archivo vs base de datos analítica

Hola amig@s ​👏​, por si no me conocéis soy Mila Jiménez y vengo a ayudaros con: ⬇️ archivo vs base de datos analítica

Descripción

Este artículo describe que con Fortianalyzer, es necesario familiarizarse con dos conceptos principalmente:

– Archivo de base de datos.

– Base de datos de análisis.

Alcance

Útil para principiantes en Fortianalyzer

Solución

Cada FortiGate genera registros que pueden enviar registros a cualquier unidad que admita el puerto 514 (TCP o UDP), en este ejemplo, FortiAnalyzer.

El demonio que maneja los registros en FortiGate es ‘miglogd’ y ‘oftpd’ en FortiAnalyzer.

Cada registro tiene ‘campos’ de registro como:

– fecha.

– tiempo.

– Srcip.

-dstip

– acción.

– escribe.

Un ejemplo de 1 registro, sería como:

axel_gonzalez_FTNT_0-1648773188094.png

FortiAnalyzer recibe cientos o miles de registros.

Estos registros se pueden ver en dos formatos diferentes.

Registro sin procesar‘ (opción de texto).

axel_gonzalez_FTNT_1-1648773320154.png

Registro formateado‘ (opción de GUI). El más preferido por casi todos los usuarios debido a que es más fácil de leer por humanos.

axel_gonzalez_FTNT_2-1648773348728.png

– El tamaño de cada registro FortiGate cambiará dependiendo del tamaño de cada uno.

– Hay algunos troncos que serán más pequeños o más grandes que otros.

– El tamaño de cada registro se puede estimar a través del archivo pcap. Hay diferentes tamaños de paquetes.

axel_gonzalez_FTNT_3-1648773569017.png

El límite de registros recibidos por día es una métrica importante para verificar.

Este límite dependerá del Modelo o Licencia de VM.

Si se excede el límite, no se garantiza verlo en la base de datos de archivo.

Artículos relacionados  Cómo FortiManager y FortiAnalyzer usan múltiples servidores NTP

axel_gonzalez_FTNT_1-1648775378689.png

Base de datos del archivo Fortianalyzer.

Cuando Fortianalyzer recibe registros (pueden ser solo algunos, cientos, miles, millones…) va directamente a lo que llamamos ‘Base de datos de archivo’ que es el lugar donde comprimimos los registros.

Estos registros se consideran «registros sin conexión».

axel_gonzalez_FTNT_4-1648773663115.png

‘Doble clic’ en un paquete de registros. Aparecerán muchos registros en formato sin procesar.

axel_gonzalez_FTNT_5-1648773700666.png

Es posible definir el tamaño del paquete en la opción ‘Desplazar archivo de registro cuando el tamaño excede’ ubicada en Configuración del sistema.

axel_gonzalez_FTNT_8-1648774634549.png

Base de datos analítica de Fortianalyzer.

La base de datos analítica es el lugar donde los registros se indexan desde el archivo a la base de datos SQL, estos registros se consideran «registros en línea».

axel_gonzalez_FTNT_6-1648773755505.png

Tenga en cuenta que incluso es posible ver 196 días en la base de datos de Analytics, no indica 196 días de registros diarios, significa que el registro más antiguo es de hace 196 días.

Normalmente, el registro más antiguo se ve con frecuencia en Tipo: Registros de eventos.

Además, considere que la base de datos analítica es donde se generan los informes.

Flujo de base de datos de archivo y análisis.

axel_gonzalez_FTNT_7-1648773964814.png

La primera métrica para eliminar registros en cualquier base de datos es:

1) Espacio del disco. Es necesario tener suficiente espacio en disco para lograr más días.

2) Política de datos. Si hay suficiente espacio en disco, FortiAnalyzer eliminará automáticamente los registros más antiguos.

axel_gonzalez_FTNT_9-1648774785539.png

Siempre verifique que el espacio en disco actual permita ver los datos esperados.

Artículos relacionados  mapa de amenazas de FortiAnalyzer

De lo contrario, considere ampliar el espacio en disco si hay VM o habilite solo las políticas que son más importantes para generar registros.

axel_gonzalez_FTNT_10-1648774828279.png

Considere que cada FortiAnalyzer dependerá de la tasa de mantenimiento analítico tanto en las máquinas virtuales como en las unidades físicas.

Tasa sostenida: tasa máxima de mensajes de registro constante que la plataforma FortiAnaylzer puede mantener durante un mínimo de 48 horas sin que se degrade la base de datos SQL ni el rendimiento del sistema.

axel_gonzalez_FTNT_2-1648775459955.png

axel_gonzalez_FTNT_3-1648775572952.png

– Considere que el tamaño de Archive Logs: Analytic Logs es 1:4 o incluso 1:8.

– Esto significa que si hay una Base de datos de Archivo de 100Mb, es necesario tener una Base de datos Analítica de 400Mb, o incluso 800Mb.

– Esto se debe a que la base de datos de archivo es una base de datos comprimida.

– Normalmente, se asigna más espacio en disco a Analytics que a Archive.

– Una base de datos de 80%: 20% es la configuración normal

-FortiAnalyzer tiene ‘Modo analizador’ y ‘Modo colector’.

-El modo colector no tiene base de datos analítica, se reenvía al modo analizador (normalmente una unidad secundaria).

-La tasa sostenida del colector es más alta que el modo de analizador.

-El modo de funcionamiento depende de la topología de la red y de los requisitos individuales.

​🔎 Para terminar, felicitarte por haber llegado hasta abajo de esta publicación. Esperamos que haya servido para solucionar tus problemas y que nos vuelvas a visitar pronto.
Si no consigues dar con la solución a tu duda escribe en la barra de búsqueda o contacta con nosotros en los comentarios.
¡Un placer!

Artículos relacionados  informe de calificación de seguridad e informe de cumplimiento de PCI-DSS

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *