一、需求

       防火墙上产生的所有日志：流量日志、事件日志和安全日志，全部记录在硬盘上。本案例以记录"允许流量日志"、"事件日志"为例，完成硬盘记录日志的方式。

       说明：低端型号设备不带硬盘，不支持日志记录硬盘；所以请参考"日志存储于内存"章节；

       注意：由于"记录全部会话日志"日志量非常大，所以记录于硬盘将带来设备性能损耗，以及减少硬盘寿命；推荐采用日志发送至第三方服务器方式，请参考"日志发送syslog方式"

二、配置要点

       1、首先需在防火墙-策略下，编辑具体策略，勾选'记录全部会话日志'

        2、在日志与报告-日志配置-日志设置中：

        日志与存档，勾选'硬盘'，GUI选择'硬盘'，勾选要记录的事件日志、本地流量日志类型即可。

        说明： 各UTM安全功能日志启用（默认不启用），请参考通用典型功能>>UTM安全应用功能日志；

        3、设置硬盘存储日志参数（仅CLI方式）

        FortiGate # config log disk setting

        FortiGate (setting) # set maximum-log-age 30   //设置日志保存时间30天；

        FortiGate (setting) # end

        FortiGate # config log disk filter

        FortiGate (filter) # set forward-traffic disable      //关闭forward-traffic；

        FortiGate (filter) # end

        说明：forward-traffic为策略中"记录允许流量"日志；强烈建议关闭；

        4、查看硬盘存储日志参数（仅CLI方式）

        1）查看硬盘记录日志的参数

        FortiGate # get log disk setting

        status              : enable

        ips-archive         : enable

        max-policy-packet-capture-size: 10

        log-quota           : 0                       //默认不限制，输入为硬盘日志分配的硬盘空间量

        dlp-archive-quota   : 0

        report-quota        : 0

        maximum-log-age     : 30                 //修改为30天，默认日志保留7天；

        upload              : disable

        drive-standby-time  : 0

        full-first-warning-threshold: 75         //在达到阈值75%之前输入以配置首次警告

        full-second-warning-threshold: 90   //在达到阈值90%之前输入以配置第二次警告

        full-final-warning-threshold: 95    //在达到阈值95%之前输入以配置第末次警告

        : 100

        storage             :

        roll-schedule       : daily               //默认每天，日志滚动频率

        roll-time           : 00:00               //默认0点滚动；

        diskfull            : overwrite          //默认overwrite，当你输入 nolog 时， FortiGate设备将停止日 志； overwrite 当硬盘满时，会立即重写时间最长的文件。

        report              : enable

        2）查看硬盘记录日志的选项

        FortiGate # get log disk filter

        severity            : information

        traffic             : enable

        forward-traffic     : disable

        local-traffic       : enable

        attack              : enable

        web                 : enable

        netscan             : enable

        dlp                 : enable

        virus               : enable

        email               : enable

        voip                : enable

        app-ctrl            : enable

        dlp-archive         : enable

        multicast-traffic   : enable

        signature           : enable

        anomaly             : enable

        web-content         : enable

        url-filter          : enable

        ftgd-wf-block       : enable

        ftgd-wf-errors      : enable

        web-filter-activex  : enable

        web-filter-cookie   : enable

        web-filter-applet   : enable

        web-filter-script-other: enable

        web-filter-ftgd-quota-counting: enable

        web-filter-ftgd-quota-expired: enable

        web-filter-ftgd-quota: enable

        web-filter-command-block: enable

        discovery           : enable

        vulnerability       : enable

        dlp-all             : enable

        dlp-docsource       : enable

        infected            : enable

        blocked             : enable

        scanerror           : enable

        suspicious          : enable

        analytics           : enable

        oversized           : enable

        switching-protocols : enable

        email-log-smtp      : enable

        email-log-pop3      : enable

        email-log-imap      : enable

        email-log-msn       : enable

        email-log-yahoo     : enable

        email-log-google    : enable

        app-ctrl-all        : enable

三、配置验证

       以上配置完成后，WEB登陆 日志&报表>>转发流量、本地流量和系统事件 查看具体日志。