Descripción
Este artículo describe que con Fortianalyzer, es necesario familiarizarse con dos conceptos principalmente:
– Archivo de base de datos.
– Base de datos de análisis.
Alcance
Útil para principiantes en Fortianalyzer
Solución
Cada FortiGate genera registros que pueden enviar registros a cualquier unidad que admita el puerto 514 (TCP o UDP), en este ejemplo, FortiAnalyzer.
El demonio que maneja los registros en FortiGate es ‘miglogd’ y ‘oftpd’ en FortiAnalyzer.
Cada registro tiene ‘campos’ de registro como:
– fecha.
– tiempo.
– Srcip.
-dstip
– acción.
– escribe.
…
Un ejemplo de 1 registro, sería como:
FortiAnalyzer recibe cientos o miles de registros.
Estos registros se pueden ver en dos formatos diferentes.
‘Registro sin procesar‘ (opción de texto).
‘Registro formateado‘ (opción de GUI). El más preferido por casi todos los usuarios debido a que es más fácil de leer por humanos.
– El tamaño de cada registro FortiGate cambiará dependiendo del tamaño de cada uno.
– Hay algunos troncos que serán más pequeños o más grandes que otros.
– El tamaño de cada registro se puede estimar a través del archivo pcap. Hay diferentes tamaños de paquetes.
El límite de registros recibidos por día es una métrica importante para verificar.
Este límite dependerá del Modelo o Licencia de VM.
Si se excede el límite, no se garantiza verlo en la base de datos de archivo.
Base de datos del archivo Fortianalyzer.
Cuando Fortianalyzer recibe registros (pueden ser solo algunos, cientos, miles, millones…) va directamente a lo que llamamos ‘Base de datos de archivo’ que es el lugar donde comprimimos los registros.
Estos registros se consideran «registros sin conexión».
‘Doble clic’ en un paquete de registros. Aparecerán muchos registros en formato sin procesar.
Es posible definir el tamaño del paquete en la opción ‘Desplazar archivo de registro cuando el tamaño excede’ ubicada en Configuración del sistema.
Base de datos analítica de Fortianalyzer.
La base de datos analítica es el lugar donde los registros se indexan desde el archivo a la base de datos SQL, estos registros se consideran «registros en línea».
Tenga en cuenta que incluso es posible ver 196 días en la base de datos de Analytics, no indica 196 días de registros diarios, significa que el registro más antiguo es de hace 196 días.
Normalmente, el registro más antiguo se ve con frecuencia en Tipo: Registros de eventos.
Además, considere que la base de datos analítica es donde se generan los informes.
Flujo de base de datos de archivo y análisis.
La primera métrica para eliminar registros en cualquier base de datos es:
1) Espacio del disco. Es necesario tener suficiente espacio en disco para lograr más días.
2) Política de datos. Si hay suficiente espacio en disco, FortiAnalyzer eliminará automáticamente los registros más antiguos.
Siempre verifique que el espacio en disco actual permita ver los datos esperados.
De lo contrario, considere ampliar el espacio en disco si hay VM o habilite solo las políticas que son más importantes para generar registros.
Considere que cada FortiAnalyzer dependerá de la tasa de mantenimiento analítico tanto en las máquinas virtuales como en las unidades físicas.
Tasa sostenida: tasa máxima de mensajes de registro constante que la plataforma FortiAnaylzer puede mantener durante un mínimo de 48 horas sin que se degrade la base de datos SQL ni el rendimiento del sistema.
– Considere que el tamaño de Archive Logs: Analytic Logs es 1:4 o incluso 1:8.
– Esto significa que si hay una Base de datos de Archivo de 100Mb, es necesario tener una Base de datos Analítica de 400Mb, o incluso 800Mb.
– Esto se debe a que la base de datos de archivo es una base de datos comprimida.
– Normalmente, se asigna más espacio en disco a Analytics que a Archive.
– Una base de datos de 80%: 20% es la configuración normal
-FortiAnalyzer tiene ‘Modo analizador’ y ‘Modo colector’.
-El modo colector no tiene base de datos analítica, se reenvía al modo analizador (normalmente una unidad secundaria).
-La tasa sostenida del colector es más alta que el modo de analizador.
-El modo de funcionamiento depende de la topología de la red y de los requisitos individuales.