cómo investigar la visibilidad de los registros después de la integración de EMS y FortiClient en FortiAnalyzer

Mila y César

Descripción

Este artículo describe cómo investigar la visibilidad de registros después de la integración de EMS y FortiClient en FortiAnalyzer.

Solución

1 Verifique la compatibilidad del servidor EMS y FortiClient con FortiAnalyzer. Esto se puede encontrar en la nota de lanzamiento de FortiClient, en la nota de lanzamiento de EMS y en la nota de lanzamiento de FortiAnalyzer.

2 Al agregar EMS a Fortianalyzer, asegúrese de que la versión de firmware de EMS sea correcta en Fortianalyzer, también la versión ADOM es adecuada en consecuencia:

3) Ejecute el comando ping en el símbolo del sistema desde el endpoint y el comando de rastreo que se proporciona a continuación en Fortianalyzer para probar la accesibilidad, ya que para recibir los registros de FortiClient, debe haber conectividad no solo desde EMS sino también desde los endpoints a FortiAnalyzer también.

# diag sniffer paquete cualquier “host “ 6 0 a

4) Si los registros están visibles en FortiAnalyzer en Vista de registro pero la información no está disponible en el informe, primero verifique que los registros no deben tener 0 bytes en las columnas enviadas/recibidas, que pueden verificarse en Vista de registro o FortiView para una mejor visibilidad.

5) Sin embargo, para verificar los registros sin procesar de FortiClient, cambie la configuración del registro para depurar en el perfil en EMS habilitando el modo Avanzado en el perfil:

Una vez que FortiClient reciba la actualización, genere algo de tráfico y ejecute la herramienta de diagnóstico para recopilar los registros de depuración.

Desde el archivo cab de diagnóstico de FortiClient, los registros se pueden verificar después de descomprimir la carpeta siguiendo la ruta a continuación:

\Diagnostic_Result.cab\FCDiagData\general\Log.txt

Ejemplo de registro sin procesar de FortiClient:

14/12/2020 12:10:26 p. FCT8001520596323 hostname=Abc-IT01 pcdomain=abc.com deviceip=192.168.18.14 devicemac=d8-f2-ca-0d-5b-tt vd=predeterminado fctver=6.4.1.1519 fgtserial=N/A emsserial=FCTEMSTA20001 usingpolicy=Default os= «Microsoft Windows 10 Professional Edition, 64 bits (compilación 17134)» user=xyz@abc msg=»Registro de tráfico» sessionid=295896597 srcname=svchost.exe srcproduct=»Microsoft® Windows® Operating System» srcip=192.168.18.14 srcport =53785 dirección=salida dstip=8.8.8.8 dstport=53 proto=17 rcvdbyte=0 sentbyte=0 utmaction=passthrough utmevent=amenaza de firewall de aplicación=servicio de DNS=iniciado por el usuario del dominio=0 tiempo de navegación=0

Si se muestran los registros sin procesar de FortiClient rcvdbyte=0 sentbyte=0 el problema debe abordarse en el lado de FortiClient, donde es posible abrir un ticket de soporte mediante EMS SN.

tema relacionado.

cómo integrar EMS en el FortiAnalyzer