Device registration and Communication

Question 1

Voor de FortiAnalyzer bestaan er enkel 2 verschillende type devices. Welke zijn dit?

Answer 1

• Geregistreerde devices -> geauthoriseerd om logs te plaatsen op een FA
• Ongeregistreerde devices -> verzoekt om logs te plaatsen op een FA

Question 2

Er zijn 2 manieren een device te registreren bij een FortiAnalyzer. Welke 2 manieren zijn dit?

Answer 2

• 1. Vanaf een supported device komt er een verzoek tot registratie en deze dient goedgekeurd te worden vanaf de FortiAnalyzer
• 2. De FortiAnalyzerregistratiewizard. Als het device supported is, en als alle details kloppen wordt het device geregistreerd.

Question 3

Goed of fout

Een FortiMail device kan in eenzelfde ADOM geplaatst worden als een FortiGate

Answer 3

Fout
Een device kan enkel tot een ADOM toegevoegd worden die bestaat uit eenzelfde devices. Dit geldt voor zowel custom als default ADOMs

Question 4

Goed of fout

Bij default staan ADOMs enabled

Answer 4

Fout

ADOMs zijn altijd disabled. Er bestaat enkel een ROOT ADOM gebaseerd op een FortiGate ADOM

Question 5

De uitkomst van de “Test Connectivity” weergeeft bij het instellen van een FG naar FA verbinding altijd de uitkomst “Unauthorized”. Waarom is dit?

Answer 5

Dit komt omdat bij het testen van de verbinding van de FG naar de FA, er nog geen goedkeuring is gegeven vanuit de FA.

Question 6

Benoem de stappen van het registratieproces om de verbinding met een device en een FA te voltooien, middels de verzoek methode.

Answer 6

• Remote logging wordt aangezet op het device en een FA IP wordt ignevuld
• Op de FA dient het verzoek geaccepteerd te worden en kan een keuze gemaakt worden in welke ADOM het device dient te komen

of

• De security fabric wordt enabled
• Het FA IP wordt ingevuld, waardoor alle downstream FGs deze configuratie ontvangen

Question 7

Benoem de stappen van het registratieproces om de verbinding met een device en een FA te voltooien, middels de FA registratiewizard methode.

Answer 7

• Add device via device manager

- Vult het IP, serienummer, device type, model en firmware versie in

Question 8

Onder welke ADOM komen unregistered devices?

Answer 8

De ROOT ADOM

Question 9

Wat zijn de 4 type logs die vanaf een FortiGate gehaald kunnen worden, mits enabled op de FG?

Answer 9

• Logs
• DLP archive (informatie over gevoelige info die in of uit het netwerk probeert te komen)
• Quarantine (informatie over bestanden die in quarantaine staan)
• IPS Packet log (informatie over pakketjes matchend met IPS signatures)

Question 10

Wat zijn de basis command voor FA om de systeem status, performance en hardware statistics te bekijken?

Answer 10

• get system performance
• get system status
• diagnose hardware info

Question 11

Waar is het swap memory voor?

Answer 11

Dit is geheugen die beschikbaar is voor als het fysieke geheugen vol zit. en het systeem meer geheugen nodig heeft

Question 12

Met het invoeren van de command get system status komt er informatie beschikbaar over het systeem. Welke zijn dit om precies te zijn?

Answer 12

• Versie
• ADOM registratie enabled of niet
• De tijd
• Disk usage
• Licentie status (alleen VM)

Question 13

Met het invoeren van de command get system performance komt er informatie beschikbaar over het performance. Welke zijn dit om precies te zijn?

Answer 13

• CPU
• Memory
• Hard Disk
• Flash Disk

Question 14

Wat is de command om te kijken of de FortiGate logs kan genereren?

Answer 14

diagnose log test

Question 15

Wat is de command om te kijken of de FortyAnalyzer logs kan ontvangen?

Answer 15

diagnose test application oftpd 8

Question 16

Wat is de command om te kijken of de FortyAnalyzer logs kan ontvangen?

Answer 16

diagnose test application oftpd 8

Question 17

Wat is de command om te kijken welke ADOMs enabled en configured zijn?

Answer 17

diagnose dvm adom list

Question 18

Wat is de command om te kijken welke VDOMs geregistreerd zijn?

Answer 18

diagnose dvm device list

Question 19

Wat is de command om te kijken welke devices en IPs er verbonden zijn met de FA?

Answer 19

diagnose test application oftpd 3

Question 20

Wat zijn de command om te kijken of er communicatieproblemen zijn?

Answer 20

Op de FA:

diagnose debug enable
diagnose debug application oftpd 8 FGIP

Op de FG:
diagnose log test

Question 21

Wat is het miglogd proces?

Answer 21

Dit proces cached logs op de FortiGate als de FortiAnalyzer om een reden niet bereikbaar is (denk aan een reboot). Wanneer de verbinding is hersteld worden de logs dan alsnog naar de FortiAnalyzer verstuurd. De statistieken kunnen ingezien worde n middels het command diagnose test application miglogd 6

Question 22

Onder het command diagnose log kernel-status zie je dat de failed-log oploopt. Wat betekent dit?

Answer 22

Dit betekent dat het cache vol is en er logs gedroped worden.

Question 23

Wat gebeurt er als de capaciteit op de harde schijf voor logs vol is?

Answer 23

• Een event log met de melding warning wordt aangemaakt

- De oudste logs worden overschreven (default)

Question 24

Waaruit bestaat de disk quota?

Answer 24

• Raw logs
• Archive files
• SQL database tables

Question 25

Wat is de command om de status van de disk log te bekijken?

Answer 25

diagnose log device

Question 26

De licentie informatie op de FortiAnalyzer weergeeft een lagere waarde dan de quota. Waarom is dit?

Answer 26

Dit komt omdat hier enkel de logs worden weergeven die op diezelfde dag naar de FortiAnalyzer zijn gepushed. Daarnaast meet deze enkel de ingress traffic waarbij alleen de raw logs worden gezien. De log archive, FG store en upload logs, FA aggregated logs, SQL tables en FortiClient logs vallen hier niet onder.

Question 27

`Wat is de reden dat de SQL database tables niet mee worden genomen bij de licentie informatie?

Answer 27

De SQL databse tables worden pas geindexeerd door de FA nadat de logs is ontvangen.

Question 28

Bij default is er een drive space ingesteld op de FA voor ADOMs om logs op te slaan. Wat is deze limiet?

Answer 28

1000mb is het limiet. De minimale ondergens is 100 MB.

Question 29

Wat is het command om te kijken hoeveel ruimte er gereserveerd is op de FortiAnalyzer?

Answer 29

diagnose log device

Question 30

Wat is de minimale en maximale ruimte die er gereserveerd is op de FA schijf voor systeemgebruik?

Answer 30

5-20%

Question 31

Wat zijn de drie processen voor disk quota enforcement?

Answer 31

• logfiled - enforces the raw logs file size
• sqlplugind
• oftpd

Question 32

Wat doet het logfiled proces?

Answer 32

Het handhaaft de raw log file size en handhaaft de disk quota door andere 2 processen te monitoren. Wanneer de disk quota (raw + SQL) boven de 95% komt worden alle raw en overeenkomende archive logs verwijderd totdat het beneden de 85% zit.

Question 33

Wat doet het sqlplugind proces?

Answer 33

Handhaaft de SQL database size

Question 34

Wat doet het oftpd proces?

Answer 34

Handhaaft de archive log size

Question 35

Waar kan je de disk quota’s aanpassen?

Answer 35

• Als ADOMs enabled zijn op de all ADOMs pagina

- Als ADOMs disabled zijn op de system storage pagina

Question 36

Als je ADOMs herindeelt, terwijl er al logs verzamelt worden; wat is dan belangrijk om rekening mee te houden?

Answer 36

Als je de analytics logs wilt hebben dient de SQL database heringedeeld te worden, anders blijven ze op de oude ADOM staan en worden ze naar loop van tijd verwijderd volgens de policy. Alleen de archive logs worden meegemigreert.

Question 37

Goed of fout

Een FortiGate cluster dient ten alle tijde handmatig ingevoerd te worden?

Answer 37

Fout

Dit dient alleen te gebeuren op het moment dat het cluster nog niet bestond ten tijde van het aanmelden bij de FA

Question 38

Een FortiGate cluster zend altijd via de Primary logs. Hoe herkent een FortiAnalyzer de clustermembers?

Answer 38

Door het gebruik van de serialnummers die in log headers staan