FortiAnalyzer 基本設定例¶
[更新: 2023年12月15日]
弊社、検証環境の一部情報を公開した簡単な仕様と利用方法を記載した記事掲載となります。参考にご利用ください。
1. 概要¶
FortiAnalyzerは、FortiGateなど製品に於いて出力されるログ情報を収集、分析するためのアプライアンス製品です。
FortiAnalyzerは、数十台などになるFortiGateなどのログをまとめて収集と分析を可能にします。
詳細な仕様、説明は メーカードキュメント を参照ください。
Fortinet Document Library FortiAnalyzer
https://docs2.fortinet.com/product/fortianalyzer/7.2
注釈
解説するバージョンは、v7.2.4-build1460 230926 (GA)となります。バージョンにより各種仕様が異なる可能性があります。
1.1 製品概要¶
FortiAnalyzerの製品について、初心者の方向けに概要を記載します。
FortiAnalyzerの役割
基本的な役割は、下記の様なケースで利用します。
| ログの収集・蓄積 | FortiGateなどのアプライアンスに蓄積されるログをFortiAnalyzerへ送信、保管します。容量上限はディスクストレージの容量に依存します。 |
| ログデータの分析 | 代表的なテンプレートなどの分析、またはSQLクエリによる分析が可能です。 結果はレポーティングに反映することも可能です。 |
| ログデータのレポート化 | ログデータのレポートを作成、スケジュール生成・送信が可能です。 |
重要
FortiOS上のログを収集します。CPUなどのサーバーリソースのデータは、収集されません。
1.2 製品仕様¶
以下の概要図により動作します。ライセンスはシステム要件の分析レート(1day)を基準です。
ライセンス仕様
契約前に評価検証を実施、ログ量などを考慮のうえライセンスを決定が推奨されます。
1GB/1day FortiAnalyzer-VM001T
2GB/1day FortiAnalyzer-VM002T
3GB/1day FortiAnalyzer-VM003T
注釈
分析レートの閾値を超える際はアラートが発生します。OSによる収集制限はありません。
参考概要図
下記の様な構成で利用、環境は一部に必須の仕様を考慮する必要があります。
| 仕様 | 説明 |
| FortiGate | FortiAnalyzerは、FortiGateなどのローカルネットワーク内にアプライアンスを配置、利用します。 |
| ローカルIPアドレス | 利用の際に割り当てを実施するローカルIPアドレスをFortiNet社へ提示する必要があります。 |
| FortiAnalyzerライセンス | FortiAnalyzerの利用は、アプライアンスを動作させるためのライセンスが必要となります。 |
| サーバーリソース | VM版は、仮想サーバーやネットワークリソースを必要とします。 |
重要
FortiSOARなどの一部機能は、FortiAnalyzerのライセンスでは未提供です。全機能を利用する際は、他ライセンスを別途購入する必要があります。
注釈
FortiAnalyzerは、分析レートlog/secを基準に最小システム要件(サーバーリソース)が定められる仕様です。詳細は下記のドキュメントを確認する必要があります。
https://docs.fortinet.com/document/fortianalyzer-private-cloud/7.4.0/kvm-administration-guide/583600/minimum-system-requirements
1.3 弊社提供仕様¶
FortiAnalyzerは、現在弊社では未提供です。公開中のOS/アーカイブの利用は可能ですが、無償のOS/アーカイブでありサポートはありません。
他社のライセンスを持ち込む際は、契約元にFortiAnalyzerのサポートも含め確認、利用します。
注釈
2024年頃にサービスプランの公開予定です。弊社から個別に購入を検討・相談の際は、営業窓口へお問い合わせください。
2. FortiAnalyzerのメリット¶
複数のアプライアンスに関する大量のログを収集、分析する際に効果を発揮します。
ログの収集
1台、2台単位程であれば、FortiAnalyzerの様な高度なアプライアンスを利用されるケースは多くはありません。
5、10台~などの複数台のアプライアンスログをタグ、グループにより管理、まとめた情報収集を可能とします。
ログデータの分析
FortiGateでは、ログを可視化するダッシュボード機能はありますが、個々に分析・カスタマイズする機能がありません。
担当者でクエリや分析をSQLにより自動化したいなどの要求をクリアにすることが可能です。
ログデータのレポート化
FortiGateのローカルレポートは、基本ログから決まった値・項目を出力・レポートにします。
FortiAnalyzerのレポートは、レポートの高度なカスタマイズを実現し作成したSQLクエリなどをレポートに反映することが可能です。
FortiAnalyzerを利用することで固有のSQL クエリを作成、クエリ&レポーティングによるレポートの自動化、ログに関する重要事項を追跡活用、または一般ユーザなどに提供・報告することが可能になります。
3. FortiAnalyzerの初期設定¶
下記の前提条件を基にさくらのクラウド上でFortiAnalyzerの初期設定について解説します。
注釈
OS/アーカイブは、0円によりご利用が可能です。FortiAnalyzerのライセンスを他社で契約、利用される際はサポートは契約元のサポートをご利用ください。
前提条件
- FortiGateVMの構築、ローカルネットワーク環境構築が完了済
- FortiAnalyzerのライセンスを所持
3.1 サーバーの構築¶
FortiAnalyzerのOS/アーカイブを利用したサーバーを作成、FortiGateVMのインライン配下のローカルネットワーク環境に配置します。
参考例は、 4コア/16GB を選択、ディスク1に OS用途のSSD 100GB ログ保管用の500GB を作成、ネットワークに接続させます。
重要
サーバー起動中にNICの接続を変更することはできません。作成時に指定する、または停止状態で作成を完了させます。
3.2 FortiAnalyzerの起動チェック¶
さくらのクラウド コントロールパネルよりサーバーを起動します。作成に成功している際は、さくらのクラウド コンソール画面に下記の様な表示がされます。
FortiAnalyzer 起動画面
注釈
コンソール画面は、さくらのクラウド コントロールパネル さくらのクラウド(IaaS) >>> サーバ >>> 対象サーバーを選択 >>> コンソール を選択、コンソール画面を表示します。
3.2 FortiAnalyzerの初回ログイン¶
コンソール表示を確認後、ログインが要求されます。初期ユーザを入力、パスワードを設定します。
初期ユーザは admin 初期パスワード無 によりログイン可能、パスワードの設定に入ります。
注釈
初回ログインとパスワードは、FortiGateと同様です。adminのみ入力しパスワードを設定ください。
3.3 ネットワークの初期設定¶
FortiAnalyzerは、申告のローカルIPアドレスへ設定が必須のため起動時の外部アクセスは不通となります。
ログイン後、コンソール画面を操作、ネットワークの初期設定を実施、アプライアンスとのアクセスを可能にします。
参考コマンド
下記は、NIC0(Port1)にネットワークアドレスを設定する参考コマンドです。
FAZVM64-KVM # config system interface
FAZVM64-KVM (interface) # edit <対象ポート>
FAZVM64-KVM (port1) # set ip <ローカルアドレス> <サブネットマスク>
FAZVM64-KVM (port1) # set allowaccess <プロトコル指定>
FAZVM64-KVM (port1) # end
FAZVM64-KVM # config system route
FAZVM64-KVM # edit 1
FAZVM64-KVM (1) # set device port1
FAZVM64-KVM (1) # set gateway <ローカルネットワークのゲートウェイIP>
FAZVM64-KVM (1) # end
参考コマンド画面
下記は、NIC0(Port1)にネットワークアドレスを設定する参考コマンド(さくらのクラウド コンソール)です。
注釈
初期ネットワーク設定コマンドは、基本FortiGateと同様です。デフォルトゲートウェイの設定方法の一部が異なります。
重要
事前にFortiGateのNAT設定を実施、外部へのアクセス環境を整備します。
3.4 ネットワークの疎通確認¶
ネットワークの初期設定後、外部への疎通が可能になります。 ping コマンドなどによりネットワークを確認します。
参考コマンド
FAZVM64-KVM # execute ping <IPアドレス>
PING <IPアドレス> (<IPアドレス>): 56 data bytes
64 bytes from <IPアドレス>: seq=0 ttl=118 time=2.877 ms
64 bytes from <IPアドレス>: seq=1 ttl=118 time=2.493 ms
64 bytes from <IPアドレス>: seq=2 ttl=118 time=2.762 ms
64 bytes from <IPアドレス>: seq=3 ttl=118 time=2.520 ms
--- <IPアドレス> ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max = 2.493/2.663/2.877 ms
注釈
事前にFortiGateによりNATの設定を実施ください。
3.5 GUI管理画面にログイン¶
FortiAnalyzerに設定した対象アドレスをブラウザへ入力、初回起動時に表示されるGUIの管理画面にログインします。
FortiAnalyzer ログイン画面
ブラウザ環境によりhttpsのみのアクセスになる可能性があります。
注釈
初回のhttps接続は、自己証明書による接続のため利用するブラウザによって、管理画面が表示される前に警告が表示されます。
3.6 ライセンスのアップロード¶
初回起動画面下部の ライセンスのアップロード を入力することで、ライセンスファイルのアップロードを開始することが可能です。
入力後は、画面表示に従いライセンスファイルを操作、アップロードします。
ライセンスファイルのアップロード画面
注釈
ライセンスファイルのアップロード後、FortiAnalyzerは自動的に再起動を実施します。再起動完了は、コンソール画面から確認が可能です。
3.7 初期セットアップ¶
再ログイン後、FortiAnalyzerの初期セットアップ画面が表示されます。表示される画面に従い未完了項目を設定します。
初期セットアップを完了するとFortiAnalyzerの管理画面を操作することが可能になります。
初期セットアップ画面
初期セットアップ画面(ホスト名)
注意
最小システム要件を満たさない環境によりFortiAnalyzerを利用する際は、FortiAnalyzerの管理画面上により警告表示がポップアップします。
4. 構築状態の確認¶
GUIにより一部のアプライアンスのリソース情報を閲覧することは可能です。
詳細な情報を確認する際は、CLIにより情報を取得ください。
4.1 HW情報の取得¶
仮想サーバーのリソース情報は、下記のコマンドにより確認が可能です。
参考コマンド
CPU、メモリ、DISKなどの基本情報を取得するコマンドです。
FAZVM64-KVM # diagnose hardware info
### CPU info
processor : 0
vendor_id : GenuineIntel
cpu family : 6
model : 85
model name : Intel(R) Xeon(R) Gold 6212U CPU @ 2.40GHz
stepping : 7
microcode : 0x5003302
cpu MHz : 2399.998
cache size : 16384 KB
physical id : 0
siblings : 1
core id : 0
cpu cores : 1
apicid : 0
initial apicid : 0
fpu : yes
fpu_exception : yes
cpuid level : 22
wp : yes
flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 ss syscall nx pdpe1gb rdtscp lm constant_tsc arch_perfmon rep_good nopl xtopology cpuid tsc_known_freq pni pclmulqdq ssse3 fma cx16 pdcm pcid sse4_1 sse4_2 x2apic movbe popcnt tsc_deadline_timer aes xsave avx f16c rdrand hypervisor lahf_lm abm 3dnowprefetch cpuid_fault invpcid_single ssbd ibrs ibpb stibp ibrs_enhanced fsgsbase tsc_adjust bmi1 avx2 smep bmi2 erms invpcid mpx avx512f avx512dq rdseed adx smap clflushopt clwb avx512cd avx512bw avx512vl xsaveopt xsavec xgetbv1 xsaves arat umip pku ospke avx512_vnni md_clear arch_capabilities
bugs : spectre_v1 spectre_v2 spec_store_bypass swapgs taa
bogomips : 4799.99
clflush size : 64
cache_alignment : 64
address sizes : 46 bits physical, 48 bits virtual
power management:
processor : 1
vendor_id : GenuineIntel
cpu family : 6
model : 85
model name : Intel(R) Xeon(R) Gold 6212U CPU @ 2.40GHz
stepping : 7
microcode : 0x5003302
cpu MHz : 2399.998
cache size : 16384 KB
physical id : 1
siblings : 1
core id : 0
cpu cores : 1
apicid : 1
initial apicid : 1
fpu : yes
fpu_exception : yes
cpuid level : 22
wp : yes
flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 ss syscall nx pdpe1gb rdtscp lm constant_tsc arch_perfmon rep_good nopl xtopology cpuid tsc_known_freq pni pclmulqdq ssse3 fma cx16 pdcm pcid sse4_1 sse4_2 x2apic movbe popcnt tsc_deadline_timer aes xsave avx f16c rdrand hypervisor lahf_lm abm 3dnowprefetch cpuid_fault invpcid_single ssbd ibrs ibpb stibp ibrs_enhanced fsgsbase tsc_adjust bmi1 avx2 smep bmi2 erms invpcid mpx avx512f avx512dq rdseed adx smap clflushopt clwb avx512cd avx512bw avx512vl xsaveopt xsavec xgetbv1 xsaves arat umip pku ospke avx512_vnni md_clear arch_capabilities
bugs : spectre_v1 spectre_v2 spec_store_bypass swapgs taa
bogomips : 4799.99
clflush size : 64
cache_alignment : 64
address sizes : 46 bits physical, 48 bits virtual
power management:
processor : 2
vendor_id : GenuineIntel
cpu family : 6
model : 85
model name : Intel(R) Xeon(R) Gold 6212U CPU @ 2.40GHz
stepping : 7
microcode : 0x5003302
cpu MHz : 2399.998
cache size : 16384 KB
physical id : 2
siblings : 1
core id : 0
cpu cores : 1
apicid : 2
initial apicid : 2
fpu : yes
fpu_exception : yes
cpuid level : 22
wp : yes
flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 ss syscall nx pdpe1gb rdtscp lm constant_tsc arch_perfmon rep_good nopl xtopology cpuid tsc_known_freq pni pclmulqdq ssse3 fma cx16 pdcm pcid sse4_1 sse4_2 x2apic movbe popcnt tsc_deadline_timer aes xsave avx f16c rdrand hypervisor lahf_lm abm 3dnowprefetch cpuid_fault invpcid_single ssbd ibrs ibpb stibp ibrs_enhanced fsgsbase tsc_adjust bmi1 avx2 smep bmi2 erms invpcid mpx avx512f avx512dq rdseed adx smap clflushopt clwb avx512cd avx512bw avx512vl xsaveopt xsavec xgetbv1 xsaves arat umip pku ospke avx512_vnni md_clear arch_capabilities
bugs : spectre_v1 spectre_v2 spec_store_bypass swapgs taa
bogomips : 4799.99
clflush size : 64
cache_alignment : 64
address sizes : 46 bits physical, 48 bits virtual
power management:
processor : 3
vendor_id : GenuineIntel
cpu family : 6
model : 85
model name : Intel(R) Xeon(R) Gold 6212U CPU @ 2.40GHz
stepping : 7
microcode : 0x5003302
cpu MHz : 2399.998
cache size : 16384 KB
physical id : 3
siblings : 1
core id : 0
cpu cores : 1
apicid : 3
initial apicid : 3
fpu : yes
fpu_exception : yes
cpuid level : 22
wp : yes
flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 ss syscall nx pdpe1gb rdtscp lm constant_tsc arch_perfmon rep_good nopl xtopology cpuid tsc_known_freq pni pclmulqdq ssse3 fma cx16 pdcm pcid sse4_1 sse4_2 x2apic movbe popcnt tsc_deadline_timer aes xsave avx f16c rdrand hypervisor lahf_lm abm 3dnowprefetch cpuid_fault invpcid_single ssbd ibrs ibpb stibp ibrs_enhanced fsgsbase tsc_adjust bmi1 avx2 smep bmi2 erms invpcid mpx avx512f avx512dq rdseed adx smap clflushopt clwb avx512cd avx512bw avx512vl xsaveopt xsavec xgetbv1 xsaves arat umip pku ospke avx512_vnni md_clear arch_capabilities
bugs : spectre_v1 spectre_v2 spec_store_bypass swapgs taa
bogomips : 4799.99
clflush size : 64
cache_alignment : 64
address sizes : 46 bits physical, 48 bits virtual
power management:
### Memory info
MemTotal: 16412124 kB
MemFree: 8600524 kB
MemAvailable: 10494660 kB
Buffers: 13776 kB
Cached: 3522348 kB
SwapCached: 0 kB
Active: 4777472 kB
Inactive: 2053156 kB
Active(anon): 4390276 kB
Inactive(anon): 462208 kB
Active(file): 387196 kB
Inactive(file): 1590948 kB
Unevictable: 704600 kB
Mlocked: 704600 kB
SwapTotal: 18874364 kB
SwapFree: 18874364 kB
Dirty: 204 kB
Writeback: 0 kB
AnonPages: 3999096 kB
Mapped: 688152 kB
Shmem: 1558584 kB
Slab: 137096 kB
SReclaimable: 83140 kB
SUnreclaim: 53956 kB
KernelStack: 11328 kB
PageTables: 89192 kB
NFS_Unstable: 0 kB
Bounce: 0 kB
WritebackTmp: 0 kB
CommitLimit: 27080424 kB
Committed_AS: 42223928 kB
VmallocTotal: 34359738367 kB
VmallocUsed: 0 kB
VmallocChunk: 0 kB
DirectMap4k: 14176 kB
DirectMap2M: 3131392 kB
DirectMap1G: 15728640 kB
### Disk info
major minor #blocks name
1 0 4096 ram0
1 1 4096 ram1
1 2 4096 ram2
1 3 4096 ram3
7 0 10240 loop0
254 0 104857600 vda
254 1 1048576 vda1
254 16 524288000 vdb
11 0 1048575 sr0
253 0 524283904 dm-0
### RAID info
N/A
### TPM info
N/A
### System time
local time: Mon Nov 13 13:01:04 2023
UTC time: Mon Nov 13 04:01:04 2023
4.2 ライセンス情報の確認¶
参考コマンド
アプライアンスのライセンス情報と有効状態などの情報を取得するコマンドです。
FAZVM64-KVM # diagnose license list
Name Status Expiry Description
---------------------------------------------------------------------
PBDS No License N/A post breach detection
SCPC No License N/A cloud storage service
SOAR No License N/A SOAR and SIEM bundle service
FOAS No License N/A FAZ Outbreak Detection Service
FAZVM64-KVM # get system status
get system status
Platform Type : FAZVM64-KVM
Platform Full Name : FortiAnalyzer-VM64-KVM
Version : v7.2.4-build1460 230926 (GA)
Serial Number : <ライセンスファイル名、シリアルナンバー>
BIOS version : 04000002
Hostname : <ホスト名>
Max Number of Admin Domains : 10
Admin Domain Configuration : Disabled
FIPS Mode : Disabled
HA Mode : Stand Alone
Branch Point : 1460
Release Version Information : GA
Current Time : Mon Nov 13 13:08:25 JST 2023
Daylight Time Saving : Yes
Time Zone : (GMT+9:00) Osaka, Sapporo, Tokyo, Seoul.
x86-64 Applications : Yes
Disk Usage : Free 471.18GB, Total 491.15GB
File System : Ext4
License Status : Valid
注釈
time zoneは事前に変更済です。デフォルトは米国などが指定されます。
重要
PBDS、SOARなどの利用は、別のライセンスが必要です。
4.3 logディスクの容量¶
ディスク容量は、FortiGate同様に使用できるスペースに下記の制限が発生します。deviceを確認、使用できるスペースをチェックします。
Fortinet Document Library FortiAnalyzer Disk space allocation
参考コマンド
アプライアンスのDISK情報などの情報を取得するコマンドです。
FAZVM64-KVM # diagnose log device
Device Name Device ID Used Space(logs / quarantine / content / IPS) Allocated Space Used%
Total: 0 log devices, used=0.0KB quota=unlimited
AdomName AdomOID Type Logs Database
[Retention Quota Used( logs/quaranti/ content/ IPS) Used%] [Retention Quota Used( SiemDB/ hcache) Used%]
root 3 FSF 365days 132.3GB 0.0KB( 0.0KB/ 0.0KB/ 0.0KB/ 0.0KB) 0.0% 60days 308.7GB 795.7KB( 59.7KB/ 0.0KB) 0.0%
Total usage: 1 ADOMs, logs=0.0KB(0.0KB/0.0KB/0.0KB/0.0KB) database=85.7MB(ADOMs usage:795.7KB(59.7KB, 0.0KB) + Internal Usage:84.9MB)
Total Quota Summary:
Total Quota Allocated Available Allocate%
441.1GB 441.0GB 152.0MB 100.0%
System Storage Summary:
Total Used Available Use%
491.1GB 20.0GB 471.2GB 4.1 %
Reserved space: 50.0GB (10.2% of total space).
注釈
追加ディスクの利用は、 execute lvm info により拡張が必要です。
https://community.fortinet.com/t5/FortiAnalyzer/Technical-Tip-Extending-disk-space-in-FortiAnalyzer-VM/ta-p/194365