Logging ve Raporlama
Logging ve raporlama uygulamlarınıza başlamak için öncelikle varsayılan log ayarları, sistem performansını sınırlandırmayacak şekilde değiştirilmelidir. FortiGate birimi, varsayılan olarak, trafik logu (kaydı) alınması dışında tüm FortiGate özelliklerinin loglanmasına (günlüğe kaydedilmesine) yapabilmektedir. Varsayılan logging konumu, modele bağlı olarak FortiGate biriminin sistem belleği veya sabit diskidir. Flash diskli üniteler disk loggingi için önerilmemektedir.
Logging ve raporlama– Log Yönetimi
FortiGate birimi FortiGate etkinliklerini kaydederken, network trafiğinin kötüye kullanımı ve suistimali de dahil saldırılara karşı nasıl daha iyi korunabileceğine dair fikirler veren önemli bilgiler toplanır. FortiGate biriminde oturum açmayı etkinleştirmeden önce, hangi FortiGate etkinliklerinin etkinleştirileceği ve ağınızın logging ihtiyaçları için hangi log aygıtının daha uygun olabileceğine dikkat etmeniz gerekmektedir. Önceden hazırlayacağınız bir plan, logging yapılacak FortiGate etkinliklerine, bir log aygıtına ve log aygıtının arızalanması durumunda bir yedekleme çözümü bulmanıza yardımcı olur.
Bir plan size aşağıdakine benzer bir taslak sağlamalıdır:
- Kaydedilmesini istediğiniz veya gerek duyduğunuz FortiGate etkinlikleri. Örneğin, güvenlik özellikleri
- Ağ yapınıza en uygun logging aygıtı
- İsterseniz veya gerekiyorsa günlük dosyalarının arşivlenmesi
- Bir arıza oluştuğunda logların kaybolmamasını sağlamak.
Plan uygulandıktan sonra, logları yönetmeniz ve mevcut log gereksinimleri aşıldığında log setup (günlük kaydınızın kurulumunu) genişletmeye hazır olmalısınız.
Log yönetimi uygulamaları, logging gereksinimlerini iyileştirmenize ve yönetmenize yardımcı olur. Logging işlemi yönetilmesi zor bir görev olarak görülen, sürekli genişleyen bir araçtır. Aşağıda verilen yönetim uygulamaları,bir sorun oluştuğunda veya log kurulumunuzun genişletilmesi gerektiğinde işinize yarayacaktır.
- Log gereksinimlerinizin mevcut log kurulumunuz tarafından karşılanıp karşılanmadığını görmek için planınızı yıllık olarak kontrol etmelisiniz. Örneğin, şirketiniz veya kuruluşunuz arşiv kaydı gerektirebilir ancak ağınızın ilk zamanlarında gerekmez. Arşiv logları, FortiGate biriminin yerel sabit sürücüsünde, bir FortiAnalyzer biriminde veya bir FortiCloud sunucusunda boyutun artma sırasına göre depolanmaktadır.
- Unutmamanız gereken etkinlikler hakkında sizi bilgilendirecek bir uyarı mesajı yapılandırın. Örneğin: bir şube ofisinin bir FortiGate yöneticisi yoksa, IPsec VPN tünelinin hala çalışır durumda olduğunu her zaman bilmeniz gerekmektedir. Yalnızca IPsec tünel hataları meydana geldiğinde, uyarı e-posta bildirim mesajı gönderilecek şekilde yapılandırma yapabilirsiniz.
- Kuruluşunuz veya şirketiniz Skype veya diğer anlık mesajlaşma yazılımları gibi eşler arası (peer to peer) programlar kullanıyorsa, bu tür anlık mesajlaşma yazılımları için IM kullanım panosu widgetını veya Yönetici Özeti’nin rapor widgetını kullanın. Bu widget’lar, herhangi bir kötüye kullanım ve istismarın olup olmadığı da dahil, bu uygulamaların nasıl kullanıldığını belirlemenize sağlayabilir. Bilgiler application log mesajlarından alınır; ancak application log mesajlarının en detaylı bilgileri içerdiğine bakılmalıdır.
- Yedekleme çözümünüz mutlaka güncel olmalıdır. Log kurulumunuzu yakın zamanda genişlettiyseniz, yedekleme çözümünüzü tekrar kontrol etmelisiniz. Yedekleme çözümü, log aygıtının arızalanması veya log aygıtının kendisiyle ilgili sorunların ortaya çıkması durumunda tüm logların kaybolmamasını sağlayan bir çözüm üretir.
- Log mesajlarını indirirken ve bir bilgisayarda görüntülerken, log dosyası diğer dosyalar gibi indirilecektir. Log dosyası adları, logların türlerini ve tarihlerini içerir. Size önerimiz log mesajlarınızı arşivleyeceğiniz bir klasör oluşturun böylece hepsi kolayca sıralanabilecektir.
Tüm bu işlemler sonucunda logging raporlama yapmış olacaksınız. Raporlama için aşağıdaki önerilerimizi okumaya devam edin.
Sistem belleği ve sabit diskler
FortiGate biriminin sabit diski, logları depolamak için varsayılan olarak etkindir. Varsayılan olarak etkin olması aynı zamanda, bunu etkinleştirmenize ve sabit diskte oturum açma ayarlarını yapılandırmanıza gerek kalmaz. Ancak, bu ayarları network logu gereksinimleriniz için yapılandırılacak şekilde değiştirmeniz gerektiği anlamına gelir.
FortiGate biriminin sadece flash belleği varsa, önerilmediği için, disk günlüğü varsayılan olarak devre dışı bırakılır. Flash sürücülere sürekli yeniden yazma işlemi belleğin ömrünü ve verimliliğini azaltabilmektedir. Yapılandırma logu disk ayarı altındaki CLI’de etkinleştirilmelidir.
Bazı düşük kaliteli modeller için disk logu kullanılamaz. Daha fazla bilgialmak isterseniz ürünün Özellik Matrisine bakabilirsiniz. Her iki durumda da Fortinet, FortiAnalyzer birimi veya FortiCloud hizmetinin kullanılmasını önerir.
Konsol çıktısını kaydetme
Bazı FortiGate donanım modellerinde, konsol çıktı günlüğü (COMlog) etkinleştirildikten sonra 4 MB’a kadar konsol çıktısı kaydedebilmektedir.
İstenmeyen sorunlar ortaya çıkmaya başlarsa bu bilgiler sorun giderme için kullanılabilir. Örneğin, cihazda bir donma, kernel panic veya yeniden başlatma sorunları oluşursa, COMlog sorunun nedenini araştırmaya yardımcı olabilir.
Yakalanan loglar, FortiGate’in ana sürücülerinden fiziksel olarak bağımsız olan flash belleğe kaydedilir. Bu da, bilgilerin yeniden başlatma, yükseltme ve BIOS yeniden biçimlendirme yoluyla devam edebileceğini göstermektedir.
Konsol bağlantı hızı sınırlı olduğundan ve logun görüntülenmesi çok fazla zaman alabileceğinden dolayı sizlere en iyi önerimiz COMlog’u okumak için bir SSH bağlantısı kullanmanız olacaktır.
COMlog bir konsol bağlantısı üzerinden görüntüleniyorsa, konsolda görüntülenerek logun üzerine yazılmasını önlemek için log işlevi devre dışı bırakılır. Çıkış bittikten veya kesintiye uğradıktan sonra otomatik olarak yeniden etkinleştirilir.
COMlog’a etkinleştirmek için:
Hız, dosya boyutu ve günlük başlangıcı ve bitişi dahil olmak üzere COMlog durumunu görüntülemek için:
COMlog’u sistem yönetimi denetleyicisinden (SMC) temizlemek için:
SMC’den COMlog’u okumak için:
Fortigate en iyi öneriler (fortigate best practise) serimizin son bölümüne geldik. Okuduğunuz için teşekkür ederiz. Umarız bu serimizde paylaştığımız bilgiler işinize yarayacaktır.
Fortinet Best Practice serimizin bir önceki bölümü olan CAPWAP yapılandırmasında Statik IP kullanılması konulu yazımıza ulaşmak için tıklayabilirsiniz.