【日志篇】(7.6) ❀ 01. 在macOS下刷新FortiAnalyzer固件 ❀ FortiAnalyzer 日志分析

　　【简介】FortiAnalyzer 是 Fortinet Security Fabric 安全架构的基础，提供集中日志记录和分析，以及端到端可见性。因此，分析师可以更有效地管理安全状态，将安全流程自动化，并快速响应威胁。具有分析和自动化功能的集成安全体系结构可以解决并显著提高可见性和自动化程度。

FortiAnalyzer硬件

　　FortiAnalyzer分为硬件和VM两种，这里我们将介绍有关于FortiAnalyzer硬件的固件刷新。

　　这里我们以FortiAnalyzer 300F为例，将忽略原有设备的所有配置，直接刷新最新固件版本。

获得固件文件

　　首先我们需要获得FortiAnalyzer 300F的最新版本固件，可以在support.fortinet.com网站中下载，前提是帐号里必须注册了这台设备，并且没有过服务期。

　　① 首先用浏览器登录support.fortinet.com网站，点击【Log IN】。

　　② 在【EMAIL LOGIN】栏中输入帐号名称和密码，帐号名称为电子邮件名称。点击【LOG IN】。【注：】关于这个网站的帐号及设备注册，请查看博客中相关其它文章，这里不再叙述。

　　③ 输入安全码，点击【GO】。【注：】support.fortinet.com网站强制双因子认证，需要通过邮件或Token获得安全码。

　　④ 登录网站后，选择下拉菜单【Support】，弹出菜单中选择【Firmware Download】。

　　⑤ 默认下载【FortiGate】固件镜像，点击下拉菜单。

　　⑥ 选择【FortiAnalyzer】。

　　⑦ 如果出现上面的提示，表示该帐号没有下载FortiAnalyzer固件的权限。只有在帐号中注册了FortiAnalyzer设备，并且设备还在服务期内，才可以下载FortiAnalyzer固件。某些高级帐户也有下载FortiAnalyzer固件的权限。

　　⑧ 选择版本和下载都与FortiGate防火墙的固件下载相同，这里不再叙述，这里得到了最新的FortiAnalyzer 300F固件文件。

在iMac上刷新FortiAnalyzer固件

　　下面我们在iMac电脑上刷新FortiAnalyzer固件。iMac电脑刷新固件相关内容请查看其它文档。

　　① 在Mac电脑上选择主菜单【前往】，弹出子菜单选择【前往文件夹】。

　　② 前往/private/tftpboot/文件夹，这里通常保存需要通过TFTP上传的文件。

　　③ 将下载的FortiAnalyzer 300F最新固件文件拖到该文件夹中。

　　④ 打开【终端】。

　　⑤ 输入命令 sudo launchctl load -F /System/Library/LaunchDaemons/tftp.plist ，用来启动TFTP服务，回车后会要求输入密码，也就是iMac的开机密码。

　　⑥ 输入命令 sudo launchctl start com.apple.tftp 回车，这样就启动了iMAC的TFTP服务。

　　⑦ 最后输入命令 screen -L /dev/cu.usbserial-A9Z484ZY -L 回车，进入serial窗口。如果不知道或不记得USB配置线的号，可以执行 ls /dev/cu.usbserial-* 命令查看。

　　⑧ 配置线接FortiAnalyzer的CONSOLE口。iMac的网卡IP设置为192.168.1.168，网线接1号口，这是因为FortiAnalyzer默认1号口IP为192.168.1.99。

　　⑨ FortiAnalyzer通电启动，在终端窗口会看到启动信息。当出现 Press any key to display configuration menu... 时，按下回车键，将弹出一组菜单。

　　⑩ 按 F 键，格式化引导设备，再按 Y 键确定，格式化很快完成。

　　⑪ 按 G 键启动TFTP上传【菜单上没有显示，但是可以运行】。输入TFTP服务器的IP地址，也就是iMac网卡的IP，这里配置的是192.168.1.168，再输入本地IP，只要是相同网段就行，这里输入的是默认IP 192.168.1.99，最后输入完整的固件文件名。开始上传固件。

　　⑫ 上传完成后出现提示，按 d 键将固件保存为默认启动固件。系统启动后，出现登录提示。

登录FortiAnalyzer

　　通常我们是在1号口登录FortiAnalyzer。通过1号口登录之前，我们确认一下1号口的默认IP地址。

　　① 输入默认帐号名称 admin，默认密码为空，两次回车后，显示强制要求变更登录密码，输入两次相同的新密码并回车，登录成功。

　　② 输入命令 show system interface 查看接口信息，可以看到port1口IP地址默认为192.168.1.99。

　　③ 由于iMac的网卡已经接入FortiAnalyzer 300F的1号口，打开谷歌浏览器（推荐谷歌和火狐浏览器），输入 https://192.168.1.99。

　　④ 第一次访问会出现警告提示，点击【高级】。

　　⑤ 点击【继续前往192.168.1.99 (不安全）】。

　　⑥ 出现登录界面，输入用户名admin和密码，点击【登录】。

　　⑦ 运气好的话，你会看到FortiAnalyzer设置向导第1页的第1项【通过SSO方式注册FortiCare】是被打钩的，这表明这台设备上保存了注册信息。点击【Begin】。

　　⑧ 设置向导第2页显示固件升级信息，需要设备在服务期内，这里点击【Upgrade Later】。

　　⑨ 设置向导第3页显示系统备份，这里点击【Later】。

　　⑩ 设置向导第4页，显示设置完成，点击【Finish】。

　　⑪ 浏览器成功的登录了FortiAnalyzer 300F的管理界面。

　　⑫ 选择菜单【System Settings】-【Settings】，在【Language】下选择简体中文，就可以实现中文显示了。

登录FortiAnalyzer故障排除

　　是不是觉得前面一切都太顺利了？我们来看看设备上面没有注册信息的情况下，会出现什么。

　　① 我们用 execute reset all-settings 命令清除所有的配置。

　　② 这一次没有这么幸运了，【Register and SSO with FortiCare】选择右边并没有出现钩。点击【Begin】。

　　③ 系统默认为你没有注册这台设备，需要进行注册。那已经注册过了的怎么办呢？

　　④ 可以选择【Import the Entitlement File】，导入授权文件，授权文件可以在support官方下载。

　　那问题来了，如果这台设备不是我注册的，而且已经联系不上原始注册人，那怎么办？解决办法也是有的，就是需要将FortiAnalyzer连接上互联网，让设备访问FortiGuard服务器，从FortiGuard服务器上自动下载注册信息。

　　假设我有一台上网路由器，内网接口是172.16.16.1，那么，我需要在FortiAnalyzer配置接口为172.16.16.252，网关为172.16.16.1，DNS为8.8.8.8，这样才能使得FortiAnalyzer上网。但浏览器登录不了，只能通过命令的方式配置了。

　　⑤ 以上命令用来分别配置接口IP、路由和DNS，这样FortiAnalyzer就可以通过1号口上网了。

　　⑥ 输入命令 config system global , 再输入 show，可以看到默认设置 set usg enable。这表明设备仅与美国的FortiGuard服务器联系，很显然我们无法直接访问美国的服务器，因此需要进行修改 set usg disable，以允许与全球任意FortiGuard服务器联系。