🗺️ Sơ đồ – Hệ thống Log và Giám sát
graph TD
subgraph FGT["FortiGate VM 7.6.6"]
Events["Log Sources\nTraffic Log / Event Log\nSecurity Log / System Log"]
end
subgraph Storage["Noi luu Log"]
Disk["Disk - Trong thiet bi\nToi da 30 ngay"]
Syslog["Syslog Server\n10.10.20.100:514"]
FAZ["FortiAnalyzer\nTap trung log doanh nghiep"]
FCloud["FortiCloud - Dam may"]
end
subgraph Monitor["Monitoring - SNMP"]
SNMP["SNMP v2c/v3\nCommunity: lab-community\nHost: 10.10.20.100"]
Zabbix["Zabbix / Grafana\nBieu do bang thong, CPU, RAM"]
end
Events -->|"realtime"| Disk
Events -->|"UDP 514"| Syslog
Events -->|"TCP 514"| FAZ
Events -->|"HTTPS"| FCloud
FGT -->|"SNMP trap/poll"| SNMP
Syslog --> Zabbix
SNMP --> Zabbix
📚 Lý thuyết cơ bản (Dành cho người mới)
🔰 Tại sao cần Log?
Log = Nhật ký ghi lại mọi hoạt động của FortiGate.
💡 Giống như camera an ninh trong siêu thị:
- Ghi lại ai đã vào, ai đã ra, lúc mấy giờ.
- Khi có sự cố, bạn xem lại camera để biết chuyện gì xảy ra.
Với FortiGate, log giúp bạn: biết ai đang tấn công, phát hiện truy cập website bị cấm, điều tra sự cố bảo mật.
🔰 Các loại Log trong FortiOS
| Loại Log | Ghi lại gì | Ví dụ |
|---|---|---|
| Traffic Log | Mọi kết nối mạng đi qua FortiGate | PC truy cập Google lúc 9:00 |
| Event Log | Sự kiện hệ thống (admin login, cấu hình thay đổi) | Admin "netadmin" đăng nhập lúc 8:00 |
| Security Log | Cảnh báo bảo mật (virus, tấn công) | Phát hiện malware trong file tải về |
| System Log | Trạng thái hệ thống (CPU cao, interface down) | Interface port2 bị mất kết nối |
🔰 Syslog là gì?
Syslog = Giao thức gửi log từ thiết bị đến máy chủ log tập trung.
💡 Thay vì log lưu trong thiết bị (dễ bị xóa khi bị tấn công), Syslog gửi log ngay lập tức đến server khác.
→ Dù FortiGate bị hack và bị xóa log, server vẫn còn bản ghi!
🔰 SNMP là gì?
SNMP (Simple Network Management Protocol) = Giao thức giám sát thiết bị mạng từ xa.
💡 Giống như đồng hồ đo điện trong nhà – SNMP cho phép phần mềm giám sát (Zabbix, Grafana) đọc số liệu từ FortiGate: CPU %, RAM %, băng thông, trạng thái cổng mạng...
| SNMPv2c | SNMPv3 | |
|---|---|---|
| Bảo mật | Yếu (community string text thô) | Mạnh (mã hóa + xác thực) |
| Dùng khi | Lab, môi trường nội bộ kín | Production, doanh nghiệp |
🛠️ Thực hành
Bật Log lưu vào Disk
config log disk setting
set status enable
set maximum-log-age 30
set log-quota 500
endCấu hình Syslog gửi ra ngoài
config log syslogd setting
set status enable
set server "10.10.20.100"
set port 514
set format default
endCấu hình SNMP v2c
config system snmp community
edit 1
set name "lab-community"
config hosts
edit 1
set ip 10.10.20.100 255.255.255.255
next
end
next
endXem Log qua CLI
# Xem log mới nhất
execute log display
# Lọc log theo loại (0 = traffic)
execute log filter category 0
# Xem 50 dòng gần nhất
execute log filter view-lines 50🔒 Bảo mật cần nhớ
- ✅ Gửi log ra ngoài thiết bị (Syslog/FortiAnalyzer) – log trong thiết bị có thể bị xóa.
- ✅ Chỉ cho Syslog/SNMP từ host giám sát xác định – không mở cho tất cả.
- ✅ Dùng SNMPv3 với mã hóa trong môi trường thực tế.
📖 Case thực tế
Lúc 2 giờ sáng, có IP lạ từ nước ngoài liên tục kết nối vào server VLAN20. Kỹ thuật viên lọc log FortiGate theo IP đích
10.10.20.100→ phát hiện hàng trăm lần kết nối cổng 22 (SSH) → đây là tấn công brute-force.👉 Hành động: Tạo policy chặn IP đó, bật IPS để tự động phát hiện.
📅 Tuần 6/12 – FortiOS 7.6.6 Administration Lab