para cada dispositivo en el ADOM. Si tiene un gran volumen de registros, aumente la
cuota de ADOM para que los registros más antiguos no se pierdan prematuramente.
Asignar una cuota insuficiente a un ADOM puede causar muchos problemas. Puede:
Además de aumentar la cuota de registro del disco, ¿qué puede hacer para administrar mejor sus registros en el disco?
Usted puede:
• Especifique una política de rollo de registro global para rodar o cargar registros cuando el tamaño supera un umbral
establecido
• Especifique una política de eliminación automática global para todos los archivos de registro, archivos en cuarentena,
informes y archivos de contenido en FortiAnalyzer
Good job! You now understand how to troubleshoot and manage your logs.
Después de completar esta sección, debe poder lograr los objetivos que se muestran en esta diapositiva.
Al demostrar competencia en los manejadores de eventos, podrá mejorar su eficiencia en la investigación de eventos.
En la GUI, la pantalla Administrador de eventos muestra todos los eventos generados por sus controladores de eventos
habilitados y configurados.
Al hacer doble clic en un evento, se proporcionan más detalles sobre el evento, incluidos los registros asociados. También
le permite dejar un comentario para sus registros y reconocer el evento.
Los controladores de eventos funcionan en registros sin procesar, no en los registros de la base de datos.
Los controladores de eventos son condiciones coincidentes específicas en los registros sin procesar que se muestran en la
Administración de eventos.
El sistema incluye una cantidad de controladores de eventos predefinidos que puede habilitar para comenzar a llenar la
Administración de eventos. También puede configurar los controladores de eventos para enviar notificaciones de alerta por
correo electrónico, como capturas SNMP, o a un servidor de syslog. Para utilizar cualquiera de estos métodos de
notificación, primero debe configurar el back-end (por ejemplo, un servidor de correo electrónico para notificaciones por
correo electrónico).
Si ninguno de los controladores de eventos predefinidos cumple con sus requisitos, puede crear controladores de eventos
personalizados.
Al configurar un controlador de eventos, el filtro de texto genérico permite un control más preciso y flexible sobre qué
registros activan un evento. Múltiples operadores y la lógica son compatibles. Puede colocar el cursor sobre el signo de
interrogación para ver un ejemplo.
Como sugerencia, puede buscar en sus registros sin formato el archivo de registro en el que desea agregar un controlador
de eventos y copiar la cadena que desea hacer coincidir.
This slide shows the objectives covered in this lesson. By mastering the objectives covered in this lesson, you
learned how to use logs effectively in your system.
En esta lección, aprenderá cómo extraer información útil de sus registros para fines de análisis. Para hacer esto, aprenderá
a comprender cómo se formatean, almacenan y organizan los datos en la base de datos, y cómo utilizar la función de informes
FortiAnalyzer para ver los datos capturados para análisis forense y cumplimiento.
In this lesson, you will explore the topics shown on this slide.
Después de completar esta sección, debe poder lograr los objetivos que se muestran en esta diapositiva.
Al demostrar competencia para comprender los conceptos de los informes, podrá utilizar los informes para extraer de
manera más eficaz los datos de registro recopilados de su base de datos.
El propósito de un informe es resumir grandes cantidades de datos registrados. De acuerdo con los parámetros de informe
configurados, FortiAnalyzer extrae los datos y los presenta de una manera gráfica que hace que sea más fácil y rápido de
digerir. Los patrones y tendencias que los informes revelan ya existen como varios puntos de datos dentro de su base de
datos, pero sería difícil y lento buscar, comparar y analizar manualmente múltiples archivos de registro, especialmente si no
sabe qué tendencia o patrón que buscas Una vez configurados, los informes realizan la investigación por usted y
proporcionan un análisis rápido y detallado de la actividad en su red. Luego, puede usar esa información para comprender
mejor su red o mejorar la seguridad de su red.
Tenga en cuenta que los informes no proporcionan ninguna recomendación ni dan ninguna indicación de problemas. Los
administradores deben poder mirar más allá de los datos y gráficos para ver qué está sucediendo dentro de su red.
Un informe FortiAnalyzer es un conjunto de datos organizados en tablas. Los cuadros constan de dos elementos:
• Conjuntos de datos, que son consultas SELECT de lenguaje de consulta estructurado (SQL) que extraen datos específicos
de la base de datos
• El formato en el que se muestran esos datos (por ejemplo, gráficos circulares, gráficos de barras o tablas)
Para rellenar un gráfico con datos de registro específicos que se han recopilado, almacenado y ordenado en la base de
datos SQL, se basa en una consulta de conjunto de datos para extraer esos datos de registro. Un conjunto de datos es una
consulta SQL SELECT específica, una declaración de solo lectura que recupera datos de la base de datos.
La declaración SELECT es la primera palabra utilizada en una consulta: es el verbo declarativo que describe lo que quiere
que se haga.
Para extraer los datos que desea de la base de datos SQL, debe especificar los criterios. Para poner estos criterios en un lenguaje que
SQL entienda, debe usar una cláusula reconocida por la instrucción SELECT.
Las cláusulas principales que los informes de FortiAnalyzer utilizan son las siguientes:
• FROM, que especifica la tabla.
• DONDE, que especifica las condiciones. Todas las filas que no satisfacen la condición se eliminan de la salida.
• GROUP BY, que recopila datos en varios registros y agrupa los resultados en una o más columnas
• ORDER BY, que ordena los resultados por filas. Si no se proporciona ORDER BY, las filas se devuelven en el orden que el sistema
encuentre más rápido de producir.
• LÍMITE, que limita el número de registros devueltos en función de un valor específico. OFFSET es otra cláusula que se usa a menudo
junto con LIMIT, que compensa los resultados con el número especificado. Por ejemplo, si coloca un límite de tres registros y un
desplazamiento de uno, se omite el primer registro que normalmente se devolvería y, en cambio, se devuelven los registros segundo,
tercero y cuarto (tres en total).
FROM es la única cláusula obligatoria requerida para formar una declaración SELECT; El resto de las cláusulas son opcionales y sirven
para filtrar o limitar, agregar o combinar y controlar la clasificación. También es importante tener en cuenta que las cláusulas deben
codificarse en una secuencia específica. En consecuencia, siguiendo la palabra clave SELECT, la declaración debe ir seguida de una o
más cláusulas en el orden en que aparecen en la tabla que se muestra en esta diapositiva. Por ejemplo, no puede utilizar la cláusula
WHERE antes de la cláusula FROM. No tiene que usar todas las cláusulas opcionales, pero cualquiera de las que use debe estar en la
secuencia correcta.
Para obtener más información sobre SQL y conjuntos de datos para usar con los informes de FortiAnalyzer, consulte la información
adicional
Lección de SQL y conjuntos de datos de FortiAnalyzer.
Para crear una consulta, primero debe saber qué se incluye en el esquema de la base de datos; necesita saber qué
información está disponible para extraer para los informes. En FortiAnalyzer, puede obtener el esquema para un tipo de
registro específico creando y probando la siguiente consulta de conjunto de datos:
Para los registros de tráfico, por ejemplo, asocie el tipo de registro de tráfico con este conjunto de datos en la lista
desplegable Tipo de registro. Esta consulta devuelve todo del tipo de registro de tráfico. Los nombres de encabezado de
columna indican lo que está disponible en el esquema de base de datos para el tipo de registro seleccionado. El símbolo *
se utiliza como una forma de devolver todos los datos.
Como se muestra en el gráfico de esta diapositiva, la base de datos SQL contiene todos los registros sin procesar. Una
consulta SQL SELECT sondea la base de datos para obtener información específica. En función de la consulta, se extrae
un subconjunto de información almacenada en los registros.
Este subconjunto de datos completa un gráfico y existen uno o más gráficos dentro de un informe.
Cuando ADOM está habilitado, cada ADOM tiene sus propios informes, bibliotecas y configuraciones avanzadas. Como tal,
asegúrese de estar en el ADOM correcto antes de seleccionar un informe.
Los informes adicionales para dispositivos Fortinet específicos están disponibles solo cuando las ADOM están habilitadas.
Puede configurar y generar informes para estos dispositivos dentro de sus respectivas ADOM. Estos dispositivos también
tienen cuadros y conjuntos de datos específicos del dispositivo.
Antes de configurar o crear un informe, hay ciertos factores que debe considerar para asegurarse de que el
informe sea lo más efectivo posible.
La primera consideración es tu audiencia. ¿Quién va a estar viendo este informe? Dependiendo de lo que
quieran ver y de su nivel de habilidad, es posible que deba agregar, eliminar o modificar gráficos para
transmitir la información de manera adecuada.
La segunda consideración es tu propósito. Si observa los informes predefinidos, cada uno se centra en una
información específica. Se basan en conjuntos de datos específicos y contienen gráficos que dan formato a
esa consulta. Por lo tanto, los informes deben enfocarse para que sean efectivos y fáciles de digerir, y esto
se logra al tener un propósito fuerte.
La siguiente consideración es el nivel de detalle. La mejor práctica es mantener los informes cortos y
concisos. No solo enfocará su visión de la red y los usuarios, sino que los informes más cortos tienen
menos gráficos y menos consultas para ejecutar.
Esto ayuda con el rendimiento, ya que los informes grandes afectan a la CPU y la memoria.
La consideración final es el formato. Debe saber cómo desea formatear los datos para que se muestren de
la manera más fácil de digerir e informativa posible. Un gráfico de tablas, un gráfico de barras y un gráfico
circular no representan necesariamente los mismos datos con la misma eficacia. Según su consulta, es
posible que solo pueda utilizar un tipo de gráfico, pero si las opciones están disponibles, debe seleccionar el
gráfico correcto. Piense en cómo se representarían mejor los datos visualmente, y sobre la audiencia que
consume los datos. Aparte del formato de gráfico, también puede cambiar el diseño del informe agregando
separadores, saltos de página, imágenes y renombrando gráficos.
After completing this section, you should be able to achieve the objectives shown on the slide.
By demonstrating competence in report generation, you will be able to quickly view a detailed analysis of
activity on your network in a way that is consumable.
FortiAnalyzer proporciona plantillas predefinidas para informes. Las plantillas especifican el diseño (textos, gráficos y
macros) para incluir en el informe que lo utiliza. De forma predeterminada, estas plantillas predefinidas están asociadas con
sus respectivos informes predefinidos. Por ejemplo, la plantilla Plantilla - Revisión de seguridad de 360 grados es la plantilla
utilizada por el informe de Revisión de seguridad predefinido de 360 grados.
Las plantillas no contienen ningún dato. Los datos se agregan al informe cuando los genera.
No puede editar una plantilla predefinida, pero puede clonarla y editarla para que se ajuste a sus requisitos. También
puedes crear tu propia plantilla desde cero.
FortiAnalyzer también proporciona informes predefinidos, cada uno asociado con una plantilla predefinida (el diseño). Los informes
predefinidos vienen con configuraciones básicas predeterminadas que ya están configuradas. Estas configuraciones básicas definen el
período de tiempo en el que se ejecuta el informe; en qué dispositivo, o dispositivos, para ejecutar el informe; y si el informe se genera
como un solo informe o informes múltiples.
Como tal, puede ejecutar los informes predefinidos tal como están, pero como mínimo debe examinar y ajustar, si es necesario, las
configuraciones de configuración predeterminadas básicas. Por ejemplo, si hoy es el primer día que FortiAnalyzer ha estado
recolectando registros, su informe no contendrá datos si el período de tiempo se establece en los últimos 7 días. Los últimos <n> días se
manejan de manera diferente en los informes de FortiView que luego. En los informes, no incluye el día actual.
Puede ejecutar informes a pedido o programarlos por un tiempo específico habilitando la programación.
Una vez que se genera, el informe está disponible para verlo en múltiples formatos, incluidos HTML, PDF, XML y CSV.
Si un informe predefinido está muy cerca de cumplir todos sus requisitos, pero no del todo, es posible que pueda ajustar el
informe con la configuración del informe. El ajuste fino abarca modificaciones de informe mínimas, tales como:
• Agregar filtros de mensajes de registro para refinar aún más los datos de registro que se incluyen en el informe
• Habilitar consultas a un servidor LDAP preexistente para agregar una consulta LDAP al informe
• Configuración del idioma del informe, la configuración de impresión y otras configuraciones. Por ejemplo, puede imprimir y
personalizar la portada, imprimir la tabla de contenido, imprimir una lista de dispositivos, ofuscar a los usuarios y configurar
el código de color para que el informe aparezca en el Calendario de informes.
Acabamos de discutir la configuración de filtros en el nivel de informe en la configuración del informe. Sin embargo, también puede
establecer filtros en los gráficos utilizados en el informe.
Dentro de la pestaña Diseño del informe, haga clic con el botón derecho en el gráfico y seleccione Propiedades del gráfico. Los filtros
que establece aquí solo se aplican a ese gráfico en ese informe. Como tal, no afectará a ningún otro informe que use ese mismo gráfico.
Si bien el nombre de los informes predefinidos pretende ser indicativo de qué tipo de datos se incluyen en el informe, tener
una vista más completa del contenido del informe es útil, especialmente cuando se trata de determinar si un informe
predefinido satisface sus necesidades. Una forma es examinar qué cuadros están contenidos en el informe y, en un nivel
más granular, qué conjuntos de datos definen esos cuadros.
Hay varias formas de determinar qué cuadros y conjuntos de datos se utilizan en los informes. Una forma rápida es ver la
plantilla asociada con el informe. La plantilla incluye todos los cuadros incluidos en el informe. Para descubrir qué conjunto
de datos está asociado con un gráfico, haga clic con el botón derecho en el gráfico y seleccione Clonar gráfico. El diálogo
que aparece enumera el conjunto de datos.
Puede ver la consulta específica para el conjunto de datos en la página Conjuntos de datos.
FortiAnalyzer también ofrece la capacidad de ejecutar informes en grupos de registro para que pueda ver los datos de
registro del grupo como si fuera un solo dispositivo.
Uno de estos casos de uso para los grupos de registro es determinar cómo se está desempeñando su red como un todo,
especialmente si tiene una red grande que tiene varias FortiGates posicionadas en diferentes puntos. Puede obtener
información sobre el uso total del tráfico y obtener una imagen completa de su red en lugar de recibir una apariencia
fragmentada basada en múltiples dispositivos no conectados.
Es posible que desee utilizar grupos de registro para determinar el rendimiento de los dispositivos en ubicaciones
geográficas específicas.
After completing this section, you should be able to achieve the objectives shown on this slide.
By demonstrating competence in report customization, you will be able to generate reports specific to your
requirements.
Es posible que los informes predefinidos no cumplan con todos los requisitos de su organización, incluso después de ajustar
la configuración del informe. Si bien FortiAnalyzer brinda la opción de crear nuevas plantillas e informes desde cero, hay
opciones de personalización disponibles.
Por ejemplo, para cambios menores o moderados en plantillas o informes existentes, puede usar la clonación. Para la
clonación, clonaría un informe o una plantilla y luego editaría el clon para satisfacer sus requisitos. Solo para informes,
puede crear un informe nuevo, pero basarlo en una plantilla existente. Luego edite ese nuevo informe para que se adapte a
sus necesidades.
Si bien puede editar directamente el diseño de los informes predefinidos (pero no las plantillas), se recomienda clonar y
editar los informes predefinidos. Esto conserva los informes predeterminados si sus ediciones directas al informe no tienen
éxito.
Si se requieren cambios importantes en las plantillas o informes existentes (es decir, ningún informe satisface sus
necesidades), puede crear un nuevo informe o plantilla desde cero.
Puede clonar un informe desde la página Todos los informes. Nuevamente, debe clonar cuando necesite hacer solo
cambios menores a moderados. Por ejemplo, cuando desea tomar prestados muchos de los elementos, pero no todos, de
un informe existente. En el informe clonado, puede editar la configuración, así como el diseño. Tenga en cuenta que la
pestaña Diseño proporciona la opción de guardar el diseño como una plantilla, si es necesario.
Puedes clonar una plantilla en la página de Plantillas. Nuevamente, debe clonar cuando necesite hacer solo cambios
menores a moderados. Por ejemplo, cuando desea tomar prestados muchos de los elementos, pero no todos, de una
plantilla existente. En la plantilla clonada, solo puede editar el diseño.
Puede crear un nuevo informe en blanco en la página Todos los informes. Como se muestra en el gráfico de esta
diapositiva, puede configurar tanto la configuración como el diseño. Como se trata de un informe nuevo, tanto la
configuración como el diseño están en blanco y debe configurarlos.
Una vez que creas el diseño, tienes la opción de guardarlo como plantilla. Luego puede usar esa plantilla para otros
informes que cree.
Puede crear una nueva plantilla en la página Plantillas. El gráfico que se muestra en esta diapositiva muestra que la
pestaña Diseño está en blanco. Utilice la barra de herramientas de diseño en esta página para crear su diseño. La barra de
herramientas le permite insertar gráficos y macros existentes, y le permite agregar y formatear texto, así como agregar
imágenes y enlaces.
Después de crear el diseño, puede guardarlo como una nueva plantilla personalizada. A continuación, puede utilizar esa
plantilla en los informes.
Existe una estrecha asociación entre plantillas e informes. Como se mencionó anteriormente, puede clonar y editar informes
y plantillas, y puede crear nuevos informes y plantillas. Entonces, ¿cómo sabe qué enfoque de personalización debe tomar:
ataca la personalización desde el lado de la plantilla o desde el lado del informe?
Una de las diferencias más importantes entre las plantillas y los informes es que las plantillas solo incluyen los detalles que
puede encontrar en la pestaña Diseño del informe; no incluyen la configuración de los informes (ya sea la configuración
básica o la configuración avanzada). Por lo tanto, al decidir si realizar las personalizaciones en el lado de la plantilla o en el
lado del informe, depende de lo que desee conservar y de lo que desee modificar.
Al final, no hay un enfoque correcto. Puedes lograr los mismos resultados a través de varios métodos. La mejor práctica es
atacarlo desde un punto de vista de eficiencia y necesidades.
En FortiAnalyzer, las macros especifican qué datos se extraen de los registros: representan consultas de conjuntos de datos en forma
abreviada. Puede insertar macros como datos en sus informes, sin tener que usar un gráfico para mostrar los datos. FortiAnalyzer
proporciona macros predefinidas, o puede crear sus propias macros personalizadas.
Tenga en cuenta que las macros son específicas de ADOM y se admiten solo en FortiGate y FortiCarrier ADOMs.
En el ejemplo que se muestra en esta diapositiva, el texto se agrega antes de la macro insertada para darle un poco de
contexto a la macro. Como puede ver, cuando se genera el informe, los datos de los registros se extraen de acuerdo con la
consulta utilizada en la macro. Aquí, la macro Categoría de aplicación con el recuento más alto devolvió Network.Service de
la base de datos.
After completing this section, you should be able to achieve the objectives shown on this slide.
By demonstrating competence in chart and dataset customization, you will be able to extract unique
combinations of data from the database specific to your requirements.
En algunos casos, simplemente agregar o eliminar gráficos predeterminados de un informe o plantilla puede no cumplir con
sus requisitos: es posible que deba extraer una combinación única de datos de la base de datos cuando no exista un gráfico
o conjunto de datos predefinidos para esa combinación única. En este caso, puede clonar y editar gráficos y conjuntos de
datos, o crear nuevos gráficos y conjuntos de datos desde cero.
Al crear un nuevo gráfico, primero necesita un conjunto de datos que consultará la base de datos para obtener la
información que desea. Esto es absolutamente necesario. Todo lo que hace un gráfico es convertir los resultados basados
en texto de esa consulta a un formato gráfico de su elección (tabla, barra, empanada, línea, área de rosquilla).
Después de seleccionar su conjunto de datos y tipo de gráfico, la información en la sección de enlaces de datos se ajusta
automáticamente en función de esas selecciones. Consulte la Guía de administración de FortiAnalyzer para obtener más
información sobre la opción de enlaces de datos para su conjunto de datos y tipo de gráfico específicos.
Si FortiAnalyzer incluye un gráfico existente que es muy similar a la salida que desea, puede clonar y modificar el gráfico en
lugar de crear uno nuevo. Un gráfico clonado se clasifica como un gráfico personalizado, así que recuerde habilitar Mostrar
personalizado para que aparezca en la tabla de la biblioteca de gráf icos para facilitar su visualización o acceso.
Al crear un nuevo conjunto de datos, debe escribir una consulta SQL SELECT. Para obtener más información acerca de
cómo escribir consultas, consulte la lección FortiAnalyzer SQL and Datasets (material de capacitación complementario).
Una vez que escriba la consulta, asegúrese de probarla para asegurarse de que esté bien formada. Además, revise los
resultados de la prueba y asegúrese de que está devolviendo los datos que espera.
Si 0
Tenga en cuenta que puede validar todos los conjuntos de datos personalizados, que incluyen conjuntos de datos nuevos y
clonados, con un clic en la
Página de conjuntos de datos. Siempre debe validar sus conjuntos de datos personalizados después de una actualización
de firmware.
Una forma rápida de crear un conjunto de datos y gráficos personalizados es utilizar la herramienta de creación de gráficos.
Esta herramienta se encuentra en la Vista de registro y le permite crear un conjunto de datos y un gráfico de forma
automática, según los resultados de búsqueda filtrados. En la vista de registro, configure los filtros para devolver los
registros que desea. Luego, en el menú Herramientas, seleccione Generador de gráficos para construir automáticamente la
búsqueda en un conjunto de datos y un gráfico. También puede afinar el conjunto de datos aún más mediante:
Similar a la función Generador de gráficos en la vista de registro, puede exportar un gráfico desde un FortiView. La
exportación de gráficos incluye todos los filtros que establezca en FortiView.
Good job! You now understand how to customize charts and datasets.
After completing this section, you should be able to achieve the objectives shown on this slide.
By demonstrating competence in report management, you will be able to handle, store, and more efficiently
control reports and report generation.
Puede configurar FortiAnalyzer para enviar por correo electrónico los informes generados a administradores específicos, o
para cargar los informes generados a un servidor de syslog. Esto permite que los informes existan externamente, en lugar
de permanecer localmente en FortiAnalyzer.
Para utilizar cualquiera de estos métodos de almacenamiento externo, primero debe configurar el back-end. Esto incluye la
configuración de un servidor de correo (solo para informes enviados por correo electrónico) y un perfil de salida. Si las
ADOM están habilitadas, cada ADOM tiene sus propios perfiles de salida.
Cuando se genera un informe, el sistema crea los gráficos a partir de datos de caché de disco duro de SQL precompilados,
conocidos como hcache. Si no se genera el hcache cuando ejecuta el informe, el sistema debe crearlo primero y luego
compilar el informe. Esto añade tiempo a la generación de informes. Sin embargo, si no se reciben nuevos registros para el
período de informe, cuando ejecute el informe por segunda vez, será mucho más rápido, porque los datos de hcache ya
están precompilados.
Para aumentar el rendimiento del informe y reducir el tiempo de generación del informe, puede habilitar la caché automática
en la configuración del informe. En este caso, el hcache se actualiza automáticamente cuando entran nuevos registros y se
generan nuevas tablas de registro.
Tenga en cuenta que hcache se habilita automáticamente para los informes programados. Si no está programando un
informe, puede considerar habilitar hcache. Esto asegura que los informes sean generados eficientemente. Sin embargo,
tenga en cuenta que este proceso utiliza recursos del sistema (especialmente para informes que requieren mucho tiempo
para ensamblar conjuntos de datos), por lo que debe supervisar su sistema para asegurarse de que pueda manejarlo.
Si los mismos informes (o similares) se ejecutarán contra muchos FortiGates diferentes, puede mejorar significativamente el
tiempo de generación de informes agrupando los informes. La agrupación de informes puede reducir el número de tablas de
hcache y mejorar el tiempo de finalización de auto-hcache y el tiempo de finalización del informe.
Después de configurar la agrupación de informes con el comando de configuración de la CLI del grupo de informes del
sistema, debe reconstruir las tablas de informes de hcache. Puede reconstruir las tablas hcache para esos informes
específicos.
Recuerde, cada ADOM tiene sus propios informes, bibliotecas y configuraciones avanzadas. Sin embargo, puede importar y
exportar informes y gráficos (ya sea por defecto o personalizados) a un ADOM diferente dentro del mismo dispositivo
FortiAnalyzer o un dispositivo FortiAnalyzer diferente. El ADOM debe ser del mismo tipo.
No puedes exportar plantillas y conjuntos de datos. Sin embargo, cuando importa un informe exportado, puede guardar el
diseño del informe como una plantilla. Cuando exporta un gráfico, el conjunto de datos asociado se exporta de forma
silenciosa con él, por lo que cuando importa un gráfico exportado, el conjunto de datos asociado también se importa.
Puede exportar e importar informes a través del menú del botón derecho en la página Informes. La biblioteca de
El calendario de informes proporciona una visión general de todos sus informes programados. Un icono de verificación
significa que el informe se ha generado, mientras que un icono de reloj significa que está pendiente.
Cuando pasa el cursor del mouse sobre un informe programado, aparece un cuadro de notificación que muestra el nombre,
el estado y el tipo de dispositivo del informe.
Puede editar y deshabilitar los próximos informes programados, así como eliminar o descargar informes completos
haciendo clic con el botón derecho en el nombre del informe en el calendario.
Tenga en cuenta que la programación no se realiza realmente en esta página, sino que se configura en la configuración
específica del informe.
También puede configurar informes para que se muestren utilizando un color específico en la ventana de Configuración
avanzada del informe.
After completing this section, you should be able to achieve the objectives shown on this slide.
By demonstrating competence in report troubleshooting, you will be able to avoid, identify, and solve common
reporting issues.
Si su red tiene un gran volumen de dispositivos que envían registros a FortiAnalyzer, así como un alto volumen de registros,
los informes pueden tardar un tiempo en generarse. Si encuentra que los informes se están demorando mucho en generar,
hay algunos pasos que puede seguir para resolver problemas:
• Ejecute los diagnósticos en su informe y vea el resumen del informe al final del informe. Mira el tiempo de hcache para ver
cuánto tardó en construirse.
• Verifique sus tasas de registro (como se describió anteriormente) para tener una idea de los volúmenes de registro
• Compruebe la velocidad de inserción, la velocidad de recepción y el retraso de inserción de registro. Pueden indicarle la
velocidad a la que los registros sin procesar están llegando a FortiAnalyzer (velocidad de recepción) y la velocidad a la que
la base de datos SQL los indexa (tasa de inserción) por el demonio sqlplugind. El tiempo de retraso de inserción de registro
le indica cuántos segundos está retrasada la base de datos en el procesamiento de los registros.
• Active la caché automática en la configuración del informe para aumentar el rendimiento de los informes y reducir el
tiempo de generación de informes. Los informes programados ya tienen la caché automática habilitada.
Esta diapositiva muestra algunos comandos de la CLI que puede usar para solucionar problemas
¿Qué sucede si ejecuta informes y están vacíos o no contienen la información deseada? Aquí hay algunos consejos para
solucionar problemas:
• Verifique el período de tiempo que cubre el informe. Esto se enumera dentro del propio informe
• Compare el período de tiempo con los registros y verifique que tiene el archivo de registro para el tiempo en cuestión
• Verifique que tiene registros desde el momento en que se ejecutó el informe y desde el dispositivo para el que se ejecutó
el informe. Un problema común se debe a que los registros se sobrescriben demasiado rápido. El resultado es que los
registros necesarios para el informe se sobrescriben y, como tales, no están disponibles una vez que se ejecuta el informe.
En este caso, la solución es aumentar la cuota de disco para garantizar que los registros se conserven por más tiempo.
• Si no es así, entonces resuelva el problema de la consulta SQL en sí misma, ya que probablemente sea el conjunto de
datos que contiene el error.
• Compruebe la configuración avanzada de su informe. Una configuración como la ofuscación del usuario puede dar como
resultado nombres de usuario anormales en el informe. También verifique los filtros adjuntos a un informe. Es posible que
su filtro esté filtrando los registros deseados.
Congratulations! You have completed this lesson. Now, you will review the objectives that you covered in this
lesson.
Esta diapositiva muestra los objetivos que cubrió en esta lección. Al dominar los objetivos cubiertos en esta lección,
aprendió a comprender cómo se formatean, almacenan y organizan los datos en la base de datos y cómo utilizar la función
de informes FortiAnalyzer para ver y extraer información útil de los registros.
© FORTINET
Supplementary Material
Este material complementario tiene como objetivo proporcionar una visión general de SQL y conjuntos de datos. Si bien la
enseñanza de SQL en su totalidad está fuera del alcance de la capacitación de FortiAnalyzer, el objetivo es proporcionarle
suficiente información para que pueda modificar o crear conjuntos de datos con el fin de extraer datos para los informes.
These are the topics we will explore in this lesson, beginning with datasets and SQL.
Esta sección cubre los conjuntos de datos. Los conjuntos de datos definen qué datos se extraen de la base de datos y se
representan en el gráfico de un informe.
Si bien FortiAnalyzer proporciona conjuntos de datos predefinidos que abordan las consultas más comunes, debe
comprender el lenguaje de consulta estructurado, también conocido como SQL, para modificar esos conjuntos de datos o
crear uno propio.
Un conjunto de datos es una consulta SQL SELECT. El resultado de esa consulta, los datos específicos consultados en la
base de datos, es lo que completa un gráfico.
FortiAnalyzer incluye muchos conjuntos de datos predefinidos que contienen algunas de las consultas de base de datos
más comunes. Estos están disponibles para ver desde la página de conjuntos de datos.
Cuando está creando sus consultas, debe usar la sintaxis SQL para interactuar con la base de datos. Al crear o editar
conjuntos de datos, hay un botón de prueba donde puede probar su consulta. Si no se forma correctamente, aparece un
mensaje de error. Si se formó correctamente, y los datos que está consultando están disponibles en la base de datos,
aparecen los resultados.
Tenga en cuenta que las consultas SQL no distinguen entre mayúsculas y minúsculas.
Ahora echemos un vistazo más de cerca a la consulta en sí. Para comprender este conjunto de datos de ejemplo, y más
específicamente, qué es lo que está consultando, debe comprender SQL. SQL es lo que se conoce como lenguaje
declarativo: describe lo que debe hacerse en lugar de cómo hacerlo.
En una base de datos SQL, toda la información se representa como tablas, cada tabla consta de un conjunto de filas y
columnas. Hay dos tipos de tablas:
Para recuperar y manipular datos en la base de datos, debe usar el lenguaje de manipulación de datos, que es una familia
de elementos de sintaxis que utiliza SQL. Estos elementos de sintaxis son SELECT, INSERT, UPDATE y DELETE. Estas
son las primeras palabras utilizadas en una consulta: son los verbos declarativos que describen lo que quiere que se haga.
En lo que respecta a los informes de FortiAnalyzer, solo se utiliza la instrucción SELECT. Es simplemente una declaración
de consulta de solo lectura que se utiliza para recuperar datos de la base de datos.
La instrucción SELECT se utiliza para consultar la base de datos y recuperar datos de registro. Para extraer los datos que
desea, debe especificar los criterios. Por ejemplo, supongamos que desea consultar la base de datos para obtener una lista
de los empleados que trabajan en el departamento de TI. Para poner estos criterios en un lenguaje que SQL entienda, debe
usar una cláusula reconocida por la instrucción SELECT.
FROM es la única cláusula obligatoria requerida para formar una declaración SELECT; El resto de las cláusulas son
opcionales y sirven para filtrar o limitar, agregar o combinar y controlar la clasificación. También es importante tener en
cuenta que las cláusulas deben codificarse en una secuencia específica. Es decir, después de la palabra clave SELECT, la
declaración debe ir seguida de una o más cláusulas en el orden en que aparecen en esta tabla. Por ejemplo, no puede
utilizar la cláusula WHERE antes de la cláusula FROM. No tiene que usar todas las cláusulas opcionales, pero las que sí
use deben estar en la secuencia correcta.
SELECT es la primera palabra utilizada en cualquier consulta SQL que involucre informes de FortiAnalyzer. Esta es una
declaración declarativa que le indica al programa que consulte la columna en la base de datos para obtener la información
que desea que se devuelva. Por ejemplo:
SELECCIONAR dstip
Dstip es el nombre de la columna para la IP de destino en el esquema SQL. Tenga en cuenta que puede seleccionar más
de un nombre de columna y también puede hacer que el nombre de la columna aparezca con un nombre más fácil de usar
en la tabla de resultados agregando el comando con "como <nombre_de_hombre_de_columna>. Por ejemplo,
SELECCIONE dstip como destination_ip. En la tabla de resultados, los valores para dstip ahora aparecerán en una columna
llamada destination_ip.
Si desea devolver todos los datos, puede utilizar el símbolo *. Por ejemplo, SELECCIONAR *. Aunque la mayor parte del
tiempo es más información que necesita.
Como mínimo, debe usar la cláusula FROM con su declaración SELECT. Esto instruye al programa donde se encuentra la
información.
Por ejemplo:
DESDE $ log
Aquí $ log se refiere a los registros en el tipo de registro seleccionado para el conjunto de datos, como los registros de
tráfico o los registros de filtros web, por nombrar algunos.
Puede buscar varios tipos de registro para combinar los datos y comparar y contrastar la información. Para hacer esto, use la
sintaxis de tipo de registro asociada con el tipo de registro específico. Por ejemplo, si desea buscar tanto los registros de tráfico
como los registros de filtros web, use:
De todas las cláusulas opcionales, la instrucción WHERE es realmente el corazón de la consulta, porque aquí es donde se
especifican los criterios.
En este ejemplo, la primera expresión es $ filter, que se utiliza para restringir los resultados al período de tiempo que
seleccione. Si bien el período de tiempo no se agrega a la consulta en sí, se especifica mediante un cuadro desplegable al
crear el conjunto de datos a través de la GUI de FortiAnalyzer.
La segunda expresión es dstip, que es la IP de destino, mientras que la tercera expresión es NULL.
SQL también admite operadores lógicos, por lo que puede usar las instrucciones AND / OR / NOT para construir la consulta.
Los operadores se discutirán más adelante en esta lección.
La cláusula GROUP BY se utiliza para crear una fila de salida para cada grupo. Generalmente se usa con una función
agregada dentro de la instrucción SELECT. Cubriremos las funciones agregadas más adelante, pero esencialmente realizan
un cálculo en un conjunto de valores y devuelven un solo valor. Si no se utiliza con una función agregada, es similar a la
cláusula DISTINCT, ya que elimina duplicados del conjunto de resultados de una instrucción SELECT.
En este ejemplo, la cláusula GROUP BY se usa con una función agregada. La función agregada es
count (*), que selecciona todas las filas de una tabla, incluso si algunas columnas contienen un valor NULO. En este
ORDER BY es una cláusula que le permite ordenar las consultas por nombre de columna o número de columna. De forma
predeterminada, las filas de una tabla de resultados de consultas SQL no están organizadas en un orden particular, por lo
que puede usar la cláusula ORDER BY para ordenar los valores de columna en orden ascendente (asc) o descendente (desc).
Si utiliza esta cláusula y no especifica ascendente o descendente, el valor predeterminado es ascendente.
Puede ordenar varias columnas y especificar diferentes órdenes de clasificación para cada una. Por ejemplo, puede ordenar
una columna en orden ascendente y otra columna en orden descendente.
De forma predeterminada, se devuelven todos los resultados que satisfacen las condiciones especificadas en la consulta.
Sin embargo, si solo desea recuperar un subconjunto de registros, puede colocar un límite en los registros devueltos. Para
hacer esto, use la cláusula LIMIT y especifique el número de resultados que desea. Por ejemplo, LIMIT 7. Esta es una
excelente manera de asegurarse de que la consulta no use CPU o memoria innecesarias, especialmente si tiene una
implementación a gran escala con muchos dispositivos que se registran en FortiAnalyzer. También puede combinar LIMIT
con ORDER BY asc para obtener los "mejores resultados <x>" (o desc para los "resultados inferiores <x>").
Junto con la cláusula LIMIT puede usar la cláusula OFFSET. Esto compensa los resultados por un valor establecido. Por
ejemplo, si coloca un límite de 7 registros y un desplazamiento de 1, el primer registro que normalmente se devolvería se
omite y en su lugar se devuelven de 2 a 8.
A medida que presentamos y explicamos las cláusulas principales de SQL, hemos estado formando una consulta de
conjunto de datos completa en el camino. Para ver visualmente cómo se relaciona todo, podemos usar la función de prueba
del conjunto de datos en la GUI. La función está destinada a probar o modificar una consulta para obtener el resultado
específico que desea.
Asegúrese de seleccionar el tipo de registro para la consulta. La consulta utiliza el registro genérico de $, pero hace
referencia al tipo de registro especificado en el campo desplegable Tipo de registro (en este ejemplo, Tráfico). En su lugar,
puede ingresar el tipo de registro específico en la consulta (por ejemplo, $ log-traffic), pero si desea ver esta consulta en un
tipo de registro diferente más adelante, es menos riesgoso y más fácil de cambiar desde el menú desplegable Tipo de
registro. campo que en la propia consulta de conjunto de datos real.
En el lado derecho del cuadro de diálogo, también debe especificar el dispositivo o dispositivos en los que se utilizará esta
consulta. Aquí, hemos especificado todos los dispositivos.
También debe especificar un período de tiempo para esta consulta. Como se mencionó anteriormente, la expresión $ filter
que se usa con nuestra cláusula WHERE indica que queremos limitar los resultados al período de tiempo que
especificamos. El cuadro desplegable Período de tiempo es donde especificamos este período de tiempo.
Si hay un error en la consulta, el mensaje de error aparece en la ventana a continuación. Si la consulta es correcta, los
resultados aparecen en la ventana de abajo. Dado que los resultados aparecen en la ventana de abajo, sabemos que
nuestro conjunto de datos se ha formado correctamente.
Ahora alineamos la consulta escrita con los resultados visuales para entender completamente cómo FortiAnalyzer interpreta
la consulta.
SELECCIONE dstip como destination_ip, count (*) as session: Esto dice, seleccione la dirección IP de destino y llame a la
columna "destination_ip". Seleccione el recuento (todos los datos) y llame a la columna "sesión".
FROM $ log: Esto dice, consulte el registro de tráfico para los datos, que se especifican en la lista desplegable Tipo de
registro.
DONDE $ filter y dstip no es nulo: Esto dice, limite los resultados al período de tiempo especificado, que es Hoy según la
selección en la lista desplegable Período de tiempo, y solo proporcione direcciones IP de destino que no sean nulas. Tenga
en cuenta que “nulo” representa datos desconocidos, no representa cero.
GRUPO POR dstip: Esto dice, agrupe los resultados por IP de destino. Recuerda, especificamos que queríamos que dstip
se pusiera en una columna llamada "destination_ip".
ORDER BY desc desc: Esto dice, ordene los resultados por sesión en orden descendente. Tenga en cuenta que los
resultados van de alto (200) a bajo (4).
OFFSET 1: Esto dice, omita el primer resultado, pero aún así limite los resultados a los 7 siguientes (es decir, de 2 a 8).
This section covers a few of the most common functions and operators used in FortiAnalyzer datasets—it is
not intended as a complete and exhaustive list.
Las funciones agregadas utilizan la columna completa de datos como su entrada y producen una salida única, mientras que
las funciones "normales" operan en cada elemento de la columna de datos.
Una función común utilizada en los conjuntos de datos FortiAnalyzer es NULLIF. La función NULLIF toma dos argumentos.
Si los dos primeros argumentos son iguales, entonces se devuelve NULL. De lo contrario, se devuelve el primer argumento.
Tenga en cuenta que NULL representa datos desconocidos, no representa cero.
Otra función común utilizada en los conjuntos de datos FortiAnalyzer es COALSECE. La función COALESCE devuelve la
primera expresión no NULL entre sus argumentos. Nulo se devuelve solo si todos los argumentos son nulos. A menudo se
usa para sustituir un valor predeterminado por valores nulos cuando los datos se recuperan para su visualización.
COALESCE se utiliza con la instrucción SELECT. Toma una o más expresiones como argumento. Los valores no tienen
que ser tipos de datos de cadena, pueden ser cualquier tipo de datos (y también diferentes tipos de datos). La sintaxis es:
Las funciones agregadas son una categoría especial con diferentes reglas, ya que operan en columnas de datos completas
en lugar de valores discretos. Estas funciones realizan un cálculo en un conjunto de valores en una columna y devuelven un
solo valor. Aunque las funciones agregadas generalmente se usan junto con la cláusula GROUP BY, estas funciones se
pueden usar solas en una declaración SELECT.
Esta tabla incluye una lista de funciones agregadas utilizadas en SQL. Todos pueden tomar una expresión como un
argumento e ignorar los valores nulos, excepto el conteo. El conde puede tomar un asterisco como argumento. El asterisco
en este caso significa que se devuelven todas las filas, incluso si algunas columnas contienen un valor NULO.
Un ejemplo de una expresión utilizada con una función agregada es el recuento SELECT (unauthuser). Esto devolvería el
número de usuarios no autorizados.
Ahora echemos un vistazo a los operadores de SQL. Un operador es una palabra reservada o un carácter que se utiliza
principalmente en la cláusula WHERE de una declaración SQL para realizar diversas operaciones.
• Operadores aritméticos
• Operadores de comparación
• Operadores logicos
Aquí hay algunos ejemplos de operadores aritméticos. Los operadores aritméticos realizan operaciones matemáticas en dos
expresiones de uno o más de los tipos de datos de la categoría de tipo de datos numéricos.
Aquí hay algunos ejemplos de operadores de comparación. Los operadores de comparación prueban si dos expresiones
son iguales y se pueden usar en todas las expresiones excepto en las expresiones de texto, ntext o tipos de datos de
imagen.
Aquí hay algunos ejemplos de operadores lógicos. Los operadores lógicos prueban la verdad de alguna condición. Al igual
que los operadores de comparación, devuelven un tipo de datos booleano con un valor de VERDADERO, FALSO o
DESCONOCIDO.
FortiAnalyzer incluye algunas funciones integradas que se basan en funciones SQL conocidas, pero con secuencias de comandos
diferentes.
FortiAnalyzer también incluye macros, que se describen mejor como sentencias SQL largas o complejas con scripts de manera más
simple. Se puede usar una macro SQL en cualquier parte de una consulta donde se pueda usar una expresión SQL ordinaria.
Una función específica de FortiAnalyzer es root_domain (nombre de host). Esto proporciona el dominio raíz del nombre de dominio
completo. Según la consulta, en este ejemplo, el dominio_dominio (nombre de host) aparece en la columna del sitio web en orden
ascendente (el valor predeterminado para la cláusula ORDER BY, si no se especifica).
Otra función específica de FortiAnalyzer es nullifna, que toma una expresión como argumento. La sintaxis SQL real en la que se basa es
SELECT NULLIF (NULLIF (expresión, 'N / A'), 'n / a').
En este ejemplo, si el usuario es n / a, se muestra la IP de origen, de lo contrario, devuelve el nombre de usuario. Realiza la operación
inversa de la función COALESCE. Como puede ver en la columna user_src, hay algunas direcciones IP y algunos nombres de usuarios.
email_domain y email_user son otras funciones específicas de FortiAnalyzer. email_domain recupera todo lo que está
después del símbolo @ en una dirección de correo electrónico: el dominio. email_user recupera todo lo que está antes del
símbolo @ en una dirección de correo electrónico.
Según la consulta, en este ejemplo, email_user se muestra en la columna e_user, mientras que email_domain se muestra
en la columna e_domain.
from_dtime y from_itime son otras funciones específicas de FortiAnalyzer. from_dtime devuelve la marca de tiempo del dispositivo sin la
zona horaria, mientras que from_itime devuelve la marca de hora de FortiAnalyzer sin la zona horaria.
Según esta consulta, from_itime aparece en la columna faz_local_time, mientras que from_dtime aparece en la columna
dev_local_time.
Aquí hay algunas macros comunes de fecha y hora utilizadas en FortiAnalyzer. Las macros son sustituciones simples para
sentencias de SQL más complejas, generalmente creadas para sentencias de SQL que se usan con frecuencia.
No part of this publication may be reproduced in any form or by any means or used to make any
derivative such as translation, transformation, or adaptation without permission from Fortinet Inc.,
as stipulated by the United States Copyright Act of 1976.
Copyright© 2018 Fortinet, Inc. All rights reserved. Fortinet®, FortiGate®, FortiCare® and FortiGuard®, and certain other marks are registered trademarks of Fortinet,
Inc., in the U.S. and other jurisdictions, and other Fortinet names herein may also be registered and/or common law trademarks of Fortinet. All other product or company
names may be trademarks of their respective owners. Performance and other metrics contained herein were attained in internal lab tests under ideal conditions, and
actual performance and other results may vary. Network variables, different network environments and other conditions may affect performance results. Nothing herein
represents any binding commitment by Fortinet, and Fortinet disclaims all warranties, whether express or implied, except to the extent Fortinet enters a binding written
contract, signed by Fortinet’s General Counsel, with a purchaser that expressly warrants that the identified product will perform according to certain expressly-identified
performance metrics and, in such event, only the specific performance metrics expressly identified in such binding written contract shall be binding on Fortinet. For
absolute clarity, any such warranty will be limited to performance in the same ideal conditions as in Fortinet’s internal lab tests. In no event does Fortinet make any
commitment related to future deliverables, features, or development, and circumstances may change such that any forward-looking statements herein are not accurate.
Fortinet disclaims in full any covenants, representations,and guarantees pursuant hereto, whether express or implied. Fortinet reserves the right to change, modify,
transfer, or otherwise revise this publication without notice, and the most current version of the publication shall be applicable.