[FORTINET] FortiAnalyzer 를 통한 Traffic 분석

FortiAnalyzer 를 통한 FortiGate 트래픽 조회 방법을 정리하였습니다.

 

1. Dataset 생성

Reports > Dataset > Creat Dataset 

Log Type = Traffic 

Query = 아래와 같은 형식의 구문으로 작성

select from_dtime(dtime) as timestamp,vd,srcip,srcport,dstip,dstport,action,policyid from $log where vd='EXT_FW' and policyid='258'

 

vd=vdom 을 나타내며 and 구문을 통해 조건을 추가할 수 있음.(srcip, dstip 등등)

 

 

간단하게 해당 트래픽만 확인할 경우 위 Query 문 작성 후 우측의 TEST 버튼을 통해 확인 가능하며,

CSV 파일로 추출하여 2차 가공이 필요한 경우에는 몇 가지 추가 설정이 필요합니다.

 

728x90

 

 

2. Chart Library

Reports > Report Definitions > Chart Library > Create New 를 통해 챠트 양식 생성

 

 

Name 입력 및  앞서 생성한 Dataset 선택, Chart Type 은 Table , Click to add Column 버튼을 통해 필요한 열을 추가

개인적으로 아래와 같이 Column 을 생성하였습니다.

 

timestamp, vd, srcip, srcport, dstip, proto, dstport, action, policyid

Column 표 하단의 "show top" 의 경우 로그 출력 열의 갯수를 나타냅니다. 

 

 

 

3. 템플릿 생성

Templates 항목으로 이동하여 Create 버튼을 통해 신규 템플릿을 생성합니다.

이때 좀 전에 생성한 Chart 를 Insert 하시면 됩니다. 별 다른 설정은 없습니다.

 

 

 

 

 

4. Reports 생성

앞서 설정한 내용을 바탕으로 Reports 를 생성합니다.

Create 버튼을 클릭한 다음 From Template 를 통해 위 3번항목에서 생성한 Template 를 가져 옵니다.

생성된 Reports 를 클릭하여 들어간 후 상단의 Setting Tab 으로 이동합니다.

"Time Period" 항목을 통해 로그 조회 날짜를 선택합니다.

 

 

 

 

하단의 Advanced Setting 항목을 클릭한 후

Allow Save Maximum 항목을 통해 출력되는 로그의 최대 행의 값을 설정할 수 있습니다.

 

 

 

설정을 다 하셨으면 Apply 버튼 클릭 후 상단 View Report 로 이동하여

[Run Report] 를 선택하면 설정된 Query 및 Template 에 따라 리포팅이 시작됩니다.

 

소요시간은 리포팅할 양에 따라 짧게는 몇 초에서부터 길게는 2~30분까지 소요될 수도 있습니다.

완료된 후 Format 열의 "HTML PDF XML CSV" 중 원하는 포맷으로 클릭하면 해당 파일을 확인할 수 있습니다.

 

 

 

 

 

 

♥읽어주셔서 감사합니다♥
티스토리 댓글과 공감♥은 로그인이 필요 없습니다.
로그인하시면 구독 가능합니다.