intoview.aiشبكات · أمن · سحابة · ذكاء اصطناعي
معالِجات الأحداث والتنبيهات0%
معالِجات الأحداث والتنبيهاتسجلّاتEvent Handlerتنبيه / إيميلlog🔔 تنبيهالـ Event Handler يطابق السجلّات وينشئ حدثًا ويطلق تنبيهًا
معالِجات الأحداث والتنبيهات في FortiAnalyzer

إذا كانت التقارير هي الذاكرة التاريخية، فإن معالِجات الأحداث (Event Handlers) هي الجهاز العصبي اللحظي لـ FortiAnalyzer. هي التي تراقب الـ logs الواردة باستمرار، وحين تتطابق شروط معيّنة تولّد Event بدرجة خطورة محدّدة وتطلق التنبيه المناسب. هذه الطبقة هي أساس الكشف (detection) وتغذية الـ incidents في الـ SOC.

  • 1الـ Event Handler هو مجموعة شروط فلترة (filter) على الـ logs الواردة؛ عند المطابقة يُنشئ Event ويُسنِد له درجة خطورة (severity).
  • 2تظهر الأحداث المتولّدة في الـ Event Monitor، ومنها تتجمّع لتكوّن incidents يعمل عليها فريق الـ SOC.
  • 3يمكن لكل handler إطلاق Notifications: email أو SNMP trap أو syslog أو تنفيذ action عبر connector مدمج.
  • 4يأتي FortiAnalyzer بـ predefined handlers جاهزة لمصادر مثل FortiGate و FortiClient والأحداث المحليّة، إضافةً لإمكانية إنشاء custom handlers.
  • 5الضبط الدقيق (tuning) للـ filters ضروري لتقليل الضجيج (noise) والـ false positives، وإلا غرق المحلّل في تنبيهات بلا قيمة.

من الـ log إلى التنبيه

  1. ١
    وصول الـ log
    الجهاز يرسل log إلى FortiAnalyzer
  2. ٢
    مطابقة الفلتر
    الـ handler يطابق الشروط
  3. ٣
    توليد Event
    إنشاء حدث بدرجة خطورة
  4. ٤
    إطلاق Notification
    email / SNMP / syslog
  5. ٥
    تكوين Incident
    تغذية الـ SOC
🔎تفاصيل أعمق
  • يتكوّن أي handler من ثلاثة أجزاء: شروط المطابقة (log type + filters)، وإعدادات التجميع (group by + count threshold ضمن نافذة زمنية)، وإعدادات المخرجات (notification + severity)؛ ضبط الـ threshold هو أقوى أداة لكبح الضجيج.
  • تتغذّى الـ incidents في وحدة Incidents & Events من الأحداث المتولّدة، ويمكن ربطها بـ FortiSOAR أو playbooks للأتمتة؛ بهذا يتحوّل FortiAnalyzer من مجرّد مخزن logs إلى منصّة detection فعليّة.
  • أي notification بالـ email يحتاج SMTP server معرّفاً مسبقاً في إعدادات النظام، كما أن مخرج الـ syslog يتطلّب وجهة (server) صالحة؛ تنبيه لا يصل غالباً سببه إعداد مخرج ناقص لا خطأ في الـ handler نفسه.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
GUI: Incidents & Events > Handlers هو المكان الفعلي لإنشاء وتعديل الـ handlers. أغلب منطق المطابقة يُضبط في الـ GUI، والـ CLI للتشخيص والإعدادات النظاميّة.
  • config system locallog settingالدخول إلى قسم الإعداد
  • showعرض الإعداد الحالي
  • endحفظ والخروج من القسم
  • diagnose test application fazsvrd 1أمر تشخيص
FAZ-LAB-01 — FortiOS CLI
# المهمة: عرض إعدادات معالِجات الأحداث
FAZ-LAB-01 #
0/4
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
GUI: Incidents & Events > Handlers هو المكان الفعلي لإنشاء وتعديل الـ handlers. أغلب منطق المطابقة يُضبط في الـ GUI، والـ CLI للتشخيص والإعدادات النظاميّة.

مكوّنات الـ Event Handler

Log typetraffic / event / IPS
Filtersشروط المطابقة
Aggregationgroup by + threshold
Severitylow إلى critical
Notificationemail / SNMP / syslog
💡 نصيحة مقابلة: 💡 لا تفعّل كل الـ predefined handlers دفعةً واحدة على بيئة إنتاجيّة. ابدأ بالحرجة (مثل admin login failures و IPS critical) ثم راقب حجم الأحداث أسبوعاً قبل إضافة المزيد؛ التفعيل الجماعي يولّد آلاف الـ events ويُفقد فريق الـ SOC الثقة بالنظام.