intoview.aiشبكات · أمن · سحابة · ذكاء اصطناعي
التسجيل والمراقبة0%
التسجيل والمراقبةFortiGateFortiAnalyzerSyslogloglogFortiGate يرسل السجلّات إلى FortiAnalyzer و Syslog للتحليل والاحتفاظ
التسجيل والمراقبة في FortiGate 7.6

التسجيل هو عينك على كل ما يمر عبر الـ FortiGate، فبدون logs دقيقة لا تستطيع تتبّع هجوم أو إثبات أن سياسة معينة تعمل. في هذه الوحدة نفصّل أنواع الـ logs وأماكن تخزينها ومستويات الخطورة وكيف يُفعَّل التسجيل لكل firewall policy على حدة. ثم ننتقل إلى FortiView لمراقبة الترافيك لحظياً والغوص في التفاصيل.

  • 1هناك ثلاث فئات من الـ logs: Traffic logs لحركة الجلسات عبر الـ policies، وEvent logs لأحداث النظام (system / user / router / vpn / wireless)، وSecurity logs الخاصة بمحركات الـ UTM مثل AntiVirus وWeb Filter وIPS وApplication Control.
  • 2وجهات التخزين (log storage) متعددة: Memory وهي سريعة لكنها volatile وصغيرة، local Disk على الجهاز، أو إرسالها خارجياً إلى FortiAnalyzer أو FortiCloud أو Syslog server. يمكن تفعيل أكثر من وجهة في وقت واحد.
  • 3لكل log سجلٌّ severity level من 0 إلى 7: emergency (0)، alert، critical، error، warning، notification، information، ثم debug (7). كلما صغر الرقم زادت الخطورة، وتُستخدم هذه المستويات للفلترة وتقليل الضجيج.
  • 4التسجيل يُفعَّل per firewall policy عبر الخيار Log Allowed Traffic، الذي يقدّم اختيارين: Security Events لتسجيل أحداث الـ UTM فقط، أو All Sessions لتسجيل كل جلسة. اختيار All Sessions يولّد حجماً ضخماً من الـ traffic logs.
  • 5FortiView يوفّر تصوّراً للترافيك real-time وhistorical مع إمكانية الـ drill-down حسب المصدر أو الوجهة أو التطبيق أو الـ policy. لرؤية تفاصيل جلسات HTTPS داخل الـ logs تحتاج إلى تفعيل SSL inspection.
🖥️محاكاة واجهة FortiGate (تفاعلية)
واجهة تعليمية مستوحاة من شكل FortiOS — جرّب الأزرار والحقول.
HQ-FGT
+ Add Widget🔍admin ▾
📊Dashboard
🌐Network
🛡️Policy & Objects
🔒Security Profiles
🔑VPN
👥User & Auth
📈Log & Report
⚙️System
Log & Report › Forward Traffic
TimeSourceDestinationServiceAction
12:01:2210.10.10.24142.250.0.14HTTPSaccept
12:01:2010.10.10.78.8.8.8DNSaccept
12:01:1810.10.10.51185.220.0.9TELNETdeny
12:01:1110.20.20.552.96.0.1HTTPSaccept
12:01:0310.10.10.24203.0.113.7SMBdeny
اكتب في التصفية (مثل deny أو HTTPS) لترشيح السجلّات.

مسارات تخزين الـ logs

🛡️
FortiGate
Memory
💽
Disk
📊
FortiAnalyzer
🗄️
Syslog
🔎تفاصيل أعمق
  • اختيار وجهة التخزين قرار تشغيلي مهم: Memory logging تُمسح عند إعادة التشغيل وحجمها محدود جداً فهي مناسبة للاختبار السريع فقط. الـ local Disk يحتفظ بالـ logs عبر reboot لكن الكتابة المستمرة تستنزف الـ flash على الأجهزة الـ entry-level. لذا في بيئة production تُرسَل الـ logs إلى FortiAnalyzer أو FortiCloud أو Syslog للاحتفاظ طويل الأمد.
  • FortiAnalyzer ليس مجرد مستودع تخزين بل محرك correlation وتقارير: يجمع logs من عدة FortiGate ويبني reports وincident analysis ويوفّر retention طويل خارج محدودية الجهاز نفسه. هذا هو السبب الذي يجعله best practice في النشر المؤسسي بدل الاعتماد على الـ local Disk وحده.
  • الفلترة حسب الـ severity توازن بين العمق والضجيج: ضبط مستوى عند warning مثلاً يلتقط الأحداث الأهم ويتجاهل information وdebug، بينما رفعه إلى debug يفيد في troubleshooting لكنه يغرق التخزين. وتذكّر أن تفاصيل HTTPS لن تظهر في الـ logs ما لم يُفعَّل SSL inspection ليفك التشفير ويُسجَّل المحتوى المفحوص.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
GUI: Log & Report > Log Settings > Remote Logging.
  • config log fortianalyzer settingالدخول إلى قسم الإعداد
  • set status enableضبط قيمة إعداد
  • set server 10.0.0.50ضبط قيمة إعداد
  • set upload-option realtimeضبط قيمة إعداد
  • endحفظ والخروج من القسم
FGT-LAB-01 — FortiOS CLI
# المهمة: الإرسال إلى FortiAnalyzer
FGT-LAB-01 #
0/5
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
GUI: Log & Report > Log Settings > Remote Logging.

وجهات التخزين مقارنة

Memory / Disk المحلي
  • Memory متطايرة وتُمسح عند reboot
  • Disk محدود ويتآكل على الأجهزة الصغيرة
  • لا correlation بين عدة أجهزة
  • مناسب للاختبار والـ retention القصير
FortiAnalyzer
  • retention طويل الأمد
  • correlation وreports مركزية
  • يجمع logs من عدة FortiGate
  • best practice في production
💡 نصيحة مقابلة: 💡 في المقابلة قد يُسأل: ما الفرق بين Security Events وAll Sessions في Log Allowed Traffic؟ الإجابة: Security Events تسجّل فقط الجلسات التي أطلقت حدث UTM، بينما All Sessions تسجّل كل جلسة مسموحة وتستهلك مساحة أكبر بكثير. ووجّه أن أفضل ممارسة هي إرسال الـ logs إلى FortiAnalyzer للاحتفاظ والربط لأن الـ disk على الأجهزة الصغيرة يتآكل (wear-out) ومساحته محدودة.