Le sujet des logs et leur intégrité peuvent devenir parfois complexes, ce petit article devrait donc vous être utile pour expliquer leur gestion et leur intégrité à vos clients :
Sur le FortiAnalyzer, menu Log View > Log Browse, on peut voir les logs au format brut réceptionnés par le FortiAnalyzer.
Menu FortiAnalyzer
De ces logs bruts, le FortiAnalyzer constitue en supplément une base de données avec les différentes entrées des logs.
Dès lors qu’un fichier de log atteint une taille limite, il est compressé-stocké puis le FortiAnalyzer recommence les logs sur un autre fichier.
D'ailleurs les logs sont stockés dans des dossiers différents entre chaque device et/ou ADOM dans le système de fichier du FAZ.
La répartition par dossier sur FortiAnalyzer
Les archives crées sont alors les éléments exportables et exploitables par les autorités (Police, Gendarmerie, etc).
Un super-user (au-delà de l’admin) ne peut pas supprimer 1 ligne de log en particulier, mais bien un fichier de log complet.
Seulement, la base de données possèdera toujours l’information.
Le super-user peut également supprimer tous les logs et demander la reconstruction de la base de données.
Dans les 2 derniers cas, cette action est visible, repérable et demande des accès élevés.
Dernier élément, il est possible de créer un checksum pour chaque archive créée sur le FortiAnalyzer avec le timestamp associé.
Activation du log-checksum sur FortiAnalyzer
Activation du log-checksum sur FortiAnalyzer
Par défaut, c'est le paramètre "NONE" qui est sélectionné.
Ainsi, on peut aller vérifier manuellement l’intégrité du fichier sur le FortiAnalyzer
