fortianalyzer admin guide日本語...fortianalyzer バージョン3.0 mr5 管理ガイド 8...

www.fortinet.com

FortiAnalyzerバージョン 3.0 MR5

管理ガイド

FortiAnalyzer 管理ガイド

バージョン 3.0 MR5

2007 年 6 月 21 日

05-30005-0082-20070621

© Copyright 2007 Fortinet、Inc. All rights reserved. フォーティネット社の書面による事前の許可なく、電子的、自動的、手動式、光学式、その他いかなる方法、またいかなる目的においても、文章、事例、図表など本書の全部または一部を複製、転載、頒布、翻訳することを禁じます。

商標

ABACAS、 APSecure、 FortiASIC、 FortiBIOS、 FortiBridge、 FortiClient、FortiGate、 FortiGuard、 FortiGuard-Antispam、 FortiGuard-Antivirus、FortiGuard-Intrusion、FortiGuard-Web、FortiLog、FortiAnalyzer、FortiManager、Fortinet、FortiOS、 FortiPartner、 FortiGuard、 FortiReporter、 FortiResponse、FortiShield、 FortiVoIP、および FortiWiFi は、米国またはその他の国々、あるいはその両方におけるにおける Fortinet、 Inc. の商標です。本書に記載された実際の社名および製品名は、各社の商標です。

規制準拠

FCC Class A Part 15 CSA/CUS

! 注意 : 不適切なバッテリーに交換すると爆発の危険があります。使用済

みのバッテリーは各地域の条例に従って廃棄してください。

目次

目次

はじめに.................................................................................................................................. 9

FortiAnalyzer の機能............................................................................................................................. 9

レポート.................................................................................................................................................. 9

データマイニング............................................................................................................................. 10

ネットワーク分析 ............................................................................................................................. 10

ログビューワー............................................................................................................................... 10

リアルタイムのログ表示............................................................................................................... 10

ログアグリゲーション.................................................................................................................... 10

隔離...................................................................................................................................................... 10

NAS (Network Attached Storage) ........................................................................................... 11

このガイドについて ........................................................................................................................... 11

FortiAnalyzer ドキュメント ........................................................................................................... 12

フォーティネットツールおよびドキュメント CD .................................................................... 12

フォーティネットナレッジセンタ................................................................................................... 12

フォーティネットテクニカルドキュメントに関するコメント............................................... 12

カスタマサービスおよびテクニカルサポート.................................................................. 12

システム................................................................................................................................ 13

ダッシュボード ..................................................................................................................................... 13

システム情報.................................................................................................................................... 14

時刻の設定 .............................................................................................................................. 14

ホスト名の変更...................................................................................................................... 15

ファームウェアの変更 .......................................................................................................... 15

ライセンス情報................................................................................................................................. 16

システムリソース............................................................................................................................. 16

動作履歴の表示..................................................................................................................... 17

警告メッセージコンソール.......................................................................................................... 17

警告コンソールメッセージを表示する.......................................................................... 17

統計...................................................................................................................................................... 18

セッション情報を表示する .................................................................................................. 18

フィルタリングセッション情報 ........................................................................................... 19

レポートエンジン ............................................................................................................................ 19

自動更新間隔 .................................................................................................................................. 19

システム操作.................................................................................................................................... 19

ログディスクをフォーマットする....................................................................................... 20

デフォルト設定にリセットする............................................................................................ 20

ファームウェアを復元する........................................................................................................... 20

FortiAnalyzer-100 または FortiAnalyzer-400 のファームウェアを復元する. 21

FortiAnalyzer-100A/100B、 800、 2000/2000A、 4000/4000A のファームウェアを復元する................................................................................................................ 21

ネットワーク.......................................................................................................................................... 23

インタフェース................................................................................................................................... 23

インタフェースの設定を変更する .................................................................................... 24

FortiAnalyzer バージョン 3.0 MR5 管理ガイド05-30005-0082-20070621 3

4

目次

FDP (Fortinet Discovery Protocol) について............................................................. 25

DNS ....................................................................................................................................................... 25

ルーティング ...................................................................................................................................... 25

ルートを追加する.................................................................................................................... 26

管理者 ......................................................................................................................................................... 26

新しい管理者を追加する ............................................................................................................. 26

管理者パスワードを変更する ........................................................................................... 27

アクセスプロファイル .................................................................................................................... 28

Auth Group......................................................................................................................................... 29

RADIUS サーバ................................................................................................................................ 29

管理者設定........................................................................................................................................ 29

モニタ.................................................................................................................................................... 30

管理ドメイン........................................................................................................................................... 30

管理ドメインを有効にする............................................................................................................ 31

管理ドメインを無効にする............................................................................................................ 32

ADOM を設定する .......................................................................................................................... 32

新規 ADOM を作成する................................................................................................................ 33

ADOM にデバイスを追加する.................................................................................................... 33

ネットワーク共有................................................................................................................................. 33

共有ユーザを追加する................................................................................................................. 34

共有グループを追加する............................................................................................................. 34

Windows 共有を設定する............................................................................................................. 34

ユーザ権限を割り当てる..................................................................................................... 35

NFS 共有を設定する ..................................................................................................................... 36

NFS 共有を使用する場合のデフォルトのファイル許可 ......................................... 37

Config .......................................................................................................................................................... 37

ログ設定.............................................................................................................................................. 37

ログアグリゲーション.................................................................................................................... 39

アグリゲーションクライアントを設定する..................................................................... 40

アグリゲーションサーバを設定する .............................................................................. 41

ログ転送.............................................................................................................................................. 41

IP エイリアス...................................................................................................................................... 42

IP エイリアスリストファイルをインポートする............................................................ 42

IP エイリアスの範囲 .............................................................................................................. 42

RAID...................................................................................................................................................... 43

RAID レベル.............................................................................................................................. 43

ハードディスクのホットスワップ......................................................................................... 44

FortiAnalyzer-400 および FortiAnalyzer- 800 で RAID を設定する................... 46

FortiAnalyzer-2000/2000A および FortiAnalyzer- 4000/4000A で RAID を設定する........................................................................................................................................... 48

LDAP .................................................................................................................................................... 49

メンテナンス........................................................................................................................................... 50

バックアップおよび復元................................................................................................................ 50

FortiGuard Center........................................................................................................................... 51

FortiAnalyzer バージョン 3.0 MR5 管理ガイド05-30005-0082-20070621

目次

デバイス................................................................................................................................ 55

デバイスリスト.................................................................................................................................... 55

デバイスと FortiAnalyzer ユニットとの連携......................................................................... 57

使用可能なデバイスの上限台数............................................................................................. 58

未登録デバイスオプション......................................................................................................... 58

FDP (Fortinet Discovery Protocol) プロトコルを使用して接続する FortiGate ユニット............................................................................................................................................................. 60

FortiGate ユニットを追加する.................................................................................................... 61

FortiGate インタフェースを定義する .............................................................................. 63

HA クラスタを追加する ........................................................................................................ 63

FortiManager ユニットを追加する............................................................................................. 64

FortiMail ユニットを追加する...................................................................................................... 66

FortiClient の実装を追加する................................................................................................... 67

Syslog サーバを追加する ........................................................................................................... 68

デバイスのブロック ........................................................................................................................... 69

ブロックされたデバイスを表示する ......................................................................................... 70

デバイスグループ............................................................................................................................... 70

ログ ......................................................................................................................................... 71

ログビューワー.................................................................................................................................... 71

リアルタイムログビューワー.................................................................................................... 71

履歴ログビュー............................................................................................................................... 72

閲覧.............................................................................................................................................................. 74

ログファイルを閲覧する.............................................................................................................. 75

ログファイルをインポートする................................................................................................... 76

ログファイルをダウンロードする.............................................................................................. 77

ログ表示のカスタマイズ.................................................................................................................. 78

ログの列表示をカスタマイズする............................................................................................. 78

ログをフィルタリングする ............................................................................................................. 79

フィルタリングのヒント .......................................................................................................... 79

ログの検索............................................................................................................................................... 79

基本検索 ............................................................................................................................................ 79

詳細検索 ............................................................................................................................................ 80

検索のヒント...................................................................................................................................... 81

検索結果を印刷する..................................................................................................................... 81

検索結果をダウンロードする..................................................................................................... 81

デバイスログの設定.......................................................................................................................... 82

コンテンツアーカイブ ................................................................................................ 85

コンテンツアーカイブビューワー........................................................................................... 85

コンテンツアーカイブ表示のカスタマイズ......................................................................... 86

ログの列表示をカスタマイズする............................................................................................. 86

コンテンツログをフィルタリングする....................................................................................... 87

フィルタリングのヒント .......................................................................................................... 87


6

目次

コンテンツアーカイブの順次作成およびアップロード ................................................ 88

隔離 ......................................................................................................................................... 89

隔離の設定................................................................................................................................................ 89

隔離ファイルの表示............................................................................................................................ 90

フォレンジック分析....................................................................................................... 91

ユーザおよびグループ....................................................................................................................... 91

ユーザを追加する........................................................................................................................... 91

ユーザグループを追加する....................................................................................................... 92

ルックアップ........................................................................................................................................ 92

FortiAnalyzer ユニットの情報取得先について........................................................... 93

ユーザデータの検索 .......................................................................................................................... 94

検索結果を保存する...................................................................................................................... 94

ローカルアーカイブ ....................................................................................................................... 95

フォレンジックレポート ................................................................................................................ 95

レポートの設定をする.................................................................................................................... 95

プロパティ .................................................................................................................................. 95

[Report Criteria] ..................................................................................................................... 96

[Report Scope] ........................................................................................................................ 97

フォレンジックレポートの種類.......................................................................................... 98

レポートの出力........................................................................................................................ 99

フォレンジックレポートを表示する........................................................................................ 100

ネットワークサマリ.................................................................................................. 103

ネットワーク使用のサマリ.......................................................................................................... 103

トップユーザ .................................................................................................................................. 103

Web トラフィックを表示する.............................................................................................. 103

電子メールトラフィックを表示する............................................................................... 104

FTP トラフィックを表示する.............................................................................................. 105

インスタントメッセージおよび P2P トラフィックを表示する................................. 106

トラフィックサマリをフィルタリングする ............................................................................... 107

フィルタリングのヒント........................................................................................................ 107

デバイスのサマリ........................................................................................................................ 107

トラフィックレポート ..................................................................................................................... 108

トラフィックレポートを設定する ..................................................................................... 108

トラフィックサマリレポートを表示する....................................................................... 109

セキュリティイベントサマリ.................................................................................................. 109

カスタムのセキュリティイベントレポートを追加する.................................................... 109

カスタムのセキュリティイベントレポートを表示する.................................................... 110

ウイルスアクティビティを表示する....................................................................................... 111

不正侵入アクティビティを表示する....................................................................................... 111

不審なアクティビティを表示する ............................................................................................ 112

管理アクティビティを表示する................................................................................................. 114


目次

レポート............................................................................................................................. 115

レポートの設定 ................................................................................................................................... 115

プロパティ......................................................................................................................................... 117

デバイス............................................................................................................................................ 118

レポートの対象範囲 .................................................................................................................... 118

レポートの種類 .............................................................................................................................. 120

レポートの形式 .............................................................................................................................. 121

レポートスケジュール ................................................................................................................ 122

レポートの出力 .............................................................................................................................. 122

サマリレイアウト........................................................................................................................... 124

レポートの閲覧 ................................................................................................................................... 126

レポートを表示する...................................................................................................................... 127

デフォルトレポート....................................................................................................................... 127

レポートの種類 .............................................................................................................................. 127

ロールアップレポート ........................................................................................................ 127

個別レポート .......................................................................................................................... 128

イベントアクティビティコード.......................................................................................... 128

アラート............................................................................................................................. 131

アラートイベント............................................................................................................................. 131

アラートイベントを追加する..................................................................................................... 132

出力 .......................................................................................................................................................... 133

メールサーバ................................................................................................................................. 133

メールサーバの設定をテストする................................................................................ 133

SNMP アクセスリスト.................................................................................................................. 134

SNMP サーバを追加する ................................................................................................. 134

FortiAnalyzer の SNMP サポート .................................................................................. 135

FortiAnalyzer トラップ......................................................................................................... 135

FortiGate MIB システムトラップ.................................................................................... 135

FortiGate MIB ロギングトラップ .................................................................................... 135

FortiGate MIB VPN トラップ ............................................................................................ 136

FortiGate MIB システムフィールド............................................................................... 136

FortiGate 管理者アカウント............................................................................................. 136

FortiGate オプション ........................................................................................................... 136

FortiGate アクティブ IP セッション ................................................................................. 136

RFC-1213 (MIB II) ............................................................................................................... 136

RFC-2665 (Ethernet-like MIB)....................................................................................... 137

Syslog サーバ................................................................................................................................. 137

Syslog サーバを追加する................................................................................................. 137

ネットワークアナライザ ........................................................................................ 139

FortiAnalyzer を接続してネットワークトラフィックを分析する......................... 139

トラフィックの表示 ......................................................................................................................... 140

リアルタイムトラフィックビューワー..................................................................................... 140

履歴トラフィックビューワー ...................................................................................................... 141


8

目次

履歴ビューの条件を変更する........................................................................................ 142

ネットワークアナライザログの閲覧................................................................................... 143

ネットワークトラフィックのログファイルを閲覧する...................................................... 144

ネットワークアナライザのログファイルをダウンロードする...................................... 145

ログ表示のカスタマイズ............................................................................................................... 146

ログの列表示をカスタマイズする.......................................................................................... 146

ログをフィルタリングする........................................................................................................... 146

フィルタリングのヒント........................................................................................................ 147

ネットワークトラフィックログの検索 .............................................................................. 147

基本検索.......................................................................................................................................... 147

詳細検索.......................................................................................................................................... 148

検索のヒント ................................................................................................................................... 148

検索結果を印刷する................................................................................................................... 149

検索結果をダウンロードする................................................................................................... 149

トラフィックログの設定 ............................................................................................................. 150

脆弱性スキャン.............................................................................................................. 153

脆弱性スキャンについて............................................................................................................... 153

対象ホストの設定.............................................................................................................................. 153

サポートされるオペレーティングシステム......................................................................... 154

Windows................................................................................................................................... 154

UNIX .......................................................................................................................................... 154

Windows を設定する.................................................................................................................... 154

NetBIOS を有効にする..................................................................................................... 155

セキュリティモデルを設定する ..................................................................................... 155

UNIX または Linux を設定する ............................................................................................... 155

トラブルシューティング ............................................................................................................... 155

モジュール............................................................................................................................................. 156

ジョブ ...................................................................................................................................................... 157

新しい脆弱性スキャンジョブを追加する ........................................................................... 157

レポート.................................................................................................................................................. 159

レポートサマリ.............................................................................................................................. 160

脆弱性スキャンサマリ............................................................................................................... 160

重大度ごとの脆弱性.......................................................................................................... 160

カテゴリごとの脆弱性........................................................................................................ 161

脆弱なホスト上位 10 件.................................................................................................... 161

ホスト ................................................................................................................................................. 161

Index ................................................................................................ 163


はじめに FortiAnalyzer の機能

F0

はじめにFortiAnalyzer ユニットは、レポート、データ分析、および統合ログ収集ツールを提供するネットワークアプライアンスです。詳細なログレポートによって、電子メール、 FTP、 Web ブラウジングといったネットワークトラフィックの履歴および現状分析が行えるため、セキュリティの問題を特定し、ネットワークの悪用や不正使用を軽減することが可能になります。

FortiAnalyzer ユニットは、定期的に、あるいは必要に応じてスケジューリングや生成が可能な詳細レポートから、ベーシックなスニフィングやリアルタイムネットワーク監視まで、さまざまなレポートツールを提供します。

この項には、以下のトピックが含まれています。

• FortiAnalyzer の機能

• このガイドについて

• FortiAnalyzer ドキュメント

• カスタマサービスおよびテクニカルサポート

FortiAnalyzer の機能

FortiAnalyzer ユニットは、FortiGate ユニットや Syslog サーバなどのさまざまなデバイスからログファイルを受信します。 FortiAnalyzer ユニットの強固なレポート機能により、ネットワークユーザからのトラフィックや攻撃、不正使用を監視することができます。 FortiAnalyzer ユニットには次のような機能があります。

レポート

FortiAnalyzer のレポート機能は以下の通りです。

• ログの分析およびレポート

さまざまなデバイスから送信されるログを分析して多様なレポートを作成することにより、脅威の発生時におけるネットワークのセキュリティ保護、ネットワークの不正使用防止、帯域要求の管理、 Web サイト閲覧の監視、およびネットワークの適正な運用確保を実現できます。分析は、ファイアウォール、ユーザ、またはユーザグループごとに実行できます。

• 脆弱性レポート

脆弱性レポートは、特定のデバイスに存在しうる、攻撃に対する潜在的な弱点を示します。 FortiAnalyzer ユニットは、オープンポートを検索し、可能であれば動作中のサービスについての情報を収集します。あるサービスまたはサービスのバージョンに存在する既知の脆弱性が、レポートに含まれます。

注記 : 脆弱性レポートは、 FortiAnalyzer-100 では使用できません。

ortiAnalyzer バージョン 3.0 MR5 管理ガイド5-30005-0082-20070621 9

10

FortiAnalyzer の機能はじめに

データマイニング

FortiAnalyzer ユニットにはデータマイニング機能があります。これにより、ネットワークへの侵入活動に関する情報、およびネットワーク上で発生しているトラフィックの種類などの情報を得ることができます。セキュリティイベントのサマリは、どのような不正トラフィックがファイアウォールをくぐり抜けようとしているのか、またネットワーク上で誰がトラフィックをもっとも作り出しているのかについてのスナップショットを提供し、またトラフィックのサマリは、ネットワーク上にあるファイアウォールを通過するトラフィックのスナップショットを提供します。これらのレポートを活用することにより、ネットワークトラフィック全体の遅滞を招く原因となる、帯域を大量に消費するユーザや攻撃イベントを特定するすことができます。

ネットワーク分析

ネットワークアナライザは、接続されている FortiAnalyzer ユニットのポートから ( スニファとして ) リアルタイムのネットワークトラフィックメタデータを収集し、それを表示またはレポート作成に使用できるよう FortiAnalyzer のハードディスクに保存します。ネットワークアナライザを使用することで、ファイアウォールが設置されていないネットワーク領域や、 FortiGate ユニットのポリシーを調整するべき範囲を特定できます。

ログビューワー

ログビューワーにより、登録済みデバイスから FortiAnalyzer ユニットに送信されたログメッセージを表示できます。また、 FortiAnalyzer のハードディスクに保存されているログファイルおよびメッセージも表示できます。ログファイルおよびメッセージは、いずれも検索およびフィルタ処理によって範囲を狭め、特定の情報を割り出すことができます。

リアルタイムのログ表示

Web、 FTP、電子メールのトラフィックは、コンテンツログによってリアルタイムに表示できます。またコンテンツビューワーにより、登録されたデバイスからのメタ情報をリアルタイムに表示できます。メタ情報には、その情報の発信元および宛先が含まれています。たとえば、 HTTP のコンテンツには、発信元の IP アドレスおよび宛先の URLが含まれており、ネットワークの利用傾向をリアルタイムに把握できます。

ログアグリゲーション

ログアグリゲーションは、リモートの FortiAnalyzer ユニットまたは Syslog 形式をサポートする他のサードパーティ製ネットワークデバイスから、中央にあるFortiAnalyzer ユニットにログデータを収集するための手法です。たとえば、本拠地の本社、および多数の支社を持つ企業の場合、支社ごとに FortiGate ユニットおよび FortiAnalyzer-100A/100B を配置して、ログ情報を収集します。本社には中央のログアグリゲータとして FortiAnalyzer-2000 を設置し、各支社にあるFortiAnalyzer-100A/100B からログを収集します。

隔離

ハードディスクを搭載していない FortiGate ユニットには、ネットワークに侵入しようとする感染ファイルまたは不審ファイルを隔離する FortiAnalyzer ユニットの機能が有効です。 FortiAnalyzer ユニットの隔離ブラウザを使用して保存ファイルを表示することで、それらのファイルが危険かどうかを見極めることができます。

注記 : ネットワークアナライザは、 FortiAnalyzer-100 では使用できません。


はじめにこのガイドについて

NAS (Network Attached Storage)

FortiAnalyzer ユニットは、 Network Attached Storage (NAS) デバイスとしても活用できます。 FortiAnalyzer ユニットのハードディスクにある未使用空間をファイルサーバとして利用し、バックアップまたはユーザファイルを保存できます。 NFSまたは Windows 共有機能を利用しているコンピュータであれば、 FortiAnalyzer のネットワーク共有をマウントして、ファイルを保存、取得できます。

このガイドについて

このガイドは、 FortiAnalyzer ユニットを設定、構成、使用し、ログを収集する方法、およびネットワーク利用レポートを作成する方法について解説します。

このガイドは、以下の章から構成されます。

• システムは、システム時刻、セッション情報、ユーザ管理など、 FortiAnalyzerシステムの設定方法について説明します。

• デバイスは、FortiAnalyzer ユニットが個々のデバイスとコネクションを維持できるよう、 FortiGate、 FortiManager ユニットおよび Syslog サーバを追加、構成する方法について説明します。

• ログは、デバイスおよび FortiAnalyzer のログファイルを指定して表示する方法について説明します。また、フィルタの使用および表示項目を選択することでログビューをカスタマイズし、ログに含まれる情報を検索しやすくしたりログをリアルタイムに参照したりする方法について説明します。

• コンテンツアーカイブは、電子メール、 FTP、インスタントメッセージ、 Webブラウジングを利用するあらゆるユーザについて、メタデータコンテンツを監視する方法について説明します。

• 隔離は、 FortiGate ユニットから隔離ファイルを受信し FortiAnalyzer のハードディスクからそれらを表示できるように、FortiAnalyzer ユニットを構成する方法について説明します。

• フォレンジック分析は、個々のネットワークの活動傾向を表示、レポートする方法、および分析用レポートを作成する方法について説明します。

• ネットワークサマリは、ネットワークに対する侵入活動についてのレポートを構成、表示し、ネットワーク上で発生するトラフィックの種類を表示する方法について説明します。

• レポートは、 FortiAnalyzer ユニットが収集するログ情報について定期的にレポートを生成するための、レポートプロファイルを作成する方法について説明します。また、作成したレポートを表示する方法についても説明します。

• アラートは、アラートメッセージの設定方法、および、メッセージを、メールサーバを使って電子メールで、あるいは Syslog サーバに、または SNMP トラップを使用して、送信するよう FortiAnalyzer ユニットを構成する方法について説明します。またこの章では、FortiAnalyzer ユニットがサポートする SNMPトラップをリストアップします。

• ネットワークアナライザは、 FortiAnalyzer ユニットをネットワークスイッチのスパンまたはミラーポートに接続して、スイッチを通過するネットワークトラフィックを分析、スニフィング ( 傍受 ) する方法について説明します。

• 脆弱性スキャンは、脆弱性スキャンを設定し生成されたレポートを表示する方法について説明します。


12

FortiAnalyzer ドキュメントはじめに

FortiAnalyzer ドキュメント

• FortiAnalyzer 管理ガイド

FortiGateおよびSyslog ログファイルを収集できるように、FortiAnalyzer ユニットを設置、構成する方法、および管理のために FortiManager デバイスに接続する方法について解説します。また、ログファイルの表示方法、様々なネットワーク活動に関するレポートを作成し表示する方法、 FortiAnalyzer ユニットをNAS サーバとして使用する方法についても解説します。

• FortiAnalyzer CLI リファレンス

FortiAnalyzer ユニットのコマンドラインインタフェース (CLI) の使用方法、および利用可能なすべてのコマンドについて解説します。

• FortiAnalyzer オンラインヘルプ

検索が可能な HTML バージョンの『管理ガイド』です。Web ベースマネージャで作業しながら、オンラインヘルプにアクセスできます。

• FortiAnalyzer クイックスタートガイド

FortiAnalyzer ユニットの設置、設定方法について解説します。

フォーティネットツールおよびドキュメント CD

お使いのフォーティネット製品に付属する、フォーティネットツールおよびドキュメント CD から、すべてのフォーティネットドキュメントにアクセスできます。この CD に収録されているドキュメントは、製品出荷時の新版です。フォーティネットドキュメントの新版については、「フォーティネットテクニカルドキュメント」 Web サイト (http://docs.forticare.com) を参照してください。

フォーティネットナレッジセンタ

ナレッジセンタには、短いハウツー記事、 FAQ、テクニカルノート、製品機能ガイド、その他多数が含まれています。フォーティネットナレッジセンタには、http://kc.forticare.com でアクセスしてください。

フォーティネットテクニカルドキュメントに関するコメント

このドキュメントやその他のフォーティネットテクニカルドキュメントに誤りまたは脱落がありましたら、 [email protected] までお知らせください。

カスタマサービスおよびテクニカルサポート

フォーティネットテクニカルサポートは、お使いのフォーティネットシステムの迅速なインストール、容易な設定、およびネットワーク内での確実な動作が行えるよう、支援するサービスを提供しています。

フォーティネットが提供しているテクニカルサポートサービスの詳細については、フォーティネットテクニカルサポート Webサイト (http://support.fortinet.com)を参照してください。


http://docs.forticare.com

http://kc.forticare.com

http://kc.forticare.com

mailto:[email protected]

http://support.fortinet.com

システムダッシュボード

F0

システムFortiAnalyzer ユニットには、システム設定を使用してカスタマイズできるさまざまな構成オプションがあります。

この項では、 FortiAnalyzer ユニットをネットワーク環境で使用するために適用可能な構成および設定について説明します


• ダッシュボード

• ネットワーク

• 管理者

• ネットワーク共有

• Config

• メンテナンス

ダッシュボード

ダッシュボードにより、 FortiAnalyzer ユニットの現在の動作ステータスを表示できます。システム構成を読み取るためのアクセス権限を持つすべてのFortiAnalyzer 管理者は、システムステータス情報を表示できます。

図 1: ダッシュボード

表示されるステータス情報には、システム情報、アラートメッセージ、システムリソース、ライセンス情報、セッション統計などの情報が含まれます。


14

ダッシュボードシステム

システム情報

ダッシュボードの [System Information] には、 FortiAnalyzer ユニットの現在のステータスが表示されます。 [System Status] には、次の情報が含まれます。

時刻の設定

有効なスケジュールを作成し、情報を正確にロギングできるように、システム時刻を設定します。 FortiAnalyzer のシステム時刻は、手動で設定するか、またはFortiAnalyzer ユニットが NTP (Network Time Protocol) サーバと同期して自動的に正確なシステム時刻を維持するように設定できます。

システム時刻を設定するには、[System] 、[Dashboard] の順に選択して、[Changefor the System Time] を選択します。

図 2: 時刻の設定

[Serial Number] FortiAnalyzer ユニットのシリアル番号。このシリアル番号はFortiAnalyzerユニット固有であり、ファームウェアをアップグレードしても変わりません。この番号を使用して、お客様のFortiAnalyzer ユニットをフォーティネットに登録してください。

[Uptime] FortiAnalyzer ユニットが起動または後に再起動されてからの時間を、日数、時間数、および分数で表したもの。

[System Time] FortiAnalyzer の内蔵時計による現在の時刻。この時間を変更するか、または FortiAnalyzer ユニットが NTP サーバから時間を取得するように設定するには、[Change] を選択します。詳細については、14 ページの「時刻の設定」を参照してください。

[Host Name] FortiAnalyzer ユニットの名前。名前の変更については、 15 ページの「ホスト名の変更」を参照してください。

[Firmware Version] 現在の FortiAnalyzer ユニットにインストールされているファームウェアのバージョン。ファームウェアの新バージョンをアップロードするには、 [Update] を選択します。ファームウェアの更新については、 15 ページの「ファームウェアの変更」を参照してください。

[System Time] 現在の FortiAnalyzer システムの日付と時刻。

[Refresh] 現在の FortiAnalyzer システムの日付と時刻の表示を更新します。

[Time Zone] 現在の FortiAnalyzer システムのタイムゾーンを選択します。

[Set Time] FortiAnalyzer システムの日付と時刻を、[Hour] 、[Minute] 、[Second] 、[Year] 、 [Month] 、および [Day] フィールドに入力した値に設定する場合に選択します。

[Synchronize with NTP Server]

NTP サーバを使用してシステムの日付と時刻を自動的に設定する場合に選択します。サーバと同期間隔を指定する必要があります。



ホスト名の変更

FortiAnalyzer のホスト名を変更して、 FortiAnalyzer をネットワーク上の別のFortiAnalyzer ユニットまたは他のデバイスから区別します。

ホスト名は、次のように変更します。

1 [System] 、[Dashboard] の順に選択します。

2 [System Information] で [Change for the Host Name] を選択します。

3 FortiAnalyzer ユニットの新しい名前を入力し、 [OK] を選択します。ホスト名には、必ず 20 文字以下を使用します。

ファームウェアの変更

FortiAnalyzer ユニットは、新しいファームウェアバージョンにアップグレードするか、または以前のファームウェアバージョンに戻すことができます。

ファームウェアバージョンを変更すると、ユニットの設定はそのまま、あるいはリセットされます。

• ファームウェアをアップグレードする場合は、FortiAnalyzer ユニットの設定はそのまま保持されます。

• 以前のファームウェアバージョンに戻すと、FortiAnalyzer ユニットはファームウェアバージョンに応じて、工場出荷時のデフォルト設定にリセットされます。必要に応じて、 FortiAnalyzer ユニットの IP アドレスを、 CLI または制御ボタンと

LCD から再設定します。

この手順では、 Web ベースマネージャにアクセスする必要があります。 Web-ベースのマネージャおよび CLI から応答がなく、 FortiAnalyzer ユニットが起動手順を完了できない場合は、 20 ページの「ファームウェアを復元する」を参照してください。

Web ベースマネージャを使用してファームウェアを変更するには、次の手順を行います。

1 ファームウェアイメージファイルを管理コンピュータにコピーします。

2 Web ベースマネージャに管理ユーザとしてログインします。


4 [System Information] で [Update] を選択します。

5 ファームウェアイメージファイルのパスとファイル名を入力するか、または [Browse] を選択して、ファームウェアイメージファイルを特定します。

6 [OK] を選択します。

ファームウェアを以前のバージョンに戻すと、システム設定が初期値にリセットされ、これまでの設定内容が失われることを示すメッセージが表示されます。

[Server] NTP サーバの IP アドレスまたはドメイン名を入力します。使用できる NTP サーバを検索するには、http://www.ntp.org を参照してください。

[Sync Interval] () FortiAnalyzer ユニットが NTP サーバと時刻の同期をとる頻度を指定します。たとえば、 1440 分に設定すると、 FortiAnalyzer ユニットは1 日に 1 回時刻の同期をとります。

! 注意 : この手順を始める前に、 FortiAnalyzer ユニット設定のバックアップを作成しておき

ます。詳細については、 50 ページの「バックアップおよび復元」を参照してください。


http://www.ntp.org

16



• ファームウェアをアップグレードする場合、 FortiAnalyzer ユニットはワームウェアのイメージファイルをアップロードして、新バージョンのファームウェアにアップグレードし、再起動の後に FortiAnalyzer ログインを表示します。この処理には数分かかります。

• 以前のファームウェアバージョンに戻る場合は、 FortiAnalyzer ユニットはファームウェアのイメージファイルをアップロードし、古いファームウェアバージョンに戻し、設定をリセットしたあと、再起動を行い、 FortiAnalyzerユニットログインを表示します。この処理には数分かかります。

8 設定を復元します。 50 ページの「バックアップおよび復元」を参照してください。

9 ファイル名を入力するか、 [Browse] を選択して設定ファイルを指定し、 [OK] を選択します。

ライセンス情報

RVS (remote vulnerability scanning) 更新の詳細については、51 ページの「FortiGuardCenter」を参照してください。

システムリソース

システムリソースは、 FortiAnalyzer ユニットのリソースがどのように使用されているかを表示します。 CPU、メモリ、ハードディスクの利用状況を監視して、FortiAnalyzer ユニットがどの程度の処理容量で機能しているかを素早く確認できます。システムリソースには、次の情報が含まれます。

[Support Contract] サポート契約番号と終了日。

[RVS Engine] RVS エンジンのバージョン。エンジンの新バージョンをアップロードするには、[Update] を選択します。RVS の詳細については、51 ページの「FortiGuard Center」を参照してください。この機能は、 FortiAnalyzer-100 では使用できません。

[RVS Plug-ins] RVS プラグインのバージョン。この機能は、 FortiAnalyzer-100 では使用できません。

[Device License] FortiAnalyzer ユニットに接続されている各デバイス数のリスト。

• 登録済みは、FortiAnalyzer ユニットに追加されているデバイスの数です。

• 未登録は、FortiAnalyzer ユニットに接続しようとする既知のタイプのデバイス数、および一般的な syslog デバイスなど未知のタイプのデバイス数です。FortiAnalyzer ユニットがデバイスから送信されるデータを受け付けるように設定するには、58ページの「未登録デバイスオプション」を参照してください。

[CPU Usage] 現在の CPU 使用率を示します。 Web ベースマネージャには、コアプロセスの CPU 使用率のみが表示されます。管理プロセス ( たとえば、 Web ベースマネージャへの HTTPS 接続 ) が使う CPU 使用率は除外されます。

[Memory Usage] 現在のメモリ使用率を示します。 Web ベースマネージャには、コアプロセスのみのメモリ使用率が表示されます。管理プロセス (たとえば、 Web ベースマネージャへの HTTPS 接続 ) のメモリ使用率は除外されます。



動作履歴の表示

システムリソースの履歴ページには、システムリソースおよびネットワークの使用履歴が 4 種類のグラフィックで表示され、 3 秒ごとに更新されます。

FortiAnalyzer の動作履歴は、次の手順で表示します。


2 [System Resources] セクションの右上にある [History] を選択します。

警告メッセージコンソール

警告メッセージコンソールは、FortiAnalyzerユニットおよび接続されているデバイスの、ハードディスク障害メッセージ、ウィルス感染、不審なイベントの警告といった、警告メッセージを表示します。

警告メッセージコンソールのしきい値を設定する、または FortiAnalyzer ユニットが記録しているすべての警告メッセージを表示するには、 [More alerts] を選択します。警告メッセージ表示の詳細については、 17 ページの「警告コンソールメッセージを表示する」を参照してください。

警告コンソールメッセージを表示する

警告コンソールメッセージは、 FortiAnalyzer および他の FortiGate デバイスで何が発生しているかを表示するウィンドウを開きます。このウィンドウで、ネットワークへの攻撃およびウィルスの警告など、ネットワーク上の問題を確認できます。

警告メッセージウィンドウには、警告メッセージの一覧が表示されます。レベルごとに警告メッセージを表示すること、または必要に応じてメッセージを了解することができます。警告メッセージを了解すると、そのメッセージが警告一覧から削除されます。

警告メッセージは、電子メール、 Syslog または SNMP によっても配信できます。詳細については、 131 ページの「アラートイベント」を参照してください。

警告コンソールメッセージは、次の手順で表示します。


2 [Alert Message Console] の右上から、 [Select More Alerts ] を選択します。

[Hard Disk Usage / RAID status]

FortiAnalyzer-100 およびFortiAnalyzer-100A/100Bでは、現在のハードディスクの使用率が示されます。 Web ベースマネージャは、ハードディスクの使用領域の量を表示します。FortiAnalyzer-400、 FortiAnalyzer-800、 FortiAnalyzer-2000/2000A、およびFortiAnalyzer-4000/4000A では、ハードディスクの現在の RAID ステータスが示されます。それぞれの円は、ハードディスクのステータスを示します。緑は、ハードディスクが正常に機能していることを示します。ディスクが赤と黄色で点滅している場合は、ハードディスクに問題があります。FortiAnalyzer-2000/2000A および FortiAnalyzer- 4000/4000A のハードディスクは、ホットスワップ可能です。詳細については、 46 ページの「FortiAnalyzer-2000/2000A および FortiAnalyzer-4000/4000Aのホットスワップ」を参照してください。

[History] アイコン [Histor] を選択することにより、 CPU、メモリ、セッション、およびネットワークの近 1 分間の使用率をグラフィカルに表示できます。詳細については、 17 ページの「動作履歴の表示」を参照してください。

[CPU Usage] 近 1 分間の CPU 使用率。

[Memory Usage] 近 1 分間のメモリ使用率。

[Session] 近 1 分間のセッション履歴。

[Network Utilization] 近 1 分間のネットワーク使用率。


18


3 列の見出しを選択して、列を昇順または降順に並べ替えます。

図 3: 警告メッセージ

統計

セッション情報を表示する

セッション情報は、ログや隔離ファイルを送信する接続デバイスなど、FortiAnalyzer ユニットで現在行われている通信セッションについての情報を表示します。

セッション情報は、次の手順で表示します。


2 [Connections] 横の [Statistics] で、 [Details] を選択します。

[Page] 表示する警告のページを選択します。矢印を使ってページを前後に移動するか、またはページ番号を入力して Enter を押します。

[Include...and higher] 表示する警告レベルを選択します。指定したレベル、および指定よりレベルが高い警告メッセージが、警告リストに表示されます。

[Keep Unacknowledged Alerts for]

警告メッセージをさかのぼって表示する日数を選択します。現在表示しているより少ない日数を選択すると、古い順に警告が削除されます。たとえば、 7 日間分の警告を表示しており、表示する警告の日数を 2 日に変更すると、FortiAnalyzer ユニットは、5 日分の警告メッセージを古い順に削除します。

[formatted | raw] 警告メッセージを、フォーマット済み、または未加工のどちらで表示するかを選択します。

[Device] 警告メッセージ発生元のデバイス。

[Event] 警告メッセージの原因となったイベントの詳細。

[Severity] 警告メッセージのレベル。

[Time] 警告メッセージの日付と時刻。

[Counter] 警告イベントの発生数。

[Delete] 削除する警告メッセージのチェックボックスをオンにして、削除アイコンを選択します。

[Since] 統計がリセットされた日付と時刻。

[Connections] FortiAnalyzer ユニット上で行われる通信セッションの数。接続の詳細情報については、 [Details] を選択します。セッション情報の詳細については、 18 ページの「セッション情報を表示する」を参照してください。管理セッション限定の詳細については、 30 ページの「モニタ」を参照してください。

[Log & Report] 1 日あたりのログファイル受信量。



フィルタリングセッション情報

コンテンツをフィルタ処理して、特定のコンテンツを検出できます。データの各列には、グレーのフィルタアイコンがあります。このアイコンを選択して、列のコンテンツをフィルタ処理します。

列フィルタを使用すると、フィルタアイコンが緑で表示されます。

フィルタ処理をオフにするには、その列のフィルタアイコンを選択して、 [Clearall Filters] を選択します。

レポートエンジン

レポートエンジンディスプレイは、 FortiAnalyzer のレポート作成動作を示します。レポートエンジンの動作情報には、レポートエンジンがアクティブかアクティブでないか、アクティブのとき実行するレポートは何か、何パーセントの処理が完了しているか、などが含まれます。

[Generate report] ボタンを選択して、新規レポートプロファイルを作成します。

自動更新間隔

[Automatic Refresh Interval] を選択して、 [Dashboard] ページを自動更新する頻度を表示します。

[Refresh Now] を選択すると、ステータスページをすぐに更新します。

システム操作

一部の基本操作は、ダッシュボードから直接実行できます。[Dashboard] ページの右下にある [System Operation] から選択します。

ユーザのアクセスプロファイルが読み取り専用の場合は、これらの操作はできません。

[Resolve Host Names] IP アドレスではなく、分かりやすい名前でホスト名を表示する場合にオンにします。IP アドレスホスト名の詳しい設定方法については、 42 ページの「IP エイリアス」を参照してください。

[Resolve Service] ポート 80 のようなポート番号ではなく、 HTTP のようなネットワークサービス名を表示する場合にオンにします。

[Refresh Time] 接続動作を確認するために、 [Connections] ページの更新頻度を選択します。

[Stop Refresh] [Connections] ページの更新を開始しているとき、更新を停止するために選択します。更新を再開するには、 [Start Refresh] を選択します。

[Start Refresh] [Connections] ページの更新を停止しているとき、更新を開始するために選択します。更新を停止するには、[Stop Refresh] を選択します。

[View n per page] ページあたりに表示される列数を選択します。

[Page n of n] スキップするページ番号を入力して、 Enter を押します。

[Search] キーワードを入力して、利用可能なセッション情報で簡易検索を実行します。 [Go] を選択して、検索を開始します。ヒット数が、[Search] フィールドの上に表示されます。

[Protocol] UDP または TCP など、接続のサービスプロトコル。

[From IP] 接続の発信元 IP アドレス。

[From Port] 接続の発信元ポート。

[To IP] 接続の宛先 IP アドレス。

[To Port] 接続の宛先ポート。

[Expires (Secs)] 接続が終了するまでの残り時間 ( 秒単位 )。


20


ログディスクをフォーマットする

システムダッシュボードを使用して、 FortiAnalyzer のログディスクをフォーマットできます。ハードディスクをフォーマットする前に、必ずログデータをバックアップしてください。 FortiAnalyzer ユニットは、フォーマット処理の間、利用できなくなります。

ログディスクは、次の手順でフォーマットします。


2 [Systems Operations] で、 [Format Log Disks] 、 [Go] の順に選択します。


デフォルト設定にリセットする

FortiAnalyzer ユニットをデフォルト設定にリセットできます。

設定をリセットしても、元のファームウェアは復元しません。設定とファームウェアは異なります。ファームウェアの復元については、 20 ページの「ファームウェアを復元する」を参照してください。

次の手順で、デフォルト設定にリセットします。


2 [Systems Operations] で、 [Reset to Factory Default] 、 [Go] の順に選択します。

3 [OK] を選択して、確定します。

FortiAnalyzerユニットが、現在インストールされているファームウェアのバージョンに応じて、デフォルト設定で再起動します。

ファームウェアを復元する

FortiAnalyzer ユニットの起動が完了せず、 Web ベースマネージャおよび CLI に反応しない場合は、ファームウェアイメージが壊れている可能性があります。ご使用の FortiAnalyzer ユニットモデルに適する手順を使用して、 TFTP サーバからファームウェアを復元します。

[Reboot] FortiAnalyzer ユニットを再起動します。

[ShutDown] FortiAnalyzer ユニットを、シャットダウンします。 FortiAnalyzer ユニットを再起動するには、必ず電源を切ってからもう一度電源を入れます。

[Format log disks] FortiAnalyzer ユニットのハードディスクをフォーマットします。このオプションを選択すると、ハードディスク上のログファイルおよびレポートがすべて削除されます。このオプションを選択する前に、必ずすべての情報をバックアップしてください。ハードディスクのフォーマットを実行すると、 FortiAnalyzer ユニットの機能が数分間中断されます。

[Reset to factory default]

FortiAnalyzer ユニットを、ファームウェアバージョンに応じてデフォルト設定の状態にリセットします。注意 : このオプションは、FortiAnalyzer ユニットのすべての設定をデフォルトの状態にリセットします。これらの設定には、インタフェース IP アドレス、 HTTP、 HTTPS、 SSH、 Telnet アクセスなどが含まれます。デフォルトの IP アドレス、 192.168.1.99 を使用して、 FortiAnalyzer デバイスを再接続する必要があります。

!注意 : 設定は、リセットする前に必ずバックアップします。設定をリセットすると、これまでに変更した FortiAnalyzer の設定がすべて削除され、インタフェースアドレスがリセットされるなど、ファームウェアがデフォルトの設定に戻ります。



ファームウェアを復元する際は、TFTP サーバの IP アドレスが、必ず FortiAnalyzerユニットの IP アドレスと同じネットワークにあるようにします。 TFTP サーバに接続してファームウェアを変更する場合、 FortiAnalyzer ユニットは 255.255.255.0のネットマスクを使用します。このため、ネットワークの残り部分を暫定的に再設定するのでなく、管理コンピュータに TFTP サーバをインストールし、FortiAnalyzer ユニットを使い一時的なピアネットワークを作成して、管理コンピュータ上の TFTP サーバに直接ユニットを接続するのが便利です。

FortiAnalyzer-100 または FortiAnalyzer-400 のファームウェアを復元する

FortiAnalyzer ユニットのファームウェアイメージは、次の手順で復元します。

1 TFTP サーバの IP アドレスを、 192.168.1.168 に設定します。

2 TFTP サーバが実行しており、 FortiAnalyzer ユニットが TFTP サーバにネットワーク接続可能なことを確認します。

TFTP サーバへの接続を干渉する、 Windows ファイアウォールなどのファイアウォール機能を変更または無効にします。

3 新たなファームウェアイメージファイルを、 TFTP サーバのルートディレクトリに置きます。ファイル名を image.out に変更します。

4 FortiAnalyzer ユニットを起動します。

FortiAnalyzer ユニットが起動すると、次のメッセージが LCD 上に表示されます。

Press any key to begin download.....

5 いずれかのキーを押して、自動ダウンロードを開始します。

FortiAnalyzer ユニットが TFTP サーバに接続し、ファームウェアイメージのダウンロードを開始します。ファームウェアをダウンロードすると、 FortiAnalyzer ユニットはファームウェアをロードしてシステム起動を実行します。RAID が有効な場合は、この処理に数分かかります。

FortiAnalyzer-100A/100B、800、2000/2000A、4000/4000A のファームウェアを復元する

注記 : 正常に機能している FortiAnalyzer ユニットでファームウェアのバージョンを確認または変更するには、 15 ページの「ファームウェアの変更」を参照してください。

!注意 : この手順は、 FortiAnalyzer ユニットのすべての設定をデフォルトの状態にリセットします。これらの設定には、インタフェース IP アドレス、 HTTP、 HTTPS、 SSH、 Telnet アクセスなどが含まれます。

!注意 : この手順は、 FortiAnalyzer ユニットのすべての設定をデフォルトの状態にリセット

します。これらの設定には、インタフェース IP アドレス、 HTTP、 HTTPS、 SSH、 Telnet アクセスなどが含まれます。

注記: FortiAnalyzer-800 にイーサネットケーブルを接続するときは、ケーブルを LAN2 ポートに差し込みます。


22


FortiAnalyzer ユニットのファームウェアイメージは、次の手順で復元します。

1 TFTP サーバが実行しており、 FortiAnalyzer ユニットが TFTP サーバにネットワーク接続可能なことを確認します。

TFTP サーバへの接続を干渉する、 Windows ファイアウォールなどのファイアウォール機能を変更または無効にします。

2 新たなファームウェアイメージファイルを、 TFTP サーバのルートディレクトリに置きます。

3 必要に応じて、 TFTP サーバの IP アドレスを変更します。

FortiAnalyzer ユニットが TFTP サーバへの接続に使用するネットワークで、 TFTPサーバの IP アドレスが有効であることが必要です。たとえば、 FortiAnalyzer ユニットに 192.168.1.188 の IP アドレスを割り当てる場合、 TFTP サーバのアドレスは、必ず 192.168.1.xxx となります。

4 ヌルモデムケーブルを使って、管理コンピュータを FortiAnalyzer のコンソールポートに接続し、 Microsoft HyperTerminal などのターミナルエミュレータを使いCLI に接続します。

CLI への接続の詳細については、 FortiAnalyzerCLI リファレンスを参照してください。

5 CLI が応答しない場合は、ユニットの電源を切った後入れ直して、 FortiAnalyzerユニットを再起動します。

CLI が応答する場合は、次のコマンドを入力して FortiAnalyzer ユニットを再起動します。

execute reboot

FortiAnalyzer ユニットが起動すると、一連の起動メッセージが表示されます。

6 次のメッセージが表示されます。

Press any key to display configuration menu...

いずれかのキーをすぐに押して、システムの起動を中断します。

起動プロセスが中断されると、次のメッセージが表示されます。

[G] :Get firmware image from TFTP server.[F] :Format boot device.[B] :Boot with backup firmware and set as default.[Q] :Quit menu and continue to boot with default firmware.[H] :Display this list of options.

Enter G,F,B,Q,or H:

7 G を押して、 TFTP サーバから新しいファームウェアイメージを取得します。

次のメッセージが表示されます。

Enter TFTP server address [192.168.1.168] :

8 TFTP サーバのアドレスを入力し、 Enter を押します。


Enter Local Address [192.168.1.188] :


http://docs.forticare.com/fa.html

システムネットワーク

9 FortiAnalyzer ユニットの IP アドレスを入力し、 Enter を押します。

FortiAnalyzer ユニットが、TFTP サーバに接続してファームウェアをダウンロードできるように、インタフェースに一時的に IP アドレスを割り当てます。

この IP アドレスは、インタフェースが接続するネットワークで別のデバイスと競合しない限り、そのネットワークで有効なあらゆるＩＰアドレスが可能です。


Enter File Name [image.out] :

10 ファームウェアイメージファイルの名前を入力して、 Enter を押します。

TFTP サーバが、ファームウェアイメージファイルを FortiAnalyzer ユニットにアップロードします。ユニットがファームウェアイメージをダウンロードして検証すると、 CLI がメッセージを表示します。

MAC:00090F601129

################

Total 17268465 bytes data downloaded.

Verifying the integrity of the firmware image.

Total 28000kB unzipped.

アップロードが完了すると、 CLI は次のメッセージを表示します。

Save as Default firmware/Backup firmware/Run image withoutsaving: [D/B/R]

11 D を押します。

FortiAnalyzer ユニットは、新しいファームウェアイメージをインストールして、再起動します。

ネットワーク

ネットワーク設定を使用して、 FortiAnalyzer ユニットがネットワーク上で作動するように設定します。基本的なネットワーク設定として、インタフェース、 DNSおよびスタティックルートの設定があります。

インタフェース

FortiAnalyzer ユニットのインタフェースでは、IP アドレス、許可されているリモート管理プロトコル、 MTU (Maximum Transmission Unit) などが設定可能です。

図 4: インタフェース一覧表

[Name] FortiAnalyzer ユニット上のネットワークインタフェースの名前。

[IP/Netmask] インタフェースに設定されている、 IP アドレスおよびネットマスク。

[Access] インタフェースで利用可能な、管理アクセスの一覧。


24

ネットワークシステム

インタフェースの設定を変更する

インタフェースの設定は、次の手順で変更します。

1 [System] 、 [Network] 、 [Interface] の順に選択します。

2 そのインタフェースで、 [Modify] を選択します。

3 以下のオプションを設定し、 [OK] を選択します。

[FDP] FDP (Fortinet Discovery Protocol) インジケータ。インタフェースに対して FDP が有効な場合は、緑のチェックが表示されます。FDP の詳細については、25 ページの「FDP (Fortinet Discovery Protocol) について」および 60 ページの「FDP (Fortinet Discovery Protocol) プロトコルを使用して接続する FortiGate ユニット」を参照してください。

[Status] ネットワークインタフェースのステータス。

• 緑の矢印は、インタフェースの機能が有効であることを示します。ポートの機能を無効にするには、 [Bring Down] を選択します。

• 赤の矢印は、インタフェースの機能が停止していることを示します。ポートの機能を有効にするには、 [Bring up] を選択します。

[Modify] [Modify] を選択して、インタフェースの設定を変更します。

[Interface Name] インタフェース名は固定されており、変更できません。

[Fortinet Discovery Protocol]

[Enabled] を選択すると、インタフェース上で FDP (FortinetDiscovery Protocol) に応答して、FortiGate デバイスが FortiAnalyzerユニットを自動的に検出し接続を確立できるようになります。FDP の詳細については、 25 ページの「FDP (Fortinet DiscoveryProtocol) について」および 60 ページの「FDP (Fortinet DiscoveryProtocol) プロトコルを使用して接続する FortiGate ユニット」を参照してください。

[IP/Netmask] IP アドレスとネットマスクを入力します。

[Administrative Access]

どの管理アクセス手法を、このインタフェースで利用可能にするかを選択します。

• HTTPSは、FortiAnalyzer WebベースマネージャへのセキュアなHTTPS 接続を可能にします。

• PING により、接続テストに有用な ICMP ping への応答が可能となります。

• HTTPは、FortiAnalyzer WebベースマネージャへのHTTP接続を可能にします。HTTP 接続はセキュリティ保護されていないため、第三者によって傍受される可能性があります。

• SSH は、 FortiAnalyzer CLI への SSH 接続を可能にします。

• TELNET は、FortiAnalyzer CLI への Telnet 接続を可能にします。Telnet 接続はセキュリティ保護されていないため、第三者によって傍受される可能性があります。

• AGGREGATOR は、ログアグリゲーション伝送の送信者または受信者となるポートを割り当てます。アグリゲーションの詳細については、 39 ページの「ログアグリゲーション」を参照してください。

• WEBSERVICESにより、Webサービス (SOAP) 接続が可能となります。 FortiManager および FortiGate ユニットは Web サービス接続を使用して、ログの検索、レポートの設定、作成および表示、 FortiAnalyzer 設定の送信および取得を行います。


システムネットワーク

FDP (Fortinet Discovery Protocol) について

FortiOS バージョン 3.0 以降を実行する FortiGate ユニットは、 FDP (FortinetDiscovery Protocol、 UDP プロトコルの一種 ) を使用して、 FortiAnalyzer ユニットを特定し接続を確立します。

FortiGate の管理者が [Automatic Discovery] を選択すると、FortiGate ユニットは同じサブネットでネットワーク上にある FortiAnalyzer ユニットを特定しようとします。そのインタフェースでサブネットに対して FDP が有効になっている場合、FortiAnalyzer ユニットが応答します。 FortiGate ユニットが FortiAnalyzer ユニットを特定すると、FortiGate ユニットは自動的に FortiAnalyzer へのロギングを有効にして、ログデータの送信を開始します。

DNS

プライマリおよびセカンダリ DNS サーバを設定し、NFS 共有など FortiAnalyzer の機能で名前解決を可能にします。

DNS は、次の手順で設定します。

1 [System] 、[Network] 、[DNS] の順に選択します。

2 プライマリおよびセカンダリ DNS サーバの IP アドレスを入力します。

ルーティング

ルートリストは、 FortiAnalyzer ユニットのスタティックルートを表示します。

ルーティングリストを表示するには、 [System] 、[Network] 、[Routing] の順に選択します。

図 5: ルートリスト

[MTU] [Override default MTU value (1500)] を選択して、伝送データの大値を入力します。ネットワークパフォーマンスを強化するために、このインタフェースの MTU (Maximum Transmission Unit) を変更できます。理想的なパフォーマンスを得るためには、MTU を、このインタフェースと終的な宛先の間にある各デバイスの小MTU値と等しくする必要があります。MTU が他のデバイスの MTU より大きい場合、間にあるデバイスは転送データの大きさを小さな MTU 値に合わせて、データを小分けにする時間を費やすので、転送速度が遅れる原因になります。ネットワークパフォーマンスが適になるまで、 MTU を調整します。

注記 : DNS 設定を確認します。 DNS 設定が正しくないと、他の機能に問題を生じる原因となります。

[Primary DNS Server] プライマリ DNS サーバの IP アドレスを入力します。

[Secondary DNS Server] セカンダリ DNS サーバの IP アドレスを入力します。

[Destination IP/Netmask]

FortiAnalyzer ユニットが送信しようとする、パケットの宛先 IP アドレスおよびネットマスク。

[Gateway] FortiAnalyzer ユニットがパケットを転送するルータの IP アドレス。


26

管理者システム

ルートを追加する

スタティックルートは、デフォルトゲートウェイ以外の特定の宛先にパケットを転送するのに必要な情報を FortiAnalyzer ユニットに提供します。

スタティックルートは、次の手順で追加します。

1 [System] 、[Network] 、[Routing] の順に選択します。

2 [Create New] を選択します。


管理者

[Admin] オプションを使用して、FortiAnalyzer 管理者、管理ドメイン (ADOM)、ユーザの管理アクセスの設定とパスワードの保守を行います。

FortiAnalyzer ユニットの初期状態は、 1 つのマスタ管理者アカウントが 'admin' というユーザ名で設定されています。このアカウントから、管理者アカウントを追加、編集し、管理者アカウントごとのアクセスレベルを制御して、 FortiAnalyzerユニットに接続するための IP アドレスをコントロールできます。このアカウントは不変となり、 FortiAnalyzer ユニットから削除できません。

新しい管理者を追加する

FortiAnalyzer ユニットの管理者リストを表示するには、 [System] 、[Admin] 、[Administrators] の順に選択します。

図 6: 管理者リスト

[Interface] 傍受されたパケットが送受信される FortiAnalyzer インタフェースの名前。

[Modify] ルート設定を変更するとき選択します。

[Create New] ルートリストにルートを追加します。

[Destination IP] FortiAnalyzer ユニットが傍受する必要のあるパケットの宛先 IP アドレスおよびネットワークマスクを入力します。

[Mask] IP アドレスと関係づけるネットマスクを入力します。

[Gateway] FortiAnalyzer ユニットが傍受したパケットを転送するゲートウェイの IP アドレスを入力します。

[Interface] 利用可能なポートのリストから、 1 つのポートを選択します。

削除編集

パスワードを変更


システム管理者

新しい管理者は、次の手順で追加します。

1 [System] 、[Admin] 、[Administrators] の順に選択します。



管理者パスワードを変更する

'admin' 管理者および読み書き権限を持つ管理者は、各自の管理者アカウントパスワードを変更できます。読み取り限定の権限を持つ管理者のパスワードを変更する場合は、必ず 'admin' 管理者が行います。

管理者アカウントパスワードは、次の手順で変更します。

1 [System] 、[Admin] 、[Administrators] の順に選択します。

[Name] 管理者に割り当てられる名前。

[Trusted hosts] 管理者が FortiAnalyzer ユニットにログイン可能な場所の IP アドレスおよびネットマスク。管理者がどのアドレスからも FortiAnalyzer ユニットにアクセスできるようにするには、 IP アドレスおよびネットマスク0.0.0.0/0.0.0.0 を使用します。管理者が特定のネットワークまたはホストからのみ FortiAnalyzer ユニットにアクセスできるように制限するには、そのネットワークの IP およびネットマスクを入力します。

[Profile] 管理者に割り当てられるアクセスプロファイル。

[Type] [Type] ( 種類 ) には、 FortiAnalyzer ユニットで設定される管理者に該当するローカル、またはネットワーク上で RADIUS サーバを使用している場合 RADIUS が可能です。

削除アイコン管理者エントリを削除するとき選択します。 'admin' という名前のアカウントを削除できません。

編集アイコンアカウント情報を変更する場合に選択します。

パスワード変更アイコンアカウントパスワードを変更するとき選択します。詳細については、27 ページの「管理者パスワードを変更する」を参照してください。

[Administrator] 管理者の名前を入力します。

[Remote Auth] RADIUS サーバのグループをネットワークで使用しているとき選択します。

[Auth Group] この管理者アカウントを認証するとき、どの RADIUS サーバグループを使用するかを選択します。このオプションは、 [Remote Auth] が有効なとき表示されます。

[Password] パスワードを入力します。セキュリティ上の理由から、パスワードは文字と数字を混ぜて使用し、 6 文字より長くします。ログインするときパスワード入力を 3 回失敗すると、ユーザは短時間その IP ではシステムにログインできなくなります。

[Confirm Password] パスワードを再入力して、パスワードの文字を確定します。

[User information] 管理者名、電子メールなどの問い合わせ情報を入力します。

[Trusted hosts] 管理者が FortiAnalyzer ユニットにログイン可能な場所の IP アドレスおよびネットマスクを入力します。管理者がどのアドレスからも FortiAnalyzer ユニットにアクセスできるようにするには、 IP アドレスおよびネットマスク 0.0.0.0/0.0.0.0 を使用します。管理者が特定のネットワークまたはホストからのみFortiAnalyzer ユニットにアクセスできるように制限するには、そのネットワークの IP およびネットマスクを入力します。

[Access Profile] リストからアクセスプロファイルを選択します。アクセスプロファイルは、管理アクセスの権限を定義します。詳細については、28 ページの「アクセスプロファイル」を参照してください。


28

管理者システム

2 [Change Password] アイコンを選択します。

3 確認のために、古いパスワードを入力します。

4 新しいパスワードを入力、綴りを確認してパスワードの再入力を行い、文字を確定します。


アクセスプロファイル

FortiAnalyzer ユニットの Global Configuration ( グローバル設定 ) にアクセスできるのは、デフォルトで 'admin' 管理者に限定されています。他のすべての管理者には、必ずアクセスプロファイルが割り当てられます。

アクセスプロファイルは、 FortiAnalyzer の設定の中で管理者に与えられる権限を定義します。たとえば、管理者にレポートへの読み書きアクセス権限のみを割り当てるプロファイル、またはコンテンツのアーカイブログへの読み取り専用アクセス権限を割り当てるプロファイルなどが可能です。

必要な数のアクセスプロファイルを作成できます。プロファイルごとに、どのアクセス権限が与えられるかを定義できます。管理者アカウントは、アクセスプロファイルを一度に 1 つのみ使用できます。

図 7: アクセスプロファイル

アクセスプロファイルは、次の手順で作成します。

1 [System] 、[Admin] 、[Access Profile] の順に選択します。


3 プロファイルの名前を入力します。

4 各オプションのフィルタを選択します。

[None] 管理者は、その機能にアクセスできません。

[Read Only] 管理者は、ページ、メニューおよび情報を表示できますが、設定は変更できません。

[Read Write] 管理者は、ページ、メニュー、情報を表示して、設定を変更できます。


システム管理者

Auth Group

Auth Group により、管理者認証のために RADIUS サーバを論理的な構成にグループ化できます。

認証グループを作成するには、まず 1 台以上の RADIUS サーバを設定する必要があります。

グループは、次の手順で追加します。

1 [System] 、[Admin] 、[Auth Group] の順に選択します。


3 グループに追加するサーバを [Available Auth Servers] から選択して、右矢印を選択します。


RADIUS サーバ

RADIUS サーバは、管理者の認証を行います。

RADIUS サーバは、次の手順で追加します。

1 [System] 、[Admin] 、[RADIUS Server] の順に選択します。


3 次の設定を行い、 [OK] を選択します。

管理者設定

Administrators Settings (管理者設定) により、アイドルタイムアウト (FortiAnalyzerユニットが管理者をログアウトするまでの活動がない時間 )、 Web ベースマネージャの言語、 LCD パネルの PIN など、すべての管理者アカウントに共通する設定を行うことができます。また、管理ドメイン (ADOM) を有効または無効に設定できます。

管理者の設定を行うには、 [System] 、[Admin] の順に選択します。

[Name] サーバを識別する名前を入力します。

[Server Name/IP] サーバの IP アドレスを入力します。

[Shared Secret] サーバのパスワードを入力します。

[Authentication Protocol]

FortiAnalyzer ユニットが RADIUS サーバとの通信に使用するプロトコルを選択します。

注記 : 'admin' ユーザのみが、管理者カウント情報を追加または変更できます。


30

管理ドメインシステム

図 8: 管理者設定

モニタ

Monitor ページにより、 'admin' アカウントは、現時点で FortiAnalyzer ユニットにログインしている他の管理者を参照できます。 'admin' アカウントは、必要な場合に他の管理者を接続解除できます。

現時点でログインしている管理者を監視するには、[System] 、[Admin] 、[Monitor]の順に選択します。

管理者の接続を解除するには、管理者のユーザ名の横にあるチェックボックスをオンにして、 [Disconnect] を選択します。

管理ドメイン

管理ドメイン (ADOM) により、管理者は複数ドメインでアクセスを作成、管理でき、複数デバイスを単一デバイスに構成できます。admin 管理者は、管理プロファイルを設定し、管理者に特定ログデータ、レポート、アラート、および Web ベースマネージャのオプションおよびメニューへのアクセス権限を付与できます。

各 ADOM は、システムの中で他のドメインから独立しています。 FortiAnalyzer 管理者が顧客に個別の固有 ADOM を割り当てる場合、各 ADOM における管理者またはユーザは、 FortiAnalyzer ユニット上の他のデバイスまたは ADOM を意識しなくなります。

[Idle Timeout] アイドルタイムアウトを設定することにより、管理者の再ログインが必要となるまでの活動のない時間の長さを調整します。セキュリティを強化するには、アイドルタイムアウトの値を常に低く設定します (5 分など )。リアルタイムのログを表示しているときは、セッションはタイムアウトになりません。

[Web Administration Language]

Web ベースマネージャの言語を設定します。

[PIN Protection] チェックボックスをオンにして PIN (Personal IdentificationNumber) を入力し、 LCD パネルをともなう FortiAnalyzer ユニットへの LCD アクセスを保護します。 PIN は、必ず 6 桁の数字です。このオプションは、 LCD パネルをともなうモデルでのみ表示されます。

[Admin Domain Configuration]

チェックボックスをオンにすると、管理ドメイン (ADOM) が有効になります。ADOMの詳細については、30ページの「管理ドメイン」を参照してください。ADOM 機能を無効にするには、まずすべてのADOMエントリをFortiAnalyzerユニットから削除する必要があります。この削除を行わないと、 [AdminDomain Configuration] オプションはこのウィンドウに表示されません。このオプションは、 FortiAnalyzer-100 または FortiAnalyzer-100A/100B モデルでは表示されません。


システム管理ドメイン

Web ベースマネージャのように、 ADOM の設定で CLI にアクセスするユーザは、他の ADOM のデータまたは設定を参照できません。

追加可能な ADOM 数は、使用している FortiAnalyzer ユニットに応じて異なります。

管理ドメインを有効にする

デフォルトの admin 管理者アカウントを使用して、 FortiAnalyzer ユニット上で複数 ADOM の運用を有効にできます。

管理ドメインは、次の手順で有効にします。

1 [System] 、[Admin] 、[Settings] の順に選択します。

2 [Admin Domain Configuration] を選択します。


FortiAnalyzer ユニットからログオフされます。ここで、 'admin' 管理者として再度ログインできます。 [Admin Domain Configuration] が有効の状態で 'admin' 管理者としてログインすると、 [Administrative Domain Configuration] ページが表示されます。

デフォルトのドメインは [Global Configuration] で、このドメインは全デバイス、データおよびレポートへのアクセス権限を FortiAnalyzer ユニット上で付与します。 ADOM のアクセス権限を設定するには、必ず管理ドメインを有効にします。

図 9: Administrative Domain Configuration

注記 : ADOM は、 FortiAnalyzer-100 または FortiAnalyzer- 100A/100B では使用できません。

FortiAnalyzer モデル管理ドメイン数

FortiAnalyzer-400 10

FortiAnalyzer-800 50

FortiAnalyzer-2000/2000A 100

FortiAnalyzer-4000/4000A 250

[Global Configuration] admin 管理者は、global configuration ( グローバル設定 ) にアクセスできます。[Admin Domain Configuration] ページに戻るには、 [Main Menu] を選択します。

[Create New] 新しい ADOM を作成します。

[Delete] 選択されている ADOM を削除します。


32

管理ドメインシステム

[Admin Domain Configuration] を有効にした後は、Web ベースマネージャおよび CLIが次の変更を表示します。

• グローバルおよび ADOM 設定が分離されています。

• admin 管理者のみが、Global Configuration ( グローバル設定 ) にアクセスできます。

• admin 管理者アカウントは、すべての ADOM 設定を実行できます。

• 管理者は、管理プロファイルで定義されたオプションのみを表示および設定できます。

管理ドメインを無効にする

ADOM 設定を無効にする場合は、まず作成した ADOM をすべて削除します。ルートドメインを除き ADOM が少しでも残っていると、ADOM を無効にするオプションは表示されません。

ADOM 機能は、次の手順で無効にします。

1 [System] 、[Admin] 、[Settings] の順に選択します。

2 [Admin Domain Configuration] を無効にします。


ADOM を設定する

FortiAnalyzer のデフォルト設定には、[Global Configuration] のみが含まれています。ADOM を新た作成し設定する必要があります。

[Admin Domain Configuration] が有効のとき、デフォルトの 'admin' 管理者アカウントのみが次を設定できます。

• グローバル設定の実行

• ADOM の作成または削除

• 複数 ADOM の設定

• ADOM へのインタフェース割り当て

• ADOM への管理者割り当て

ADOM の設定では、次の手順を行います。

• 新規 ADOM を作成する

• アクセスプロファイルの作成

• 新しい管理者を追加するおよび管理者への ADOM およびアクセスプロファイルの割り当て

• ADOM にデバイスを追加する

[Selection] 有効にして、削除する ADOM を選択できるようにします。

[Name] ADOM の名前。設定する ADOM の名前を選択します。[Admin Domain Configuration] ページに戻るには、 [Main Menu] を選択します。


システムネットワーク共有

新規 ADOM を作成する

新しい ADOM を作成することにより、 FortiAnalyzer の管理者は管理者グループおよびユーザグループのアクセス権限を設定できます。

新しい ADOM は、次の手順で作成します。

1 [Main Menu] を選択します。


3 新規 ADOM の名前を入力します。

4 ADOM と関連付けるデバイスを選択します。複数のデバイスを選択するには、Shift キーまたは Ctrl キーを押しながら、それらを選択します。

5 FortiGate ユニットに複数の VDOM がある場合、 [Restrict to a FortiGate VDOM] を選択して、 VDOM の名前を入力します。


ADOM にデバイスを追加する

ADOM には、複数のデバイスを設定できます。 ADOM のユーザは、ログおよびアラートなどの情報にアクセスし、各自のアクセスプロファイルに応じて、 ADOM上のデバイス設定を変更できます。

ADOM に複数デバイスを追加する必要がある場合は、 ADOM 管理ページからそれらを追加できます。

新たなデバイスを ADOM に追加するには、次の手順を実行します。

1 [Main Menu] を選択します。

2 ADOM のチェックボックスをオンにして、 [Edit] を選択します。

3 ADOM と関連付けるデバイスを選択します。複数のデバイスを選択するには、Shift キーまたは Ctrl キーを押しながら、デバイスを選択します。

4 FortiGate ユニットに複数の VDOM がある場合、 [Restrict to a FortiGate VDOM] を選択して、 VDOM の名前を入力します。


ネットワーク共有

FortiAnalyzer のハードディスクは、 NFS または Windows ネットワーク共有として使用し、ユーザファイルを保存、共有でき、さらに FortiAnalyzer のレポートおよびログを共有できます。

ネットワーク共有を使うことにより、ネットワーク共有ユーザおよびアクセスを設定できます。

ネットワーク共有スタイルを選択するとき、ユーザが利用可能なアクセス方法に配慮します。

• Microsoft Windows ユーザの場合、ネットワークフォルダにドライブ名 ( アルファベット文字 ) を割り当てて、 FortiAnalyzer Windows ネットワーク共有に接続できます。

• Apple Mac OS 、 UNIX または Linux ユーザの場合、次が可能です。

• smbfs を使用して FortiAnalyzerWindows ネットワーク共有をマウントできます。

• FortiAnalyzer NFS ネットワーク共有をマウントできます。

ユーザが FortiAnalyzer ネットワーク共有でファイルにアクセスできるには、次の条件を満たしている必要があります。


34

ネットワーク共有システム

• ネットワーク共有ユーザアカウントおよびグループが作成されていること。

• ネットワーク共有 (Windows または NFS) が有効であること。

• 共有フォルダおよびそのファイル権限 ( ユーザアクセス ) が設定されていること。

共有ユーザを追加する

ネットワーク共有ユーザアカウントを作成することにより、 FortiAnalyzer ユニットのログ、レポート、ハードディスクストレージへの非管理アクセスが可能になります。

追加されたユーザは、 FortiAnalyzer ハードディスクまたは FortiAnalyzer ユニットへの管理アクセス権限を持ちません。管理ユーザの追加については、 26 ページの「管理者」を参照してください。

ユーザアカウントは、次の手順で追加します。

1 [System] 、[Network Sharing] 、[User] の順に選択します。


3 次のユーザアカウント情報を入力して、 [OK] を選択します。

共有グループを追加する

ネットワーク共有ユーザグループを作成して、多数のユーザのアクセス権限を時間をかけずに保守できます。

ユーザグループは、次の手順で追加します。

1 [System] 、[Network Sharing] 、[Group] の順に選択します。


3 グループアカウントについての以下の情報を入力します。 :

4 [Available Users] からユーザを選択し、右矢印を選択してそのユーザをグループに追加します。

ユーザを削除するには、 [Members] からユーザを選択し、左矢印を選択します。


Windows 共有を設定する

FortiAnalyzer ユニットを設定することで、 Windows 共有を使用するフォルダおよびファイル共有が可能になります。

Windows 共有により FortiAnalyzer ユニットにアクセスするユーザを表示するには、[System] 、[Network Sharing] 、[Windows Share] の順に選択します。

[User Name] ユーザ名を入力します。名前には、スペースを入れません。

[UID (NFS only)] ユーザ ID を入力します。NFS 共有を使用する場合に限り、このフィールドを使用します。 NFS プロトコルは、 UID を使用して、ファイルおよびフォルダに対する権限を判断します。

[Password] ユーザのパスワードを入力します。

[Description] ユーザについての説明を入力します。たとえば、ユーザ名または IT マネージャなどの役職といった情報です。

[Group] ユーザ名を入力します。たとえば、 Finance などです。名前には、スペースを入れません。

[GID (NFS only)] グループ ID を入力します。 NFS 共有を使用する場合は、このフィールドを使用します。NFS プロトコルは、GID を使用して、ファイルおよびフォルダに対する権限を判断します。


システムネットワーク共有

図 10:Windows ネットワーク共有

Windows 共有は、次の手順で有効にします。

1 [System] 、[Network Sharing] 、[Windows Share] の順に選択します。

2 [Enable Windows Network Sharing] を選択します。

3 ワークグループ名を入力します。

4 [Apply] を選択します。

5 その共有にアクセスできるように、共有フォルダおよびユーザ権限を設定します。詳細については、 35 ページの「ユーザ権限を割り当てる」を参照してください。

ユーザ権限を割り当てる

ユーザおよびユーザグループを設定した後、ユーザがアクセス可能なファイルおよびフォルダ、およびユーザの Windows 共有読み書きアクセス権限を設定します。

図 11:Windows 共有設定

[Local Path] 共有ファイルまたはフォルダのパス。

[Share as] 共有名。

[User/Group] フォルダまたはファイルへのアクセス権限を持つユーザまたはグループのリスト。

[Permissions] ユーザまたはグループの権限。読み取り専用または読み書きの場合があります。

[Modify] ファイル共有のオプションを変更するには、 [Edit] を選択します。[Delete] を選択して、ファイル共有を無効にします。

削除アイコン

編集アイコン

ローカルパスアイコンボタン


36

ネットワーク共有システム

新しい Windows 共有設定は、次の手順で追加します。

1 [System] 、[Network Sharing] 、[Windows Share] の順に選択します。


3 ローカルパスボタンを選択して、 FortiAnalyzer ユニットのハードディスクにあるどのフォルダを共有するかを定義します。


5 共有フォルダを表す共有名を入力します。

6 ユーザ名およびグループ名を、 [Available Users & Groups] ボックスから選択します。複数ユーザまたはグループを選択するには、 Ctrl キーを押しながら選択します。

7 ユーザおよびグループが持つアクセス権の種類を選択し、対応する右矢印を選択してユーザ名またはグループ名を [Read-Only Access] ボックスまたは [Read-Write Access] ボックスに移動します。


NFS 共有を設定する

FortiAnalyzer ユニットを設定することで、 NFS 共有を使用するフォルダおよびファイル共有が可能になります。

アクセス権限を含む FortiAnalyzer ユニットへの NFS 共有アクセスが可能なユーザのリストを表示するには、 [System] 、[Network Sharing] 、[NFS Export] の順に選択します。

図 12: NFS 共有

新しい NFS 共有設定は、次の手順で追加します。

1 [System] 、[Network Sharing] 、[NFS Export] の順に選択します。

2 [Enable NFS Exports] を選択して、 [Apply] を選択します。


注記 : ファイルおよびフォルダのデフォルト権限が読み込まれ、特権が実行されます。ド

キュメントの所有者は、書き込み権限も保有します。ユーザおよびグループの書き込み権限を有効にするには、フォルダおよびユーザとグループの書き込み権限を選択する必要があります。詳細については、 37 ページの「NFS 共有を使用する場合のデフォルトのファイル許可」を参照してください。

[Local Path] ユーザが接続権限を持つパス。

[Remote Clients] フォルダまたはファイルへのアクセス権限を持つユーザのリスト。

[Permissions] ユーザの権限。読み取り専用または読み書きの場合があります。

[Modify] ファイル共有のオプションを変更するには、 [Edit] を選択します。[Delete] を選択して、ファイル共有権限を無効にします。

編集アイコン

削除アイコン


システム Config

図 13: NFS 共有設定

4 ローカルパスボタンを選択して、 FortiAnalyzer ユニットのハードディスクにあるどのフォルダを共有するかを定義します。


6 [Remote Clients] に、リモートシステムの IP アドレスまたはドメイン名またはユーザ ID を入力します。

7 必要な権限の種類を選択して、 [Add] を選択します。


NFS 共有を使用する場合のデフォルトのファイル許可

デフォルトでは、ユーザが新しいファイルまたはフォルダを追加するとき、その許可は次のようになります。

• 所有者 ( ユーザ ) の場合は読み取り、書き込み、実行

• Admin グループおよび他のグループの場合、読み取りおよび実行

ファイル許可は、 CLI で設定できます。詳細については、 FortiAnalyzerCLI リファレンスの config nas share コマンドを参照してください。

Config

[Config] を使用して、FortiAnalyzer ユニットの基本的なシステム設定を維持管理します。

ログ設定

FortiAnalyzer ユニットは、独自のシステムログメッセージを作成して、システム動作、管理イベント、設定されたデバイスとの IPSec ネゴシエーションといった、ユニットで発生するシステムイベントについての情報を提供します。

FortiAnalyzer ユニット独自のロギング動作を設定するには、[System] 、[Config] 、[Log Setting] の順に選択します。

ローカルパスボタン

注記 : ファイルおよびフォルダのデフォルト権限が読み込まれ、特権が実行されます。ド

キュメントの所有者は、書き込み権限も保有します。ユーザおよびグループの書き込み権限を有効にするには、フォルダおよびユーザとグループの書き込み権限を選択する必要があります。詳細については、 37 ページの「NFS 共有を使用する場合のデフォルトのファイル許可」を参照してください。




38

Config システム

図 14: FortiAnalyzer ユニットのログ設定

[Log Locally] FortiAnalyzer ログメッセージを FortiAnalyzer のハードディスクに保存するとき選択します。

[Log Level] FortiAnalyzer のハードディスクに記録されるログメッセージの重大度を選択します。 FortiAnalyzer ユニットは、指定した重大度以上の内容をすべてログしますが、重大度が指定より低い場合はログしません。たとえば、緊急 (Emergency)、重大 (critical)、エラー（Error）のメッセージを記録するには、 [Error] を選択します。

[Allocated Disk Space (MB)]

FortiAnalyzer ユニットがハードディスクに保存する、FortiAnalyzer ログファイルの上限サイズ。ログファイルのサイズが指定の上限サイズに達すると、FortiAnalyzerユニットは増分番号を付けて現在のネットワークトラフィックログファイルを保存し、新しいアクティブなログファイルの使用を開始します。

[Log options when log disk is full]

FortiAnalyzer のハードディスクが満杯のとき、現行ログの保存および新しいアクティブログの使用開始にあたり遵守するポリシー。ハードディスクが満杯のとき、[Overwrite Oldest Files] を選択すると、

も古いログエントリを削除します。ディスクが満杯のとき、 [Stop Logging] を選択するとメッセージのロギングを停止します。

[Use System Device Log Settings]

有効にすると、デバイスログ設定に構成済みオプションを使用します。 82 ページの「デバイスログの設定」を参照してください。

[Log file should not exceed]

FortiAnalyzer ユニットがハードディスクに保存する、現行ログファイルの上限サイズを入力します。ログファイルのサイズが指定の上限サイズに達すると、 FortiAnalyzer ユニットは現在のログファイルを保存し、新しいアクティブなログファイルの使用を開始します。ログファイルのサイズが上限に達すると、 FortiAnalyzer ユニットは増分番号を付けてそのファイルを保存し、同じファイル名の新しいログファイルの使用を開始します。このオプションは、[Use System Device Log Settings] が無効の場合に限り表示されます。


システム Config

ログアグリゲーション

ログアグリゲーションは、リモートの FortiAnalyzer ユニットから中央にあるFortiAnalyzer ユニットにログデータを収集する手段の 1 つです。

たとえば、本拠地の本社、および多数の支社を持つ企業が、支社ごとに FortiGateユニットおよび FortiAnalyzer-100A/100B を配置して、ローカルのログ情報を収集する場合を想定します。本社には、中央のログアグリゲータとして FortiAnalyzer-2000/2000A を配置します。

また、 FortiAnalyzer ユニットを使用して、 syslog ログメッセージングをサポートするサードパーティのネットワークデバイスまたはサーバ/ワークステーションのログを収集できます。

ログアグリゲーションは、ストレージおよびリソースの条件があるため、特定のFortiAnalyzer ユニットでサポートされます。以下の表から、どのユニットがクライアントおよびサーバアグリゲーションをサポートするかを確認してください。

[Log file should be rolled... even if size is not exceeded]

FortiAnalyzer ユニットが現在のログファイルを保存し新しいアクティブなログファイルを使用開始する頻度を選択します。このオプションは、ログファイルの上限サイズに達する前に、新しいログファイルを使用開始する場合に選択します。たとえば、それほど活動的ではない FortiAnalyzer ユニットで、毎日のログを順次作成する場合が考えられます。このオプションは、[Use System Device Log Settings] が無効の場合に限り表示されます。

[Log to Host] FortiAnalyzer のログメッセージを、 Syslog サーバなどの別のホストに送信する場合に選択します。

[IP] Syslog サーバの IP アドレスを入力します。

[Port] Syslog ポートを入力します。デフォルトのポートは 514 です。

[Log Level] Syslog サーバに記録するログメッセージの重大度を選択します。FortiAnalyzer ユニットは、指定した重大度以上の内容をすべてログしますが、重大度が指定より低い場合はログしません。たとえば、緊急 (Emergency)、重大 (critical)、エラー（Error）のメッセージを記録するには、 [Error] を選択します。

[Format] [CSV] フォーマットを有効にすることにより、CSV (comma-separatedvalue) フォーマットのファイルにログメッセージを記録します。ログメッセージフィールドは、コンマで区切られます。無効の場合は、ログは標準のログファイルに記録されます。

[Event Log] このオプションを選択して、FortiAnalyzer ユニットがどのイベントをログに記録するかを設定します。イベントは、ユニットにローカルでログするか、または [Log to Host] に示されるホストにログできます。ログ可能なイベントの種類には、 [When configuration haschanged] 、 [IPSec negotiation event] 、 [Admin login/logout event] 、[System activity event] があります。

[Automatcially Delete]

このオプションを選択して、古いログの自動削除を設定します。自動的に削除するログまたはレポートの種類を有効にします ([Logsolder than] 、 [Network analyzer logs older than] 、 [Local logs older than]または [Reports older than] )。次に、 [Hours] 、 [Weeks] 、 [Days] または [Months] を選択し、その単位の数値を入力します。

FortiAnalyzer モデルアグリゲーションクライアント

アグリゲーションサーバ

FortiAnalyzer-100A: 100B Yes No

FortiAnalyzer-400 Yes No

FortiAnalyzer-800 Yes Yes

FortiAnalyzer-2000/2000A Yes Yes

FortiAnalyzer-4000/4000A Yes Yes


40

Config システム

図 15:ログアグリゲーション図

ログアグリゲーションでは、支社の FortiAnalyzer ユニットがログを一定間隔で本社の FortiAnalyzer ユニットに送信できます。これにより、集中的なストレージロケーションが可能になるとともに、全支社からのデータを含む単一レポートを作成するための手段にもなります。

ログアグリゲーションには、アグリゲーションクライアント ( 支社 ) およびアグリゲーションサーバ ( 本社 ) が含まれます。アグリゲーションクライアントは、隔離ファイルを除き、SSH を使用してポート 22 で全デバイスログを送信します。送信されるログには、アグリゲーションポイントへのアクティブログ(tlog.ÉçÉO など ) およびクライアントのハードディスクにある順次作成されたすべてのログ (tlog.1.ÉçÉO、tlog.2. ログなど ) が含まれます。続いてアップロードされるログには、近更新されたログのみが含まれます。 FortiAnalyzer ユニットは、すべてのログを再送信しません。

アグリゲーションサーバでは、追加されたデバイスがデバイスリストに表示されます。これらのデバイスは、 Rx および Tx アイコンが空なので、容易に特定できます。

アグリゲーションクライアントを設定する

アグリゲーションクライアントは、アグリゲーションサーバにログを送信するFortiAnalyzer ユニットです。このユニットには、 FortiAnalyzer-100A/100B またはFortiAnalyzer-400 などがあります。

アグリゲーションクライアントは、次の手順で設定します。

1 [System] 、[Config] 、[Log Aggregation] の順に選択します。

2 [Enable log aggregation TO remote FortiAnalyzer] を選択します。


システム Config

3 以下を設定し、 [OK] を選択します。

アグリゲーションサーバを設定する

アグリゲーションサーバは、アグリゲーションクライアントから送信されるログを受信する FortiAnalyzer ユニットです。 FortiAnalyzer-800 または上位機種のFortiAnalyzer ユニットであれば、アグリゲーションサーバとして設定できます。

アグリゲーションクライアントは、次の手順で設定します。

1 [System] 、[Config] 、[Log Aggregation] の順に選択します。

2 [Enable log aggregation TO this FortiAnalyzer] を選択します。

3 以下を設定し、 [OK] を選択します。

ログ転送

ログ転送は、 FortiAnalyzer ユニットが受信したログメッセージを、外部の syslogサーバにリアルタイムに複製します。

この機能は、ログストレージの追加またはログ処理を追加する場合に便利です。

ログ転送の宛先 ( リモートデバイス IP) は、 FortiAnalyzer が受信したログメッセージの完全な複製または一部の複製を受信します。ログメッセージは、低の重大度しきい値を超える場合に転送されます。

ログ転送はログアップロードまたはログアグリゲーションと類似点がありますが、ログ転送はリアルタイムの Syslog メッセージとして送信され、全ファイルがFTP、 SFTP、 SCP 上で送信されること、および Syslog バッチとして送信されることはありません。

ログイベントは、次の手順で転送します。

1 [System] 、[Config] 、[Log Forwarding] の順に選択します。

2 [Enable log forwarding to remote log server] を選択します。

3 外部 syslog サーバの IP アドレスを、 [Remote device IP] に入力します。

4 [Forward all incoming logs] または [Forward only authorized logs] を選択します。

5 Minimum Severity ( 低の重大度 ) のしきい値を選択します。

その重大度以上のログイベントは、すべて送信されます。

たとえば、低の重大度に [Critical] を選択すると、[Emergency] 、[Alert] 、[Critical]のログイベントがすべて転送され、その他のログイベントは転送されません。


[Remote FortiAnalyzer IP] アグリゲーションサーバとして機能するFortiAnalyzerユニットの IP アドレスを入力します。

[Password] アグリゲーションサーバのパスワードを入力します。

[Confirm Password] アグリゲーションサーバのパスワードを再入力します。

[Aggregation daily at] アグリゲーションクライアントがアグリゲーションサーバにログをアップロードする時刻を選択します。

[Aggregate Now] アグリゲーションサーバにログを直ちに送信するとき選択します。このオプションを使用することにより、新のログデータに基づくレポートを作成できます。

[Password] アグリゲーションサーバのパスワードを入力します。

[Confirm Password] アグリゲーションサーバのパスワードを再入力します。


42

Config システム

IP エイリアス

IP エイリアスを使用して、 IP アドレスに意味ある名前を割り当てます。レポートを設定するとき、またはログおよびコンテンツアーカイブを表示するとき、[Resolve Host Name] を選択すると、IP アドレスの代わりにエイリアスが表示されます。

IP エイリアスにより、ログおよびレポートを判別しやすくなります。たとえば、IP エイリアスを作成することにより、 10.10.1.54 という IP アドレスの代わりに、 mailserver1 のラベルを表示できます。

IP エイリアスの追加は、次の手順で行います。

1 [System] 、[Config] 、[IP Alias] の順に選択します。

2 IP アドレスのニックネームを、 [Alias] に入力します。

3 IP アドレスまたは IP アドレス範囲を、 [Host(Subnet / IP Range)] に入力します。

4 [Add] を追加します。

IP エイリアスの編集は、次の手順で行います。

1 [System]、[Config]、[IP Alias] の順に選択します。

2 [Action] 列で、 [Edit] を選択します。

3 IP アドレスのニックネームを、 [Alias] で編集します。

4 IP アドレスまたは IP アドレス範囲を、 [Host(Subnet / IP Range)] で編集します。

5 [Update Now] を選択します。

IP エイリアスリストファイルをインポートする

多量の IP エイリアスを単一のバッチとして作成する場合、それらの IP エイリアスを含むテキストファイルをインポートできます。

テキストファイルの内容は、必ず次のフォーマットで記述します。

<ip address> <alias_name>

例 :

10.10.10.1 User_1

1 行に含まれる IP アドレスとユーザ名のエントリは 1 つです。

エイリアスファイルは、次の手順でインポートします。

1 [System]、[Config]、[IP Alias] の順に選択します。

2 [Import] を選択します。

3 ファイル名とパスを入力するか、 [Browse] ボタンを使用してファイルを選択します。


IP エイリアスの範囲

IP エイリアスを追加するとき、個別のアドレスの他に IP アドレス範囲を含むことができます。たとえば、次のようになります。

• 10.10.10.1 - 10.10.10.50

• 10.10.10.1 - 10.10.20.100


システム Config

RAID

RAID レベル

複数のハードディスクを搭載する FortiAnalyzer ユニットでは、RAID アレイを使用してデータを保存することにより、冗長ストレージ、データ保護、高速なハードディスクアクセス、または大容量ストレージが可能になります。

RAID を設定するには、 [System]、[Config]、[RAID] の順に選択します。

すべての FortiAnalyzer ユニットは、標準 RAID レベル 0、 1、 5、および 10 をサポートします。その他の RAID サポートについては、モデルにより異なります。FortiAnalyzer-400 および FortiAnalyzer-800 はリニア RAID をサポートし、 FortiAnalyzer- 2000/2000Aおよび FortiAnalyzer-4000/4000A は、 RAID レベル 50 (5+0)、 5 + ホットスペア、 10 +ホットスペアをサポートします。

リニア

リニア RAID レベルは、すべてのハードディスクを 1 台の仮想ディスクに結合します。この方式は、連結または JBOD (Just a Bunch of Disks) とも呼ばれます。この方式で利用可能なディスク空間の合計は、使用する全ディスクの容量となります。この RAIDフォーマットを使用する場合、このレベルでは冗長性などのパフォーマンスにほとんど変化はありません。いずれかのドライブに障害が起きると、そのドライブを入れ替えるまでは全体のドライブが使用不可になります。また、すべてのデータが失われます。

RAID 0

RAID 0 アレイは、ストライピングとも呼ばれます。 FortiAnalyzer ユニットは、全ハードディスクに均等に情報を書き出します。使用空間の合計は、 RAID アレイに含まれる全ディスクの合計です。冗長性はありません。いずれかのドライブに障害が起きると、データは復元できません。この RAID レベルでは、 FortiAnalyzer ユニットがディスク書き込みを複数のディスクに分散できるので、処理速度が向上するメリットがあります。

RAID 1

RAID 1 アレイは、ミラーリングとも呼ばれます。 FortiAnalyzer ユニットは、 1 台のハードディスクに情報を書き込み、その全情報のコピー ( ミラーイメージ ) を他のすべてのハードディスクに書き込みます。ディスク使用空間の合計は、 1 台のハードディスクの使用空間となり、他のハードディスクはミラーリング専用に使用します。これにより、冗長データストレージが可能となり、ハードディスク 1 台の障害が全ディスクに及ぶこと (SPOF) がありません。いずれかのハードディスクに障害が起きても、複数のバックアップハードディスクを確保できます。たとえば FortiAnalyzer-400 では、 1 台のディスクが故障しても、ユニットがアクセス可能なハードディスクは 3 台あり、 FortiAnalyzerユニットは中断せずに機能します。

RAID 5

RAID 5 アレイは、パリティチェックとともにストライピングを使用します。 FortiAnalyzer ユニットは、全ハードディスクに同じように情報を書き出します。さらに、パリティブロックが同じストライプに書き加えられます。パリティブロックは、各ストライプで互い違いになります。ディスクの使用空間の合計は、アレイに含まれるディスク総数からパリティストレージに必要なディスク 1 台分を差し引いた数となります。たとえば、 4 台のハードディスクを搭

注記 : RAID 機能は、 FortiAnalyzer-400、 FortiAnalyzer-800、 FortiAnalyzer- 2000/2000A、FortiAnalyzer-4000/4000A のみで使用可能です。これらのユニットには、 RAID をサポートする複数のハードディスクが含まれます。

注記 : この RAID レベルは、 FortiAnalyzer-2000/2000A および FortiAnalyzer- 4000/4000A では使用できません。


44

Config システム

載する FortiAnalyzer-400 では、使用空間の合計はハードディスク 3 台分の合計となります。 RAID 5 のパフォーマンスは、書き込みより読み取りに優れており、 1 台のディスクが故障または失われるとパフォーマンスは低下します。 RAID 5 では、データ消失を防ぐことができます。 1 台のドライブが故障しても入れ替えが可能なので、 FortiAnalyzer ユニットはパリティボリュームから情報を参照して、新しいディスク上でデータを復元します。

RAID 10

RAID 10 (or 1+0) は、RAID レベル 1 および 0 をネスティングした、ミラー (RAID 1)のストライプ (RAID 0) から構成されます。ディスクの使用空間の合計は、アレイに含まれるディスク総計 (4 台以上 ) を 2 で割った数となります。RAID 1 アレイのいずれかのドライブが故障しても、データは消失しません。ただし、 RAID 1 アレイで別のドライブが故障すると、すべてのデータが消失します。この構成では、故障したドライブを迅速に交換することが重要です。

RAID 50

RAID 50 (or 5+0) は、 RAID レベル 5 および 0 をネスティングした、ストライプ (RAID 0)とパリティをともなうストライプ (RAID 5) から構成されます。 RAID 50 は、パフォーマンスの向上と、 RAID 5 の仕組みによるデータ消失を防止する構成を提供します。

ホットスペアをともなう RAID 5 および RAID 10

FortiAnalyzer-2000/2000A および FortiAnalyzer-4000/4000A ユニットは、ハードディスクのうちの 1 台をホットスペア (RAID の予備ディスク ) として使用し、他の RAID ハードディスクのいずれかが故障した場合に備えることができます。 1 台のハードディスクが故障しても、 FortiAnalyzer ユニットは障害発生から 1 分以内に故障ドライブをホットスペアと自動的に交換して RAID アレイに組み入れ、 RAID データを再構築します。

故障したハードディスクを交換する際、 FortiAnalyzer ユニットは新しいハードディスクを新しいホットスペアとして使用します。

FortiAnalyzer-2000/2000A および FortiAnalyzer-4000/4000A は、作動中にハードディスクドライブのホットスワップをサポートします。詳細については、 46 ページの「FortiAnalyzer-2000/2000A および FortiAnalyzer-4000/4000A のホットスワップ」を参照してください。

ハードディスクのホットスワップ

ホットスワップは、 FortiAnalyzer ユニットの動作を継続したまま、故障したハードディスクを取り除き、新しいディスクと交換することです。

FortiAnalyzer-100A/100B および FortiAnalyzer-100 ユニットは、 1 台のハードディスクを搭載しています。これらのモデルでは、ホットスワップを利用できません。

FortiAnalyzer-400 モデルおよび上位機種では、ハードディスクのホットスワップが可能です。詳細については、Knowledge Center の記事 Replacing Hard Disks on theFortiAnalyzer を参照してください。

ホットスワップは、 FortiAnalyzer ファームウェア 3.0 MR1 ( ビルド 292) 以降に限りサポートされます。ファームウェア 3.0 ( ビルド 219) 以前を実行する FortiAnalyzer ユニットのハードディスクは、ホットスワップをサポートしません。ハードディスクを交換する前に、 Webベースマネージャのダッシュボードでファームウェアのバージョンを確認してください。

注記 : RAID 10 では、偶数台数のディスクが必要です。たとえば、FortiAnalyzer- 2000/2000A

では、ホットスペアをともなう RAID 10 を選択すると、 FortiAnalyzer ユニットは RAID 10アレイに含まれる 6 台のディスクのうち 4 台を使用し、 1 台をホットスペア用に確保しておきます。残りのハードディスクは、アイドルとして定義されます。


http://kc.forticare.com/default.asp?id=1990


システム Config

故障したハードディスクは、記憶容量が故障ディスクを下回らない限り、ブランドを問わずに新しいディスクと交換できます。たとえば、120 GB のハードドライブを交換する場合、 120 GB または 250 GB ハードドライブと交換できます。

FortiAnalyzer-400 および FortiAnalyzer-800 のホットスワップ

下図は、 FortiAnalyzer ユニット正面から見た場合の、ユニットのドライブ番号および位置を示しています。ディスクドライブを取り外す前にこの図を参照して、正しいドライブを取り外すことを確認してください。

Table 1: FortiAnalyzer-400 ディスクドライブ構成

Table 2: FortiAnalyzer-800 ディスクドライブ構成

FortiAnalyzer-400 または FortiAnalyzer-800 のハードディスクを交換するには、次の手順で行います。

1 [System]、[Config]、[RAID] の順に選択します。

Web ベースマネージャに、故障したハードディスクが表示されます。ゴミ箱アイコンが、故障したディスクドライブの横に表示されます。

2 故障したハードディスクで、 [Remove] を選択します。

ドライブからディスクを安全に取り外せることを示すメッセージが表示されます。

3 FortiAnalyzer ユニットのドライブベイから、ハードディスクを取り外します。

• FortiAnalyzer-400 では、前面プレートを開き、ドライブのネジをはずして、ドライブを引き出します。

• FortiAnalyzer-800 では、前面プレートを引いて開き、ドライブのロックを解除して、ドライブを引き出します。

4 新しいハードディスクを、 FortiAnalyzer ユニットの空きドライブベイに挿入し、上記の手順を逆に行います。

5 Web ベースマネージャから、 [Return] を選択します。

FortiAnalyzer ディスクコントローラが、ユニットに搭載されているハードディスクをスキャンして、新しいハードディスクを含む情報に更新します。

6 [Add] を選択して、ハードディスクを RAID アレイに追加します。

FortiAnalyzer ユニットは、新しいハードディスクを含む RAID アレイを再構築します。

!注意 : 故障した RAID ハードディスクは、記憶容量が下回るディスクとは交換しないでく

ださい。記憶容量が下回るハードディスクを使用すると、 RAID の総容量が減少し、小容量のドライブに合わせて RAID を再構成するとき、データ消失の原因になります。

! 注意 : ホットスワップは、 RAID 1 または RAID 5 に限り実行してください。他の RAID 設定でホットスワップを実行すると、データ消失の原因となります。

ドライブ 1 (p1)

ドライブ 2 (p2)

ドライブ 3 (p3)

ドライブ 4 (p4)

ドライブ 1 ドライブ 2 ドライブ 3 ドライブ 4


46

Config システム

FortiAnalyzer-2000/2000A および FortiAnalyzer-4000/4000A のホットスワップ

以下の図は、 FortiAnalyzer ユニット正面から見た場合の、ユニットのドライブ番号および位置を示しています。ディスクドライブを取り外す前にこの図を参照して、正しいドライブを取り外すことを確認してください。

故障したハードディスクは、ブランドを問わず新しいハードディスクと交換できます。ただし、新しいハードディスクの記憶容量は、故障ディスクと同容量またはそれ以上であることが必要です。新しいドライブの記憶容量が故障ディスクを下回ると、 RAID 設定に影響を及ぼします。 FortiAnalyzer ユニットは小容量のドライブに合わせて RAID を再構築するので、データ消失の原因となります。

Table 3: FortiAnalyzer-2000/2000A ディスクドライブ構成

Table 4: FortiAnalyzer-4000/4,000A ディスクドライブ構成

ハードディスクは、次の手順で交換します。

1 [System]、[Config]、[RAID] の順に選択します。

Web ベースマネージャに、故障したハードディスクが表示されます。

2 故障したハードディスクで、 [Remove] を選択します。

3 FortiAnalyzer ユニットのドライブベイから、ハードディスクを取り外します。

• FortiAnalyzer-2000/2000A では、タブを押し込みドライブのハンドルを引いて、ドライブを取り外します。

• FortiAnalyzer-4000/4000A では、ネジ回しを使って、ハンドルロックを水平になるように回します。青いラッチを右に押し、ドライブのハンドルを引いて、ドライブを取り外します。

4 [Click] を選択して、コントローラの再スキャンを開始します。

FortiAnalyzer ディスクコントローラが、ユニットに搭載されているハードディスクをスキャンして、残りのハードディスクによる RAID アレイの情報を更新します。 RAID アレイのステータスは、 'Degraded' になります。

5 新しいハードディスクを、 FortiAnalyzer ユニットの空きドライブベイに挿入します。

6 [Click] を選択して、コントローラの再スキャンを開始します。

FortiAnalyzer ディスクコントローラが、ユニットに搭載されているハードディスクをスキャンして、新しいハードディスクを含む情報に更新します。

7 [Add] を選択して、ハードディスクを RAID アレイに追加します。

FortiAnalyzer ユニットは、新しいハードディスクを含む RAID アレイを再構築します。

ここで利用可能なオプションは、選択している RAID レベルに応じて異なります。ほとんどの RAID レベルでは、新しいハードディスクを RAID アレイに戻す形でのみ追加できます。ホットスペアをともなう RAID レベルを実行している場合は、新しいハードディスクをホットスペアとしても追加できます。

ドライブ 1 (p1) ドライブ 4 (p4)



ドライブ 1 (p1) ドライブ 4 (p4) ドライブ 7 (p7) ドライブ 10 (p10)




システム Config

FortiAnalyzer-400 および FortiAnalyzer-800 で RAID を設定する

FortiAnalyzer-400 および FortiAnalyzer-800 は、ホットスワップ可能な 4 台のハードディスクを搭載しています。ホットスワップは、 FortiAnalyzer ユニットが RAIDレベル 1 および 5 を実行している場合に利用できます。

RAID レベルを設定するには、 [System]、[Config]、[RAID] の順に選択します。

異なるRAID レベルの詳細については、43ページの「RAID レベル」を参照してください。

図 16: RAID 設定

!注意 : RAID レベルを変更すると、FortiAnalyzer ユニットは新しい設定をサポートするために、ハードディスクをフォーマットし直しすので、注意が必要です。したがって、 RAID レベルを変更する前に、全情報のバックアップを作成することが非常に重要です。

[RAID Level] RAID レベルを選択して、 [Apply] を選択します。

[Free Disk Space] 使用可能なディスク空間の量。

[Total Disk Space] RAID アレイで使用可能なディスク空間の合計。この値は、選択された RAID の種類に応じて異なります。

[Type] ユニットの RAID 設定。ホットスペアを含む RAID レベルを使用する場合は、ホットスペアとして割り当てられたハードディスクが別ユニットとして表示されます。

[Status] RAID のステータス。たとえば、 RAID アレイを開始するときは、'Initializing' が表示されます。 RAID ディスクが正常に機能しているときは、 'OK' が表示されます。

[Size] 設定された RAID レベルでのユニットの合計容量、またはスペアハードディスクの容量。

[No.] ハードディスクの番号。

[Member of RAID] ハードディスクが、RAID アレイに含まれているかどうかを示します。


48

Config システム

FortiAnalyzer-2000/2000A および FortiAnalyzer-4000/4000A でRAID を設定する

FortiAnalyzer-2000/2000A は 6 台のハードディスク、 FortiAnalyzer- 4000/4000A は12 台のハードディスクを、それぞれ搭載しています。いずれのユニットも、ディスクはホットスワップ可能です。このため、万一ハードディスクが故障しても、柔軟なデータ回復を可能にする RAID オプションを利用できます。

RAID レベルを設定するには、 [System]、[Config]、[RAID] の順に選択します。

図 17: FortiAnalyzer-2000/2000A および FortiAnalyzer-4000/4000A の RAID 設定

[Status] ハードディスクが正常かまたは故障しているかのステータス。

[Size (GB)] ハードディスクの容量。

[Action] FortiAnalyzer ユニットが故障したハードディスクを検出すると、[Action] アイコンが表示されます。故障したハードディスクを交換するには、 [Remove] を選択して、FortiAnalyzer ユニットにハードディスクの取り外しを通知します。ハードディスクを取り外した後に、選択項目が [Add] になります。ハードディスクを交換したら、 [Add] を選択します。ハードディスク交換の詳細については、 45 ページの「FortiAnalyzer-400および FortiAnalyzer-800 のホットスワップ」を参照してください。

!注意 : RAID レベルを変更する前に、全データのバックアップを作成してください。 RAID

レベルを変更すると、 FortiAnalyzer ユニットは新しい設定をサポートするためにハードディスクをフォーマットし直すので、データ消失の原因になる場合があります。

[Enable RAID] 選択すると、 RAID 5 を有効にします。他の RAID レベルを有効にするには、 CLI を使用します。コマンドの詳細については、FortiAnalyzerCLIReference を参照してください。

[Enable Hot Spare] 選択すると、 RAID アレイでホットスペアの使用を有効にします。他の RAID レベルは、 CLI で設定します。

[Total Disk Space] RAID アレイで使用可能なディスク空間の合計。

[Available Disk Space] 使用可能なディスク空間の量。

[Click to start controller rescan]

ユニットからハードディスクを取り外した後、またはディスクを追加した後に選択します。これにより、 FortiAnalyzer ユニットは、ハードディスク設定のステータスを更新できます。

[Unit] ハードディスクのグループ。


http://docs.forticare.com/flg.html

システム Config

LDAP

FortiAnalyzer ユニットは、レポートを生成するとき、業界標準の LDAP プロトコルを使用して、LDAP または Windows Active Directory (AD) ユーザ管理システムに、ユーザおよびグループ名について問い合わせます。このとき、ユーザまたはグループを手動で定義し直す必要はありません。

図 18: LDAP 設定

LDAP サーバは、次の手順で追加します。

1 [System]、[Config]、[LDAP] の順に選択します。

2 [Create New] を選択し、下記を設定します。

[Type] ユニットの RAID 設定。ホットスペアを含む RAID レベルを使用する場合は、ホットスペアとして割り当てられたハードディスクが別ユニットとして表示されます。

[Status] RAID のステータス。たとえば、 RAID アレイを開始するときは、'Initializing' が表示されます。 RAID ディスクが正常に機能しているときは、 'OK' が表示されます。

[Size] 設定された RAID レベルでのユニットの合計容量、またはスペアハードディスクの容量。

[Port] ハードディスクの番号。

[Part of Unit] ハードディスクが、 RAID アレイに含まれているかどうかを示します。

[Status] 現在ハードディスクが正常かまたは故障しているかのステータス。

[Size (GB)] ハードディスクの容量。

[Remove / Add] 故障したハードディスクを交換するには、 [Remove] を選択して、FortiAnalyzer ユニットにハードディスクの取り外しを通知します。ハードディスクを取り外した後に、選択項目が [Add] になります。ハードディスクを交換したら、 [Add] を選択します。ハードディスク交換の詳細については、 46 ページの「FortiAnalyzer-2000/2000A および FortiAnalyzer-4000/4000A のホットスワップ」を参照してください。

LDAP 識別名クエリ

[Name] LDAP サーバの名前を入力します。

[Server Name/IP] LDAP サーバの名前または IP アドレスを入力します。

[Server Port] サーバのポートを入力します ( 通常はポート 389)。

[Server Type] サーバの種類を選択します。[Regular] を選択する場合は、[Bind DN] (Bind Distinguished Name) および [Bind password] を必ず設定します。

[Bind DN] Bind DN を入力します。このオプションは、[Server Type] を [Regular] に設定した場合に限り表示されます。


50

メンテナンスシステム


メンテナンス

メンテナンスでは、 FortiAnalyzer ユニットの設定ファイルのバックアップ作成および復元、ファームウェアのアップロード、自動更新の設定が可能です。

バックアップおよび復元

バックアップ (Backup) および復元 (Restore) は、後のバックアップおよびファームウェアアップロードの日時を表示します。また、以下が可能です。

• FortiAnalyzer ユニット設定のダウンロードおよびバックアップ作成。

• FortiAnalyzer ユニット設定のアップロードおよび復元。

• ファームウェアイメージのアップロード。

FortiAnalyzer ユニット設定ファイルのバックアップコピーは、パスワードにより暗号化できます。暗合化された設定ファイルを復元するとき、必ずパスワードを入力してファイルの暗号を解除します。

ファームウェアのアップロードについては、 15 ページの「ファームウェアの変更」を参照してください。

図 19:バックアップおよび復元オプション

[Bind Password] Bind パスワードを入力します。このオプションは、[Server Type] を [Regular] に設定した場合に限り表示されます。

[Common Name identifier]

共通名 (cn) 識別子を入力します。

[Base DN] 識別名情報を入力します。

[LDAP Distinguished Name Query]

このオプションを選択して、 LDAP サーバのクエリ設定をテストします。

! 注意 : バックアップコピー作成時のパスワードは、必ず覚えておいてください。パスワードで暗号化された設定ファイルのバックアップは、パスワードなしでは復元できません。


システムメンテナンス

FortiGuard Center

手動で更新するか、または FortiAnalyzer ユニットを設定することにより FortinetDistribution Network (FDN) に接続して、RVS ( 脆弱性スキャナ ) の IPS 攻撃定義を更新できます。

FDN は、 Fortinet Distribution Servers (FDS) の世界規模のネットワークです。FortiAnalyzer ユニットが FDN に接続すると、まず直近の FDS に接続しようとします。この接続のために、すべての FortiAnalyzer ユニットは、FortiAnalyzer ユニットのタイムゾーン設定に応じて、も近いタイムゾーンにより分類される FDS アドレスのリストがプログラムされています。

FortiAnalyzer ユニットは、次の定義を更新する機能をサポートします。

• FDN からユーザが実行する更新

• 1 時間、1 日、または 1 週間ごとの、FDN からのアンチウイルスおよび攻撃定義の定期更新

• バージョン番号、有効期限、および更新日時を含む、更新ステータス

[Last Backup] ローカル PC に前回バックアップを作成した日時。

[Backup] 現在の設定をバックアップします。

[Backup configuration to:] 現在、ローカル PC へのバックアップのみ選択できます。

[Encrypt configuration file]

バックアップファイルを暗号化する場合に選択します。[Password] フィールドにパスワードを入力し、 [Confirm]フィールドに再度入力します。ファイルを復元するには、このパスワードが必要になります。FortiGate または FortiManager デバイスへのセキュアな接続を使用する場合は、バックアップファイルを暗号化する必要があります。

[Backup] このオプションを選択して、この設定のバックアップを作成します。

[Restore] ファイルから設定を復元します。

[Restore configuration from:] 現在、 PC からの復元のみ選択できます。

[Filename] 管理コンピュータ上のファイルから設定を復元する場合は、設定ファイルの名前を入力するか、または [Browse]ボタンを使用します。

[Password] バックアップファイルが暗号化されている場合は、パスワードを入力します。

[Restore] このオプションを選択して、指定したファイルから設定を復元します。

[Firmware]

[Partition] １つのパーティションには、ファームウェアの1バージョンとシステム設定を含むことができます。

[Active] どのパーティションが現在使用中のファームウェアと設定を含むかを、緑のチェックマークが表示します。

[Last Upgrade] このパーティションが前回更新された日時。

[Firmware Version] FortiAnalyzer ファームウェアのバージョンおよびビルド番号。バックアップパーティションでは、次の操作が行えます。

• [Upload] を選択すると、管理コンピュータからのファームウェアと入れ替えます。

• [Upload and Reboot] を選択すると、ファームウェアを入れ替えます。


52


定期更新を受信して更新をプッシュするには、まず FortiAnalyzer ユニットをフォーティネットサポート Web ページで登録する必要があります。接続の詳細については、 Knowledge Center 記事 FDN Services and Ports を参照してください。

図 20: FortiGuard Center

[FortiGuard Subscription Services]

RVS (remote vulnerability scan) エンジンおよびプラグインのバージョン番号、前回更新の日付、 Fortinet Distribution Network (FDN) への接続ステータス。緑のインジケータは、FortiAnalyzer ユニットが FDN に接続可能であることを表します。 FortiAnalyzer ユニットを設定し、更新スケジュールを設定できます。グレーのインジケータは、 FortiAnalyzer ユニットが FDN に接続できないことを表します。設定を確認してください。たとえば、場合により FortiAnalyzerルーティングテーブルへのルートを追加する必要があります。ルーティングの詳細については、 25 ページの「ルーティング」を参照してください。

[Manual Update] [Manual Update] を選択すると、 RVS アップグレードファイルをアップロードします。

[Service Configuration Options]

この FortiAnalyzer ユニットのサブスクリプションサービスオプションを設定します。

[Remote Vulnerability Scan (RVS)]

このオプションを選択して、使用する FortiAnalyzer ユニットがいつどのように RVS の更新を受信するかを設定します。

[Use override server address]

FDN に接続できない場合、または組織独自の FDS を使用して RVS 更新を行う環境の場合は、オーバーライドサーバを設定できます。[Use override server address] を有効にして、 FDS の IP アドレスを入力します。IP アドレスは、 10.10.1.10:8889 のように、 <IP>:<port> のフォーマットで入力します。オーバーライドサーバアドレスを適用した後、 FDN ステータスアイコンが利用可能 ( 緑のチェックマーク ) に変われば、 FortiAnalyzer ユニットはオーバーライドサーバに正しく接続しています。アイコンが FDN利用不可を示す場合は、FortiAnalyzer ユニットはオーバーライドサーバに接続できません。 FortiAnalyzer の設定およびネットワーク設定を点検し、 FortiAnalyzer ユニットから FDN オーバーライドサーバに接続可能であることを確認します。



システムメンテナンス

[Use Web Proxy] Web プロキシ経由でユニットを FDN に接続する場合は、[Use Web Proxy]を有効にしてから、 IP、ポート、 ( および必要に応じて ) ユーザ名およびパスワードを入力します。

[IP] Web プロキシの IP アドレスを入力します。

[Port] Web プロキシのポートを入力します。通常は、 8080 です。

[Name] Web プロキシにログインが必要な場合は、Web プロキシ経由で FDN に接続するとき FortiAnalyzer ユニットが使用するユーザ名を入力します。

[Password] Web プロキシにログインが必要な場合は、Web プロキシ経由で FDN に接続するとき FortiAnalyzer ユニットが使用するパスワードを入力します。

[Scheduled Update]

定期更新を有効にして、さらに更新の間隔を選択します (Every、 Daily、または Weekly)。

[Every] 1 ～ 23 時間ごとに 1 回更新を試みます。更新リクエストの間隔を時間数で選択します。

[Daily] 1 日に 1 回更新を試みます。更新をチェックする時間を指定できます。選択された時間内でタイミングがランダムで決定され、更新が試行されます。

[Weekly] 1 週間に 1 回更新を試みます。更新をチェックする曜日と時間を指定できます。選択された時間内でタイミングがランダムで決定され、更新が試行されます。

[Request Update Now]

手動で更新を開始するには、 [Request Update Now] を選択します。

[Apply] [Apply] を選択して、更新設定を保存します。


54



デバイスデバイスリスト

F0

デバイスFortiAnalyzer ユニットは、レポート作成およびネットワーク分析機能を軸にして真価を発揮します。 FortiAnalyzer ユニットは、多数の FortiGate、 FortiManager、 FortiClient およびFortiMail デバイス、および Syslog サーバ、さらに他の FortiAnalyzer ユニットからログメッセージを収集し、それらのログデータからさまざまなレポートを生成することができます。

この項では、デバイスを追加、設定して FortiAnalyzer と通信できるようにする方法について説明します。


• デバイスリスト

• デバイスのブロック

• デバイスグループ

デバイスリスト

デバイスリストは、接続が許可されており、設定に応じてログメッセージ、隔離アイテムなどのデータを FortiAnalyzer ユニットに送信できるデバイスの一覧を表示します。

図 21:デバイスリスト

注記 : またデバイス管理者は、ログメッセージなどの情報を FortiAnalyzer ユニットに送信するように、デバイスを設定する必要があります。

[Add Device] このオプションを選択して、新しいデバイスをリストに手動で追加、設定します。デバイスが既知の種類の場合は、デバイスの登録も行います。

[Show] リストに表示するデバイスの種類を選択します。種類またはグループごとに、デバイスを選択できます。

[Page] ページ番号を入力します。デバイスのページが複数ある場合は、Enterを押します。

[Unregistered Device Options]

このオプションを設定して、未登録デバイスがユニットに接続しようとしている場合どのように対応するかを、 FortiAnalyzer ユニットに指示します。詳細については、58 ページの「未登録デバイスオプション」を参照してください。

[Name] デバイスの名前。

削除アイコン

ブロックアイコン

編集アイコン追加アイコン


56

デバイスリストデバイス

[Hardware] デバイスのモデル。たとえば、 FortiGate-300A は、 FGT300A と表示されます。

[IP Address] デバイスの IP アドレス。

[Administrative Domains]

デバイスに設定された ADOM。この列は、 FortiAnalyzer-100/A/B モデルでは表示されません。

[Log Tx Rx] [Content Tx Rx] [Quar Tx Rx] [Report Tx Rx]

FortiAnalyzer ユニットに接続したとき、各デバイスが持つ、ログ、コンテンツ、隔離ファイルおよびレポートを送信、表示するための許可を表示します。

• Tx は、そのデバイスが FortiAnalyzer ユニットへの送信を許可されていることを示します。

• Rx は、そのデバイスから FortiAnalyzer ユニットに直接保存されている内容を、デバイスが参照できるように許可されていることを示しています。この機能は、 FortiOS 3.0 を実行する FortiGate ユニットでのみ利用できます。この許可は、 Syslog デバイスではデフォルトで赤く ( 利用不可 ) 表示されます。

FortiManager ユニットの場合、 Tx は FortiManager ユニットが管理する全デバイスに完全にアクセスできることを示し、Rx は FortiManagerユニットが FortiAnalyzer ユニットの設定を行えることを示します。

[Secure Connection] ログ、コンテンツ、隔離ファイルのセキュアな送信のために、 IPSecVPN トンネルが有効になっているかどうかを示します。ロックされたアイコンは、セキュアな接続が有効であることを示します。セキュアな接続を、 CLI で有効にして設定します。セキュアトンネルは、トンネルの両端、すなわち FortiAnalyzer ユニットとデバイスで設定する必要があります。FortiAnalyzer ユニットでは次のような設定になります。config log device

edit <devname_str>set secure pskset psk <presharedkey_str>set id <devid_str>

end

FortiGate ユニットでは次のような設定になります。config system fortianalyzer

set encrypt enableset psksecret <presharedkey_str>set localid <devname_str>

end

FortiManager ユニットでは次のような設定になります。config fmsystem log fortianalyzer

set secure_connection enableset psk <presharedkey_str>set localid <devname_str>

end

CLI コマンドの詳細については、 FortiAnalyzer CLI リファレンスを参照してください。注意 : ロックされたアイコンは、セキュアな送信が正常に機能していることを示すものではなく、単にセキュアな接続機能が有効であることを示します。たとえば、セキュアな接続が有効でありながらまだ設定されていない場合、ロックされたアイコンが表示されますが、 FortiAnalyzer ユニットは初に設定を行わない限りセキュアなトンネルを実現できません。FortiAnalyzer ユニットがセキュアなトンネルを実現できない場合は、通常のセキュアでない接続に後退します。セキュアな接続および機能後退の詳細については、 57 ページの「デバイスと FortiAnalyzer ユニットとの連携」を参照してください。


htpp://docs.forticare.com/fa.html


デバイスと FortiAnalyzer ユニットとの連携

デバイスを FortiAnalyzer ユニットに接続すると、手動で FortiAnalyzer ユニットのIP アドレスを指定するか、または FDP (Fortinet Discovery Protocol) を使用してFortiAnalyzer ユニットを特定できます。

FortiAnalyzer ユニットのトラフィック受信設定を行う前にデバイスがトラフィックを送信すると、 FortiAnalyzer ユニットは接続を拒否するか、またはそのデバイスを登録済みデバイスあるいは未登録デバイスとしてデバイスリストに追加します。ユニットの動作は、[Unregistered Device Options] の設定および FortiAnalyzerユニットのデバイス上限に達しているかどうかによって異なります。

セキュアな接続がそのデバイスで有効な場合は、 FortiAnalyzer ユニットはまずIPSec VPN トンネルを確立しようとします。

トンネルが失敗するか、まだ設定されていないか、確立できないか、またはそのデバイスの種類でサポートされない場合は、 FortiAnalyzer ユニットはセキュアトンネルを使わず通常のデバイス接続を使用して接続を試みます。

デバイスおよび FortiAnalyzer ユニット間のセキュアトンネルは、通常の IPSecポートおよびプロトコルを使用します。

• フェーズ I では UDP ポート 500 で IKE

• フェーズ II では ESP プロトコル

[Unregistered Device Options] および [Secure Connection] の設定が機能すると、デバイス接続はデバイスの送信 (Tx) または取得 (Rx) 許可によって制限されます。接続では、以下が使用されます。

• ログメッセージの通信では、 UDP ポート 514 で Syslog プロトコルを使用。

• TCP ポート 514 で OFTP プロトコルを使用して、デバイスリスト、隔離およびコンテンツアーカイブファイルへの追加を行い、リモートで保存されたログ、隔離およびコンテンツアーカイブファイルを FortiAnalyzer ユニットから取得。

• ログアグリゲーションでは、 TCP ポート 22 で SSH プロトコルを使用。

FortiAnalyzer ユニットが他のデバイスおよびサービスとの通信で使用するトラフィックの種類、ポート、プロトコルの図解については、 Knowledge Center 記事Traffic Types and TCP/UDP Ports used by Fortinet Products を参照してください。

[Disk Space (MB) Used/Allocated]

デバイスに割り当てられている FortiAnalyzer のディスク領域の容量、およびそのうち使用されている容量を示します。

[Action] [Edit] を選択して、デバイス設定を編集します。リストからこのアドレスを削除する場合に、 [Delete] を選択します。デバイスに削除ボタンがない場合は、初にデバイスグループから削除して、次にデバイスを削除します。未登録のデバイスを表示するときは、新たにアイコンが表示されます。[Add] を選択してデバイスをデバイスリストに追加して接続を設定するか、または [Block] を選択して以降の接続動作を停止します。デバイスのブロックについては、 69 ページの「デバイスのブロック」を参照してください。

注記 : デバイスリストに表示されるロックされたアイコンは、セキュアな接続が有効であることを示します。

デバイスおよび FortiAnalyzer ユニット双方の CLI を使用し、セキュアな接続を有効にして設定を行います。

!注意 : 有効にしたセキュアな接続が設定され実行可能であることを確認します。

ロックされたアイコンは、セキュアな送信が正常に機能していることを示すものではなく、単にセキュアな接続機能が有効であることを示します。たとえば、セキュアな接続が有効でありながらまだ設定されていない場合、 FortiAnalyzer ユニットはセキュアなトラフィックではなく通常のトラフィックを送信し続けます。 56 ページの「[Secure Connection]」を参照してください。




58


使用可能なデバイスの上限台数

どの FortiAnalyzer ユニットにも、ロギングおよびレポート機能が正しく機能するようにユニットがサポート可能な、登録済みおよび未登録を合わせたデバイス台数の上限があります。モデルごとのデバイス上限台数については、以下の表を参照してください。

Table 5: FortiAnalyzer のデバイス上限台数

HA のペアは、使用可能な ' デバイス ' の上限台数を数えるとき、 1 台のデバイスとして数えます。複数の FortiClient 実装 (FortiClient 実装の上限数まで可能 ) も、1台の ' デバイス ' として数えます。

たとえば、 FortiAnalyzer-100B は次の上限まで登録できます。

• 10 台のデバイス

• 9 台のデバイスおよび 100 の FortiClient 実装

• 9 台のデバイスおよび HA の 1 ペア

ただし、 1 台のデバイスおよび 900 の FortiClient 実装は登録できません。

デバイスが、使用可能な上限のデバイス台数をともなう FortiAnalyzer ユニットに接続しようとすると、 FortiAnalyzer ユニットは過剰なデバイスとして接続を拒否し、それらの過剰デバイスをブロックされたデバイスのリストに自動的に加えます。

デバイスのブロックについては、69 ページの「デバイスのブロック」を参照してください。

FortiAnalyzer ユニットのデバイス台数が使用可能な上限を超えると、デバイスリストにデバイスを追加できなくなります。デバイスを追加できるようにするには、まず現在デバイスリストにあるいずれかのデバイスをブロックしてから、リストに追加するデバイスをブロック解除し、それをデバイスリストに追加します。

未登録デバイスオプション

デバイスリストにまだ追加していないデバイスからログ接続要求を受信したFortiAnalyzer ユニットが、どのように対応して動作するかを定義できます。

接続要求を受信したとき、それを自動または手動で処理できます。

接続要求を受信したとき、次のいずれかの処理を行うようにユニットを設定できます。

使用可能なデバイスまたは VDOM の上限数

使用可能なFortiClient 実装の上限数

サポートされるFortiGate モデル

FortiAnalyzer-100A: 100B 10 100 FortiGate-50A からFortiGate- 100A

FortiAnalyzer-400 200 2000 FortiGate-50A からFortiGate- 800

FortiAnalyzer-800 250 2500 FortiGate-50A からFortiGate-800

FortiAnalyzer-2000/2000A 500 5000 全モデル

FortiAnalyzer-4000/4000A 500/700 5000 全モデル

FortiAnalyzer-5005 1000 10000 全モデル

注記 : より要件の厳しいロギングシナリオのネットワークでは、適切なデバイス台数の水準が本来の上限台数より少ない場合があります。パフォーマンスは、使用しているネットワーク規模、デバイスの種類、ロギングのしきい値、その他多くの要因により異なります。 FortiAnalyzer モデルを選択する場合、デバイスの台数に加えてネットワークのログ頻度も考慮してください。



• 接続を無視して、デバイスのログデータを保持しない ( デバイスを手動で追加、設定 )

• 接続を許可して、未登録デバイスとして追加するが、デバイスのログデータは保持しない ( デバイスを自動的に追加、手動で設定 )

• デバイスの種類が未知の場合は、接続を許可し、未登録デバイスとして追加し、指定容量のデバイスのログデータを保持。

• デバイスの種類が既知の場合は、接続を許可し、登録済みデバイスとして追加し、指定容量のデバイスのログデータを保持。

デバイスには、次の 2 種類があります。

• 既知のデバイスの種類 (FortiGate、 FortiManager、 FortiClient、 FortiMail)

• 未知のデバイスの種類 ( 一般的な Syslog デバイス )

接続要求の処理方法は、既知および未知のデバイスの種類によって異なります。既知のデバイスの種類は自動的に登録できますが、未知の場合は自動的に登録できず、 FortiAnalyzer ユニットは、ユニットにとって未知の属性をともなうデバイスの登録を完了できません。

既知の種類のデバイスを自動または手動で登録することにより、そのデータをレポートに使用でき、各 FortiGate デバイスはリモートでそれらのログメッセージを閲覧できます。

接続しようとするデバイスへの対応は、次の手順で設定します。

1 [Device]、[All] の順に選択します。

2 [Unregistered Devices Options] を選択します。

3 既知のデバイスの種類では、次のオプションから選択します。

未知のデバイスの種類では、次のオプションから選択します。

注記 : 登録済みおよび未登録のいずれのデバイスも、 FortiAnalyzer ユニットで使用可能な上限

台数が数えられます。未登録デバイス台数が多すぎると、デバイスを追加できなくなります。詳細については、 58 ページの「使用可能なデバイスの上限台数」を参照してください。

注記 : レポートは、未知の種類の未登録デバイスでは生成できません。レポート作成可能なデバイスについては、 118 ページの「デバイス」を参照してください。

[Ignore connection and log data] 接続要求を受け取らず、デバイスを未登録デバイスに追加しない。

[Allow connection, add to unregistered table, but ignore log data]

将来的な設定および FortiAnalyzer ユニットへの追加のために、デバイスを未登録デバイスリストに追加します。ただし、ログメッセージを受信してもハードディスクに保存しません。

[Allow connection, register automatically, and store up to N MB data]

将来的な設定および FortiAnalyzer ユニットへの追加のために、デバイスを登録済みデバイスリストに追加し、指定されたディスク空間の容量だけログメッセージをハードディスクに保存します。

[Ignore all unknown unregistered devices]

未知の未登録デバイス要求を受信しても受け取らず、それを未登録デバイスリストに追加しません。


60



FDP (Fortinet Discovery Protocol) プロトコルを使用して接続する FortiGate ユニット

FortiOSバージョン3.0以降を実行するFortiGateユニットは、FDP (Fortinet DiscoveryProtocol) を使用して、 FortiAnalyzer ユニットを特定し接続を確立できます。

FortiGate 管理者が自動発見を選択する場合は、FortiGate ユニットは同じサブネットでネットワーク上にある FortiAnalyzer ユニットを特定しようとします。そのインタフェースでサブネットに対して FDP が有効になっている場合、 FortiAnalyzerユニットが応答します。 FortiGate ユニットが FortiAnalyzer ユニットを特定すると、 FortiGate ユニットは自動的に FortiAnalyzer へのロギングを有効にして、ログデータの送信を開始します。

FDP を使用するには、両方のユニットが同じサブネットにあり、 UDP が許可されている必要があります。

FDP を使用する接続要求には、他のログ接続要求と同様に対応します。詳細については、 58 ページの「未登録デバイスオプション」を参照してください。

FDP を使用する未登録の FortiGate ユニットを検出したときデバイスを自動的に設定するには、次の手順を行います。

1 FortiAnalyzer ユニットで、 [Device]、[All] の順に選択します。

2 [Unregistered Device Options] を選択します。

3 [Known Device Types] 領域で、 [Allow connection, register automatically, and store up to N MB data] を選択します。


5 [System]、[Network] の順に選択します。

6 FDP を使用するネットワークインタフェースで、 [Modify] を選択します。

7 Fortinet Discovery Protocol オプションを有効にします。


9 FortiGate ユニットで、 [Log&Report]、[Log Config]、[Log Setting] の順に選択します。

10 FortiAnalyzer のログオプションを有効にして、青色の矢印をクリックしてさらにサブオプションを表示します。

11 [Automatic Discovery] を選択します。

[Add unknown unregistered device to unregistered table, but ignore data]

将来的な設定および FortiAnalyzer ユニットへの追加のために、デバイスを未登録デバイスリストに追加します。ただし、ログメッセージを受信してもハードディスクに保存しません。

[Add unknown unregistered devices to unregistered table, and store up to N MB data]

将来的な設定および FortiAnalyzer ユニットへの追加のために、デバイスを未登録デバイスリストに追加し、指定されたディスク空間の容量だけログメッセージをハードディスクに保存します。

注記 : このオプションは、 FortiDiscovery を使用する FortiGate ユニットに限らず、接続を試みる既知の種類の全デバイスに適用されます。



12 FortiAnalyzer ユニットが [Connect To] リストにない場合は、 [Discover to use FDP] を選択し FortiGate ユニットのサブネット上で FortiAnalyzer ユニットを特定します。

FortiGateユニットがインターネットまたは他のファイアウォールなど別のネットワークから FortiAnalyzer ユニットに接続する場合は、接続を確立するために必要に応じて IPSec VPN トンネルを設定します。 56 ページの「[Secure Connection]」を参照してください。詳しい情報および事例については、 Knowledge Center 記事Sending remote FortiGate logs to a FortiAnalyzer unit behind a local FortiGate unit を参照してください。[Connect To] リストから、FortiAnalyzerユニットを選択します。


14 FDP が自動的に設定する接続およびログ設定を確認するには、 [Test Connectivity] を選択します。

接続機能またはセキュアな接続が確立できない場合は、ルータまたはファイアウォールなどの中間デバイスの設定を確認します。セキュアな接続を有効にしている場合は、その設定が行われているかも確認します。トンネルの両端で IPSecVPN トンネルが完全に設定されていないと、接続は失敗します。

FortiGate ユニットを追加する

FortiGate ユニットは、ログメッセージを FortiAnalyzer ユニットに送信するように設定する必要があります。この設定は、ログを受信するように FortiAnalyzer ユニットを設定する前または設定した後に行うことができます。

デバイスを追加する手順は、ログ設定の内容に応じて異なり、さらに FortiAnalyzerユニットに設定された初のログ接続に対する応答によっても異なります。詳細については、 58 ページの「未登録デバイスオプション」を参照してください。

FortiGate ユニットのログを FortiAnalyzer ユニットに送信するには、次の手順を行います。

1 FortiGate ユニットで、 [Log&Report]、[Log Config] の順に選択します。

詳細については、 FortiGate Administration Guide または FortiGate オンラインヘルプの「Log & Report」の章を参照してください。

2 FortiAnalyzer ユニットが、リストにない既知の種類のデバイスからログ接続されるのをブロック ( 無視 ) するように設定される場合は、デバイスのブロックを解除してから、そのデバイスを登録します。

FortiAnalyzer ユニットが、リストにない既知の種類のデバイスからログ接続されるのを受け入れて、未登録テーブルに追加し、ログデータを受け入れないように設定されている場合は、デバイスを登録します。

FortiAnalyzer ユニットが、リストにない既知の種類のデバイスからログ接続されるのを受け入れて、そのデバイスを自動的に登録し、ログデータを受け入れるように設定されている場合は、対応は必要ありません。

異なる容量のログデータを保存するか、または他のデフォルトのデバイス設定を変更する場合に限り、登録されたデバイスエントリを編集します。

注記 : 特定の HA モードの接続特性によって、HA クラスタに使用される FortiGate ユニットでは、完全なコンテンツアーカイブおよび隔離は利用できない場合があります。詳細については、FortiGate HA Overview を参照してください。


http://docs.forticare.com/fgt.html





62


FortiAnalyzer ユニットに FortiGate ユニットを登録するには、次の手順を行います。


2 デバイスがデバイスリストにあり未登録の場合は、 [Show] リストから[Unregistered] を選択して、 [Action ] 列から [Add] を選択します。

そうでない場合は、 [Add Device] を選択します。

3 次のオプションを設定します。

4 [Devices Privileges] 設定を展開します。

5 ログファイル、アーカイブされたコンテンツおよび隔離ファイルを送信、表示する際の FortiGate ユニットの権限を設定します。

6 [Group Membership] 設定を展開します。

7 FortiGate ユニットを加えるグループを選択し、右矢印ボタンを選択してFortiGate ユニットをそのグループに追加します。 1 台の FortiGate ユニットは、複数のグループに属すことができます。

FortiGate ユニットを後からグループに追加すること、または指定したグループを変更することができます。詳細については、 70 ページの「デバイスグループ」を参照してください。

8 [FortiGate Interface Specification] 設定を展開します。

[Device Type] デバイスがデバイスリストにない場合は、 [Device Type] から[FortiGate ] を選択します。FortiGate ユニットを未登録デバイスリストから登録する場合は、FortiGate の種類は自動的に選択されます。

[Device Name] FG-1000-1 など、 FortiGate ユニットを表す名称を入力します。

[Device ID] デバイスがデバイスリストにない場合は、FortiGate ユニットのシリアル番号を入力します。 FortiGate ユニットのシリアル番号は、ユニットの Web ベースマネージャにある [System] メニューから確認できます。FortiGate ユニットを未登録デバイスリストから登録する場合は、デバイスＩＤ ( シリアル番号 ) は自動的に入力されます。

[Mode] FortiGate ユニットの HA モードを選択します。単一のユニットを追加する場合は、 [Standalone] を選択します。 HA クラスタを追加する場合は、 [HA] を選択します。 HA クラスタの追加については、63 ページの「HA クラスタを追加する」を参照してください。

[Description] FortiGate ユニットの追加情報を、 128 文字以内で入力します。追加情報は、デバイスリストに表示される FortiGate ユニット名の上でマウスを動かしたとき表示されます。


デバイスの隔離ファイルなど、デバイスのログおよびコンテンツメッセージに割り当てられる、 FortiAnalyzer ハードディスク領域の容量を入力します。隔離ファイルのディスク割り当てについては、 89 ページの「隔離の設定」を参照してください。割り当てられるディスク領域は、ログおよびコンテンツアーカイブでログを順次作成するサイズの 10 倍以上を指定します。たとえば、ログおよびコンテンツアーカイブのログファイルを順次作成するサイズを 50MB に設定した場合、デバイスのディスク領域に500MB 以上を割り当てます。

[When Allocated Disk Space is All Used]

割り当てディスク領域を使い切ったときの FortiAnalyzer ユニットの動作として古いファイルを上書きするか、またはロギングを停止するかどうかを設定します。

注記 : ログ、コンテンツログ、隔離ファイルへのアクセスは、ファームウェアバージョン 3.0 以降を実行する FortiGate ユニットで可能です。



9 矢印ボタンを使用して、ポートインタフェースオプションを定義します。ポートインタフェース設定の詳細については、 63 ページの「FortiGate インタフェースを定義する」を参照してください。

VLAN または他のインフェースを追加する場合は、そのインタフェース名を入力して [Add] を選択します。


FortiGate インタフェースを定義する

FortiAnalyzer のネットワーク動作レポートには、送受信トラフィックフローの情報が含まれます。トラフィックフロー情報は、デバイスの発信元および宛先インタフェース、および情報を送受信するためにそれらのインタフェースがどのように設定されているかに基づきます。

トラフィック情報がレポートに正しく表示されるように、 FortiGate インタフェースをインタフェースの種類に割り当てる必要があります。デバイスインタフェースは、インタフェース名またはデバイス上で定義される VLAN を含むことができます。

デバイスインタフェースは、インタフェースが処理するトラフィックの種類に合うように、None、LAN、WAN または DMZ のいずれかに分類できます。FortiAnalyzerユニットがトラフィックログレポートを生成するとき、FortiAnalyzer ユニットは送信元および宛先インタフェースの分類を比較して、トラフィックの方向性を判断します。トラフィックの方向は、次のいずれかになります。

• 受信

• 送信

• 未分類

送信元または宛先インタフェースは、次のいずれかになります。

• internal

• external

以下の表は、送信元および宛先インタフェースの種類が、ログレポートでトラフィックの方向としてどのように表記されるかを示しています。

HA クラスタを追加する

高可用性 (HA) クラスタを追加することにより、HA クラスタがログメッセージをFortiAnalyzer ユニットに送信できるようになります。送信されるログメッセージは、クラスタに含まれる各ユニットで多数の個別ログファイルではなく１つのクラスタとして維持されます。これにより、クラスタ上でクラスタトラフィックを表示してレポート作成を実行できます。

HA クラスタを追加するとき、 HA クラスタのプライマリデバイスのみを追加します。

Table 6: ログレポートに表記されるトラフィック方向の種類

送信元宛先トラフィックの方向

なし全種類未分類

全種類なし未分類

WAN LAN、 DMZ 受信

WAN WAN External

LAN、 DMZ LAN、 DMZ Internal

LAN、 DMZ WAN 送信


64


HA クラスタを追加するには、次の手順を行います。


2 [Show] リストから [Unregistered] を選択し、 [Action] 列から [Add] を選択、または [Add Device] を選択します。

3 以下を除き、プライマリユニットの情報を利用して、 61 ページの「FortiGate ユニットを追加する」のセクションに示される設定と同じように設定します。

• [Mode] を HA に設定。

• クラスタに含まれる下位デバイスごとにデバイスID (シリアル番号) を入力し、[Add] を選択。

FortiManager ユニットを追加する

FortiManager ユニットは、ログメッセージを FortiAnalyzer ユニットに送信するように設定する必要があります。この設定は、ログを受信するように FortiAnalyzerユニットを設定する前または設定した後に行うことができます。

FortiAnalyzer ユニットは、ログメッセージおよび管理接続の双方を、FortiManagerデバイスから受信できます。


FortiManager ユニットのログを FortiAnalyzer ユニットに送信するには、次の手順を行います。

1 FortiManager ユニットで、ダッシュボードから [System Settings] を選択します。

2 [FortiAnalyzer]、[FortiAnalyzer] の順に選択します。

3 [Enable] を選択して、ユニットの IP アドレスを入力します。

4 FortiManager ユニットが FortiAnalyzer ユニットにセキュアな接続を行うようにするには、 [Secure connection] を有効にして、 [Local ID] および [Pre-shared Key] を入力します。

Local ID ( ローカル ID) は、必ず FortiManager ユニットのホスト名となります。 Pre-shared Key ( 事前共有キー ) は、 FortiAnalyzer ユニットの psk 値と一致する必要があります。詳細については、 56 ページの「[Secure Connection]」を参照してください。


6 [Local Logs]、[Log Settings]、[Current Log] の順に選択します。

7 [FortiAnalyzer] オプションを有効にします。

8 青色の矢印を選択して、さらにオプションを表示します。 [logging Level] を選択して、ある項目で達したとき必ずログに記録される重大度のしきい値を指定します。


10 [Local Logs] 、 [Log Settings] 、 [Event Log] の順に選択します。

11 イベントをログに記録する場合は、イベントログオプションを有効にして、[System Settings] ( システム設定 ) の変更などログに記録するイベントの種類を有効にします。

注記 : 特定の HA モードの接続特性によって、HA クラスタに使用される FortiGate ユニットでは、完全なコンテンツアーカイブおよび隔離は利用できない場合があります。詳細については、FortiGate HA Overview を参照してください。






FortiManager の詳しい設定情報については、FortiManager Administration Guide または FortiManager オンラインヘルプを参照してください。





FortiAnalyzer ユニットに FortiManager ユニットを登録するには、次の手順を行います。


2 デバイスがデバイスリストにあり未登録の場合は、 [Show] リストから [Unregistered] を選択して、 [Action ] 列から [Add] を選択します。



4 [Devices Privileges] 設定を展開します。

5 FortiAnalyzer ユニットに対する FortiManager ユニットの特権を設定します。

FortiManager により管理される全デバイスが FortiAnalyzer ユニットに完全にアクセスできるように [Allow] を選択し、FortiManager が FortiAnalyzer ユニットを設定できるように [Allow] を選択します。


[Device Type] デバイスがデバイスリストにない場合は、 [Device Type] から[FortiManager ] を選択します。FortiManager ユニットを未登録デバイスリストから登録する場合は、 FortiManager の種類は自動的に選択されます。

[Device Name] FM-3000-1 など、デバイスを表す名称を入力します。

[Device ID] デバイスがデバイスリストにない場合は、FortiManager ユニットのシリアル番号を入力します。 FortiManager ユニットのシリアル番号は、ユニットの Web ベースマネージャにある [System] メニューから確認できます。FortiManager ユニットを未登録デバイスリストから登録する場合は、デバイスＩＤ ( シリアル番号 ) は自動的に入力されます。

[Description] FortiManager ユニットの追加情報を、 128 文字以内で入力します。追加情報は、デバイスリストに表示される FortiManager ユニット名の上でマウスを動かしたとき表示されます。


デバイスのログおよびコンテンツメッセージに割り当てる、FortiAnalyzer ハードディスク領域の容量を入力します。割り当てられるディスク領域は、ログおよびコンテンツアーカイブでログを順次作成するサイズの 10 倍以上を指定します。たとえば、ログおよびコンテンツアーカイブのログファイルを順次作成するサイズを 50MB に設定した場合、デバイスのディスク領域に500MB 以上を割り当てます。




http://docs.forticare.com/fmgr.html

66


7 FortiManager ユニットを加える 1 つ以上のグループを選択し、右矢印ボタンを選択して FortiManager ユニットをそのグループに追加します。


FortiMail ユニットを追加する

FortiMail ユニットは、ログメッセージを FortiAnalyzer ユニットに送信するように設定する必要があります。この設定は、ログを受信するように FortiAnalyzer ユニットを設定する前または設定した後に行うことができます。


FortiMail ファームウェアバージョン 2.8 MR1 では、 FortiAnalyzer ユニットにログを送信する明確なオプションはありません。ただし、 Syslog オプションを使用できます。

FortiAnalyzer ユニットは、 FortiMail ユニットから受信するイベント、攻撃、電子メールフィルタ、統計の 4 種類のログを保存できます。

FortiMail ユニットのログを FortiAnalyzer ユニットに送信するには、次の手順を行います。

1 [Log & Report]、[Log Setting] の順に選択します。

Syslog サーバにログを送信するように FortiMail を設定する詳細情報については、FortiMail Administration Guide または FortiMail オンラインヘルプを参照してください。





FortiAnalyzer ユニットをともなう FortiMail ユニットを登録するには、次の手順を行います。


2 デバイスがデバイスリストにあり未登録の場合は、 [Show] リストから[Unregistered] を選択して、 [Action ] 列から [Add] を選択します。



[Device Type] デバイスがデバイスリストにない場合は、 [Device Type] から[FortiMail ] を選択します。FortiMail ユニットを未登録デバイスリストから登録する場合は、FortiMail の種類は自動的に選択されます。

[Device Name] FE-400-1 など、デバイスを表す名称を入力します。

[Device ID] デバイスがデバイスリストにない場合は、FortiMail ユニットのシリアル番号を入力します。 FortiMail ユニットのシリアル番号は、ユニットのWeb ベースマネージャにある [System] メニューから確認できます。FortiMail ユニットを未登録デバイスリストから登録する場合は、デバイスＩＤ ( シリアル番号 ) は自動的に入力されます。


http://docs.forticare.com/fmail.html

http://docs.forticare.com/fmail.html



5 FortiMail ユニットを加える 1 つ以上のグループを選択し、右矢印ボタンを選択して FortiMail ユニットをそのグループに追加します。


FortiClient の実装を追加する

FortiClient の実装は、ログメッセージを FortiAnalyzer ユニットに送信するように設定する必要があります。この設定は、ログを受信するように FortiAnalyzer ユニットを設定する前または設定した後に行うことができます。

FortiClient の実装を追加する手順は、ログ設定の内容に応じて異なり、さらにFortiAnalyzer ユニットに設定された初のログ接続に対する応答によっても異なります。詳細については、 58 ページの「未登録デバイスオプション」を参照してください。

他のデバイスとは異なり、実装されている FortiClient は一括して単一のデバイスとして扱われます。ロギングは、実装される FortiClient ごとではなく、 FortiClient全実装に対して設定されます。 ( 実装ごとのネットワーク履歴を取得するには、FortiAnalyzer のレポート機能を使用します。 )

ログを FortiAnalyzer ユニットに保存するには、FortiClient 3.0 MR2以降が必要です。

FortiClient の実装を FortiAnalyzer ユニットに登録するには、次の手順を行います。


2 FortiClient の実装がデバイスリストにあり未登録の場合は、 [Show] リストから[Unregistered] を選択して、 [Action ] 列から [Add] を選択します。



[Description] FortiMail ユニットの追加情報を、128 文字以内で入力します。追加情報は、デバイスリストに表示される FortiMail ユニット名の上でマウスを動かしたとき表示されます。


デバイスのログおよびコンテンツメッセージに割り当てられる、FortiAnalyzer ハードディスク領域の容量を入力します。割り当てられるディスク領域は、ログおよびコンテンツアーカイブでログを順次作成するサイズの 10 倍以上を指定します。たとえば、ログおよびコンテンツアーカイブのログファイルを順次作成するサイズを 50MB に設定した場合、デバイスのディスク領域に500MB 以上を割り当てます。



[Device Type] デバイスがデバイスリストにない場合は、 [Device Type] から[FortiClient] を選択します。FortiClient の実装を未登録デバイスリストから登録する場合は、FortiClient の種類は自動的に選択されます。

[Device Name] [Device Name] には、All_FortiClients が自動的に入力されます。

[Description] デバイスの説明は自動的に入力され、 FortiClient ' デバイス ' はこの FortiAnalyzer ユニットにログを送信する FortiClient の全実装を意味することを示します。


68


他のデバイスとは異なり、 FortiClient の接続では FortiAnalyzer ユニットへのログメッセージ送信のみが可能です。ユーザがログメッセージまたは特定のレポートを表示できるように、 FortiClient を設定することはできません。

Syslog サーバを追加する

Syslog サーバは、ログメッセージを FortiAnalyzer ユニットに送信するように設定する必要があります。この設定は、ログを受信するように FortiAnalyzer ユニットを設定する前または設定した後に行うことができます。ログメッセージの転送については、 syslog サーバの解説書を参照してください。

Syslog サーバを追加する手順は、ログ設定の内容に応じて異なり、さらにFortiAnalyzer ユニットに設定された初のログ接続に対する応答によっても異なります。詳細については、 58 ページの「未登録デバイスオプション」を参照してください。

Syslog サーバのログを FortiAnalyzer ユニットに送信するには、次の手順を行います。

1 Syslog メッセージの送信方法については、 Syslog 解説書を参照してください。

2 FortiAnalyzer ユニットが、リストにない未知の種類のデバイスからログ接続されるのをブロック ( 無視 ) するように設定される場合は、ブロックを解除してから、 Syslog サーバを登録します。

FortiAnalyzer ユニットが、リストにない未知の種類のデバイスからログ接続されるのを受け入れて、未登録テーブルに追加し、ログデータを受け入れないように設定されている場合は、 Syslog サーバを登録します。

FortiAnalyzer ユニットが、リストにない未知の種類のデバイスからログ接続されるのを受け入れて、そのデバイスを自動的に登録し、ログデータを受け入れるように設定されている場合は、対応は必要ありません。

異なる容量のログデータを保存するか、または他のデフォルトのデバイス設定を変更する場合に限り、 Syslog サーバのデバイスリストのエントリを編集します。

Syslog サーバを FortiAnalyzer ユニットに登録するには、次の手順を行います。


2 [Show] リストから [Unregistered] を選択し、 [Action] 列から [Add] を選択します。



デバイスの隔離ファイルなど、デバイスのログおよびコンテンツメッセージに割り当てられる、 FortiAnalyzer ハードディスク領域の容量を入力します。隔離ファイルのディスク割り当てについては、 89 ページの「隔離の設定」を参照してください。割り当てられるディスク領域は、ログおよびコンテンツアーカイブでログを順次作成するサイズの 10 倍以上を指定します。たとえば、ログおよびコンテンツアーカイブのログファイルを順次作成するサイズを 50MB に設定した場合、デバイスのディスク領域に500MB 以上を割り当てます。



[Device Type] デバイスがデバイスリストにない場合は、 [Device Type] から[Syslog] を選択します。Syslogサーバを未登録デバイスリストから登録する場合は、Syslogの種類は自動的に選択されます。

[Device Name] syslog.example.comなど、Syslogサーバを表す名称を入力します。


デバイスデバイスのブロック


5 Syslog サーバを加える 1 つ以上のデバイスグループを選択し、右矢印ボタンを選択して Syslog サーバをそのグループに追加します。


デバイスのブロック

未登録デバイスをブロックすることにより、それらのデバイスが FortiAnalyzer ユニットに接続することを阻止します。

FortiAnalyzer ユニットは、ある上限台数までのデバイスをサポートします。デバイスリストに空きを作るため、FortiAnalyzer のデバイスリストに加えたくないデバイスをブロックできます。

デバイスは、ブロックされたデバイスのリストに自動的に表示されます。この表示は、デバイスが上限台数に達している状態で、さらに接続を試みるデバイスがあるとき行われます。デバイスを追加できるようにするには、まず現在デバイスリストにあるいずれかのデバイスをブロックしてから、リストに追加するデバイスをブロック解除し、それをデバイスリストに追加します。

未登録デバイスをブロックするには、次の手順を行います。


2 [Show] から [Unregistered] を選択します。

3 [Action] 列から [Block] を選択します。

[IP Address] デバイスがまだデバイスリストにない場合は、 Syslog サーバの IPアドレスを入力します。Syslog サーバを未登録デバイスリストから登録する場合は、 IP アドレスは自動的に入ります。

[Description] Syslog サーバの追加情報を、 128 文字以内で入力します。追加情報は、デバイスリストに表示される Syslog サーバ名の上にマウスを持ってくると表示されます。


デバイスのログおよびコンテンツメッセージに割り当てられる、FortiAnalyzer ハードディスク領域の容量を入力します。割り当てられるディスク領域は、ログおよびコンテンツアーカイブでログを順次作成するサイズの 10 倍以上を指定します。たとえば、ログおよびコンテンツアーカイブのログファイルを順次作成するサイズを 50MB に設定した場合、デバイスのディスク領域には低でも 500MB を割り当てます。


割り当てディスク領域を使い切ったとき、古いファイルを上書きするか、またはロギングを停止して FortiAnalyzer ユニットの対応動作を表示するかを選択します。


70

デバイスグループデバイス

ブロックされたデバイスを表示する

FortiAnalyzer ユニットでブロックされたデバイスを表示するには、[Device]、[All]、[Blocked Devices] の順に選択します。

図 22:ブロックされたデバイスのリスト

デバイスグループ

企業の部門または部署に複数のデバイスがある場合は、監視を容易にするためデバイスをまとめたグループを作ることができます。

1 台のデバイスは、複数のグループに属することができます。ただし、デバイス自体は全グループから除去しない限り削除できません。

デバイスグループを追加し、そこにデバイスを追加するには、次の手順を行います。

1 [Device]、[Groups] の順に選択します。


3 このグループの名前を入力します。

4 グループに加えるデバイスを [Available Devices] リストから選択して、右矢印を選択します。


[Device ID] ブロックされたデバイスの名前またはシリアル番号。

[Hardware Model] デバイスの種類。 FortiGate、 FortiManager、 Syslog サーバなど。

[IP Address] ブロックされたデバイスの IP アドレス。

[Action] デバイスが FortiAnalyzer ユニットにアクセスしないようにするには、削除アイコンを選択します。デバイスを FortiAnalyzer ユニットのデバイスリストに追加するには、ブロック解除アイコンを選択します。

注記 : デバイスをグループから除去しなくても、グループは削除できます。グループを削除しても、デバイス設定は FortiAnalyzer ユニットから削除されません。


ログログビューワー

F0

ログFortiAnalyzer ユニットは、 FortiGate、 FortiMail、 FortiClient、 Syslog デバイスなどのネットワークホストから、ログを収集します。ログブラウザを使用することにより、デバイスや FortiAnalyzer のログファイルとメッセージを表示でき、またネットワーク上で電子メール、 FTP、 Web ブラウジングを通じてコンテンツのメタ情報も参照できます。 FortiAnalyzer ユニットは、リアルタイムにデバイスログを表示できるので、デバイス上のイベントとトラフィックをその発生と同時に確認できます。


• ログビューワー

• 閲覧

• ログ表示のカスタマイズ

• ログの検索

• デバイスログの設定

ログビューワー

ログビューワーは、FortiAnalyzer ユニットのデバイスリストに追加されているデバイスのログを、特定のログの種類と期間に応じて表示します。

ログビューワーには、 2 種類のログ表示オプションがあります。

• リアルタイムログは、FortiAnalyzer ユニットが受信する、新のログメッセージを表示します。表示は 2、 3 秒毎に更新され、新のエントリのみを表示します。

• 履歴ログは、指定された種類および指定された期間のログメッセージをすべて表示します。

リアルタイムログビューワー

リアルタイムログビューワーは、持続的に更新しながらログ情報を表示し、選択したデバイスでの新の更新とイベント発生を確認できます。

リアルタイムログを表示するには、 [Log]、[Log Viewer]、[Real-time] の順に選択します。

注記 : ログアグリゲーションデバイスから受信されたログメッセージは、設定されたス

ケジュールによって転送され、リアルタイムのメッセージではないので、ログアグリゲーションデバイスはリアルタイムログビューワーには表示されません。また複数の HA メンバは単一のデバイスとしてまとめて扱われるので、個別の HA メンバはリアルタイムビューワーには表示されません。


72

ログビューワーログ

図 23:リアルタイムのログ表示

ログメッセージの詳細については、 FortiGate Log メッセージリファレンスを参照してください。

履歴ログビュー

履歴ログビューは、指定されたデバイス、ログの種類、および期間のログを表示します。ログメッセージを表示する場合、情報をフィルタ処理して特定のイベント情報を検索できます。

履歴ログは、次の手順で表示します。

1 [Log]、[Log Viewer]、[Historical] の順に選択します。

2 デバイスを選択します。登録されている全デバイスが、リストに表示されます。

3 ログの種類を選択します。

4 開始時間を設定します。

[Type] 表示しているログの種類およびログの発信元となるデバイス。

[Change] 表示するログの種類またはデバイスを変更する場合に選択します。

[Stop] ログ表示の更新を停止する場合に選択します。このオプションは、更新が開始されているときのみ表示されます。

[Start] ログ表示の更新を開始する場合に選択します。このオプションは、更新が停止しているときのみ表示されます。

列設定ページで表示する列および列の表示順を変更する場合に選択します。詳細については、 78 ページの「ログの列表示をカスタマイズする」を参照してください。

[formatted | raw] ログファイルのビューを選択します。[Formatted] ( デフォルト設定 ) を選択すると、縦列形式でログファイルを表示します。 [Raw] を選択すると、ログファイルに表示されている形式でログ情報を表示します。


[Resolve Service] ポート番号ではなく、ネットワークサービス名を表示する場合にオンにします。たとえば、ポート 80 のような番号ではなく、 HTTP のような名称を表示します。このオプションは、表示されるサービス情報がログにない場合は表示されません。たとえば、イベントログなどです。

列設定

[Unspecified] も早い日付および時間のログからログメッセージを表示する場合に選択します。

[Specified] ログメッセージの特定の開始日時を設定する場合に選択します。



ログログビューワー

5 終了時間を設定します。


図 24:履歴ログデータの表示

[Date] 開始する日付を入力します。日付の書式は、 YYYY/MM/DD です。または、カレンダーアイコンを選択して開始 ( 終了 ) する日付を選択します。

[Time] ログメッセージの開始時間を選択します。選択した日付の午前 12時に開始するログメッセージを表示する場合は、設定を 00:00 のままにします。

[Current] ごく近のログメッセージを含める場合に選択します。

[Specified] ログメッセージの特定の終了日時を設定する場合に選択します。

[Date] 終了日を入力します。日付の書式は、 DD/MM/YYYY です。または、カレンダーアイコンを選択して開始 ( 終了 ) する日付を選択します。

[Time] ログメッセージの終了時間を選択します。選択した日付の午前 12時に終了するログメッセージを表示する場合は、設定を 00:00 のままにします。

[Type] 表示するログの種類およびログの送信元となるデバイス。

[Change] ログ、期間、または異なるデバイスに変更する場合に選択します。

[formatted | raw] ログファイルのビューを選択します。 [Formatted] ( デフォルト設定 ) を選択すると、縦列形式でログファイルを表示します。 [Raw]を選択すると、ログファイルに表示されている形式でログ情報を表示します。

[Resolve Host Name] IP アドレスではなく、分かりやすい名前でホスト名を表示する場合にオンにします。IP アドレスホスト名の詳しい設定方法については、 42 ページの「IP エイリアス」を参照してください。

[Resolve Service] ポート 80 のようなポート番号ではなく、 HTTP のようなネットワークサービス名を表示する場合にオンにします。このオプションは、イベントログなど、表示するサービス情報がログにない場合は表示されません。

[View n per page] ページあたりに表示されるログエントリの行数を選択します。

[Page n of n] ログ情報の中で、ジャンプ先のページ番号を入力します。Enter を押すと、そのページにジャンプします。

列設定ページで表示する列および列の表示順を変更する場合に選択します。詳細については、 78 ページの「ログの列表示をカスタマイズする」を参照してください。

[Search] キーワードを入力して、利用可能なログ情報で簡易検索を実行します。 [Go] を選択して、検索を開始します。ヒット数が、 [Search]フィールドの上に表示されます。FortiAnalyzer ユニットは、入力されたキーワードをログファイル全体で検索します。

列設定印刷可能バージョン


74

閲覧ログ


閲覧

ログブラウザにより、全デバイスおよび FortiAnalyzer の保存されているログファイルをすべて確認できます。このウィンドウでは、ログ情報の表示、ログファイルのハードディスクへのダウンロード、または不必要なファイルの削除が可能です。

ログファイルの容量が上限に達すると、 FortiAnalyzer ユニットは増分番号を付けてそのファイルを保存し、同じファイル名の新しいログファイルの使用を開始します。現在の攻撃ログは、 alog.log です。以後、保存されるログは alog.n.log で表され、 n は順次作成されるログの番号です。

ファイル容量の上限およびログ順次作成オプションの設定については、 82 ページの「デバイスログの設定」を参照してください。

ログファイルを閲覧するには、 [Log]、[Browse] の順に選択します。

図 25:ログファイルの閲覧

印刷可能バージョン現在のログメッセージを含むレポートを生成する場合に選択します。表示または印刷のためにレポートファイルを保存するように促すメッセージが、ブラウザで表示されます。保存されたレポートは、HTML 形式となります。ログメッセージの容量が大きいと、読み込みに時間がかかります。印刷可能なバージョンでは、印刷可能なバージョンを生成するとき、すべてのフィルタ設定を考慮に入れます。

[Download Current View]

有効なフィルタに応じて、現在表示可能なログメッセージのみをダウンロードする場合に選択します。このボタンは、現在の表示がフィルタ処理される場合のみに表示されます。

注記 : 文字を使用する検索には、トラフィックログからの検索結果は含まれません。トラ

フィックログは、必ず数字情報として表現される発信元および宛先 IP アドレス、およびポートの情報を含んでいます。

たとえば、 User1 を検索する場合、結果を得ることができますが、いずれの結果にもトラフィックログからのエントリは含まれません。トラフィックログからの結果を得るには、10.10.10.1 のような User1 の IP アドレスを検索する必要があります。

[Import] 古いログファイルをインポートしてログレポートを表示、実行する場合に選択します。ログファイルのインポートについては、 76 ページの「ログファイルをインポートする」を参照してください。

[Device Type] デバイスのカテゴリを選択して、関連するログファイルを表示します。

削除

ダウンロード

表示

全ログ消去



ログ閲覧

ログファイルを閲覧する

ログブラウザを使うことにより、選択したデバイスのすべてのログファイルを、種類 (attack、event など ) を指定して表示できます。また、情報をフィルタ処理することにより、指定のデバイスで現在選択しているログファイルに含まれる特定のメッセージを表示できます。

ログファイルは、次の手順で表示します。

1 [Log]、[Browse] の順に選択します。

2 青色の矢印を選択すると、グループ名およびデバイス名が展開して表示され、表示可能なログファイルのリストを表示できます。

3 [Action] 列で、表示するログファイル行の表示アイコンを選択します。

ログファイルのコンテンツが表示されます。

図 26:ログデータの表示

[Log files] 利用可能なログファイルのリスト。作成したデバイスグループは、すべてここに表示されます。グループ名を選択すると、グループに含まれるデバイスのリストを展開し、それらのログファイルを表示できます。現在のログファイルまたはアクティブなログファイルが、順次作成されたログファイルとともに表示されます。順次作成されたログファイルでは、ファイル名に番号 (alog.2.log) が含まれています。順次作成したログを FTP サイトにアップロードするように FortiAnalyzer ユニットを設定すると、現在のログのみがログブラウザに表示されます。

[#] グループに含まれるデバイスの台数およびデバイス 1 台のログ数。

[Last Modified] ログがデバイスから後に更新された時刻。

[Size (bytes)] ログファイルの容量。

[Action] 削除アイコンを選択すると、FortiAnalyzerのハードディスクからログファイルを削除します。全ログ消去アイコンを選択すると、ログファイル名は残りますが、その中に含まれるログデータを消去します。ダウンロードアイコンを選択すると、ローカルのハードディスクにログファイルを保存します。表示アイコンを選択すると、ログファイルのコンテンツを表示します。


[Change] 別のログファイルを表示する場合に選択します。



[Resolve Service] ポート 80 のようなポート番号ではなく、 HTTP のようなネットワークサービス名を表示する場合にオンにします。このオプションは、イベントログなど、表示するサービス情報がログにない場合は表示されません。



76

閲覧ログ


ログファイルをインポートする

デバイスから古いログファイルを保持している場合は、それらのログをFortiAnalyzer ユニットにインポートして、ログレポートを生成できます。

ログファイルのインポートは、 RAID 設定 (FortiAnalyzer-400、 800、 2000、4000/4000A に該当 ) を変更する場合にも便利です。RAID 設定を変更すると、ハードディスクが再フォーマットされます。 FortiAnalyzer のログをバックアップする場合、 FortiAnalyzer ログをデバイスにインポートできます。

ログは、通常のログ、圧縮されたログ (.log.gz)、または CSV形式でインポートできます。

ログファイルは、次の手順でインポートします。


2 [Import] を選択します。

3 インポートされるログファイルが属するデバイス選択します。

4 ログファイルのパスおよびファイル名を入力するか、または [Browse] を選択します。


ログファイルの容量が大きい場合、またはアップロードが低速の場合は、アップロードに時間がかかります。

ログファイルのアップロードを完了すると、 FortiGuard Analysis Service が、ログファイルと選択されたデバイスが一致するかを確認します。アップロードされたログファイルの device_id フィールドがデバイスと一致しない場合は、インポートが失敗となります。さらにインポートを試みるには、 [Return] を選択します。



列設定アイコンページで表示する列および列の表示順を変更する場合に選択します。詳細については、 78 ページの「ログの列表示をカスタマイズする」を参照してください。

[Search] キーワードを入力して、利用可能なログ情報で簡易検索を実行します。 [Go] を選択して、検索を開始します。ヒット数が、 [Search]フィールドの上に表示されます。FortiAnalyzer ユニットは、入力されたキーワードをログファイル全体で検索します。

印刷可能バージョンアイコン

現在のログメッセージを含むレポートを生成する場合に選択します。表示または印刷のためにレポートファイルを保存するように促すメッセージが、ブラウザで表示されます。保存されたレポートは、HTML 形式となります。ログメッセージの容量が大きいと、読み込みに時間がかかります。印刷可能なバージョンでは、印刷可能なバージョンを生成するとき、すべてのフィルタ設定を考慮に入れます。


有効なフィルタに応じて、現在表示可能なログメッセージのみをダウンロードする場合に選択します。このボタンは、現在の表示がフィルタ処理される場合のみに表示されます。

注記 : 文字を使用する検索には、トラフィックログからの検索結果は含まれません。トラフィックログは、必ず数字情報として表現される発信元および宛先 IP アドレス、およびポートの情報を含んでいます。




ログ閲覧

ログファイルをダウンロードする

ログファイルをダウンロードして、バックアップ用または FortiAnalyzer ユニット以外で使用するために保存できます。ファイル全体をダウンロードするか、またはフィルタリングにより選択されたログメッセージのみをダウンロードするかを選択できます。

ログファイル全体をダウンロードするには、次の手順を行います。


2 [Log Files] 列で、デバイスおよびログの種類を指定します。青色の矢印を選択して展開し、ダウンロードするログファイル (wlog.log、 elog.log など ) を表示します。

3 [Action] 列で、目的のログファイル行のダウンロードアイコンを選択します。

4 必要に応じてダウンロードオプションを選択し、 [OK] を選択します。

5 Web ブラウザでインポートする場合は、ファイルの保存場所を選択するか、または保存せずにファイルを開きます。

ログファイルの一部 ( フィルタ処理 ) をダウンロードするには、次の手順を行います。


2 [Log Files] 列で、デバイスおよびログの種類を指定します。青色の矢印を選択して展開し、ダウンロードするログファイル (wlog.log、 elog.log など ) を表示します。

3 [Action] 列で、表示するログファイル行の表示アイコンを選択します。

4 フィルタアイコンを選択して、目的の条件と一致する項目のみに現在の表示を限定し、 [OK] を選択します。

フィルタ処理された行に緑のフィルタアイコンが表示され、 [Download CurrentView] がプリント可能なバージョンアイコンの横に表示されます。

5 現在のビューをダウンロードするボタンを選択します。



[Convert to CSV format]

ログ形式が、通常の .log ファイルではなく、 CSV (comma-separated value) 形式 (.csv) のファイルでダウンロードします。ログの各要素は、コンマで区切られます。 CSV ファイルは、計算表アプリケーションで表示できます。

[Compress with gzip] .log または .csv ファイルを、gzip で圧縮します。たとえば、ログ形式のファイルを gzip で圧縮してダウンロードすると、.log.gzのファイル拡張子付きでダウンロードされます。





78

ログ表示のカスタマイズログ

ログ表示のカスタマイズ

FortiAnalyzer ユニットでは、ログをどのように表示するかをカスタマイズできるので、列を限定して表示する情報を絞り込むことができます。

ログの列表示をカスタマイズする

表示形式を設定してネットワークトラフィック情報を表示する場合、表示する列を追加、省略、移動することにより、特定のカテゴリに絞り込んで情報を表示できます。また、列に含まれる情報をフィルタ処理できます。

図 27:列のカスタマイズ

列を表示または隠すには、次の手順を行います。

1 ログファイルを表示しているとき、列の設定アイコンを選択します。

そのログの種類で表示可能な列のリストが表示されます。

2 表示または非表示の列を選択します。

• 1 つの行を追加または削除するには、 [Available Fields] から行の名前を選択し、矢印 1 つのボタンを選択して、その行の名前を [Display Fields] に移動します。

• すべての行を追加または削除するには、矢印 2 つのボタンを選択します。

• すべての行をデフォルトの表示 / 非表示の状態に戻すには、[Default] を選択します。


行の順序を変更するには、次の手順を行います。

1 ログファイルを表示しているとき、列の設定アイコンを選択します。


2 列の名前を選択します。

3 上向きまたは下向き矢印を選択して、リスト中で列の位置を変更します。列の名前をリストの上方に移動すると、 [Formatted] ログビューの左方向に列が移動します。


注記 : [Raw] ビューでは、フィルタ処理できません。


ログログの検索

ログをフィルタリングする

ログファイルをリアルタイムまたは履歴で表示しているとき、またはログファイルを閲覧しているとき、列のコンテンツをフィルタ処理して、特定のコンテンツを検索できます。

図 28:ログのフィルタアイコン

データの各列には、グレーのフィルタアイコンがあります。このアイコンを選択して、列のコンテンツをフィルタ処理します。

列をフィルタ処理すると、フィルタアイコンが緑で表示されます。現在の表示をダウンロードするアイコンが同時に表示され、現在のフィルタ処理の条件に一致するログメッセージのみをダウンロードできます。

フィルタ処理をオフにするには、その列のフィルタアイコンを選択して、 [Clearall Filters] を選択します。

フィルタリングのヒント

発信元または宛先の IP によりフィルタリングする場合は、次のフィルタ処理の条件を使用できます。

• 単一のアドレス (2.2.2.2)

• ワイルドカードを使用するアドレス範囲 (1.2.2.*)

• アドレス範囲 (1.2.2.1-1.2.2.100)

または、ブール演算子 (or) を挟んで、相互に排他的同士のフィルタ処理基準を示すこともできます。

• 1.1.1.1 or 2.2.2.2

• 1.1.1.1 or 2.2.2.*

• 1.1.1.1 or 2.2.2.1-2.2.2.10

ログの検索

FortiAnalyzer ユニットは、2 種類のログ検索を使用して、保存されているログファイルの中から、特定の情報を検索する機能を備えています。

基本検索

基本検索は、 FortiAnalyzer ユニット上にあるデバイスのログファイルの単純な検索を実行し、入力した検索語すべてと一致するログメッセージのみの検索結果を返します。検索結果は、検索入力フィールドの下に表示されます。

注記 : [Raw] ビューでは、フィルタ処理できません。

フィルタアイコン使用中のフィルタ

注記 : リアルタイムのログを表示しているときは、常に現在の時刻を表示する時刻表示の列をフィルタ処理できません。


80

ログの検索ログ

FortiAnalyzer ユニットは、検索キーワードを再利用する必要がある場合のために、検索履歴を後から参照できるように保持します。

検索を実行するには、 [Log]、[Search] の順に選択して、検索キーワードを入力します。

検索結果が必ず存在するはずなのに、検索しても結果を得られない場合は、キーワードを確認してください。

• キーワードは、ログメッセージのテキストと完全に一致する必要があり、名前解決のような解釈法は通用しません。

• キーワードによっては、ログの行の名前と値 (type=webfilter) を両方とも含まないと一致しない場合があります。

• 結果を除外するような、不必要なキーワードは使わないでください。基本検索では、検索結果に含まれるメッセージがすべてのキーワードと必ず一致し、もしいずれかのキーワードがメッセージに含まれない場合は一致が不完全となり、そのメッセージは検索結果に表示されません。使用しないキーワードを取り除けない場合は、詳細検索を選択してください。

• 複数のキーワードは、スペースで区切ります (type=webfiltersubtype=activexfilter)。

詳細検索

詳細検索には、検索基準を詳しく設定するオプションがあります。

詳細検索を実行するには、 [Log]、[Search] の順に選択して、 [Advanced search] を選択します。

図 29: FortiAnalyzer の詳細検索

注記 : トラフィックログに含まれる送信元および宛先 IP アドレスとポートの情報は数字

なので、文字を使用する検索は、トラフィックログからの検索結果を含みません。


[Search] ログの検索を開始する場合に選択します。

[Basic search] 基本検索モードに切り替える場合に選択します。このオプションは、詳細検索モードのときに表示されます。

[Find results with all of the words]

検索に使用するキーワードすべてを入力します。検索を実行すると、入力したすべてのキーワードを含むログエントリすべてが得られます。キーワードは、スペースで区切ります。

[with at least one of the words]

検索に使用するキーワードすべてを入力します。検索を実行すると、 1 つまたは複数のキーワードを含むログエントリすべてが得られます。キーワードは、スペースで区切ります。


ログログの検索

検索のヒント

すべての結果に共通して一致するキーワードを含むようにすることで、適切な検索結果が得られます。ログを検索するときは、次の点に配慮します。

• すべての検索キーワードに一致する検索結果が得られます。

たとえば、次のような 2 つのよく似ている検索キーワードを見てみます。10.10.10.1 slammer は、 IP アドレスが攻撃を受ける頻度を検索し、10.10.10.1 loginはユーザがFortiGateユニットにログインするかを確認するものです。ここでは、双方とも前半のキーワード (IP アドレス ) が一致するものの、前者では login を含む後半のキーワードは一致しないので、slammerの攻撃は login の検索結果には含まれません。

• 検索では、文字の大小が区別されません。

• 検索キーワードに、アスタリスク (*) をワイルドカードとして使用できます。たとえば、語句または IP の一部に続けて '*' を入力することにより、始まりの文字または数字が共通して一致する結果を得られます。

• サブネットなど、 IP 範囲を検索できます。たとえば、次のようになります。

• 172.20.110.0-255 は、172.20.110.0/255.255.255.0 (172.20.110.0/24) サブネットのあらゆる IP アドレスに一致します。

• 172.20.110.0-140.255は、172.20.110.0から 172.20.140.255のすべてのIP アドレスに一致します。

• 172.16.0.0-20.255.255は、172.16.0.0から 172.20.255.255のすべてのIPアドレスに一致します。

検索結果を印刷する

検索終了後に、印刷可能バージョンのボタンが表示され、検索結果の印刷可能なHTML コピーをダウンロードできます。

検索結果をダウンロードするには、印刷可能バージョンボタンを選択します。このファイルを印刷し、以後使用するためにコンピュータに保存、または電子メールで送信できます。

検索結果をダウンロードする

FortiAnalyzer ユニットでは、検索結果をダウンロードできます。

検索終了後に、現在のビューをダウンロードするボタンが表示されます。検索結果をダウンロードするには、このボタンを選択します。

[without the words] 検索結果から除外するキーワードを入力します。ログエントリが、検索に使用しているキーワードおよびこのフィールドのキーワードを含んでいる場合は、そのログエントリは検索結果には含まれません。

[Narrow search to the following log types]

検索するログの種類を選択します。複数のログの種類を選択する場合は、 CTRL または SHIFT キーを押しながら選択します。

[Narrow search to the following devices]

検索するデバイスのログを選択します。複数のデバイスを選択する場合は、 CTRL または SHIFT キーを押しながら選択します。

[Return log entries dated within]

検索するログエントリの期間を選択します。

注記 : 文字を使用する検索には、トラフィックログからの検索結果は含まれません。トラ

フィックログは、必ず数字情報として表現される発信元および宛先 IP アドレス、およびポートの情報を含んでいます。



82

デバイスログの設定ログ

検索結果は、CSV (comma-separated value) 形式 (.csv)、または通常のログ (.log)形式で保存できます。

ログの検索結果は、次の手順でダウンロードします。

1 [Log]、[Search] の順に選択します。

2 基本検索または詳細検索のいずれかで、検索を実行します。

1 つまたは複数のログイベントが検索結果として得られる場合は、現在のビューをダウンロードするボタンが、プリント可能なバージョンボタンの横に表示されます。

3 現在のビューをダウンロードするボタンを選択します。

ダウンロードのファイル形式および圧縮オプションが表示されます。



デバイスログの設定

ログファイルの容量を設定し、ログの順次作成およびアップロードによりログファイルが消費する FortiAnalyzer のディスク空間を管理できます。

FortiAnalyzer ユニットは、新しいログ項目を受信すると、次の作業を実行します。

• ログファイルがファイル容量の上限を超えていないか検証します。

• ファイル容量が上限を超える場合は、ログファイルを順次作成する時間かどうかを確認します。毎日または週単位で、順次作成を実行する時間を設定できます。

ログファイルの容量が上限に達するか、またはスケジュール設定された時間に達すると、 FortiAnalyzer ユニットは増分番号を付けてそのファイルを保存し、同じファイル名の新しいログファイルの使用を開始します。たとえば、現行の攻撃ログが alog.log であるとします。以後、保存されるログは alog.n.log で表され、 nは順次作成されるログの番号です。

ログのアップロードを有効に設定している場合は、順次作成されたファイルをアップロード後に自動的に削除するように設定し、ログファイルの順次作成に使用するディスク空間の容量を制限できます。

ログの順次作成またはアップロードを有効にするには、 [Log]、[Config] の順に選択します。

注記 : ログの容量が大きい場合、ダウロードに時間がかかります。ダウロード時間は、

[Compress with gz] を選択することで短縮できます。





ログデバイスログの設定

図 30:デバイスログの設定


FortiAnalyzer ユニットがハードディスクに保存するログファイルの上限サイズ。ログファイルのサイズが指定の上限サイズに達すると、 FortiAnalyzerユニットは増分番号を付けて現在のネットワークトラフィックログファイルを保存し、新しいアクティブなログファイルの使用を開始します。

[Log file should be rolled]

FortiAnalyzer ユニットが現在のログファイルを保存し新しいアクティブなログファイルを使用開始する時刻を設定します。 [Daily]または [Weekly] を選択します。ログファイルの容量に達したときFortiAnalyzer ユニットがファイルを順次作成するように設定するには、 [Optional] を選択します。

[Enable log uploading] ログファイルを順次作成するとき、ファイルをサーバにアップロードする場合に選択します。

[Server type] サーバへのアップロードに使用するプロトコルを選択します。

• File Transfer Protocol (FTP)

• Secure File Transfer Protocol (SFTP)

• Secure Copy Protocol (SCP)

[Server IP address] ログアップロードサーバの IP アドレスを入力します。

[Username] アップロードサーバへの接続に必要なユーザ名を入力します。ユーザ名には、デフォルトで 'anonymous' が入力されています。別のユーザ名を入力するには、フィールドをクリックします。

[Password] アップロードサーバへの接続に必要なパスワードを入力します。

[Confirm Password] パスワードを再入力して、正しい入力を確認します。

[Directory] アップロードサーバ上でログファイルを保存する場所を入力します。

[Upload Log files] FortiAnalyzer ユニットがサーバにファイルをいつアップロードするかを選択します。

• [When rolled] をオンにすると、[Log file should be rolled]の設定に応じて、ログファイルが順次作成されるたびにファイルをアップロードします。

• [Daily at] をオンにすると、[Log file should be rolled] の設定によりファイルをいつどのサイズの時点で順次作成するかにかかわらず、設定した時刻にログをアップロードします。

[Upload rolled files in gzipped format]

ログファイルを gzip形式で圧縮してからサーバにアップロードする場合に選択します。

[Delete files after uploading]

FortiAnalyzer ユニットがアップロードを完了した後、 FortiAnalyzer のハードディスクからログファイルを削除する場合に選択します。


84

デバイスログの設定ログ


コンテンツアーカイブコンテンツアーカイブビューワー

F0

コンテンツアーカイブFortiGate ユニットは、電子メール、 FTP、インスタントメッセージなどのコンテンツのメタデータを監視およびログ記録することができます。コンテンツメタデータには、電子メールやインスタントメッセージの送信者および受信者、これらのメッセージのコンテンツなどの情報が含まれています。

標準的なデータフィルタリングを使用することで、特定の電子メールまたはインスタントメッセージを追跡し、位置を特定できます。

FortiGate ユニットが FortiAnalyzer ユニットにコンテンツアーカイブ情報を送信するように設定する方法については、 FortiGate 管理ガイドを参照してください。


• コンテンツアーカイブビューワー

• コンテンツアーカイブ表示のカスタマイズ

• コンテンツアーカイブの順次作成およびアップロード

コンテンツアーカイブビューワー

コンテンツアーカイブビューワーは、FortiAnalyzer ユニットに接続されたデバイスからコンテンツメタデータを表示します。メタデータには、送信元 IP アドレスおよび宛先が含まれます。たとえば、 HTTP コンテンツは、送信元 IP アドレスおよび宛先 URL を含んでいます。

コンテンツビューワーにより、次のコンテンツの種類を表示、およびフィルタリングできます。

• HTTP Web ブラウジング (Web アーカイブで )

• 電子メール ( 電子メールアーカイブで )

• FTP 転送 (File Transfer で )

• インスタントメッセージング (IM) 対話 (IM チャットで )

• VoIP (VoIP アーカイブで )

• マルチメディアメッセージ (MMS アーカイブで )

コンテンツアーカイブの情報を表示するには、 [Content Archive] メニューから、表示するコンテンツを選択します。ログの種類ごとに、共通の設定項目があります。

図 31:コンテンツアーカイブ




86

コンテンツアーカイブ表示のカスタマイズコンテンツアーカイブ

コンテンツアーカイブ表示のカスタマイズ

FortiAnalyzer ユニットでは、コンテンツログをどのように表示するかをカスタマイズできるので、列を限定して表示する情報を絞り込むことができます。


ログ情報を Formatted ビューで表示するとき、表示する列を必要に応じてカスタマイズできます。各列は、追加、削除して位置を変更できます。

図 32:列表示のカスタマイズ

[Show] リストから FortiGate デバイスを選択します。

[Timeframe] 表示するログデータの期間を選択します。

[Resolve Host Name] クライアントのIP アドレスを実際の名前で表示する場合に選択します。この設定を有効にするには、 FortiAnalyzer で IP エイリアスを設定する必要があります。詳細については、 42 ページの「IP エイリアス」を参照してください。ただし、このオプションは、電子メールのコンテンツアーカイブを表示しているときは利用できません。

[formatted | raw] コンテンツログファイルのビューを選択します。[Formatted] ( デフォルト設定 ) を選択すると、縦列形式でコンテンツログファイルを表示します。 [Raw] を選択すると、ログファイルに表示されている形式でコンテンツログ情報を表示します。

[View per page] ページあたりに表示されるログエントリの行数を選択します。



[Search] キーワードを入力して、利用可能なログ情報で簡易検索を実行します。 [Go] を選択して、検索を開始します。ヒット数が、 [Search]フィールドの上に表示されます。


現在のフィルタと一致する、すべてのコンテンツアーカイブログメッセージの HTML 形式によるリストを生成しダウンロードする場合に選択します。容量の大きなレポートを生成およびダウンロードする場合は、時間がかかります。この時間を節約するには、フィルタを使用してレポートの範囲を絞り込みます。

[Delete associated content archive files]

現在選択されているデバイスと関連付けられる、すべてのコンテンツアーカイブファイルを削除する場合に選択します。


コンテンツアーカイブコンテンツアーカイブ表示のカスタマイズ

列を追加または削除するには、次の手順を行います。

1 履歴コンテンツのログファイルを表示しているとき、列の設定アイコンを選択します。


2 [Show] 列で、選択する列のチェックボックスをオンまたはオフにします。

行の順序を変更するには、次の手順を行います。

1 履歴コンテンツのログファイルを表示しているとき、列の設定アイコンを選択します。



3 上向きまたは下向き矢印を選択して、リスト中で列の位置を変更します。

コンテンツログをフィルタリングする

コンテンツログを表示する場合、情報をフィルタリングして特定の情報を検索できます。フィルタを利用できるのは、コンテンツビューでデータを表示しているとき、またはFortiAnalyzerのハードディスク上にあるコンテンツログファイルを閲覧しているときです。

図 33:コンテンツログのフィルタアイコン

データの各列には、グレーのフィルタアイコンがあります。このアイコンを選択して、列のコンテンツをフィルタリングします。入力フィールドに検索する情報を入力して、 [OK] を選択します。フィルタが列に適用されると、フィルタアイコンが緑で表示されます。

フィルタをオフにするには、フィルタアイコンを選択して、 [Reset Filter] を選択します。リアルタイムのログを表示しているときは、常に現在の時刻を表示する時刻表示の列をフィルタリングできません。


発信元または宛先の IP によりフィルタリングする場合は、次のフィルタリング条件を使用できます。

• 単一のアドレス (2.2.2.2)


• アドレス範囲 (1.2.2.1-1.2.2.100)

または、ブール演算子 "or" を挟んで、相互に排他的同士のフィルタリング基準を示すこともできます。

• 1.1.1.1 or 2.2.2.2

• 1.1.1.1 or 2.2.2.*

• 1.1.1.1 or 2.2.2.1-2.2.2.10

注記 : フィルタを使用するには、ログコンテンツを必ず [Formatted] ビューで表示します。



88

コンテンツアーカイブの順次作成およびアップロードコンテンツアーカイブ

コンテンツアーカイブの順次作成およびアップロード

ログの順次作成およびアップロードでは、コンテンツアーカイブのログファイル容量を抑制します。ログを順次作成する頻度、および順次作成するときコンテ

ンツアーカイブのログファイルをどう扱うかを設定できます。

FortiAnalyzer ユニットは、ログメッセージを受信すると、次の作業を実行します。


• ファイル容量が上限を超える場合は、ログファイルを順次作成する時間かどうかを確認します。

コンテンツログファイルの容量が上限に達するか、またはスケジュール設定されたログ順次作成時間に達すると、 FortiAnalyzer ユニットは増分番号を付けてそのコンテンツログファイルを保存し、同じファイル名の新しいコンテンツログファイルの使用を開始します。たとえば、現行のコンテンツログが clog.log であるとします。以降に保存されるコンテンツログは clog.n.log の形式で表示され、この場合 n は順次作成されたログ数となり、clog.4.log のように表示されます

ログの順次作成またはアップロードを設定するには、 [Log]、[Config] の順に選択します。詳細については、82 ページの「デバイスログの設定」を参照してください。


隔離隔離の設定

F0

隔離FortiAnalyzer ユニットには、FortiGate ユニットが隔離したファイルのレポジトリがあります。これらのファイルは、ネットワークの脅威になり、その性質に不審な点または問題があると考えられます。 FortiAnalyzer の隔離サポートは、隔離されているすべての不審ファイルを集中管理する場所として位置づけることができます。デバイスとのセキュアな接続が確立されている場合、 2 台のユニット間の通信は、 FortiGate ユニットがログファイルの送信に使用するのと同じ IPSec トンネルです。

この項では、隔離ファイルを受信し FortiAnalyzer のハードディスク上にあるそれらのファイルを表示するように FortiAnalyzer ユニットを設定する方法について説明します。

隔離ファイルを FortiAnalyzer ユニットに送信するよう FortiGate ユニットを設定する方法については、 FortiGate 管理ガイドを参照してください。


• 隔離の設定

• 隔離ファイルの表示

隔離の設定

隔離を設定して、不審なファイル用に FortiAnalyzer ユニットに割り当てられるハードディスクの容量を定義します。

隔離オプションを設定するには、 [Quarantine]、[Config] の順に選択し、 FortiGate ユニットから送信される隔離ファイルを保存する、ディスク空間の割り当て容量を入力します。

FortiAnalyzer ユニットは、ファイル保存用に割り当てたディスク空間の容量を、登録済みの全 FortiGate デバイスで均等に割ります。たとえば、隔離ファイル用に500 MB を割り当て、登録済みの FortiGate ユニットが 5 台ある場合、各 FortiGateユニットは隔離ファイルの保存用に 100 MB ずつ使用できます。さらに FortiGateユニットを加えると、ディスク空間の割り当て容量を分け合うデバイスが増えるので、各 FortiGate ユニットが使用可能なディスク容量は少なくなります。

隔離ファイル保存用のディスク容量は、デバイスに割り当てられているディスク空間の合計から割り当てられます。たとえば、 1 台の FortiGate ユニットに 500 MB 割り当てており、さらに100 MB を隔離ファイル用に割り当てると、ログファイルに使用可能な空間の合計は 400 MBとなります。詳細については、61ページの「FortiGateユニットを追加する」を参照してください。

注記 : 隔離ファイルを FortiAnalyzer ユニットに送信できるのは、 FortiOS 3.0 を実行するFortiGate ユニットのみです。

注記 : 特定の HA モードの接続特性によって、 HA クラスタに使用される FortiGate ユニットでは、完全なコンテンツアーカイブおよび隔離は利用できない場合があります。詳細については、 FortiGateHA 概要を参照してください。

注記 : FortiAnalyzer ユニットは、FortiGate ユニットからの隔離ファイルを単に受け取り溜めておく場所

です。割り当てたディスク空間が隔離ファイルで満杯になったとき、 FortiGate ユニットがどのように対応するかを設定する必要があります。古いファイルを上書きするか、または新しい隔離ファイルを削除するかを選択できます。隔離オプションの設定については、FortiGate 管理者ガイドを参照してください。





90

隔離ファイルの表示隔離

隔離ファイルの表示

隔離ファイルのレポジトリは、 FortiAnalyzer のハードディスク上にある隔離ファイルのリスト、および隔離ファイルごとについての情報を表示します。

隔離ファイルを表示するには、 [Quarantin]、[Repository] の順に選択します。

図 34:隔離ファイルの表示

[Show] 特定デバイスの隔離ファイルのリストを表示するために、利用可能なデバイスのリストからデバイスを選択して、 [Go] を選択します。

[Timeframe] 隔離ファイルが FortiAnalyzer ユニットから送信されたときの期間を選択して、 [Go] を選択します。

[Automatically Refresh]

隔離ページを自動的に更新する頻度を選択します。 [Refresh Now]を選択すると、ステータスページを直ちに更新します。

[Delete] ファイル名の横にあるチェックボックスをオンにしてファイルをリストから選択し、 [Delete] を選択して隔離ファイルをFortiAnalyzer のハードディスクから削除します。

[Page n of n] ページリスト y からページ番号 x を選択し、 Enter を押してページを表示します。

[View n per page] 1 ページに表示する隔離ファイルの巣を選択します。

[From Device] 隔離ファイルの元となったデバイスの名前。

[File Name] 処理された隔離ファイルのファイル名。

[Date & Time] FortiGate がファイルを隔離した日付と時刻を、 yyyy/mm/ddhh:mm:ss の形式で表示します。ファイルが重複して隔離された場合、日付と時刻は、初のファイルが隔離された時刻を表します。

[Service] このファイルが隔離されたときのサービス (HTTP、 FTP、 IMAP、POP3、 SMTP)。

[Ticket #] FortiGate ユニットがファイルから作成した、32 ビットチェックサム。

[Status Description] FortiGate ユニットがファイルを隔離した理由の概要。

[DC] 重複 (duplicate) カウント。同じファイルが重複して隔離された回数を示すカウント。この数が急速に増えているときは、ウイルスの発生を示している可能性があります。

[Size (Bytes)] 隔離ファイルのファイル容量。

[Action] 削除アイコンを選択すると、 FortiAnalyzer のハードディスクから隔離ファイルを削除します。受信者が保管しても安全と考えられる場合に、 [ ダウンロードアイコン ] を選択すると、ファイルを別の場所に保存します。[Detail] を選択すると、隔離の日付および時間、ファイルの送信者および所定の受信者など、ファイルの詳細情報を表示できます。


フォレンジック分析ユーザおよびグループ

フォレンジック分析フォレンジック分析は、インターネットトラフィック、電子メール、インスタントメッセージ (IM) のパターンを、個々人やグループにさかのぼって追跡する手法です。

レポートとログが全般的な傾向、イベント、総計を示すのに対して、フォレンジック分析はこれらを特定の個人やグループに相関付けます。

この項では、ユーザおよびグループを定義する方法、ユーザアクティビティのログを検索する方法、フォレンジック分析レポートの生成、表示方法について説明します。


• ユーザおよびグループ

• ユーザデータの検索

• フォレンジックレポート

ユーザおよびグループ

フォレンジック分析を使用して、個人ユーザおよびユーザグループのネットワークおよびインターネット使用状況を表示できます。

フォレンジック分析レポートを作成する前、またはフォレンジック分析検索を実行する前に、まずネットワークユーザおよびユーザの情報のリストを定義する必要があります。このリストには、ユーザの IP アドレス、ユーザ名、 IM 名、および電子メールアドレスが含まれます。このリストの定義は、手動で行うか、またはルックアップを実行して IP アドレスあるいは電子メールアドレスなど他の既知の属性を調べることができます。

ユーザを追加する

フォレンジック分析レポートを作成またはユーザのフォレンジック分析検索を実行する前に、まずネットワークユーザのリストを定義する必要があります。

ネットワークユーザを追加するときは、ユーザのユーザ名、 IP アドレス、電子メールアドレス、インスタントメッセージ (IM) 名 ( 該当する場合 ) を含めて追加します。追加する情報の一部のみを知っている場合は、ルックアップを使用して他のユーザ情報を検索します。詳細については、 92 ページの「ルックアップ」を参照してください。

フォレンジック分析レポートのために個人ユーザを追加するには、次の手順を行います。

1 [Forensic Analysis]、[Lookup]、[User] の順に選択します。


3 次の情報を入力し、 [OK] を選択します。

注記 : フォレンジック分析機能は、 FortiAnalyzer-100 では利用できません。

[Name] ユーザの氏名を入力します。名前にスペースを入れません。

[Username (in Logs)] ログに表示されるユーザ名を入力します。

[IP Address] ユーザの IP アドレスを入力します。


92

ユーザおよびグループフォレンジック分析

ユーザグループを追加する

フォレンジック分析ユーザグループを作成することにより、個々のユーザごとにレポートを作成する代わりに、まとまった複数ユーザの分析情報を得ることができます。複数ユーザをグループに追加する前に、個々のユーザを加える必要があります。

フォレンジック分析レポートのためにユーザグループを追加するには、次の手順を行います。

1 [Forensic Analysis]、[Lookup]、[Group] の順に選択します。


3 グループ名を入力します。

4 [Available Users] リストから複数のユーザを選択し、右矢印を選択してそのユーザをグループに追加します。

メンバを削除するには、右側の [Members] リストからユーザを選択し、左矢印を選択します。


ルックアップ

ルックアップは、フォレンジック分析レポート作成のためにネットワークユーザを定義するための、もう 1 つの手法です。

たとえば、ユーザの電子メールアドレスを知っていれば、ルックアップを使用してそのユーザの IP アドレスまたはインスタントメッセージのユーザ名を調べることができます。

ユーザルックアップを実行するには、 [Forensic Analysis]、[Lookup]、[Lookup]の順に選択します。次の表は、一部の既知情報から検索可能な他の情報を示しています。

Table 7: ユーザルックアップの入力情報および検索結果

[Email Address(es)] ユーザの電子メールアドレスを入力し、 [Add] を選択します。完全なレポートを作成するために、可能な限りすべての電子メールアドレスを追加します。

[IM Name(s)] 該当する場合は、ユーザのインスタントメッセージ名を入力して、 [Add] を選択します。完全なレポートを作成するために、可能な限りすべての IM 名を加えます。

[Lookup] 入力情報検索結果

IP アドレスユーザ名そのユーザ名がログオンしたすべてのIP アドレス

ユーザ名 IP アドレスそのIPアドレスにログオンしたすべてのユーザ名

電子メールアドレス

IP アドレスそのアドレスから発信されるすべての電子メール

IM 名 IP アドレスその IP アドレスでログオンしたすべての IM 名


フォレンジック分析ユーザおよびグループ

図 35:ユーザ情報のルックアップ

FortiAnalyzer ユニットの情報取得先について

FortiAnalyzer ユニットは、ルックアップによるユーザ情報を FortiGate のログから取得します。次の表は、 FortiAnalyzer がどのログを調べてユーザ情報を取得するかを示しています。

[Forensic Analysis]>[Lookup] で使用するログタイプを有効にするには、次の手順を行います。

1 FortiAnalyzer ユニットを使用する FortiGate ユニットで、 [Firewall]、[Protection Profile] の順に選択します。

2 プロテクションプロファイルを選択します。

[Lookup] ログデータから検索する情報を選択します。

[Username / Groupname / IP Address]

[Lookup] の設定に応じて、ユーザ名 (Username)、グループ名(Groupname)、または IP アドレス (IP Address) を入力し、目的の情報を検索します。

[Timeframe] FortiAnalyzer ユニットが検索するログの期間を選択します。

[All xx logged on yy within the last zz]

選択内容とその相互の関係をわかりやすく表示します。この表示の下に、利用可能なデータのリストが表示されます。各エントリの横にあるチェックボックスを選択して、ユーザ情報にそのデータを追加します。

[User] 検索結果を、フォレンジック分析ユーザテーブルの既存ユーザに追加する場合に選択します。

[Create User / Add to user]

このボタンの選択は、ユーザをリストから選択するかどうかによります。ユーザリストからユーザを選択する場合は、[Add to User] を選択します。 FortiAnalyzer ユニットは、検索結果から選択され情報を、指定されたユーザ情報に追加します。上記で入力した情報をおよび検索結果から選択された情報を使用して、新規のフォレンジック分析ユーザエントリを作成する場合は、 [Select Create User] を選択します。

ユーザ名 Web フィルタログ (wlog.log)

IP アドレス Web フィルタログ (wlog.log)

電子メールアドレス電子メールフィルタログ (slog.log)見つからない場合、 FortiAnalyzer ユニットはコンテンツログ(clog.log) を使用します。

IM 名 IMP2P log (ilog.log)見つからない場合、 FortiAnalyzer ユニットはコンテンツログ(clog.log) を使用します。


94

ユーザデータの検索フォレンジック分析

3 [Logging] を選択します。

4 ログ記録する、電子メール、インスタントメッセージ、 Web アクティビティを選択します。


ユーザデータの検索

ユーザデータ検索により、特定ユーザの指定されたアクティビティを素早く検索できます。この検索を使用して、特定の期間について、ユーザの電子メール、インスタントメッセージ ( チャット )、 FTP および HTML アクティビティを確認できます。

ユーザデータの検索は、次の手順で実行します。

1 [Forensic Analysis]、[Search]、[Search] の順に選択します。

2 以下のオプションを設定し、 [Search] を選択します。

[Search]を選択すると、FortiAnalyzerユニットはハードディスク上にあるコンテンツログデータ (FortiGate ユニットのコンテンツアーカイブによるデータ ) をスキャンし、入力した検索条件に基づきすべての情報を検索して、各検索条件から得られた結果の数を表示します。

図 36:検索結果

詳細を表示するログ情報で、[View] を選択します。新しいブラウザウィンドウに、検索結果が表示されます。

[Download] を選択すると、ローカルのハードディスクに特定のログ結果を保存します。

検索結果を保存する

必要に応じて後から参照できるように、検索結果を FortiAnalyzer のハードディスクに保存できます。保存した検索結果は、 [Local Archive] を選択して表示できます。詳細については、 95 ページの「ローカルアーカイブ」を参照してください。

検索結果は、次の手順で保存します。

1 [Save Archive] を選択します。

2 検索結果の名前を入力します。名前にスペースを入れません。

[Search based on] ユーザ名または IP アドレスに基づく検索を選択します。

[User / IP Address / Group]

検索条件を選択します。選択した検索に応じて、ユーザ名、グループ名または IP アドレスを入力します。

[Time Period] ユーザのアクティビティを表示する期間を選択します。

[Search for] 検索するユーザまたは IP アドレスの情報を選択します。


フォレンジック分析フォレンジックレポート

3 検索結果に含まれる内容の説明を入力します。

4 [Save] を選択します。

ローカルアーカイブ

ローカルアーカイブには、上記のフォレンジック分析検索から得た結果が保存されます。

保存したフォレンジック分析の検索結果を表示するには、 [Forensic Analysis]、[Search]、[Local Archive] の順に選択します。

[Archive Files] から検索結果の名前を選択して、検索結果を表示します。

アーカイブ名または説明内容を変更する場合は、 [Edit] を選択します。

FortiAnalyzer のハードディスクから検索アーカイブを削除する場合は、[Delete] を選択します。

フォレンジックレポート

FortiAnalyzer ユニットはデバイスログファイルから収集された情報を照合し、特定のユーザまたはユーザグループのレポートを、ネットワークレポート機能と同様に表形式およびグラフィカルな形式で作成できるようにします。このレポートから、ネットワーク上での特定期間について、ユーザの Web サイトアクセス、ブロックされた Web サイトアクセス、電子メール、 FTP、 IM の使用状況を確認できます。

レポートの設定をする

レポートにどのような情報を提示するかを定義する、レポート設定プロファイルを作成します。レポートの種類、レポートに提示するデバイス、期間を選択し、特定のレポートを作成します。

フォレンジック分析レポートプロファイルは、次の手順により設定します。

1 [Forensic Analysis]、[Report]、[Config] の順に選択します。


3 レポート名を入力します。

レポート名にスペースを入れません。

4 レポートの表題および内容についての説明を入力します。

5 設定が必要なオプションの隣にある青色の矢印を選択します。


プロパティ

企業情報およびロゴを使用して、レポートをカスタマイズします。

[Properties] ロゴ、ヘッダ、フッター、社名を加えて、レポートをカスタマイズする場合に選択します。

[Report Criteria] レポートに提示する情報を選択します。

[Report Scope] フィルタリング情報およびレポート内容に反映される期間を選択します。

[Forensic Report Type(s)]

含めるレポートを選択します。

[Output] レポートのファイル形式を選択します。


96

フォレンジックレポートフォレンジック分析

図 37:プロパティ

ロゴを追加するとき、レポートのファイル形式に対してロゴ形式の選択が正しいことを確認してください。

Table 8: レポート形式およびサポートされるロゴ形式

[Report Criteria]

レポートに含める結果の種類を選択します。

図 38:レポート条件

[Company Name] 会社名、部門名、または支社名を入力します。

[Header Comment] レポートのヘッダーに表記する表題または情報を入力します。

[Footer Comment] レポートのフッターに表記する情報を選択します。

• 新規レポートプロファイルを作成する初の手順で入力したレポート表題を使用する場合に、［Report Title］を選択します。

• 独自の情報を追加する場合に、 [Custom] を選択します。

[Title Page Logo] レポートの表題ページに会社のロゴを追加します。 [Custom] を選択してロゴを指定し、 [Upload] を選択して FortiAnalyzer のハードディスクにロゴを保存し、レポートに使用します。

[Header Logo] レポートのヘッダーに会社の小さなロゴを追加します。 [Custom]を選択してロゴを指定し、[Upload] を選択して FortiAnalyzerのハードディスクにロゴを保存し、レポートに使用します。

PDF 形式のレポート PNG

RTF 形式のレポート JPG、 PNG、 GIF、 WMF

HTML 形式のレポートサポートされるすべての形式



[Report Scope]

レポートの一定の期間を選択するか、または期間を表す特定の日時を選択します。FortiAnalyzer ユニットがレポートを生成するとき、指定した期間内から検索したログデータを使用します。

青色の矢印を選択して、 [Time Period] のオプションを展開します。

[Report Profile] 今後のレポートのためにレポートプロファイルを保存する場合に [Save Profile] を選択し、レポートプロファイルを 1 回のみ使用する場合は [On Demand] を選択します。 [On Demand] を選択した場合、 FortiAnalyzer ユニットがレポートを実行すると、作成したプロファイルはシステムから削除されます。

[Report Category] レポートに含む分析の種類を、ユーザまたはデバイスから選択します。

[User] リストからユーザを選択します。または [Specify] を選択し、[Specify] リストからオプションを選択します。この設定は、 [Report Category] で [User Analysis] を設定した場合に利用できます。

[Specify] 特定のユーザ名またはIP アドレスに基づいてレポートを作成する場合に選択します。このオプションは、 [User] から [Specify] を選択した場合に設定できます。この設定は、 [Report Category] で [User Analysis] を設定した場合に利用できます。

[Source IP Range][Username (in Logs)]

[Specify] リストからの選択に応じて、適切な情報を入力します。この設定は、 [Report Category] で [User Analysis] を設定した場合に利用できます。

[Group] 特定のユーザグループのレポートを作成する場合に選択します。この設定は、 [Report Category] で [User Analysis] を設定した場合に利用できます。

[Group Name (in logs)] 特定のグループ名を入力します。このオプションは、 [Group] から[Specify] を選択した場合に設定できます。この設定は、 [Report Category] で [User Analysis] を設定した場合に利用できます。

[Report Granularity] レポートの結果数を選択します。この設定は、 [Report Category] で [User Analysis] および [DeviceAnalysis] を設定した場合に利用できます。

[Service(s)] 単一のデバイスまたはデバイスグループを選択します。この設定は、 [Report Category] で [User Analysis] および [DeviceAnalysis] を設定した場合に利用できます。

[Virtual Domains] レポートのバーチャルドメイン名を入力します。この設定は、 [Report Category] で [Device Analysis] を設定した場合に利用できます。


[Resolve Service Names]

ポート番号ではなく、ネットワークサービス名を表示するのにオンにします。たとえば、ポート 80 ではなく HTTP とします。

[Include Summary Information]

レポート内容の概要を含む場合に選択します。

[Include Table of Contents]

レポートに目次を含める場合に選択します。


98


図 39:レポートの期間

青色の矢印を選択して、 [Data Filter] オプションを展開します。フィルタリングにより、レポートから情報を表示または削除でき、より簡潔なレポートを作成できます。たとえば、特定のエラーメッセージについてのレポート作成、または特定の IP アドレス宛先の除外などが可能になります。

利用可能なデータフィルタは、 [Report Category] の選択に応じて異なります。[Device Analysis] によるレポートを選択した場合、フィルタは標準のレポート設定に類似しています。 118 ページの「レポートの対象範囲」を参照してください。を参照してください。

[User Analysis] によるレポートを選択した場合、 Web コンテンツカテゴリを選択してレポートに含むことができます。

図 40:データフィルタ

フォレンジックレポートの種類

レポートに含める情報の種類を選択します。レポートのカテゴリを展開して、個々のレポートを選択するには、青色の矢印を選択します。

利用可能なフォレンジックレポート種類のオプションは、 [Report Criteria] の[Report Category] から [User Analysis] または [Device Analysis] のどちらを選択するかに応じて異なります。

[Time Period] レポートが対象とする期間を選択します。

[Local time for] レポートの時間の基準を選択します。ログメッセージに表示されるログエントリ時間は、デバイスがログメッセージを生成した時点ではなく、メッセージが受信された時点での、ローカルの FortiAnalyzer ユニットの時間です。いくつかのデバイスが異なるタイムゾーンにあり、期間に基づいてレポートプロファイルを作成する場合、時間が FortiAnalyzer ユニットとではなくデバイスと連動する必要があります。たとえば、デバイスがカリフォルニア、 FortiAnalyzer ユニットがニューヨークにあり、午前 9 時から午前 11 時のレポートを作成する場合、この選択によって異なる結果が得られます。

[From] このレポートの開始日付および時刻を入力します。

[To] このレポートの終了日付および時刻を入力します。



たとえば、[Attacks by Date] および [Top Attack Types] は [Device Analysis] と連携しますが、攻撃はユーザでなくデバイスに対して行われるので、 [User Analysis]レポートとは連携しません。したがってこのオプションは、 [User Analysis] のレポートカテゴリを選択した場合は表示されません。

レポートの出力

レポートの宛先と形式を選択します。 FortiAnalyzer のハードディスクにレポートを保存するか、または必要数の受信者にレポートを電子メールで送信するか、または両方を行うように FortiAnalyzer ユニットを設定します。

電子メールでレポートを送信するよう FortiAnalyzer ユニットを設定する場合は、FortiAnalyzer ユニットのメールサーバを設定する必要があります。詳細については、133 ページの「メールサーバ」を参照してください。

図 41:レポートの出力

注記 : HTML レポートを電子メールでユーザに送信する場合、ユーザの電子メールクライアント

で HTML がサポートされないと、メッセージの本文に各レポートの HTML コードが表示されます。

[Report Language] レポートの言語を選択します。 [Default] を選択すると、管理者アカウントの言語プリファレンスを使用するレポートが作成されます。

[File output] 生成された後にFortiAnalyzerのハードディスクに保存されるレポートのファイル形式を選択します。ハードディスクにあるレポートへのアクセスについては、 100 ページの「フォレンジックレポートを表示する」を参照してください。次の形式から選択します。

• HTML

• Adobe PDF

• MS Word 形式 (RTF)

• ASCII テキスト

• MIME HTML 形式 (MHT)


100


フォレンジックレポートを表示する

FortiAnalyzerWeb ベースマネージャを使用して、生成したフォレンジック分析レポートのリストを表示します。

生成したフォレンジック分析レポートを表示するには、 [Forensic Analysis]、[Reports]、[Browse] の順に選択します。

[Email output] FortiAnalyzer ユニットが電子メールの添付ファイルとして送信する、生成されたレポートのファイル形式を選択します。次の形式から選択します。

• HTML

• Adobe PDF



MIME HTML 形式 (MHT)

[Email subject] FortiAnalyzer が送信する電子メールの件名を入力します。選択しない場合は、件名の行はレポート名となります。[Customize subject] チェックボックスをオンにするには、 [Emailoutput] リストからファイル形式を選択する必要があります。

[Email Attachment Name]

電子メールに含まれるレポートファイルの名前を入力します。レポートプロファイルで複数のレポートを選択する場合は、FortiAnalyzerユニットはすべてのレポートを zip ファイルに圧縮します。このオプションでは、 zip ファイルの名前を選択できます。

[Email Body] 電子メールメッセージ本体に表記するテキストを入力します。

[Email from] FortiAnalyzer ユニットの電子メールアドレスまたはレポートを要求している管理者の電子メールアドレスを入力します。

[Email server] FortiAnalyzer ユニットがレポートを電子メールに添付して送信するとき使用するメールサーバを選択します。

[Email to] レポート受信者の電子メールアドレスを入力します。電子メールアドレス入力ごとに Enter を押して、複数の受信者を追加します。アドレスが、 [Email list] に表示されます。

[Upload Report to FTP Server]

完成したレポートのファイルをサーバにアップロードする場合に選択します。

[Server type] サーバの種類を選択します。次の種類から選択します。




[IP address] サーバの IP アドレスを入力します。

[Username] サーバにログオンするユーザ名を入力します。

[Password] サーバにログオンするためのパスワードを入力します。

[Directory] FortiAnalyzer ユニットがレポートファイルを保存するサーバ上のディレクトリを入力します。

[Upload report(s) in gzipped format]

サーバにアップロードする前に、 gzip ファイルとしてレポートファイルを圧縮する場合に選択します。

[Delete file(s) after uploading]

FortiAnalyzer ユニットがサーバへのアップロードを完了した後、FortiAnalyzer のハードディスクからレポートファイルを削除する場合に選択します。



図 42:生成したレポートの閲覧

[Refresh] ページを更新するとき選択します。

[Delete] いくつかのレポートを削除するとき選択します。[Delete] を選択する前に、削除するレポートのチェックボックスをオンにします。

[Page n of n] ジャンプ先のページ番号を入力します。 Enter を押すと、そのページにジャンプします。

[Report Files] HTML 形式でレポートを表示するには、レポート名を選択します。

[Start Time] FortiAnalyzer ユニットがレポートを生成した日付および時刻を表示します。

[End Time] FortiAnalyzer ユニットがレポートを完成した日付および時刻を表示します。FortiAnalyzer ユニットがレポート生成中の場合は、進捗バーがこの列に表示されます。

[Size (bytes)] レポートのファイル容量。

[Other Formats] デフォルトでは、FortiAnalyzer ユニットは HTML 形式でレポートを作成します。レポートプロファイル作成時に他の形式を選択すると、それらの形式がこの列に表示されます。

[Action] 削除アイコンを選択すると、 FortiAnalyzer のハードディスクからレポートを削除します。名前変更アイコンを選択すると、FortiAnalyzer ユニットがデフォルトで作成したレポートの名前を変更できます。

削除

名前変更


102



ネットワークサマリネットワーク使用のサマリ

F0

ネットワークサマリFortiAnalyzer ユニットは、登録済みデバイスから送信されるログメッセージに基づいたデータマイニング機能を提供します。この機能により、ネットワークの使用およびウイルスまたは不正侵入の動向に関する簡易レポートを作成できます。


• ネットワーク使用のサマリ

• セキュリティイベントサマリ

ネットワーク使用のサマリ

トラフィックサマリは、ネットワークのファイアウォールを通過するトラフィックのスナップショットを提供する、設定済みのレポートです。このレポートは、大容量を消費するユーザやネットワークトラフィック全体に影響を及ぼしている FortiGate ユニットを特定するのに役立ちます。毎時レポートは 10 分ごとに更新され、毎週、毎日、毎月のレポートは、 1 時間ごとに更新されます。

トラフィックフローの問題を判断するのに役立つこれらのレポートは、FortiGateユニットでトラフィックシェーピングを設定して日常的なトラフィックフローをより的確に管理できるようにするための基礎データを提供します。トラフィックシェーピングの詳細については、 FortiGate 管理ガイドを参照してください。

トップユーザ

[Top User] により、 Web、電子メール、 FTP、 IM/P2P など、サービスごとで多のトラフィックを生成しているユーザを確認できます。表形式のデータは、ユーザ、ユーザが使用しているファイアウォール、生成されているデータトラフィックの量を表します。

Web トラフィックを表示する

Web トラフィックのページは、ネットワーク上の HTTP および HTTPS 使用率のサマリをユーザごとに提示します。

Web トラフィックを表示するには、 [Network Summary]、[Top User]、[WebTraffic] の順に選択します。

列のヘッダーをクリックすると、その列の情報を降順また昇順に並べ替えます。

図 43:Web トラフィックの表示



104

ネットワーク使用のサマリネットワークサマリ

電子メールトラフィックを表示する

電子メールトラフィックのページは、ネットワーク上の電子メール使用率のサマリをユーザごとに提示します。

Web トラフィックを表示するには、 [Network Summary]、[Top User]、[EmailTraffic] の順に選択します。

図 44:電子メールトラフィックの表示

[Web activity within the last]

表示する Web トラフィックの期間を選択します。

• [hour:]10分おきに生成され、レポートスケジュールは10分間隔で変わります。

• [24 hours:]1時間おきに生成され、レポートスケジュールは1時間の間隔で変わります。

• [7 days:] 毎日の開始時に生成されます。


[View] そのデバイスに見られる Web トラフィックを表示するデバイスまたはデバイスのグループを選択します。

[Total Web activity for the period]

Web 経由で転送されるデータの総容量 (MB 単位 )。

[View n per page] 各ページに表示されるログメッセージの数を選択します。

[Page n of n] 表示するページ番号を入力して、 Enter を押します。

[Search] 検索条件を入力して [Go] を選択します。検索結果をともなうログエントリが、リストに表示されます。

[Resolve Host Names] [Host] 列に IP アドレスではなく分かりやすい名前 (IP エイリアス) を表示できます。 IP エイリアスの作成については、 42 ページの「IP エイリアス」を参照してください。

[Device ID] FortiGate ユニットのデバイス ID。

[Source] トラフィック発信元の IP アドレス。

[Traffic (MB)] 一定期間に標準ポートで HTTP および HTTPS により転送されるデータの容量。

[Last Activity] 後の Web トラフィックの日付と時刻。

[Upload] 一定期間に発生するアップロード数。

[Download] 一定期間に発生するダウンロード数。

[Email activity within the last]

表示する電子メールトラフィックの期間を選択します。





[View] そのデバイスに見られる電子メールトラフィックを表示するデバイスまたはデバイスのグループを選択します。




FTP トラフィックを表示する

FTP トラフィックのページは、ネットワーク上の FTP 使用率のサマリをユーザごとに提示します。

Web トラフィックを表示するには、[Network Summary]、[Top User]、[FTP Traffic]の順に選択します。

図 45: FTP トラフィックの表示

[Total Web activity for the period]

電子メールで転送されるデータの総容量 (MB 単位 )。







[Traffic (MB)] 一定期間に電子メールにより転送されるデータの総容量。

[Last Activity] 後の電子メールトラフィックの日付と時刻。



[FTP activity within the last]

表示する FTP トラフィックの期間を選択します。





[View] そのデバイスに見られる FTP トラフィックを表示するデバイスまたはデバイスのグループを選択します。

[Total FTP activity for the period]

FTP で転送されるデータの総容量 (MB 単位 )。







106



インスタントメッセージおよび P2P トラフィックを表示する

インスタントメッセージング (IM) および P2P トラフィックのページは、ネットワーク上の IM 使用率サマリをユーザごとに提示します。

Web トラフィックを表示するには、 [Network Summary]、[Top User]、[IM/P2PTraffic] の順に選択します。

図 46: IM/P2P トラフィックの表示



[Traffic (MB)] 一定期間に FTP により転送されるデータの総容量。

[Last Activity] 後の FTP トラフィックの日付と時刻。



[IM activity within the last]

表示する IM および P2P トラフィックの期間を選択します。





[View] そのデバイスに見られる FTP (IM) トラフィックを表示するデバイスまたはデバイスのグループを選択します。

[Total IM activity for the period]

IM または P2P で転送されるデータの総容量 (MB 単位 )。







[Traffic (MB)] 一定期間に IM または P2P により転送されるデータの総容量。

[Last Activity] 後の IM または P2P トラフィックの日付と時刻。

[Messages] 一定期間に送受信されるメッセージの数。

[File Transfers] 一定期間での IM または P2P ファイル転送の数。



トラフィックサマリをフィルタリングする

ユーザトラフィックのサマリを表示する場合、情報をフィルタリングして特定の情報を検索できます。

図 47:フィルタアイコン

データの各列には、グレーのフィルタアイコンがあります。このアイコンを選択して、列のコンテンツをフィルタリングします。検索する情報を検索用フィールドに入力して、 [OK] を選択します。

列をフィルタリングすると、フィルタアイコンが緑で表示されます。

フィルタをオフにするには、フィルタアイコンを選択して、 [Reset Filter] を選択します。

リアルタイムのログを表示しているときは、常に現在の時刻を表示する時刻表示の列をフィルタリングできません。


発信元または宛先の IP によりフィルタリングする場合は、次のフィルタリングの条件を使用できます。

• 単一のアドレス (2.2.2.2)


• アドレス範囲 (1.2.2.1-1.2.2.100)

または、ブール演算子 ("or") を挟んで、複数の条件を示すこともできます。

• 1.1.1.1 or 2.2.2.2

• 1.1.1.1 or 2.2.2.*

• 1.1.1.1 or 2.2.2.1-2.2.2.10

デバイスのサマリ

デバイスのサマリは、 FortiGate ユニットによるネットワークトラフィックのグラフィカルな分析を表示します。このサマリは、グループごとまたは個別にすべての FortiGate ユニットの詳細情報をリアルタイムでグラフィカルに表示します。表示されるすべてのFortiGateユニットは、FortiAnalyzerユニットに必ず正式登録されている必要があります。

デバイスのサマリには、以下が含まれます。

• プロトコルの分布 : 全般的なプロトコルトラフィックおよびアップロード、ダウンロードごとの概要

• Web / FTP: ホスト、上位 FTP、 Web サーバごとのトラフィックおよび容量

• 電子メール : 上位 SMTP、POP3、IMAP サーバおよび上位電子メール送信者のアクティビティ

• マルチメディア : 上位 RTSP および MMS サーバアクティビティ

デバイスのサマリは、全期間を通じてすべてのデバイスで毎時間ごとに生成されます。

デバイスのサマリグラフを表示するには、 [Network Summary]、[DeviceSummary] の順に選択します。



108


図 48:プロトコル分布の表示

トラフィックレポート

トラフィックレポートにより、 [Network Summary]、 [Top User] のページを個別に表示する代わりに、トラフィックサマリ情報を一括したレポートを生成することができます。ログレポートおよびフォレンジック分析と同様に、 FortiAnalyzer はレポートを生成しそれを FortiAnalyzer のハードディスクに保存して表示、配布できます。

トラフィックレポートを設定する

レポートにどのような情報を提示するかを定義するレポート設定プロファイルを作成します。レポートの種類、レポートに提示するデバイス、期間を選択し、特定のレポートを作成します。

トラフィックレポートは、次の手順で設定します。

1 [Network Summary]、[Traffic Report]、[Config] の順に選択します。

2 [Create New] を選択してカスタムのトラフィックレポートを追加するか、または [Edit] を選択して既存のトラフィックレポートを編集します。



5 レポートを直ぐに実行して表示するには、 [Run] を選択します。

[Device] 単一のデバイスまたはデバイスグループを選択します。

[Time frame] グラフに表示する期間を選択します。

[Name] トラフィックサマリレポートの名前を入力します。


[Include Top Users Summary]

もアクティブなネットワークユーザのロールアップを含める場合に選択します。

[Device Selection] レポートに含めるデバイスまたはデバイスのグループを選択します。

[Report Output] レポートのファイル形式を選択します。 PDF または Microsoft Word(RTF) 形式から選びます。


ネットワークサマリセキュリティイベントサマリ

トラフィックサマリレポートを表示する

生成したトラフィックサマリレポートを表示するには、 [Network Summary]、[Traffic Report]、[Browse] の順に選択します。

図 49:生成したトラフィックサマリレポートの閲覧

セキュリティイベントサマリ

セキュリティイベントサマリは、ファイアウォールを突破しようとする不審なトラフィックのスナップショットレポートです。 FortiAnalyzer ユニットには、毎日更新されるデフォルトのイベントレポートがあります。

• ウイルス

• 不正侵入

• 不審

• 管理

[Event Correlation] は、カスタムのセキュリティイベントレポートを作成できます。

カスタムのセキュリティイベントレポートを追加する

FortiAnalyzer ユニットには、ウイルス、不正侵入、不審な動作のイベントについてのセキュリティイベントレポートがデフォルトで含まれます。さらに、FortiAnalyzer ユニットがいつレポートを生成するか、どのデバイスログをFortiAnalyzer ユニットが分析するかを設定することで、カスタマイズされたイベント相関レポートを追加できます。

カスタムのセキュリティイベントレポートは、次の手順で設定します。

1 [Network Summary]、[Security Event]、[Event Correlation] の順に選択します。



[Name] 生成されたレポートを表示します。

[Start Time] FortiAnalyzer ユニットがレポートを生成した日付および時刻を表示します。

[End Time] FortiAnalyzer ユニットがレポートを完成した日付および時刻を表示します。FortiAnalyzer ユニットがレポート生成中の場合は、進捗バーがこの列に表示されます。

[Formats] 利用可能なレポート形式を、レポート設定の選択に応じて表示します。レポートを表示する形式を選択します。

[Action] 削除アイコンを選択すると、FortiAnalyzer のハードディスクからレポートを削除します。

[Name] イベント相関レポートの名前を入力します。

[Devices/Groups] FortiAnalyzer ユニットが分析してレポートを生成するデバイスまたはデバイスのグループを選択します。


110

セキュリティイベントサマリネットワークサマリ

カスタムのセキュリティイベントレポートを表示する

カスタムのイベント相関レポートを設定または表示するには、 [NetworkSummary]、[Security Event]、[Event Correlation] の順に選択します。

図 50:セキュリティイベントレポートプロファイルの設定および表示

[Run Engine] イベントアクティビティのレポートを毎日または毎週作成するかを選択します。

[Time] FortiAnalyzerユニットがいつレポートを実行するかを選択します。レポートを毎日実行する場合は [Daily] および時刻を選択します。特定の曜日にレポートを実行する場合は、 [Weekly] および曜日と時刻を選択します。

[Engine Type] 不正侵入、ウイルス、または不審な活動など、実行するイベント相関レポートの種類を選択します。

[Ignore hosts that have less than n incidents]

個別の発信元から発生する事象の数のしきい値を選択し、しきい値を設定します。たとえば、単一の発信元が設定されたしきい値を上回る数のウイルスを送信しようとする場合は、 FortiAnalyzerユニットはそれを 1 つのウイルスイベントと認識します。

[Ignore hosts whose traffic is less than n MB]

個別の発信元から発生する少許容量トラフィックのしきい値を選択し、しきい値を設定します。たとえば、単一の発信元がコンテンツトラフィックに設定されたしきい値を上回る数のウイルスまたは攻撃を送信しようとする場合は、 FortiAnalyzer ユニットはそれを 1 つのウイルスイベントと認識します。このオプションは、 [Engine Type] から [Suspicious] ( 設定済み ) を選択した場合に表示されます。

[Create New] 新しいイベント相関レポートを追加する場合に選択します。

[Report Engine] レポートの名前。 FortiAnalyzer ユニットには、ウイルス、不正侵入、不審の 3 種類のレポートエンジンがデフォルトで含まれます。

[Frequency] FortiAnalyzer ユニットがレポートを実行する時刻。

[Devices/Groups] FortiAnalyzer ユニットがレポート生成時に使用する、デバイスまたはデバイスのグループのログ。

削除

編集

実行

表示



ウイルスアクティビティを表示する

ウイルスレポートは、 FortiAnalyzer ユニットに保存されたすべてのアンチウイルスアクティビティログのサマリを提供し、ネットワーク上の全般的なウイルスアクティビティのレポートを提供します。

FortiAnalyzer ユニットは、このデフォルトレポートをスケジュール間隔に沿って生成します。カスタムのウイルスレポート設定については、 109 ページの「カスタムのセキュリティイベントレポートを追加する」を参照してください。

ウイルスアクティビティを表示するには、 [Network Summary]、[SecurityEvent]、[Virus] の順に選択します。

図 51:ウイルスアクティビティの表示

不正侵入アクティビティを表示する

不正侵入レポートは、 FortiAnalyzer ユニットに保存されたすべての侵入防 (IPS) 防護ログのサマリを提示し、ネットワーク上の全体的な侵入行動のレポートを作成します。

[Threshold] ホストがネットワーク上のユーザに対して攻撃または感染を仕掛けた、レポートに含まれるまでの上限回数を示します。ウイルスイベントでは、単一の発信元からのトラフィックがウイルスイベントとして認められるまでの許容量を、 MB 単位で示します。トラフィックのしきい値は、 [Suspicious] ( 不審 ) イベントレポートでのみ利用可能です。

[Action] [ 削除アイコン ] を選択して、レポート名を削除します。デフォルトのウイルス、不正侵入および不審レポートのレポートプロファイルは、削除できないことに注意してください。レポートの設定を編集する場合に、[編集アイコン ] を選択します。[Go] を選択すると、直ちにレポートを実行します。[ 表示アイコン ] を選択すると、レポート結果を表示します。

[Virus activity within the last]

表示するウイルスアクティビティの期間を選択します。

[View] デバイスまたはデバイスのグループを選択します。

[Firewall] ファイアウォールの名前。

[Host (Source)] ファイアウォールの発信元 IP アドレス。

[Virus] ウイルスの名前。

[Last Activity] 前回のウイルス事象の日付および時刻。

[Count] ネットワーク上でウイルスにより発生した事象の数。

[Action] 詳細アイコンを選択すると、エントリの追加情報が表示されます。詳細ウィンドウは、時刻と日付、ターゲット、プロトコルなど、ウイルス事象の詳細な追加情報を表示します。確認アイコンを選択すると、ウイルスの攻撃カウントをゼロにリセットします。これにより、ファイアウォールに新たなウイルス事象が発生したかを確認でき、さらに事象発生数を監視できます。

詳細

確認


112


FortiAnalyzer ユニットは、このデフォルトレポートをスケジュール間隔に沿って生成します。カスタムの不正侵入行動レポート設定については、109 ページの「カスタムのセキュリティイベントレポートを追加する」を参照してください。

不正侵入アクティビティを表示するには、[Network Summary]、[Security Event]、[Intrusion] の順に選択します。

図 52:不正侵入アクティビティの表示

不審なアクティビティを表示する

不審なアクティビティのレポートは、異常なネットワークトラフィックをともなうホストのサマリについてレポートします。たとえば、不審なホストは多量のセッションをともない、また大量の電子メールトラフィックが認められればウイルス感染など危険な兆候が疑われます。

そのアクティビティが不審かどうかを判断するために、まず FortiAnalyzer ユニットは過去のトラフィックおよびセッション情報を、選択された FortiGate ユニットから検証し、平均的なトラフィックパターンを確認して、次にそれらの平均パターンと現在のトラフィックパターンを比較します。

[Intrusion activity within the last]

表示する不正侵入アクティビティの期間を選択します。


[Firewall] ファイアウォールの名前。

[Host (Source)] ファイアウォールの発信元 IP アドレス。

[Attack Name] 不正侵入イベントの名前。攻撃名は FortiGuard Center とのリンクとなります。このリンクを選択すると、 FortiGuard Web サイトが開き、データベースから攻撃についての情報を表示します。

[Last Activity] 後の不正侵入事象の日付と時刻。

[Count] ネットワーク上の不正侵入事象の数。

[Action] 詳細アイコンを選択すると、エントリの追加情報が表示されます。詳細ウィンドウは、不正侵入が行われようとした時刻と日付、ターゲット、プロトコルなど、詳細な追加情報を表示します。確認アイコンを選択すると、不正侵入カウントをゼロにリセットします。これにより、ファイアウォールへの新たな不正侵入とその頻度を確認できます。

詳細

確認

注記 : 不審なアクティビティのレポートは、検出されたウイルスの情報は表示しません。検出されたウイルスの表示については、 111 ページの「ウイルスアクティビティを表示す

る」を参照してください。



平均をも上回る IP アドレスは不審が疑われ、レポートに含まれます。カスタムの不審なアクティビティレポートの設定については、 109 ページの「カスタムのセキュリティイベントレポートを追加する」を参照してください。

不審なアクティビティを表示するには、 [Network Summary]、[Security Event]、[Suspicious] の順に選択します。

図 53:不審なアクティビティの表示

[Suspicious activity within the last]

表示する異常なアクティビティの期間を選択します。


[Traffic Usage]

[Top] トラフィック使用率レポートに含む上位 FortiGate ユニットの台数を入力して、 [Go] を選択します。FortiAnalyzer ユニットは、 30 アドレスまでをレポートします。

[Total traffic during period]

FortiAnalyzer ユニットにログ記録するすべてのFortiGate ユニットを指定の期間中に経由したデータの総量を、 MB 単位で示します。

[Firewall] 不審なアクティビティをログ記録した FortiGateユニットの名前。

[Host (Source)] 不審なアクティビティの発信元 IP アドレス。

[Usage(MB)] 指定の期間中に FortiGate ユニットを経由したデータの総量を、 MB 単位で示します。

[Last Activity] 後のアクティビティの日付と時刻。

[Number of Sessions] 指定期間中の、疑わしい IP アドレスからのセッション数。

[Action] 詳細アイコンを選択すると、その IP アドレスのトラフィック情報を表示します。確認アイコンを選択すると、セッションのカウントをゼロにリセットします。

[Session Usage]

[Top] セッション使用率レポートに含む上位 FortiGateユニットの台数を入力して、 [Go] を選択します。FortiAnalyzer ユニットは、 30 アドレスまでをレポートします。

[Total sessions initiated during period]

FortiAnalyzer ユニットにログ記録するすべてのFortiGate ユニットを指定の期間中に経由したセッションの総数を示します。

詳細

確認


114


管理アクティビティを表示する

管理アクティビティのページは、FortiAnalyzer ユニットに保存されているイベントログからすべての管理ログエントリについて関連性を比較し、ネットワーク上の FortiGate ユニットで発生した管理アクティビティの全般的なレポートを生成します。

管理アクティビティを表示するには、 [Network Summary]、[Security Event]、[Administrative] の順に選択します。

図 54:管理アクティビティの表示

[Firewall] 不審なアクティビティをログ記録した FortiGateユニットの名前。

[Host (Source)] 不審なアクティビティの発信元 IP アドレス。

[Usage(MB)] 指定の期間中に FortiGate ユニットを経由したデータの総量を、 MB 単位で示します。

[Last Activity] 後のアクティビティの日付と時刻。

[Number of Sessions] 指定期間中の、疑わしい IP アドレスからのセッション数。

[Action] 詳細アイコンを選択すると、その IP アドレスのセッション情報を表示します。確認アイコンを選択すると、セッションのカウントをゼロにリセットします。

[Administrative activity within the last]

表示する管理アクティビティの期間を選択します。


[Firewall] FortiGate ユニットの名前またはシリアル番号。

[User] ユニット上で管理作業を実行した後の管理ユーザのユーザ名。

[Last Action] ユーザが実行した管理機能。

[Last Activity] ユーザが管理作業を実行した日付および時刻。

[Count] FortiGate ユニットにログ記録される管理アクティビティの数。

[Action] 詳細アイコンを選択すると、エントリの追加情報が表示されます。詳細ウィンドウには、管理イベントの追加情報が表示されます。確認アイコンを選択すると、管理アクティビティのカウントをゼロにリセットします。

詳細

確認


レポートレポートの設定

F0

レポートFortiAnalyzer ユニットは、デバイスログファイルから収集された情報を照合し、その情報を表形式およびグラフ形式のレポートで提供します。このレポートには、トラフィックの量と種類、攻撃、設定変更など、特定の期間に発生したさまざまなイベントに関する横断的な総合情報が含まれます。

レポートを活用することにより、以下が可能となります。

• ネットワークの使用状況およびパターンの表示から、十分な情報に基づいて方針を決定できる。

• デバイスを分散して設置している環境から脆弱性を見出し、対策を立てられる。

• 攻撃防御のポリシーをカスタマイズする際に、攻撃パターンを特定する作業を小化できる。

• 企業ポリシー遵守のために、インターネットサーフィンのパターンを監視できる。

• 顧客になり得る Web サイトの閲覧者を特定できる。


• レポートの設定

• レポートの閲覧

レポートの設定

レポートの内容は、実際に使用する形で定義するか、あるいはレポートプロファイルを作成または編集することにより、各種の特徴を組み合わせた内容を繰り返し利用することもできます。レポートの種類、レポートに含めるデバイス、レポートの期間を選択し、特定のレポートを作成します。

1 つのセクションの表またはグラフに表される結果の数は、レポートの種類に応じて異なります。

• ランク付けレポート ( 上位 x、または上位x の上位y) には、断面ごとに異なる結果数を含むことができ、他の結果については "Others" ( その他 ) としてまとめて表示されます。たとえば、 "Top Mail Receivers and Their Top Senders" ( メール受信者の上位およびそれらの送信者の上位 ) では、レポートは上位 x 件の受信者、およびそれらの上位 y 件の送信者を含み、残りをその他の結果としてグループにまとめます。 [Report Format] の [Advanced] では、 x および y の両方を設定できます。

• サマリレポートには、上位 n 件の結果が含まれ、さらに可能な場合は、他の結果を "Others" としてまとめます。[Summary Layout] のグラフサムネイルに表示される鉛筆アイコンを選択し、上位 N を入力することで、n を設定できます。

• 監査レポートには、後の m 件の結果のみが含まれます。m は、[Report Format]の [Advanced] で設定できます。

夏時間 (DST) は、レポートに影響します。

FortiAnalyzer ユニットでレポートの実行を可能にするには、まずレポートのオプション (プロファイル ) を設定する必要があります。レポートプロファイルを設定するには、[Report]、[Config] の順に選択します。

注記 : 特定内容のレポートについては、フォレンジック分析、ネットワークアナライザ、ネットワークサマリを参照してください。


116

レポートの設定レポート

図 55:レポートプロファイル

レポートを設定するには、次の手順を行います。

1 [Report]、[Config] の順に選択します。


3 レポート名を入力します。

レポート名には、スペースを入れません。

4 設定後、必要に応じて直ぐにレポートを実行するか、またはスケジュールに応じて設定された間隔でレポートを実行します。

必要に応じてレポートを実行する場合は、 FortiAnalyzer ユニットはレポート生成後にそのレポートプロファイルを保存しません。

5 レポートの表題および説明を入力します。

[Create New] 新規レポートプロファイルを作成して、設定項目およびスケジュールを設定する場合に選択します。

[Delete] チェックボックスがオンになっているレポートプロファイルを削除する場合に選択します。

• 1 つまたは複数のレポートを削除するには、レポート名の横にあるチェックボックスをオンにして、 [Delete] を選択します。

• 全レポートを削除するには、列のヘッダーにあるチェックボックスをオンにします。全レポートのチェックボックスがオンになるので、 [Delete] を選択して全項目を削除します。

# FortiAnalyzer ユニット上のレポートプロファイル数。

[Report] レポートプロファイルの名前。

[Device(s)] 設定済みレポートプロファイルに含まれるデバイスまたはデバイスのグループ。

[Schedule] FortiAnalyzer ユニットがレポートを生成する頻度となるスケジュール。

[Action] 削除アイコンを選択して、レポートプロファイルを削除します。編集アイコンを選択して、レポートプロファイルを編集します。クローンアイコンを選択して、レポートを複製し、新たにレポートプロファイルを作成するためのベースに利用できます。直ちに実行アイコンを選択すると、レポートプロファイルのスケジュール時間を待たずに、必要に応じて直ぐにレポートプロファイルを実行できます。

削除

編集

クローン

直ちに実行



6 青色の矢印を選択して、次のカテゴリを展開します。レポートの種類に応じて、プロファイルオプションを設定します。


プロパティ

会社情報または支社情報、およびロゴを使用してレポートをカスタマイズし、業務用のレポートを作成します。

図 56:プロパティ

[Properties] ロゴ、ヘッダ、フッター、社名を加えて、レポートをカスタマイズする場合に選択します。詳細については、 117 ページの「プロパティ」を参照してください。

[Devices] レポートに含めるデバイスまたはデバイスのグループを選択します。詳細については、 118 ページの「デバイス」を参照してください。

[Report Scope] フィルタリング情報およびレポート内容に反映される期間を選択します。[Report Scope] では、夏時間が考慮されます。詳細については、 118ページの「レポートの対象範囲」を参照してください。

[Forensic Report Type(s)]

含めるレポートを選択します。詳細については、 120 ページの「レポートの種類」を参照してください。

[Report Format] デバイスごとまたは全デバイスで、レポート中の情報をどのように表示するかを選択します。詳細については、 121 ページの「レポートの形式」を参照してください。

[Schedule] FortiAnalyzer ユニットが、毎週または毎月など、どのようなスケジュールでレポートを実行するかを設定します。詳細については、122ページの「レポートスケジュール」を参照してください。

[Output] レポートのファイル形式を選択します。詳細については、 122 ページの「レポートの出力」を参照してください。

[Summary Layout] どのサマリレポートを、どのようなページレイアウトで含めるかを選択します。詳細については、 124 ページの「サマリレイアウト」を参照してください。この項は、選択されたデバイスまたはグループが FortiGate デバイスの場合のみ表示されます。

[Company Name] 会社名、部門名、または支社名を入力します。

[Header Comment] レポートのヘッダーに表記する表題または情報を入力します。

[Footer Comment] レポートのフッターに表記する情報を選択します。

• 新規レポートプロファイルを作成する初の手順で入力したレポート表題を使用する場合に、［Report Title］を選択します。

• 独自の情報を追加する場合に、 [Custom] を選択します。

[Title Page Logo] レポートの表題ページに会社のロゴを追加します。 [Custom] を選択してロゴを指定し、 [Upload] を選択して FortiAnalyzer のハードディスクにロゴを保存し、レポートに使用します。

[Header Logo] レポートのヘッダに会社の小さなロゴを追加します。ヘッダーロゴは、 PDF または Word ファイル形式のページごとに表示されます。 HTML 形式のレポートでは、ヘッダーロゴはページの上部に表示されます。 [Custom] を選択してロゴを指定し、 [Upload] を選択して FortiAnalyzer のハードディスクにロゴを保存し、レポートに使用します。


118


レポートにロゴを追加する場合、以下の表を参照して、作成するレポートに対してロゴのファイル形式の選択が正しいことを確認してください。レポート形式でサポートされないロゴを選択すると、レポートにロゴを表示できません。

Table 9: レポート形式およびサポートされるロゴ形式

デバイス

レポートに含めるデバイスまたはデバイスのグループを、リストから選択します。

複数デバイスのレポートを必要とする場合は、グループを形成しデバイスをそのグループに追加します。グループの作成については、 70 ページの「デバイスグループ」を参照してください。

登録済みデバイスおよびグループのみが、リストに表示されます。未登録のデバイスに、レポートプロファイルは設定できません。

FortiGate ユニットなど既知の種類のデバイスがこのリストに表示されず、Device> All > Device で表示される場合は、デバイスは認識されますが未登録と考えられます。この場合、デバイスを手動で登録してから、レポートを設定します。既知の種類のデバイスを自動的に登録するようにユニットを設定する方法については、 58 ページの「未登録デバイスオプション」を参照してください。

レポートの対象範囲

レポートの対象範囲には、データを含めるためのオプションがあります。レポートに含めるデータの期間およびフィルタ情報を選択します。

夏時間 (DST) は、レポートに影響します。 Time Period の設定に応じて作成され、夏時間変更を含むレポートの場合、数時間分多くのイベントがレポートに含まれるなど、レポートの対象範囲が多少広がります。

• 青色の矢印を選択して、 [Time Period] のオプションを展開します。レポートの一定の期間を選択するか、または期間を表す特定の日時を選択します。FortiAnalyzer ユニットがレポートを生成するとき、指定した期間内から検索したログデータを使用します。

図 57:レポート対象の期間

PDF 形式のレポート JPG、 PNG、 GIF

RTF 形式のレポート JPG、 PNG、 GIF、 WMF

HTML 形式のレポート JPG、 PNG、 GIF


[Local time for] レポートの時間の基準を選択します。ログメッセージに表示されるログエントリ時間は、デバイスがログメッセージを生成した時点ではなく、メッセージが受信された時点での、ローカルの FortiAnalyzer ユニットの時間です。いくつかのデバイスが異なるタイムゾーンにあり、期間に基づいてレポートプロファイルを作成する場合、時間が FortiAnalyzer ユニットとではなくデバイスと連動する必要があります。たとえば、デバイスがカリフォルニア、 FortiAnalyzer ユニットがニューヨークにあり、午前 9 時から午前 11 時のレポートを作成する場合、この選択によって異なる結果が得られます。



• 青色の矢印を選択して、 [Data Filter] オプションを展開します。フィルタリングにより、レポートから情報を表示または削除でき、より簡潔なレポートを作成できます。たとえば、特定のエラーメッセージについてのレポート作成、または特定の IP アドレス宛先の除外などが可能になります。

フィールドに複数の値を入力する場合は、入力項目ごとにカンマで区切ります。

図 58:レポート対象範囲のデータフィルタ

[From:] このレポートの開始日付および時刻を入力します。

[To:] このレポートの終了の日付および時刻を入力します。

[Filter logs] レポートのログにフィルタを適用しないようにするには、 [None] を選択します。フィルタリングをカスタマイズする場合は、 [Include logs that matchthe following criteria] を選択します。

[Include logs that match]

一致するフィルタの条件を選択します。すべてのフィルタ設定に一致するログをレポートに含めるには、 [all]を選択します。ログ内の情報がすべての条件に一致しなければ、FortiAnalyzer ユニットはレポートにログを含めません。フィルタ設定のいずれかに一致するログをレポートに含めるには、[any] を選択します。たとえ 1 つのフィルタ設定でも、フィルタコンテンツのいずれかがログファイルの情報に一致すると、FortiAnalyzerユニットはそのログをレポートに含めます。

[Priority] プライオリティレベルのフィルタオプションを有効にするには、このチェックボックスをオンにします。ログ内を調べるプライオリティレベルを設定し、情報がそのプライオリティレベルを下回らなければならないのか、上回らなければならないのか、あるいはそのプライオリティレベルと等しくなければならないのかを設定します。

[Source(s)] 条件を照合する送信元 IP アドレスを入力します。 [Alias] リストを使用して、送信元を名前で選択します。 IP エイリアスの作成については、 42 ページの「IP エイリアス」を参照してください。複数の送信元を区切るには、カンマを使用します。レポートから送信元 IP アドレスを除外するには、[Not] をオンにします。たとえば、特定の送信元 IP アドレスの情報をログレポートに含めないようにします。


120


レポートの種類

レポートに含める情報の種類を選択します。

• も一般的なレポートの種類を含めるには、 [Basic] を選択します。

• すべてのレポートの種類を含めるには、 [All] を選択します。あるレポートの種類にデータが存在しない場合は、 [No matching log data for this report.] ( このレポートに一致するログデータがありません ) というメッセージが表示されます。

• 含めるレポートを選択するには、 [Custom] を選択します。レポートのカテゴリを展開して、個々のレポートを選択するには、青色の矢印を選択します。

[Destination(s)] 条件を照合する宛先 IP アドレスを入力します。 [Alias] リストを使用して、送信元を名前で選択します。 IP エイリアスの作成については、42 ページの「IP エイリアス」を参照してください。複数の送信元を区切るには、カンマを使用します。レポートから宛先 IP アドレスを除外するには、 [Not] をオンにします。たとえば、特定の宛先 IP アドレスの情報をログレポートに含めないようにします。IP のレンジにはフィルタを適用でき、これには社内のグループについて報告するサブネットが含まれます。たとえば、次のようになります。

• 172.20.110.0-255は、172.20.110.0/255.255.255.0または172.20.110.0/24のサブネットのあらゆる IP アドレスにフィルタを適用します。

• 172.20.110.0-140.255は、172.20.110.0から 172.20.140.255のすべてのIP アドレスにフィルタを適用します。

• 172.16.0.0-20.255.255は、172.16.0.0から 172.20.255.255のすべてのIPアドレスにフィルタを適用します。

[Interface(s)] レポートに含める FortiGate インタフェースを入力します。複数のインタフェース名は、カンマで区切ります。レポートからインタフェース情報を除外するには、 [Not] をオンにします。たとえば、特定のインタフェースの情報をログレポートに含めないようにします。

[User(s)] レポートに含めるユーザ名を入力します。複数のユーザ名は、カンマで区切ります。

[Group(s)] レポートに含めるユーザグループを入力します。複数のグループは、カンマで区切ります。ユーザグループは、 FortiGate ユニットで設定します。

[LDAP Query] LDAP または Windows AD グループを使用してレポートにフィルタを適用する場合に選択します。リストからグループを選択します。LDAPクエリを有効にする方法については、 49 ページの「LDAP」を参照してください。

[Virtual Domain(s)] レポートに含めるバーチャルドメイン (VDOM) を入力します。複数の VDOM は、カンマで区切ります。レポートから VDOM を除外するには、 [Not] をオンにします。たとえば、特定の VDOM の情報をログレポートに含めないようにします。

[Policy ID(s)] レポートに含めるファイアウォールポリシー ID 番号を入力します。レポートでは、 FortiGate のファイアウォールポリシーのトラフィック情報がログに含まれることになります。複数のポリシー ID は、カンマで区切ります。

[Service(s)] レポートに含める特定のサービスを入力します。複数のサービスは、カンマで区切ります。レポートからサービスを除外するには、 [Not] をオンにします。たとえば、特定のサービスの情報をログレポートに含めないようにします。

[Message(s)] 電子メールレポートからレポートに含める、特定の電子メールメッセージを入力します。複数のメッセージは、カンマで区切ります。

[Day of the Week] レポートに含めるため、ログファイルから情報が引き出される曜日を選択します。



レポートの形式

レポートに含める結果の種類を選択します。

図 59:レポートの形式

青色の矢印を選択して、 [Advanced] のオプションを展開します。

ランク付けレポートでは、 Top Attacks by Destination などの 'top n' レポート種類の場合、上位ランクの項目をいくつレポートに含むかを指定できます。たとえば、Top Blocked Web Sites レポートを設定し、初の変数の数値を 1.. 30 に設定することで、大 30 までの拒否された URL 上位 n を含むことができます。

ランク付けレポートでは、単一の基準に加えて "Top Mail Servers by Top Clients(Traffic)" のように二重の基準からランク付けを行うレポートもあります。このレポートでは、上位の電子メールクライアントをともなう上位電子メールサーバをランク付けします。このような二重のランク付けレポートでは、初の変数の各値 1..30 に対して第二の変数値を設定することにより、ランク付けの第二の基準となるしきい値を設定できます。

[Report Results] レポートが何を対象とするデータを提示するかを選択します。選択肢には、 [For all devices]、 [Per device]、 [Per Virtual Domain] があります。何も選択しない場合は、 FortiAnalyzer はデフォルトで全デバイスを対象とするレポートを生成します。このオプションは、 [Devices] が [All_FortiClients] のレポートを設定する場合は表示されません。

[Display category summary reports]

含まれるレポートの種類ごとのレポートサマリを含む場合に選択します。

[Include reports with no matching data]

データが存在しないレポートを含む場合に選択します。この場合、サマリに空白のレポートが表示されます。このオプションを含むことにより、要求されるレポートすべてをサマリに含むことができます。


[Resolve Service Names]

ポート 80 のようなポート番号ではなく、 HTTP のようなネットワークサービス名を表示する場合にオンにします。

[Obfuscate User (Group) Names]

レポートで IP アドレスを隠す場合に選択します。このオプションを選択すると、アドレスの数字に 'X' の文字を表示します。このオプションは、 [Web filter Activity reports User Destination bySummary]、 [Top Blocked Users]、 [Top Users by Hits and UserCategory and URL] で使用します。


122


レポートコンテンツの概要を含める場合は、[Include Summary information] を選択します。

レポートの目次を含める場合は、 [Select Include Table of Contents] を選択します。

レポートスケジュール

FortiAnalyzer ユニットでレポートを生成するスケジュールを設定します。定期的にレポートを生成するスケジュールを選択し、たとえば電子メールトラフィックのレポートを毎週作成します。

夏時間 (DST) は、レポートに影響します。

図 60:レポートスケジュール

レポートの出力

レポートの宛先と形式を選択します。 FortiAnalyzer のハードディスクにレポートを保存するか、または必要数の受信者にレポートを電子メールで送信するか、または両方を行うように FortiAnalyzer ユニットを設定します。

電子メールでレポートを送信するよう FortiAnalyzer ユニットを設定する場合は、FortiAnalyzer ユニットのメールサーバを設定する必要があります。詳細については、 133 ページの「メールサーバ」を参照してください。

注記 : 名前に "Top" が含まれないレポートには、常にすべての情報が表示されます。ランク付けレポートの値を変更しても、これらのレポートに影響はありません。

[Not Scheduled] レポートを毎日生成しない場合に選択します。この設定は、必要に応じてレポートを発行するときに使用します。

[Daily] 毎日、同じ時刻にレポートが生成されるように選択します。

[These Days] 特定の曜日にレポートを生成する場合に選択します。

[These Dates] 1 か月のうち、特定の日にレポートを生成する場合に選択します。たとえば、毎月、 1 日と 15 日にレポートが生成されるようにするには、 1,15 と入力します。

[Time] FortiAnalyzer でレポートを生成する時間を選択します。

注記 : HTML レポートを電子メールでユーザに送信する場合、ユーザの電子メールクライアントで HTML がサポートされないと、メッセージの本文に各レポートの HTML コードが表示されます。



図 61:レポートの出力

[Report Language] レポートの出力言語を選択します。デフォルトの言語は、管理者のログインで指定された言語と同じになります。

[File Output] 生成された後にFortiAnalyzerのハードディスクに保存されるレポートのファイル形式を選択します。ハードディスクにあるレポートへのアクセスについては、 127 ページの「レポートを表示する」を参照してください。次の形式から選択します。

• HTML

• Adobe PDF




[Email Output] FortiAnalyzer ユニットが電子メールの添付ファイルとして送信する、生成されたレポートのファイル形式を選択します。次の形式から選択します。

• HTML

• Adobe PDF




[Email Subject] FortiAnalyzer が送信する電子メールの件名を入力します。選択しない場合は、件名の行はレポート名となります。[Customize subject] チェックボックスをオンにするには、 [EmailOutput] からファイル形式を選択する必要があります。


電子メールに含まれるレポートファイルの名前を入力します。レポートプロファイルで複数のレポートを選択する場合は、FortiAnalyzer ユニットはすべてのレポートを zip ファイルに圧縮します。このオプションでは、 zip ファイルの名前を選択できます。


124


サマリレイアウト

レポートの対象となるデバイスが FortiGate ユニットの場合、サマリレイアウトにより所定のレポートのサマリグラフを含めることができます。サマリレポートは、完成したレポートの初のページまたは冒頭に表示されます。表示される情報は、レポートプロファイルで選択されたデバイスに基づきます。


[Email From] FortiAnalyzerユニットの電子メール送信者アドレス、またはレポートを設定している管理者の電子メール送信者アドレスを入力します。

[Email Server] FortiAnalyzer ユニットがレポートを電子メールに添付して送信するとき使用するメールサーバを選択します。

[Email To] レポート受信者の電子メールアドレスを入力します。電子メールアドレス入力ごとに Enter を押して、複数の受信者を追加します。アドレスが、 [Email List] に表示されます。

[Email List] [Email To] で受信者リストに追加される電子メールアドレスを表示します。

[Upload Report to FTP Server]

完成したレポートのファイルをサーバにアップロードする場合に選択します。サーバは、 FTP の他にも [Server type] に表示される種類から選択できます。

[Server type] アップロードサーバへの接続に使用するプロトコルを選択します。次の種類から選択します。




[IP address] サーバの IP アドレスを入力します。

[Username] サーバにログオンするユーザ名を入力します。

[Password] サーバにログオンするためのパスワードを入力します。

[Directory] FortiAnalyzer ユニットがレポートファイルを保存するサーバ上のディレクトリを入力します。

[Upload report(s) in gzipped format]

サーバにアップロードする前に、 gzip ファイルとしてレポートファイルを圧縮する場合に選択します。

[Delete file(s) after uploading]

FortiAnalyzer ユニットがサーバへのアップロードを完了した後、FortiAnalyzer のハードディスクからレポートファイルを削除する場合に選択します。



図 62:サマリレイアウト

サマリレポートを含めるかまたはサマリレイアウトをカスタマイズするには、次の手順を行います。

1 青色の矢印を選択して、 [Summary Layout] を展開します。

2 グラフの列数を選択します。

3 [Customize List] を選択して、利用可能なレポートを表示します。

4 含めるレポートを選択します。

リストの下に、グラフのレポートサムネイルが表示されます。

サマリレポートを選択した後、グラフサムネイルをクリックしながらドラッグして、配置を変更できます。

サマリレポートの鉛筆アイコンを選択すると、レポートに表示されるグラフの種類、および上位数の値を設定できます。デフォルトは 10 です。

特定のサマリレポートが必要ない場合は、レポートで [X] を選択してリストから削除できます。


126

レポートの閲覧レポート

レポートの閲覧

FortiAnalyzer Web ベースマネージャを使用して、生成したレポートのリストを表示できます。

現時点でデバイスログまたは設定済みのレポートプロファイルがない場合でも、サンプルレポートを表示できます。サンプルレポートを表示するには、[Report]、[Browse] の順に選択し、 [Sample Reports] を選択します。サンプルレポートの生成に時間がかかる場合は、 [Sample Reports] ボタンが Processing, pleasewait......60% のような進捗メッセージに代わります。

生成されたレポートを表示するには、 [Report]、[Browse] の順に選択します。

図 63:生成したレポートの閲覧

[Refresh] リストを更新する場合に選択します。 FortiAnalyzer ユニットがレポートを生成中の場合は、 [Refresh] を使用するとレポート生成のステータスが更新されます。

[Delete] レポート名の横にあるチェックボックスをオンにして、リストからレポートを選択します。

[Device Type] レポートに含まれるデバイスの種類に基づいて、レポートを選択します。

[Page Navigation] レポートのリストが複数ページ渡るとき、レポートリストを表示するページ番号を入力します。 [Go] を選択すると、そのページに進みます。ページ前進およびページ後進矢印を使用すると、任意のページに進みます。

[Sample Reports] FortiAnalyzer ユニットが生成するレポート例を表示する場合に選択します。

[Report Files] 生成されたレポートを表示します。全レポートのサマリを HTML形式で表示するには、レポート名を選択します。レポートが、レポート名、レポート生成の日付および時刻とともに、レポートリストに表示されます。たとえば、 'Report 1-2006-03-31-2112' というレポート名は、 2006年 3 月 31 日午後 9 時 12 分に生成された 'Report 1' であることを表します。青色の矢印を選択してレポートを展開し、個別のレポートを HTML形式で表示します。

[Started] FortiAnalyzer ユニットがレポートを生成した日付および時刻を表示します。

[Finished] FortiAnalyzer ユニットがレポートを完成した日付および時刻を表示します。 FortiAnalyzer ユニットがレポート生成中の場合は、進捗バーがこの列に表示されます。

[Size (bytes)] HTML 形式のレポートのファイル容量。生成されたレポートは、レポート出力の設定に応じて、 HTML、 PDF、 RTF、 ASCII テキストの各形式で利用できます。レポート出力オプション設定の詳細については、 122 ページの「レポートの出力」を参照してください。


レポートレポートの閲覧

レポートを表示する

生成されたレポートは、次の手順で表示します。

1 [Report]、[Browse] の順に選択します。

2 [Report Files] 列で、リストからレポートグループを選択し、次のいずれかを選択します。

• 個々のレポートを網羅するサマリレポートを表示するには、レポート名を選択します。

• 青色の矢印を選択して、個別レポートのリストを展開し、表示する個別レポートを選択します。

• [Other Formats] 列で、リストから表示するレポートのファイル形式を選択します。

デフォルトレポート

ファームウェアバージョン 3.0 以降を実行する FortiGate ユニットを登録する場合は、デフォルトのレポートプロファイルが自動的に作成されます。このバージョンのファームウェアでは、 FortiGate の管理者は FortiAnalyzer ユニットが FortiGateユニットのために作成するすべてのレポートを表示でき、またデフォルトのレポートプロファイルを編集および更新できます。デフォルトのレポートプロファイルは、名前に Default_<FortiGate Serial Number> の表記法を用います。

デフォルトのレポートプロファイルは削除できません。

また、デフォルトのレポートプロファイルは編集もできません。 FortiGate の管理者のみが、この種のレポートプロファイルを編集できます。 FortiGate の管理者は、制限付きでレポートプロファイルを更新できます。たとえば、ヘッダーおよびフッター情報はカスタマイズできず、レポートにロゴを追加することもできません。

FortiGate ユニットでのレポートのカスタマイズについては、 FortiGate 管理者ガイドの「Log&Report」の章を参照してください。

レポートの種類

閲覧および表示可能なレポートには、つぎの 2 種類があります。

• ロールアップレポート

• 個別レポート

ロールアップレポート

総括的なロールアップレポートは、 FortiAnalyzer ユニットで選択したすべてのレポートを含んでおり、個別レポートをすべて含む総括レポートとして生成、表示されます。

総括レポートを表示するには、次の手順を行います。

1 [Report]、[Browse] の順に選択し、レポート名を選択します。

2 レポートのカテゴリを選択して、レポートのサブカテゴリリストを展開します。左側枠からレポート名を選択すると、右側枠にレポートが表示されます。

総括レポートは、 HTML 形式でのみ提供されます。

[Other Formats] 生成されたレポートを表示する、ファイル形式を選択します。

[Action] レポート名を変更する場合は、[名前変更アイコン ] を選択します。削除アイコンを選択すると、 FortiAnalyzer のハードディスクからレポートを削除します。


http://www.docs.forticare.com/fgt.html

http://www.docs.forticare.com/fgt.html

128


個別レポート

個別レポートは、 HTML 形式で表示すると、総括レポートのような外観と機能を備えています。別の形式でレポートを表示すると、レポート情報を表示する右側の枠のみが含まれます。

個別レポートを表示するには、次の手順を行います。

1 [Report]、[Browse] の順に選択します。

2 レポート名の青色の矢印を選択して、個別レポートを表示します。

3 HTML 形式で表示するレポートを選択するか、それ以外の形式で表示する場合は [Other Formats] 列からファイル形式を選択します。

イベントアクティビティコード

イベントアクティビティのレポートには、イベントコードと呼ばれる列が表に含まれます。このコードは、 FortiGate ユニットのログメッセージ ID 番号です。ログメッセージ ID は、 10 桁の数字で表されます。初の 2 桁は、ログの種類を表し、 01 であればイベントログとなります。次の 2 桁は、サブタイプの分類を表します (128 ページの表 10 を参照 )。残りの 5 桁はメッセージ ID です。詳しくは、『FortiGate ログメッセージリファレンス』を参照してください。

Table 10: FortiGate 2.8 ログサブタイプ

Table 11: FortiGate 3.0 ログサブタイプ

サブタイプ番号サブタイプ

00 system - システムアクティビティイベント

01 ipsec - IPSec ネゴシエーションイベント

02 dhcp - DHCP サービスイベント

03 ppp - L2TP/PPTP/PPPoE サービスイベント

04 admin - admin イベント

05 ha - 高可用性アクティビティイベント

06 auth - ファイアウォール認証イベント

07 pattern - パターン更新イベント

30 chassis - FortiGate-4000 および FortiGate-5000 シリーズのシャーシイベント

サブタイプ番号サブタイプ

00 system - システムアクティビティイベント

01 ipsec - IPSec ネゴシエーションイベント

02 dhcp - DHCP サービスイベント

03 ppp - L2TP/PPTP/PPPoE サービスイベント

04 admin - admin イベント

05 ha - 高可用性アクティビティイベント

06 auth - ファイアウォール認証イベント

07 pattern - パターン更新イベント

23 alert email - アラート電子メール通知

29 chassis ﾐ FortiGate-4000 および FortiGate-5000 シリーズのシャーシイベント



レポートレポートの閲覧

32 sslvpn - user - ssl vpn ユーザイベント

33 sslvpn - user - ssl vpn 管理者イベント

34 sslvpn - user - ssl vpn セッションイベント


130



アラートアラートイベント

F0

アラートアラートは、ネットワーク上の FortiGate ユニットまたは FortiAnalyzer ユニットにおいてシステム障害やネットワーク攻撃などの問題が発生したときに通知する手段であり、これによって即座にそのイベントに対処することができます。

FortiAnalyzer ユニットのアラート条件を設定し、どのデバイスおよびどのログメッセージを監視するか、およびログメッセージがアラート条件と一致したときユニットがどのように対応するかについて、FortiAnalyzer ユニットに指示します。


• アラートイベント

• 出力

アラートイベント

アラートイベントは、管理者への通知をトリガする、ログメッセージの種類、重大度、およびアラートの原因を定義します。たとえば、ネットワークが攻撃動作を検知したとき電子メールでアラートを受け取りたい場合、 SMTP サーバ出力で攻撃ログのトリガを設定できます。

管理者への通知方法は、電子メール、 SNMP、 Syslog、またはダッシュボードの [AlertConsole Messages] から選択できます。警告をローカルで表示する方法については、17 ページの「警告コンソールメッセージを表示する」を参照してください。

設定されたアラートイベントを表示するには、 [Alert]、[Alert Event] の順に選択します。

図 64:アラートイベントリスト

[Create New] 新しいアラートイベントを追加する場合に選択します。

[Delete] 複数のアラートイベントを表から削除する場合に選択します。削除するには、アラートイベントの横にあるチェックボックスをオンにして、[Delete] を選択します。

[Name] アラートイベントの名前。

[Devices] FortiAnalyzer ユニットがアラートイベントを監視するデバイス。

[Triggers] FortiAnalyzer ユニットがアラートイベントを監視するログメッセージパケット。

[Destination] FortiAnalyzer ユニットがアラートメッセージを送信する送信先。[Destination] には、電子メールアドレス、SNMP トラップ、または syslogサーバを設定できます。

[Action] 削除アイコンを選択して、レポートを削除します。アラートイベント設定を変更する場合に、編集アイコンを選択します。

削除

編集


132

アラートイベントアラート

アラートイベントを追加する

アラートイベントを追加することにより、所定の種類のログメッセージを受信すると通知を受け取ることができます。

新しいアラートイベントは、次の手順で追加します。

1 [Alert]、[Alert Event] の順に選択します。



[Alert Name] FortiAnalyzerが監視するアラートの種類を示す名前を入力します。

[Device Selection] FortiAnalyzer ユニットがアラートイベントを監視するデバイスを選択します。 [Available Devices] リストから選択して、右矢印を選択し、デバイス名を [Selected Devices] リストに移動します。複数のデバイスを選択する場合は、 SHIFT または CTRL キーを押しながら選択します。

[Trigger(s)] FortiAnalyzer ユニットがアラートメッセージをいつ送信するかを示すために使用するトリガを選択します。次から選択します。

• 監視するログの種類

• ログメッセージの中で監視するイベントのレベル。

• レベルとの関係。たとえば、 [>= Warning] を選択すると、FortiAnalyzerユニットはログメッセージのレベルが [Warning]、[Error]、 [Critical]、 [Alert ]、および [Emergency] のときアラートを送信します。

[Generic Text] アラート通知の標準的なテキストの応答を追加するとき選択します。

[Threshold] FortiAnalyzer ユニットが監視する、アラートメッセージを送信するまでのしきい値またはメッセージレベルの頻度を設定します。たとえば、FortiAnalyzerユニットが1時間に 5通の緊急 (emergency)メッセージを受け取った時点でアラートを送信するように設定できます。

[Destination(s)] FortiAnalyzer ユニットがアラートメッセージをどこに送信するかを選択します。

[Send alert to] 電子メールアドレス、 SNMP トラップ、または Syslog サーバを、リストから選択します。 SNMP トラップまたは Syslog サーバをリストから選択する場合は、事前にそれらを設定する必要があります。FortiAnalyzer ユニットが電子メールを送信するようにするには、DNS サーバおよびメールサーバアカウントを設定する必要があります。詳細については、 133 ページの「メールサーバ」を参照してください。SNMP トラップ設定の詳細については、 134 ページの「SNMP アクセスリスト」を参照してください。Syslog サーバ設定の詳細については、 137 ページの「Syslog サーバ」を参照してください。

[From Email Address] FortiAnalyzer ユニットが電子メールアドレスを送信するように設定する場合は、発信元の電子メールアドレスを入力します。

[To Email Address] FortiAnalyzerユニットが電子メールのアラートメッセージを送信するように設定する場合は、電子メールメッセージの受信者を入力します。

[Add] [Add] を選択して、アラートメッセージの宛先を追加します。必要な数の受信者を追加します。

[Delete] [Destination] リストから受信者を選択して、[Delete] を選択すると受信者を削除します。

[Include Alert Severity] 送信するアラートメッセージの情報に含めるアラート重大度の値を選択します。


アラート出力

出力

FortiAnalyzer ユニットが、アラートイベント条件と一致するログメッセージを受信すると、アラートメッセージを電子メール、 syslog メッセージまたは SNMP トラップとして送信し、管理者に問題点およびその発生場所を知らせます。

FortiAnalyzer ユニットでは、アラートメッセージの送信先を設定できます。FortiAnalyzer ユニットは、アラートメッセージを SMTP 経由の電子メールアドレス、 Syslog サーバに、または SNMP トラップとして送信できます。

メールサーバ

FortiAnalyzer ユニットが電子メールのアラートメッセージを送信するように設定する場合は、 DNS サーバおよび SMTP サーバを設定する必要があります。FortiAnalyzer ユニットは、SMTP サーバ名を使用してメールサーバに接続します。またユニットは、 DNS サーバ上でこの名前を検索する必要があります。 DNS サーバを設定するには、 25 ページの「DNS」を参照してください。

図 65:メールサーバのリスト

アラートのメールサーバを追加するには、次の手順を行います。

1 [Alert]、[Output]、[Mail Server] の順に選択します。


3 以下のオプションを設定し、 [Apply] を選択します。

メールサーバの設定をテストする

テスト用の電子メールメッセージを送信し、アラートが送信可能なことを検証できます。

メールサーバの接続を検証するには、次の手順を行います。

1 [Alert]、[Output]、[Mail Server] の順に選択します。

2 [Test] を選択します。

注記 : SMTP のメール送信が失敗すると、 FortiAnalyzer ユニットは、メッセージ送信に成功す

るかまたは管理者がユニットを再起動するまで、 10 秒ごとにメッセージを送信し続けます。

削除編集

テスト

[SMTP Server] SMTP 電子メールサーバの名前かアドレス。

[Enable Authentication]

SMTP 認証を有効にするには、 [Authentication Enable] チェックボックスをオンにします。これを設定する場合は、 FortiAnalyzer がそのアカウントで電子メールを送信するように、電子メールのユーザ名およびパスワードを入力する必要があります。

[Email Account] SMTP サーバにログオンしてアラートメールを送信するためのユーザ名を入力します。この操作は、 SMTP 認証を有効にした場合のみ行う必要があります。アカウント名は、必ず [email protected] のような電子メールアドレスの形式となります。

[Password] SMTP サーバにログオンしてアラートメールを送信するためのパスワードを入力します。この操作は、SMTP認証を選択にした場合のみ行う必要があります。


134

出力アラート

3 [Send test email to] に電子メールアドレスを入力します。

FortiAnalyzer ユニットから管理者の受信箱への接続が完全かどうかを検証するには、このアドレスは必ず管理者の電子メールアドレスとします。

4 [Test] を選択します。

SMTP サーバを使用する電子メール送信が成功かまたは失敗かを示すメッセージが表示されます。メッセージが正しく送信された場合は、メッセージが電子メールアドレスに到達したことを確認します。

SNMP アクセスリスト

アラートが発生したときFortiAnalyzerユニットがSNMP トラップを送信するSNMPサーバを設定します。 FortiAnalyzer ユニットがアラートを通知する方法としてSNMP を選択するには、あらかじめ SNMP サーバを追加する必要があります。サポートされる MIB およびトラップのリストについては、135 ページの「FortiAnalyzerトラップ」を参照してください。

SNMP サーバを表示するには、 [Alert]、[Output]、[SNMP Access List] の順に選択します。

図 66: SNMP サーバのリスト

[SNMP Access List] を利用して、 SNMP の位置およびサーバの管理者を確認します。

SNMP サーバを追加する

SNMP サーバを追加して、 SNMP によりアラートを送信できます。

[Create New] 新しい SNMP サーバを追加する場合に選択します。

[Name] SNMP サーバ名。

[Community Name] SNMP サーバのコミュニティ名。

[IP or FQDN] SNMP サーバの IP アドレスまたは FQDN ( 完全修飾ドメイン名 )

[Send system traps to] SNMP サーバからの入力トラップをリストから選択します。

[Action] SNMP サーバ設定を削除する場合に、削除アイコンを選択します。SNMP サーバ設定を変更する場合に、編集アイコンを選択します。テスト用 SNMP トラップを送信して SNMP サーバ設定を検証する場合に、テストアイコンを選択します。

削除編集

テスト


アラート出力

新しい SNMP サーバを追加するには、次の手順を行います。

1 [Alert]、[Output]、[SNMP Access List] の順に選択します。


3 次のオプションを設定します。 [OK] を選択します。

FortiAnalyzer の SNMP サポート

FortiAnalyzer を設定して、SNMP マネージャにシステム情報を報告したり、トラップ ( アラームやイベントメッセージ ) を送信したりできます。 SNMP マネージャを使用することにより、 FortiAnalyzer ユニットから SNMP トラップおよびデータにアクセスできます。

FortiAnalyzerSNMP実装は読み取り専用です。SNMP v1およびv2cに準拠したSNMPマネージャは、 FortiAnalyzer システム情報への読み取り専用アクセスが行えるとともに、 FortiAnalyzer トラップを受信できます。 FortiAnalyzer システム情報を監視し、 FortiAnalyzer のトラップを受信するには、フォーティネット独自 MIB とフォーティネットがサポートする標準 MIB を SNMP マネージャにコンパイルする必要があります。

RFC サポートには、大部分の RFC 2665 (Ethernet-like MIB) と、大部分の RFC 1213(MIB II) のサポートが含まれます。

FortiAnalyzer ユニットは、オブジェクトの識別に FortiGate MIB を使用します。MIBファイルは、フォーティネットテクニカルサポートから入手可能です。 SNMPエージェントと通信を行えるようにするには、これらの MIB をすべて SNMP マネージャにコンパイルする必要があります。

SNMP マネージャによっては、すぐに使用できるコンパイル済みのデータベースに標準および非公開の MIB がすでに含まれている場合があります。フォーティネット独自 MIB は、このデータベースに追加する必要があります。フォーティネット SNMP エージェントが使用する標準 MIB が SNMP マネージャにコンパイル済みである場合は、再度コンパイルする必要はありません。

FortiAnalyzer トラップ

FortiAnalyzer ユニットは、 SNMP コミュニティに追加した SNMP マネージャにトラップを送信できます。トラップを受信するには、SNMP マネージャにフォーティネット 3.0 MIB をロードおよびコンパイルする必要があります。

FortiAnalyzer ユニットは、次の MIB およびトラップをサポートします。

FortiGate MIB システムトラップ

• fnTrapCpuHigh

• fnTrapMemLow

• fnTrapIpChange

FortiGate MIB ロギングトラップ

• fnTrapLogFull

[Name] SNMP サーバの名前を入力します。

[Community Name] SNMP サーバのコミュニティ名を入力します。

[IP address (or FQDN)] SNMP サーバの IP アドレスまたは FQDN ( 完全修飾ドメイン名 ) を入力します。


136

出力アラート

FortiGate MIB VPN トラップ

• fnTrapVpnTunUp

• fnTrapVpnTunDown

• fnTrapFlgEventCount

FortiGate MIB システムフィールド

• fnSysModel

• fnSysSerial

• fnSysVersion

• fnSysCpuUsage

• fnSysMemUsage

• fnSysSesCount

• fnSysDiskCapacity

• fnSysDiskUsage

• fnSysMemCapacity

FortiGate 管理者アカウント

• fnAdminNumber

• fnAdminIndex

• fnAdminName

• fnAdminAddr

FortiGate オプション

• fnOptIdleTimeout

• fnOptLanguage

FortiGate アクティブ IP セッション

• fnIpSessIndex

• fnIpSessProto

• fnIpSessFromAddr

• fnIpSessFromPort

• fnIpSessToAddr

• fnIpSessToPort

• fnIpSessExp

RFC-1213 (MIB II)

• mib-2.system

• mib-2.interface

• mib-2.at

• mib-2.ip

• mib-2.icmp

• mib-2.tcp

• mib-2.udp

• mib-2.ifMIB


アラート出力

RFC-2665 (Ethernet-like MIB)

• .dot3StatsTable

• .dot3CollTable

• .dot3ControlTable

• .dot3PauseTable

Syslog サーバ

FortiAnalyzer ユニットがアラートを送信する Syslog サーバを設定できます。FortiAnalyzer ユニットがアラートを通知する方法として Syslog サーバを選択するには、あらかじめ Syslog サーバを追加する必要があります。

Syslogサーバを表示するには、[Alert]、[Output]、[Syslog Server]の順に選択します。

図 67: Syslog サーバのリスト

Syslog サーバを追加する

Syslog サーバを追加して、 Syslog プロトコルによりアラートを送信できます。

新しい Syslog サーバを追加するには、次の手順を行います。

1 [Alert]、[Output]、[Syslog Server] の順に選択します。


3 次のオプションを設定します。 [OK] を選択します。

[Create New] 新しい Syslog サーバを追加する場合に選択します。

[Name] Syslog サーバ名。

[IP or FQDN:Port] Syslog サーバの IP アドレスまたは完全修飾ドメイン名 (FQDN)、およびポート番号

[Action] Syslog サーバ設定を削除する場合に、削除アイコンを選択します。Syslog サーバ設定を変更する場合に、編集アイコンを選択します。Syslog サーバ設定を検証する場合に、テストアイコンを選択します。

削除編集

テスト

[Name] Syslog サーバの名前を入力します。

[IP address (or FQDN)] Syslog サーバの IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力します。

[Port] Syslogサーバのポート番号を入力します。デフォルトのSyslogポートは 514 です。


138

出力アラート


ネットワークアナライザ FortiAnalyzer を接続してネットワークトラフィックを分析する

ネットワークアナライザネットワークアナライザを高機能なローカルネットワークトラフィックのスニファとして使用することにより、ネットワーク上でファイアウォールポリシーに適合するよう調整が必要な領域、あるいはトラフィック異常が発生する領域を診断できます。

ネットワークアナライザは、アナライザで有効なインタフェースで監視されるすべてのトラフィックをログ記録します。そのネットワークインタフェースがスイッチに接続されている場合は、表示可能なトラフィックには、他のホストがスイッチ経由で送信するトラフィックも含まれます。さらに、ブロックすべきトラフィックまたは他の異常を含むトラフィックを特定できます。

捕捉されるトラフィック情報は、すべて FortiAnalyzer のハードディスクに保存されます。このトラフィック情報を直接表示すること、情報の検索、または情報からレポートを生成することが可能です。

この項では、ネットワークアクティビティを有効にして表示するについて解説します。また、ネットワークアナライザログのストレージ設定オプションについても説明します。

ネットワークアナライザは、CLI で有効にするまでは、Tools > Network Analyzerで表示されません。ネットワークアナライザを有効にするには、 CLI にアクセスし次のコマンドを入力します。

config log settings

set enable_analyzer yes

end

ネットワークアナライザを有効または無効にして、 Web ベースマネージャにログインしたままでいる場合は、一旦ログアウトして再度ログインし、メニュー変更を有効にする必要があります。


• FortiAnalyzer を接続してネットワークトラフィックを分析する

• トラフィックの表示

• ネットワークアナライザログの閲覧

• ログ表示のカスタマイズ

• ネットワークトラフィックログの検索

• トラフィックログの設定

FortiAnalyzer を接続してネットワークトラフィックを分析する

FortiAnalyzer ユニットを使用してトラフィックのスニッフィングを行うには、まず FortiAnalyzer ユニットをイーサネットスイッチのスパン ( またはミラーリング) ポートに接続する必要があります。管理ポートおよびスニッフィングポートの双方とも、同じスイッチに接続できます。

注記 : ネットワークアナライザは、 FortiAnalyzer-100 では利用できません。


140

トラフィックの表示ネットワークアナライザ

FortiAnalyzer ユニットは、次の手順で接続します。

1 FortiAnalyzer ユニットのデバイスログ収集用ポート以外のポートに、イーサネットケーブルを接続します。

たとえば、ログおよび隔離されたファイルをポート 1 で受信する場合、ネットワークアナライザをポート 2 で使用できます。スニッフィング用に別ポートを使用することで、ログおよび隔離ファイルがネットワークアナライザのメッセージを混乱せずに済み、さらに通常のログインおよび隔離作業に関するネットワーク設定を干渉することなく、ネットワークを分析できます。

2 イーサネットケーブルの別の端を、イーサネットスイッチのスパンポートまたはモニタリングポートに接続します。

3 CLI で、次のコマンドを入力して、イーサネットケーブルを接続したポートでネットワークアナライザを有効にします。

config log settings

set enable_analyzer yes

end

ネットワークアナライザを有効または無効にして、 Web ベースマネージャにログインしたままでいる場合は、一旦ログアウトして再度ログインし、メニュー変更を有効にする必要があります。

4 Web ベースマネージャで、 [System]、[Network]、[Interface] の順に選択します。

5 ネットワークアナライザとともに使用するインタフェースが、現在ダウンしている場合は、 [Bring Up] を選択して有効にします。

6 ネットワークアナライザとともに使用するインタフェースで、 [Modify] を選択します。

7 IP/ ネットマスクを入力します。


これで、ネットワークアナライザを [Tools]、[Network]、[Analyzer]、[Config] で設定できます。

トラフィックの表示

FortiAnalyzer ユニットのインタフェースをネットワークに接続して、ネットワークアナライザをそのインタフェースで有効にすると、トラフィック情報を表示できるようになります。

ネットワークアナライザには、 2 種類の表示オプションがあります。

• リアルタイムビューは、ネットワークアナライザインタフェースで監視される新のトラフィックを表示します。スイッチに接続している場合、このビューはスイッチを経由するすべてのトラフィックとなります。表示は 2、 3秒毎に更新され、新のアクティビティのみを表示します。

• 履歴ビューは、特定期間のすべてのネットワークトラフィックログを表示します。

リアルタイムトラフィックビューワー

リアルタイムトラフィックビューワーは、継続的に更新しながらトラフィック情報を表示し、ネットワークスでの新の更新とイベント発生を確認できます。

リアルタイムのネットワークアクティビティを表示するには、[Tools]、[NetworkAnalyzer]、[Real-time] の順に選択します。


ネットワークアナライザトラフィックの表示

図 68:リアルタイムのトラフィック表示

履歴トラフィックビューワー

履歴トラフィックビューワーは、 FortiAnalyzer のハードディスクに保存されているネットワークトラフィックログを表示します。ネットワークトラフィック履歴を使用して、ネットワークの傾向および問題を特定できます。ネットワークトラフィックのログメッセージを表示する場合、情報をフィルタリングして特定のイベント情報を検索できます。

履歴ネットワークトラフィックログを表示するには、 [Tools]、[NetworkAnalyzer]、[Historical] の順に選択します。

[Stop] トラフィックのスニッフィングを停止する場合に選択します。選択すると、 [Stop] が [Start] に変わります。 [Start] は、リアルタイムのトラフィック表示を続ける場合に選択します。


[formatted | raw] ネットワークトラフィックのログファイルのビューを選択します。[Formatted] ( デフォルト設定 ) を選択すると、縦列形式でネットワークトラフィックのログファイルを表示します。[Raw] を選択すると、ログファイルに表示されている形式でネットワークトラフィックのログ情報を表示します。



[Log Time] トラフィックが送信された日付および時刻。

[Source] トラフィック送信者のＩＰアドレス。

[Destination] トラフィック受信者のＩＰアドレス。

[Destination Port] UDP または TCP パケットが送信された行き先ポート。

[Protocol] トラフィック送信に使用されたプロトコル。

[Message] スイッチ経由で送信されたトラフィックの情報ペイロード。

列設定アイコン


142

トラフィックの表示ネットワークアナライザ

図 69:履歴ネットワークトラフィックログの表示

履歴ビューの条件を変更する

履歴ネットワークトラフィックログを表示するとき、履歴を確認する期間を定義できます。これにより、履歴を確認する期間を、ネットワーク上で疑問のあるアクティビティが発生した期間に、容易に特定できます。


[Change] ログ、期間を変更、または異なるデバイスに変更する場合に選択します。



[Resolve Service] ポート 80 のようなポート番号ではなく、 HTTP のようなネットワークプロトコルを表示する場合にオンにします。

[View n per page] 1 ページに表示されるログエントリの行数を選択します。





現在のログメッセージを含むレポートを生成する場合に選択します。表示または印刷のためにレポートファイルを保存するように促すメッセージが、ブラウザで表示されます。保存されたレポートは、HTML 形式となります。ログメッセージの容量が大きいと、読み込みに時間がかかります。印刷可能なバージョンでは、印刷可能なバージョンを生成するとき、すべてのフィルタ設定を考慮に入れます。


有効なフィルタに応じて、現在表示可能なログメッセージのみをダウンロードする場合に選択します。このボタンは、現在の表示がフィルタリングされる場合のみに表示されます。


[Source] トラフィック送信者のＩＰアドレス。




[Message] スイッチ経由で送信されたトラフィックの情報ペイロード。

列設定アイコン印刷可能バージョンアイコン


ネットワークアナライザネットワークアナライザログの閲覧

履歴ネットワークトラフィックログ条件を選択するには、次の手順を行います。

1 [Tools]、[Network Analyzer]、[Historical] の順に選択します。

2 次を選択し、開始時間を設定します。

3 次を選択し、終了時間を設定します。


ネットワークアナライザログの閲覧

ネットワークトラフィックログブラウザにより、保存されているネットワークトラフィックのすべてのログファイルの表示、ネットワークトラフィックログの表示、ハードディスクへのログファイルダウンロード、または不要なファイルの削除が可能です。

ログファイルの容量が上限に達すると、 FortiAnalyzer ユニットは増分番号を付けてそのファイルを保存し、同じファイル名の新しいログファイルの使用を開始します。現在のネットワークアナライザログは、 xlog.log です。以後、保存されるログは xlog.n.log で表され、 n は順次作成されるログの番号です。

ファイル容量の上限およびログ順次作成オプションの設定については、 150 ページの「トラフィックログの設定」を参照してください。

ログファイルを閲覧するには、 [Tools]、[Network Analyzer]、[Browse] の順に選択します。

図 70:ネットワークログファイルの閲覧

[Unspecified] も早い日付および時間のログからネットワークトラフィックのログ情報を表示する場合に選択します。

[Specified] ログ情報の特定の開始日時を設定する場合に選択します。

[Date] 開始する日付を入力します。日付の書式は、 YYYY/MM/DD です。または、カレンダーアイコンを選択して開始する日付を選択します。

[Time] ログ情報の開始時間を選択します。選択した日付の午前 12 時に開始するログ情報を表示する場合は、設定を 00:00 のままにします。

[Current] ごく近のネットワークトラフィックのログ情報を含める場合に選択します。

[Specified] ログ情報の特定の終了日時を設定する場合に選択します。

[Date] 終了日を入力します。日付の書式は、 YYYY/MM/DD です。または、カレンダーアイコンを選択して開始 ( 終了 ) する日付を選択します。

[Time] ログ情報の終了時間を選択します。選択した日付の午前 12 時に終了するログ情報を表示する場合は、設定を 00:00 のままにします。

[Log files] FortiAnalyzer ユニットにあるログファイルのリスト。

[Last Modified] ログがデバイスから後に更新された時刻。

削除

ダウンロード表示


144

ネットワークアナライザログの閲覧ネットワークアナライザ

ネットワークトラフィックのログファイルを閲覧する

ネットワークトラフィックログビューワーにより、 FortiGate ユニットがログ記録する、ネットワーク上で発生するネットワークトラフィック情報を表示できます。また、コンテンツをフィルタリングして、特定のトラフィック情報のみを表示できます。

ログファイルは、次の手順で表示します。

1 [Tools]、[Network Analyzer]、[Browse] の順に選択します。

2 [Action] 列で、表示するログファイル行の [ 表示アイコン ] を選択します。

ログファイルのコンテンツが表示されます。

図 71:ログデータの表示

[Size (bytes)] ログファイルの容量。

[Action] 削除アイコンを選択すると、 FortiAnalyzer のハードディスクからログファイルを削除します。ダウンロードアイコンを選択すると、ローカルのハードディスクにログファイルを保存します。表示アイコンを選択すると、ログファイルのコンテンツを表示します。


[Change] 別のログファイルを表示する場合に選択します。

[formatted | raw] ログファイルのビューを選択します。[Formatted] ( デフォルト設定 ) を選択すると、縦列形式でネットワークトラフィックのログファイルを表示します。 [Raw] を選択すると、ログファイルに表示されている形式でネットワークトラフィックのログ情報を表示します。




[Page n of n] ログ情報の中で、ジャンプ先のページ番号を入力します。 [Go] を選択すると、そのページに進みます。




現在のログメッセージを含むレポートを生成する場合に選択します。表示または印刷のためにレポートファイルを保存するように促すメッセージが、ブラウザで表示されます。保存されたレポートは、 HTML 形式となります。ログメッセージの容量が大きいと、読み込みに時間がかかります。印刷可能なバージョンでは、印刷可能なバージョンを生成するとき、すべてのフィルタ設定を考慮に入れます。

列設定アイコン印刷可能バージョンアイコン


ネットワークアナライザネットワークアナライザログの閲覧

ネットワークアナライザのログファイルをダウンロードする

ログファイルをダウンロードして、バックアップ用または FortiAnalyzer ユニット以外で使用するために保存できます。ファイル全体をダウンロードするか、またはフィルタリングにより選択されたログメッセージのみをダウンロードするかを選択できます。

ログファイル全体をダウンロードするには、次の手順を行います。


2 [Log Files] 列で、ログファイルを指定します。

3 [Action] 列で、 [Download] を選択します。



ログファイルの一部 ( フィルタリングによる ) をダウンロードするには、次の手順を行います。


2 [Log Files] 列で、ログファイルを指定します。

3 [Action] 列で、 [Display] を選択します。

4 フィルタアイコンを選択して、目的の条件と一致する項目のみに現在の表示を限定し、 [OK] を選択します。

フィルタリングされた行に緑のフィルタアイコンが表示され、 [ 現在の表示をダウンロードアイコン ] が [印刷可能なバージョン ] アイコンの横に表示されます。

5 [ 現在の表示をダウンロードアイコン ] を選択します。



有効なフィルタに応じて、現在表示可能なログメッセージのみをダウンロードする場合に選択します。このボタンは、現在の表示がフィルタリングされる場合のみに表示されます。


[Source Port] トラフィックが発生したポート番号。




[Message] スイッチ経由で送信されたトラフィックの情報。


ログ形式が、通常の .log ファイルではなく、 CSV (comma-separated value) 形式 (.csv) のファイルでダウンロードします。ログの各要素は、カンマで区切られます。 CSV ファイルは、計算表アプリケーションで表示できます。






146

ログ表示のカスタマイズネットワークアナライザ


ログ表示のカスタマイズ

FortiAnalyzer ユニットでは、ログをどのように表示するかをカスタマイズできるので、列を限定して表示する情報を絞り込むことができます。


表示形式を設定してネットワークトラフィック情報を表示する場合、表示する列を追加、省略、移動することにより、特定のカテゴリに絞り込んで情報を表示できます。また、列に含まれる情報をフィルタリングできます。

列を表示または隠すには、次の手順を行います。

1 ログファイルを表示しているとき、 [ 列の設定アイコン ] を選択します。


2 表示または非表示の列を選択します。

• 1 つの行を追加または削除するには、 [Available Fields] から行の名前を選択し、矢印 1 つのボタンを選択して、その行の名前を [Display Fields] に移動します。

• すべての行を追加または削除するには、矢印 2 つのボタンを選択します。

• すべての行をデフォルトの表示 / 非表示の状態に戻すには、[Default] を選択します。


列の順序を変更するには、次の手順を行います。

1 ログファイルを表示しているとき、 [ 列の設定アイコン ] を選択します。



3 上向きまたは下向き矢印を選択して、リスト中で列の位置を変更します。列の名前をリストの上方に移動すると、 [Formatted] ログビューの左方向に列が移動します。


ログをフィルタリングする

ログファイルをリアルタイムまたは履歴で表示しているとき、またはログファイルを閲覧しているとき、列のコンテンツをフィルタリングして、特定のコンテンツを検索できます。

注記 : [Raw] ビューでは、フィルタリングできません。

注記 : [Raw] ビューでは、フィルタリングできません。


ネットワークアナライザネットワークトラフィックログの検索

図 72:フィルタアイコン

データの各列には、グレーのフィルタアイコンがあります。列のコンテンツをフィルタリングするには、グレーの [ フィルタアイコン ] を選択します。検索する情報を検索用フィールドに入力して、 [OK] を選択します。

列をフィルタリングすると、フィルタアイコンが緑で表示されます。 [ 現在の表示をダウンロード ] アイコンが同時に表示され、現在のフィルタリングの条件に一致するログメッセージのみをダウンロードできます。

フィルタリングをオフにするには、その列のフィルタアイコンを選択して、[Clearall Filters] を選択します。


発信元または宛先の IP によりフィルタリングする場合は、次のフィルタリングの条件を使用できます。

• 単一のアドレス (2.2.2.2)


• アドレス範囲 (1.2.2.1-1.2.2.100)

または、ブール演算子 (or) を挟んで、相互に排他的同士のフィルタリング基準を示すこともできます。

• 1.1.1.1 or 2.2.2.2

• 1.1.1.1 or 2.2.2.*

• 1.1.1.1 or 2.2.2.1-2.2.2.10

ネットワークトラフィックログの検索

FortiAnalyzer ユニットは、2 種類のログ検索を使用して、保存されているログファイルの中から、特定の情報を検索する機能を備えています。

基本検索

基本検索は、 FortiAnalyzer ユニット上にあるデバイスのログファイルの単純な検索を実行し、入力した検索語すべてと一致するログメッセージのみの検索結果を返します。検索結果は、検索入力フィールドの下に表示されます。

FortiAnalyzer ユニットは、検索キーワードを再利用する必要がある場合のために、検索履歴を後から参照できるように保持します。

検索を実行するには、 [Tools]、[Network Analyzer]、[Search] の順に選択して、検索キーワードを入力します。

検索結果が必ず存在するはずなのに、検索しても結果を得られない場合は、キーワードを確認してください。

フィルタアイコンフィルタアクティブ

注記 : リアルタイムのログを表示しているときは、常に現在の時刻を表示する時刻表示の列をフィルタリングできません。


148

ネットワークトラフィックログの検索ネットワークアナライザ

• キーワードは、ログメッセージのテキストと完全に一致する必要があり、名前解決のような解釈法は通用しません。

• 結果を除外するような、不必要なキーワードは使わないでください。基本検索では、 ( ブール演算子 'or' を使用して相互に排他的な条件を示さない限り ) 検索結果に含まれるメッセージがすべてのキーワードと必ず一致し、もしいずれかのキーワードがメッセージに含まれない場合は一致が不完全となり、そのメッセージは検索結果に表示されません。キーワードの一部を削除できない場合またはブール演算子を使用できない場合は、詳細検索を使用します。

• 複数のキーワードは、スペースで (arp who-has 1.1.1.1) 区切ります。

詳細検索

詳細検索には、検索基準を詳しく設定するオプションがあります。

詳細検索を実行するには、 [Tools]、[Network Analyzer]、[Search] の順に選択して、 [Advanced search] を選択します。

図 73: FortiAnalyzer の詳細検索

検索のヒント

検索では、すべての結果に共通して一致するキーワードを含むように検索結果が得られます。ログを検索するときは、次の点に配慮します。

• すべての検索キーワードに一致する検索結果が得られます。

たとえば、次のような2つのよく似ている検索キーワードの場合、10.10.10.1slammer は、IP アドレスが攻撃を受ける頻度を検索し、10.10.10.1 loginはユーザが FortiGate ユニットにログインしている頻度を確認するものです。ここでは、双方とも前半のキーワード (IP アドレス ) が一致するものの、前者では login を含む後半のキーワードは一致しないので、 slammer の攻撃はlogin の検索結果には含まれません。

• 検索では、文字の大小が区別されます。

[Search] ログの検索を開始する場合に選択します。

[Basic search] 基本検索に戻る場合に選択します。

[Find results with all of the words]

検索に使用するキーワードを入力します。 FortiAnalyzer 検索エンジンは、入力したすべてのキーワードを含むネットワークトラフィックログのエントリすべてを返します。キーワードは、スペースで区切ります。

[Find results with at least one of the words]

検索に使用するキーワードすべてを入力します。 FortiAnalyzer 検索エンジンは、 1 つまたは複数のキーワードを含むネットワークトラフィックログのエントリすべてを返します。キーワードは、スペースで区切ります。

[Find results without the words]

検索結果から除外するキーワードを入力します。ネットワークトラフィックログのエントリが、検索に使用しているキーワードおよびこのフィールドのキーワードを含んでいる場合は、そのログエントリは検索結果には含まれません。

[Return log entries dated within]

検索するログエントリの期間を選択します。


ネットワークアナライザネットワークトラフィックログの検索

• 検索キーワードに、アスタリスク (*) をワイルドカードとして使用できます。たとえば、語句または IP の一部に続けて '*' を入力することにより、始まりの文字または数字が共通して一致する結果を得られます。

• サブネットなど、 IP 範囲を検索できます。たとえば、次のようになります。

• 172.20.110.0-255 は、172.20.110.0/255.255.255.0 (172.20.110.0/24) サブネットのあらゆる IP アドレスに一致します。

• 172.20.110.0-140.255は、172.20.110.0から 172.20.140.255のすべてのIP アドレスに一致します。

• 172.16.0.0-20.255.255は、172.16.0.0から 172.20.255.255のすべてのIPアドレスに一致します。

検索結果を印刷する

検索終了後に、[ 印刷可能なバージョン ] ボタンが表示され、検索結果の印刷可能な HTML 形式のコピーをダウンロードできます。

検索結果をダウンロードするには、 [ 印刷可能なバージョン ] ボタンを選択します。このファイルを印刷し、以後使用するためにコンピュータに保存、または電子メールで送信できます。

検索結果をダウンロードする

FortiAnalyzer ユニットでは、検索結果をダウンロードできます。

検索終了後に、[ 現在の表示をダウンロード ] ボタンが表示されます。検索結果をダウンロードするには、このボタンを選択します。

検索結果は、CSV (comma-separated value) 形式 (.csv)、または通常のログ (.log)形式で保存できます。

ログの検索結果は、次の手順でダウンロードします。

1 [Tools]、[Network Analyzer]、[Search] の順に選択します。

2 基本検索または詳細検索のいずれかで、検索を実行します。

1 つまたは複数のログイベントが検索結果として得られる場合は、 [ 現在の表示をダウンロード ] ボタンが、[ 印刷可能なバージョン ] ボタンの横に表示されます。

3 [ 現在の表示をダウンロードアイコン ] を選択します。

ダウンロードのファイル形式および圧縮オプションが表示されます。



注記 : ログの容量が大きい場合、ダウロードに時間がかかります。ダウロード時間は、[Compress with gz] を選択することで短縮できます。





150

トラフィックログの設定ネットワークアナライザ

トラフィックログの設定

ログファイルの容量を設定し、ログの順次作成およびアップロードによりログファイルが消費する FortiAnalyzer のディスク領域を管理できます。

ネットワークアナライザは、ネットワークトラフィックの非常に詳細な情報を捕捉するので、標準のログに比べて、ログ容量が FortiAnalyzer ユニットのハードディスク領域を短時間で消費する場合があります。ログの順次作成およびアップロードにより、ハードディスクの空き領域を節約して、データ保存量を増やすことができます。

FortiAnalyzer ユニットは、新しいログ項目を受信すると、次の作業を実行します。


• ファイル容量が上限を超える場合は、ログファイルを順次作成する時間かどうかを確認します。毎日または週単位で、順次作成を実行する時間を設定できます。

ログファイルの容量が上限に達するか、またはスケジュール設定された時間に達すると、 FortiAnalyzer ユニットは増分番号を付けてそのファイルを保存し、同じファイル名の新しいログファイルの使用を開始します。たとえば、現行の攻撃ログが xlog.log であるとします。以後、保存されるログは xlog.n.log で表され、 nは順次作成されるログの番号となります。

ログのアップロードを有効に設定している場合は、順次作成されたファイルをアップロード後に自動的に削除するように設定し、ログファイルの順次作成に使用するディスク領域の容量を制限できます。

ログの順次作成を有効にする、またはネットワークアナライザを無効にするには、 [Tools]、[Network Analyzer]、[Config] の順に選択します。

図 74:ログ順次作成の設定


ネットワークアナライザトラフィックログの設定

[Enable Network Analyzer on]

FortiAnalyzer ユニットがネットワークトラフィックの監視に使用するポートを選択します。このオプションを無効にしてログアウトすると、ネットワークアナライザはWebベースマネージャメニューから表示されなくなります。ネットワークアナライザを再度有効にしてメニューに表示する方法については、139 ページの「FortiAnalyzer を接続してネットワークトラフィックを分析する」を参照してください。


ネットワークトラフィックログに予約するディスク領域の容量を入力します。ダイアログには、割り当てられた領域の使用量も表示されます。


割り当てられたディスク領域が満杯時の、FortiAnalyzer ユニットの動作を選択します。古いログファイルを上書きするか、または使用可能な領域を確保できるまでログを停止するかを選択します。ハードディスク領域を満杯にするのを避けるために、ログの順次作成およびアップロードオプションを使用します。

[Reuse settings from standard logs]

[Logs] > [Config] で行った標準のログファイル設定と同じログ順次作成およびアップロード設定を使用する場合に選択します。

[Log rolling settings] FortiAnalyzer ユニットが、ネットワークトラフィックログファイルをいつ順次作成するかを定義します。


FortiAnalyzer ユニットがハードディスクに保存する、ネットワークトラフィックログファイルの上限サイズ。ネットワークトラフィックログファイルのサイズが指定の上限サイズに達すると、 FortiAnalyzer ユニットは増分番号を付けて現在のネットワークトラフィックログファイルを保存し、新しいアクティブなログファイルの使用を開始します。

[Log file should be rolled]

FortiAnalyzer ユニットが現在のログファイルを保存し新しいアクティブなログファイルを使用開始する時刻を設定します。[Daily] または [Weekly] を選択します。ログファイルの容量に達したとき FortiAnalyzer ユニットがファイルを順次作成するように設定するには、 [Optional] を選択します。

[Enable log uploading] ログファイルを順次作成するとき、ファイルをサーバにアップロードする場合に選択します。

[Server type] サーバへのアップロードに使用するプロトコルを選択します。




[Server IP address] ログアップロードサーバの IP アドレスを入力します。

[Username] アップロードサーバへの接続に必要なユーザ名を入力します。ユーザ名には、デフォルトで 'anonymous' が入力されています。別のユーザ名を入力するには、フィールドをクリックします。

[Password] アップロードサーバへの接続に必要なパスワードを入力します。

[Confirm Password] パスワードを再入力して、正しい入力を確認します。

[Directory] アップロードサーバ上でログファイルを保存する場所を入力します。

[Upload Log files] FortiAnalyzer ユニットがサーバにファイルをいつアップロードするかを選択します。

• 上記の設定に基づいて、FortiAnalyzer ユニットがネットワークトラフィックログファイルを順次作成した直後にアップロードする場合に、 [When rolled] を選択します。

• FortiAnalyzer ユニットがネットワークトラフィックログファイルを順次作成するとき、特定の時刻を指定します。 FortiAnalyzer ユニットは、ログファイルの容量、また新規ファイルをいつ順次作成するように設定されているかに関わらず、設定された時刻にアップロードします。

[Upload rolled files in gzipped format]

ログファイルを gzip形式で圧縮してからサーバにアップロードする場合に選択します。

[Delete files after uploading]

FortiAnalyzer ユニットがアップロードを完了した後、 FortiAnalyzer のハードディスクからログファイルを削除する場合に選択します。


152

トラフィックログの設定ネットワークアナライザ


脆弱性スキャン脆弱性スキャンについて

F0

脆弱性スキャン脆弱性スキャン (RVS) は、電子メールサーバ、FTP サーバなどネットワーク上のデバイス、その他 UNIX または Windows サービスなどで、脆弱性を調査します。FortiAnalyzer ユニットは、定義済みの脆弱性モジュールを使用して、オープンポートのクエリを行い、可能な場合は、それらのポートで実行するサービスについての情報を収集します。ログイン資格情報がある場合は、脆弱性スキャンは対象となるシステムにログインして、権限エラーまたはローカルの攻撃を調べます。

この項では、脆弱性スキャンの設定方法、および FortiAnalyzer ユニットが生成するレポートの表示方法について説明します。


• 脆弱性スキャンについて

• 対象ホストの設定

• モジュール

• ジョブ

• レポート

脆弱性スキャンについて

一般的な脆弱性スキャナの多くは、各種のポートにアクセスするだけです。これでは、そのポートで現在実行中のサービスのセキュリティリスクしかわかりません。このようなクイックスキャンでは、ローカルの攻撃、およびホスト上で他のアプリケーションにより生じる脆弱性については、わからない可能性があります。

脆弱性スキャン機能は、このようなクイックスキャンをポートで実行できるとともに、システムにログインし、権限およびインストールされているソフトウェアについての詳しいスキャンも実行できます。

脆弱性スキャンは、スキャンを完了すると、検出されたセキュリティの脅威ごとに、その特性および重大度を示すレポートを生成します。

脆弱性スキャンは、 Fortinet Distribution Network (FDN) により更新される、 RVS(Remote Vulnerability Scan) プラグインおよび RVS エンジンを使用します。プラグインおよびエンジンの更新により、スキャン対象のホストにあるアプリケーションごとに、新のセキュリティ情報に基づく問題点がレポートに示されます。

対象ホストの設定

脆弱性スキャンの作業を実行する前に、対象となるそれぞれのホストには、スキャンを可能にするための設定が必要です。

注記 : 脆弱スキャンは、 FortiAnalyzer-100 では利用できません。


154

対象ホストの設定脆弱性スキャン

サポートされるオペレーティングシステム

脆弱性スキャンは、WindowsおよびUNIXシステムでセキュリティリスクを評価できます。

Windows

以前は、脆弱性スキャンは、ホストにインストールされた Microsoft のシステムパッチをチェックするために、レジストリ設定を読み取るスキャンが可能なアカウントによって、リモートホストにアクセスしました。これにより、スキャナはパッチに関連するセキュリティが確保されているかどうかを評価していました。現在では、 Microsoft による定期的なパッチやソフトウェア更新は、レジストリ読み取りによるホスト脆弱性評価の信頼性を低下させています。このため、脆弱性スキャンでは直接ファイルシステムにアクセスする必要があります。このようなレベルのアクセスは、管理者アカウントのみにより可能となります。

ユーザ名およびパスワードが脆弱性レポートプロファイルに指定されていない場合でも、脆弱性スキャンは以下の組み合わせによって、必ず Windosw ホストへのログインを試みます。

• パスワードなしの管理者

• 'Administrator' のパスワードをともなう管理者

• ランダムなパスワードをともなうゲストで、ゲストアカウントをテスト

• ユーザ名またはパスワードなしで Null セッションをテスト

UNIX

UNIXまたはLinuxを実行するホストの脆弱性スキャンは、すべてSSH (Secure Shell)プロトコル、および脆弱性スキャンジョブプロファイルに指定されているユーザ名およびパスワードを使用します。

有効な脆弱性スキャンを実行するには、UNIX または Linux システムでルートアカウントが必要となります。非ルートアカウントをともなう UNIX オペレーティングシステムの一部では設定可能ですが、このようなアカウントでは有効な脆弱性スキャンのために十分なアクセスができません。

たとえば、非ルートアカウントでは少ないコマンドに制限されており、システム設定を完全にチェックできません。ルートアクセスなしでは、脆弱性スキャンは既知のセキュリティ脅威の一部ついてしかホストをチェックできません。たとえば、非ルートアカウントでは、ユーザ名とそのユーザが利用可能な機能の指定を含んでいる /etc/passwd ファイルは表示できても、システム全般の機能を指定する /root/.bashrc ファイルを表示できるとは限りません。

ルートアカウントを使用することで、脆弱性スキャンはファイルおよびディレクトリの許可およびコンテンツなど、あらゆる側面を調べることができます。

Windows を設定する

脆弱性をチェックするための、新しいローカルアカウントを作成できます。ただし、多くの Windows ホストは、新しいローカルアカウントがリモートログイン時のゲスト特権のみを継承するように設定されています。このゲスト特権は、リモートの脆弱性チェックには十分ではありません。

!注意 : 完全な脆弱性スキャンに必要な設定変更は、一時的に新たなリスクを招く場合があります。可能であれば、 FortiClient などのファイアウォールを使用して、脆弱性スキャンの間に対象ホストにアクセスできるホストを制限し、 FortiAnalyzer からの接続のみを可能にして、スキャン後は脆弱性スキャン設定の変更を元に戻します。


脆弱性スキャン対象ホストの設定

脆弱性チェックでローカルアカウントを使用するときは、デフォルト設定が Classic に設定されており、ローカルユーザが自身として認証されることを確認します。

NetBIOS を有効にする

一部のWindowsホストでは、NetBIOSを有効にして脆弱性スキャンを可能にする必要があります。

NetBIOS は、次の手順で有効にします。

1 [My Network Places ( マイネットワーク )] を右クリックして、 [Properties ( プロパティ )] を選択します。

2 [Local Area Connection ( ローカルエリア接続 )] を右クリックして、 [Properties (プロパティ )] を選択します。

3 [Internet Protocol ( インターネットプロトコル ) (TCP/IP)] を選択します。

4 [Advanced ( 詳細設定 )] を選択します。

5 [WINS] タブを選択します。

6 [Enable NetBIOS over TCP/IP (NetBIOS over TCP/IP を有効にする )] を選択します。

セキュリティモデルを設定する

Windows XP Professional を実行するホストは、Classic セキュリティモデルによるログインを可能にするように設定する必要があります。

Windows XP Professional セキュリティポリシーは、次の手順で設定します。

1 [Microsoft Management Console (Microsoft 管理コンソール )] を選択します。

2 [Group Policy] を選択します。

3 [Security Settings ( セキュリティ設定 )] を選択します。

4 [Network Access:sharing and security model for local accounts] を選択します。

5 [Properties] を選択します。

6 [Classic - local users authenticate as themselves] を選択します。


UNIX または Linux を設定する

UNIX または Linux を実行しているホストには、使用可能なルートユーザアカウントがあり、有効な脆弱性スキャンの大部分が可能です。

以下は、 OpenSSH SSH デーモンを使用する Red Hat Linux を実行するホストのための手順です。 UNIX または Linux のディストリビューション、または市販の SSHの種類に応じて、手順が変わる場合があります。特定の設定手順については、お使いのプログラムに付随する解説を参照してください。

UNIX または Linux ホストを設定するには、次の手順を行います。

1 ルートアカウントが使用できない場合は、使用可能にします。

2 ルートアカウントのパスワードを設定します。

3 SSH デーモンを再起動します ( 通常は named sshd)。

OpenSSH を実行中の場合は、この手順をスキップできます。

トラブルシューティング

ホストが脆弱性スキャンのアクセスを拒否する場合、ユーザ名およびパスワードが正しいとしても、様々な理由が考えられます。一般的な理由には、以下があります。


156

モジュール脆弱性スキャン

• ホストまたはネットワークのファイアウォールが、Windows の場合ポート 445、UNIX の SSH の場合ポート 22 への接続をブロックする。

• スキャンの対象が、 UNIX または Windows ホストではない。

• 不正侵入防止システム (IPS) がリモートアクセスを拒否する。

モジュール

モジュールは、 FortiAnalyzer ユニットがホスト上で実行可能な脆弱性スキャンの種類を表示します。モジュールは、 FDN から RVS サブスクリプションサービスにより提供されます。

利用可能な脆弱性スキャンモジュールを表示するには、 [Tools]、[VulnerabilityScan]、[Module] の順に選択します。青色の矢印を選択して、モジュールのリストを展開します。

図 75:脆弱性スキャンモジュール

[View modules with severity]

重大度およびその重大度の条件を選択します。次から選択します。<= 以下>= 以上== 同等

[Go] 指定した重大度を表示する場合に選択します。

[Name] 重大度グループの名前。青色の矢印を選択すると、重大度オプションの選択に基づくモジュールのリストを展開します。


脆弱性スキャンジョブ

ジョブ

脆弱性スキャンのレポートジョブを作成できます。スキャンの種類、レポートに含めるデバイス、および FortiAnalyzer ユニットがいつレポートを実行するかを選択します。

用意されたジョブのリストを表示するには、 [Tools]、[Vulnerability Scan]、[Jobs]の順に選択します。

図 76:脆弱性スキャンのジョブ

新しい脆弱性スキャンジョブを追加する

FortiAnalyzer ユニットが脆弱性レポートを実行できるようにするには、レポートジョブを設定して、スキャンするデバイスおよびスキャンの範囲を示す必要があります。

新しい脆弱性スキャンジョブを追加するには、次の手順を行います。

1 [Tools]、[Vulnerability Scan]、[Jobs] の順に選択します。


3 以下の設定を行います。

[Severity] モジュールの重大度。

[Description] 脆弱性の概説。

[Details] 脆弱性の詳細情報を表示する場合に選択します。

[Create New] キューにジョブを追加する場合に選択します。

[Job Name] 設定するジョブの名前。

[Target] FortiAnalyzer ユニットがスキャンするデバイスまたはホストの IP アドレス。

[Status] キューにあるジョブの現在のステータス。ここには、実行中または開始を待機中など現在のアクティビティ、または今後ジョブを実行する日付を含むことができます。

[Action] リストからジョブを削除する場合は、削除アイコンを選択します。ジョブを編集する場合は、編集アイコンを選択します。ジョブが実行中の場合は編集できません。レポートを直接実行する場合は、直ちに実行アイコンを選択します。現在実行中のジョブをキャンセルする場合は、ジョブ停止アイコンを選択します。

削除

編集

直ちに実行ジョブ停止

[Job Name] 脆弱性レポートの名前を入力します。

[Scan Targets] FortiAnalyzer ユニットでスキャンする対象のデバイスまたはホストの IP アドレスまたはアドレス範囲を入力して、 [Add] を選択します。必要な台数のデバイスまたはホストを追加できます。デバイスを削除するには、 [Remove] を選択します。


158

ジョブ脆弱性スキャン

4 スキャンオプションの青色の矢印を選択して、リストを展開します。


6 [Schedule Option] の青色の矢印を選択します。

7 FortiAnalyzer ユニットで脆弱性スキャンをいつ実行するかを選択します。

[Run now] を選択すると、 [OK] を選択した直後にスキャンが開始します。

[Run later] を選択すると、 FortiAnalyzer ユニットでスキャンを実行する日付および時刻を選択できます。たとえば、ログのアクティビティが少なくサイクルに余裕がある夜間の時間帯に設定できます。

8 青色の矢印を選択して、 [Output] のオプションを展開します。


[Remote Authentication]

FortiAnalyzer ユニットがリモートシステムにログインして脆弱性スキャンを実行する必要がある場合に選択します。

[User Name] リモートスキャンのユーザ名を入力します。このオプションは、[Remote Authentication] を選択した場合に使用できます。すべてのホストには、必ず同じユーザ名およびパスワードがあります。

も詳細な脆弱性レポートを得るには、脆弱性スキャンがシステム管理者として直接ファイルシステムにアクセスする必要があります。他のユーザアカウントでは、完全なスキャンを実行するための許可を十分に得られません。

[Password] 上記ユーザ名のパスワードを入力します。このオプションは、[Remote Authentication] を選択した場合に使用できます。

[Quick Scan] クイックモードでスキャンを実行する場合に選択します。FortiAnalyzer は、既知のポートのリストをスキャンしますが、ホストごとに全ポートのスキャンは実行しません。既知のポートのリストのみをチェックします。ポートのリストについては、 KnowledgeCenter の記事、「Remote Vulnerability Scan Quick Scan ports」を参照してください。

[Custom Scan] 特定の重大度に基づいて、 FortiAnalyzer ユニットで特定ポートのスキャン実行を可能にする場合に選択します。

[Modules Severity] 条件レベルおよび重大度を選択します。も詳細なスキャンの場合は、 >= および [Information] を選択します。FortiAnalyzer が指定のレベルでスキャンする内容の詳細については、 156 ページの「モジュール」を参照してください。

[TCP Ports Range] FortiAnalyzer がスキャンするポート番号またはポート範囲を入力します。ポート番号またはポート番号範囲は、カンマで区切ります。

[Enable UDP scan] UDP ポートでポートスキャンを実行する場合に選択します。

[UDP Ports Range] FortiAnalyzer がスキャンするポート番号またはポート範囲を入力します。ポート番号またはポート番号範囲は、カンマで区切ります。


http://kc.forticare.com/admin/default.asp?id=1641

脆弱性スキャンレポート


レポート

生成された脆弱性スキャンレポートのリスト、およびジョブで選択したファイル形式のレポートを表示できます。

生成した脆弱性スキャンレポートを表示するには、[Tools]、[Vulnerability Scan]、[Reports] の順に選択します。

図 77:脆弱性スキャンレポート

[File output] 生成された後に FortiAnalyzer のハードディスクに保存されるレポートのファイル形式を選択します。次から選択します。

• HTML

• Adobe PDF


[Email output] FortiAnalyzer ユニットが電子メールの添付ファイルとして送信する、生成されたレポートのファイル形式を選択します。次から選択します。

• HTML

• Adobe PDF


[Email Subject] FortiAnalyzer が送信する電子メールの件名を入力します。選択しない場合は、件名の行はレポート名となります。[Customize subject] チェックボックスをオンにするには、 [Emailoutput] リストからファイル形式を選択する必要があります。


電子メールに含まれるレポートファイルの名前を入力します。レポートプロファイルで複数のレポートを選択する場合は、FortiAnalyzer ユニットはすべてのレポートを zip ファイルに圧縮します。このオプションでは、 zip ファイルの名前を選択できます。


[Email from] FortiAnalyzer ユニットの電子メールアドレスまたはレポートを要求している管理者の電子メールアドレスを入力します。

[Email server] FortiAnalyzer ユニットがレポートを電子メールに添付して送信するとき使用するメールサーバを選択します。

[Email to] レポート受信者の電子メールアドレスを入力します。電子メールアドレス入力ごとに Enter を押して、複数の受信者を追加します。アドレスが、 [Email] リストボックスに表示されます。

[Job Name] 脆弱性スキャンジョブの名前を選択して、 HTML 形式のレポートを表示します。

[Start Time] スキャンを開始した時刻。

[End Time] スキャンを完了した時刻。


160

レポート脆弱性スキャン

レポートサマリ

レポートサマリは、脆弱性レポートの生成時に、どの RVS エンジンバージョン、対象ホスト、ジョブオプションを使用したかを表示します。

スキャン実行時およびレポート生成時に、どの RVS ジョブオプションを使用したかを判断するには、レポートのいずれかのファイル形式を選択して、 [ScanOptions] の内容を確認します。次のようなジョブオプションのリストが表示されます。

Enabled custom scan; Modules severity is greater than information; Test for reachability; TCP ports range is "1-1024"; Enabled UDP scan; UDP ports range is "1-1024";

図 78:レポートサマリ

脆弱性スキャンサマリ

脆弱性スキャンサマリは、スキャンが検出した脆弱性の種類について概要を表示します。

重大度ごとの脆弱性

レポートのこの項は、すべてのスキャン対象ホストから検出された重大度ごとの脆弱性の総数を表示します。スキャン対象ホストのグループの脆弱性レベルについて、概要を表示します。

図 79:重大度ごとの脆弱性

[Formats] 表示するレポートの形式を選択します。PDF または MS Word (RTF)形式のいずれかから選択するか、または [Job Name] を選択してHTML 形式でレポートを表示します。

[Action] 削除アイコンを選択して、レポートを削除します。


脆弱性スキャンレポート

カテゴリごとの脆弱性

脆弱性スキャンサマリのこの項は、ホスト上で実行するオペレーティングシステム、アプリケーション、サービス ( デーモン ) といった、スキャン対象ホストのソフトウェアのカテゴリごとに検出された脆弱性数を表示します。

図 80:カテゴリごとの脆弱性

脆弱なホスト上位 10 件

脆弱性スキャンサマリのこの項は、脆弱性の数および重大度による評価で、も脆弱なホストを表示します。このリストで上位に位置づけられるホストには、攻撃者がホストから情報を搾取したり、機能を破綻させるために使うアクセスポイントがも多くあります。

図 81:脆弱なホストの上位 10 件

ホスト

ホストの項は、各ホストから検出された脆弱性ごとについての詳細情報を表示します。レポートは、個々の脆弱性および重大度の影響について説明し、一般的にはアプリケーションベンダによるパッチ提供などのソリューションを推奨します。


162

レポート脆弱性スキャン


索引

FortiAnaly05-30005-

索引A

Active DirectoryActiveXadmin 管理者

アイドルタイムアウト 30権限 28接続解除 30認証 29

AGGREGATOR 24SSH も参照

C

CLI 12, 15, 22, 24, 31, 48応答なし 15ADOM を有効にする 32RAID を有効にする 48set share permissions 37応答なし 20ネットワークアナライザの有効化 140ネットワークアナライザを有効にする 139

CPU 使用率 16CPU ステータス 17

D

DC ( 重複カウント ) 90Device ID 56, 64Device Name 56[Device Name] 56DNS 25, 133

E

ESP 57, 61IPSec VPN トンネルも参照

F

FDNFortiGuard Distribution Network 51, 52, 153, 156Web プロキシ経由の接続 52接続 52

FDPFortinet Discovery Protocol 25, 57, 60アイコン 24

FDSFortiManager も参照Fortinet Distribution Server 51オーバーライド 52

FortiAnalyzerMIB 135デバイスの負荷 58トラップ 135

復元 20FortiClient 55, 58FortiDiscoveryFortiGate 55

HA 58グループ 62

FortiGuardCenter 52, 112FDN も参照Web フィルタリング 85Web フィルタリングも参照サブスクリプションサービス 52

FortiGuard Distribution NetworkFortiGuard Distribution ServerFortiMail 55

HA 58グループ 67バージョン 2.8 MR1 66

FortiManager 55グループ 66

FTPコンテンツアーカイブ 85使用率 103, 105, 107へアップロード 83, 124, 151レポートをアップロードする 100

G

gid 34gzip 77, 82, 83, 124, 145, 149, 151

H

HTTP 24コンテンツアーカイブ 85使用率 103プロトコルも参照

HTTPS 24プロトコルも参照

HyperTerminal 22

I

IKE 57, 61IPSec VPN トンネルも参照

IPSイベント 112レポート 111

IPSec VPN トンネル 56, 57, 61ログ 37

IPSec VPN トンネル 57IP エイリアス 19, 42, 72, 120

ファイルからインポートする 42ホスト名を解決 86, 104, 105, 106, 119

zer バージョン 3.0 MR5 管理ガイド0082-20070621 163

164

索引

L

LCD パネル 15, 21, 30LDAP 49, 120

M

MIB 135MTU 23, 25

N

NAS 11NetBIOSNFS 33

共有 25NTP 14

O

OFTP 57

P

P2P使用率 103, 106プロトコルも参照

PDF 文書 99, 122PIN 30PING 24pre-shared secret (PSK) 56PSK 56

IPSec VPN トンネルも参照

R

RADIUS 27, 29RAID 43, 44, 47

コントローラ 48ステータス 17ホットスワップ 44レベル 48

RAM 使用率 16[Resolve Host Names] 19RFC

1213 1352665 135

RTF 文書 99, 122RVS 153

FDNFortiGuard Centerアップグレードファイル 52クイックスキャン 158更新スケジュール 52, 53サブスクリプションサービス 51ジョブ 157ジョブオプション 158, 160直ちに更新する 52, 53バージョン 52ポート範囲 158モジュール 156レポート 159ログイン 158

S

SCPへアップロード 83, 151

SFTPへアップロード 83, 151

SMB 33SMTP 133SNMP

MIB 135サーバ、テスト 134トラップ 134, 135マネージャ 135

SOAP 24SSH 24, 57

プロトコルも参照Syslog 39, 55, 66

サーバ 137サーバグループ 69サーバテスト 137サーバへのログ 39デバイスのディスク領域 69プロトコル 57ログ転送も参照

T

TELNET 24プロトコルも参照

TFTP サーバ 20Tx 56, 57TXT 文書 99, 122

U

uid 34

V

VLAN 63バーチャルドメイン (VDOM) も参照

VoIP 85VPN 57

IPSec VPN トンネルも参照

W

Web使用率 103トラフィック 103フィルタリング 80, 85

WEBSERVICES 24Windows ADWindows 共有 33, 34

X

XML

あ

アイドルタイムアウト 30アカウント

管理者 26


索引

FortiAnaly05-30005

共有ユーザ 34アクセス

管理ポート 24プロファイル、管理者 27, 26

アグリゲーションアップタイム 14圧縮アップグレード

ファームウェア 15アップロード後に削除する

フォレンジック分析 100ログ 83

アップロード後の削除ネットワークアナライザログ 151レポート 124

アラート 131SNMP トラップ 134Syslog サーバ 137イベント 38, 39, 131しきい値 132送信する 132トリガ 131, 132メールサーバ 133

アレイ

い

イベントアクティビティコード 128概要 109重大度のしきい値 38, 39レポート 109ログサブタイプコード 128

インスタントメッセージ (IM)コンテンツアーカイブ 85使用率 103, 106プロトコルも参照

インタフェース管理アクセス 24種類 63ステータス 24設定 23

インポートIP エイリアスファイル 42設定ファイル 50ログファイル 76

う

ウイルス隔離も参照

ウイルスアクティビティレポート 111

え

エイリアスエクスポート、 NFS 25, 33閲覧

スニファ 143ネットワークアナライザ 143フォレンジック分析レポート 100レポート 109, 126ログ 74

お

オーバーライドサーバ 52FDS も参照

か

会社名 95, 117隔離 10, 89

HA デバイス 64, 89チケット番号 90重複 (duplicate) カウント 90ディスク領域 89

完全修飾ドメイン名 (FQDN) 134, 137DNS も参照

管理アクセス 24

管理アクセス管理者

パスワード 27管理ドメイン (ADOM) 29, 26, 30, 56

き

既知のデバイスの種類 59共有 11共通名 (CN) 49

LDAP も参照共有

NFS 25, 33Windows 33, 34グループ 34権限 35, 37ユーザ 34

許可 37デバイス 56

く

クイックスキャン 158クラスタサービスグラフ 107, 124グループ

FortiGate 62FortiMail 67FortiManager 66Syslog サーバ 69共有ユーザ 34デバイス 70フォレンジック分析 92

け

警告 17, 131コンソールメッセージ 17ダッシュボードの表示 17了解 18

権限管理者 26, 27共有 35, 37

権限、 admin 管理者 28検索

基本 79, 147検索結果のダウンロード 149

zer バージョン 3.0 MR5 管理ガイド-0082-20070621 165

166

索引

検索結果をダウンロード 81コンテンツアーカイブ 85詳細 80, 148トラフィックログ 74, 80ネットワークアナライザログ 139, 147ヒント 81, 148フォレンジック検索結果を保存する 94フォレンジック分析 91, 94ユーザデータ 85, 94履歴 80, 147ログ 79, 147

件名 100, 123, 159ゲートウェイ 25言語 30, 99

こ

高可用性 (HA) 63, 58, 89攻撃

名前 112レポート 111ログも参照

更新間隔 19工場出荷時のデフォルト設定 20コンテンツアーカイブ 85

HA デバイス 64順次作成の設定 88フィルタ 87

さ

サービス名を解決フォレンジック分析 97レポート 121

再起動 20大転送単位

サブスクリプションサービス 51, 52サブネット 60, 81, 120サポート契約 16サマリレポート 124サムネイル 124

し

しきい値アラート 132転送 41トラフィック 111ロギング 39

識別名 (DN) 49LDAP も参照

システム設定時刻 14デフォルト設定を復元する 20

シャットダウン 20シリアル番号 14

デバイス ID も参照してください。信頼できるホスト 27時刻

NTP サーバ 14設定 14同期間隔 15

レポートの期間 118自動発見 25, 57, 60順次作成の設定

コンテンツアーカイブ 88ネットワークアナライザ 150ログ 82

上限使用可能なデバイス 58

す

スキャン対象 157レポート 157

ストライピング 43RAID も参照

スニファ 143, 139ネットワークアナライザも参照

スパンポート 139

せ

セキュアな接続 37, 56, 57, 61, 89アイコン 56

セキュリティイベントレポート 109概要 109

セッション 17, 18情報 112

接続セッション 18接続しようとするデバイスへの対応 55, 59

接続するネットワークトラフィック分析のため 139

設定ファイルバックアップ 50パスワード 50

脆弱性RVS も参照スキャン対象 157モジュール 156レポート 159

そ

相関レポート 109

た

ターミナルエミュレータ 22ダウンロード

検索結果 81, 149設定ファイル 50ネットワークアナライザログ 145ログ 77, 81, 149

ち

チケット番号 90

て

テストFortiAnalyzer の接続 (ping) 24


索引

FortiAnaly05-30005

SNMP サーバ 134Syslog サーバ 137デバイスの接続 61メールサーバ 133

ディスク領域ハードディスクも参照Syslog デバイス 69隔離に割り当て 89デバイスへの割り当て 57, 62, 65, 67, 68ネットワークアナライザに割り当て 151未登録デバイス 69

ディスク領域の割り当てディスク領域を割り当てるデバイス

HA 58, 63アラート 131インタフェースの種類 63既知の種類 118許可 56, 62グループ 70使用可能な上限台数 58セキュアな接続登録およびレポート 59, 118トラフィックのサマリ 107ブロックされた 58, 69未登録 59ライセンス 16, 58リスト 55レポート 117ログも参照 81

デバイス ID 105, 106高可用性 (HA) も参照IPSec VPN トンネルも参照

デバイス名ローカル ID も参照

デフォルト共有権限 35, 37ルート 25

電源オフ 20電子メール

アラート 132件名 100, 123, 159コンテンツアーカイブ 85使用率 103, 104, 107

と

トラップSNMP 134, 135

トラフィック概要 103情報 112セッション 17, 18フィルタ 107

トンネル 57, 61同期間隔 15

な

NAS 33, 34夏時間 (DST) 117, 118, 115, 118, 122

に

認証 29

ね

ネットワークアタッチトサーバ (NAS) 33, 34脅威 89グループ 92スニファ 143タイムプロトコル 14パフォーマンス 25ファイルシステム (NFS) 33ユーザ 91

ネットワークアナライザgzip 151閲覧 143順次作成の設定 150ダウンロード後の削除 151へアップロード 151ホスト名の解決 142ホスト名を解決 141, 144有効にする 139, 151リアルタイムビューワー 140履歴ビューワー 141列の表示 141, 146ログのダウンロード 145

は

ハードディスクRAID も参照してください。usage 17故障ディスクを交換 44コントローラ 44, 48使用率 17ステータス 17フォーマット 20ホットスペア 44ホットスワップ 44

ハードディスクをフォーマットする 20バーチャルドメイン (VDOM) 33, 120, 58, 121バックアップ 50パスワード 26, 27

共有ユーザ 34設定ファイル 50レポートのアップロード 124ログのアップロード 151

ふ

ファームウェアアップグレード 15, 50アップロード 50イメージ 50イメージ整合性チェック 23ダウングレード 15, 50バージョン 14, 51復元 20

ファイル拡張子 77, 82, 99, 118, 122, 123, 126, 145, 149権限 37, 35, 37転送 85フォーマット 96, 118, 123, 126


168

索引

容量 126フィルタ

Web 85アイコン 19, 77, 79, 87, 107, 145, 147コンテンツアーカイブ 87条件 79, 87, 107, 147セッション 19ヒント 79, 87, 107, 147フォレンジックレポート 98ユーザトラフィック 107レポート 119ログ 79, 146

フェーズ I 57フェーズ II 57フォレンジック分析 91

フィルタ 98FTP へのアップロード 100gzip 100アップロード後に削除する 100閲覧 100グループの 92検索 91サービス名を解決 97出力 99時刻 97フッター 95ヘッダー 95ホスト名を解決 97ユーザの 91レポートの種類 98ロゴ 95

フォレンジック分析の出力 99復元

FortiAnalyzer ユニット 20設定ファイル 50デフォルト設定 20ファームウェア 20

不審イベント 17

不審なアクティビティのレポート 112

フッターコメント 95, 117古いファイルの上書き 89古いメッセージを上書き 62, 68ブール演算子 79, 87, 107, 147, 148ブロックされたデバイス 58, 69プロトコル

AIMESP 57, 61FDP 24, 25, 57FTP 83, 105, 124, 151HTTP 24, 103HTTPS 24, 103ICMP (ping) 24ICQ コンテンツアーカイブも参照IKE 57, 61IMAP 107LDAP 49MMS 107MSNNetBIOSNFS 34NTP 14

OFTP 57P2P 106POP3 107RADIUS 27RTSP 107SCP 83, 124, 151SFTP 83, 124, 151Skype P2P を参照SMTP 105SOAP 24SSH 24, 39, 57syslog 57telnet 24TFTP 20UDP 25, 57, 60VoIP 85インスタントメッセージ (IM) 106SMTP コンテンツアーカイブも参照 107使用状況の分布 107電子メール 104, 105

プロファイル、レポート 115, 95, 108

へ

ヘッダーコメント 95, 117

ほ

ホスト名 14DNS も参照

ホスト名の解決ネットワークアナライザ 142ログ 142

ホスト名を解決 42, 86, 105IP エイリアスも参照ネットワークアナライザ 141, 144フォレンジック分析 97レポート 121ログ 72, 73, 75

ホットスペアホットスワップポート

0 57123 1421 105, 12422 24, 39, 57, 12423 2425 104, 105389 49443 24, 103500 57514 5769 2080 24, 1038080 24宛先 141スキャン 153, 157デバイス 63

ポリシー ID 120

み

未知のデバイスの種類 59未登録デバイス 59, 118


索引

FortiAnaly05-30005

オプション 55ミラーリング 43

RAID も参照

め

メールサーバ 133メモリ使用率 16

も

モジュール、脆弱性

ゆ

ユーザLDAP も参照アカウント 34共有 34許可も参照グループ 34トラフィックフィルタ 107ユーザのフォレンジック分析 91

ら

ライセンス情報 16RVS も参照サポート契約も参照

り

リアルタイムビューワーネットワークアナライザ 10, 140ログ 71

リセット設定 15, 20, 21

リモートアクセスポート 24履歴ビューワー

ネットワークアナライザ 141ログ 72

る

ルートスタティック 25デフォルト 25

れ

レイアウト 124列の表示

コンテンツログ 86ネットワークアナライザ 146ログ 78

レポート 9フィルタ 119gzip 124IPS 111RVS (remote vulnerability scan) 153VDOM 121アップロード後の削除 124閲覧 109, 126カスタマイズ 95, 117カスタム 109

結果 121言語 99サーバにアップロード 124サービス名を解決 121出力 122種類 98, 120スケジュール 122セキュリティイベント 109脆弱性 159総括的 127デバイス 97, 117, 118デバイスの選択 97, 118デバイスの登録 59トラフィックのサマリ 103, 105ネットワークサマリ 104ネットワーク使用率 103フォレンジック分析 91不審なアクティビティのレベルおよび種類 112フッター 117プロトコルの分布 107プロファイル 95, 108, 115ヘッダー 117ホスト名を解決 105, 121ユーザアクティビティ 91レポートの期間 118ロールアップ 127ロゴ 117

レポートの出力 122レポートのスケジュール 122

ろ

ローカル 30ローカル ID 56

IPSec VPN トンネルも参照ロールアップレポート 127ロギングを停止 62, 68ログ

デバイスインタフェース上のトラフィック 63CSV 形式 77, 82, 145, 149gzip 77, 82, 83, 145, 149Syslog サーバ 39VPN 56, 57アグリゲーション 10, 24, 39, 57圧縮アップロード後に削除する 83イベントコード 128インポート 76閲覧 74検索 79, 147コンテンツしきい値 39, 41自動削除 39順次作成の設定 82セキュアトンネル 37, 56, 57, 61設定 37ダウンロード 77, 81, 149転送 41トンネリング 57フィルタ 79, 146ホスト名の解決 142ホスト名を解決 72, 73, 75リアルタイムビューワー 71量 18


170

索引

履歴ビューワー 72列の表示 78レベル 38, 39

ロゴ 95, 117形式 96, 118

わ

割り当て


www.fortinet.com

fortianalyzer admin guide日本語...fortianalyzer バージョン3.0 mr5 管理ガイド 8...

Documents