FortiAnalyzer: como centralizar logs e ter visibilidade real da sua rede
O FortiGate gera dados valiosos — mas sem centralização e correlação, a maioria fica inacessível. O FortiAnalyzer transforma logs brutos em visibilidade acionável.
Por que centralizar logs
O FortiGate armazena logs localmente em memória ou disco interno, mas com capacidade limitada — logs antigos são sobrescritos continuamente. Em modelos sem SSD interno, os logs ficam apenas em RAM e são perdidos no reboot.
Para análise retroativa, auditorias de conformidade e correlação de eventos de múltiplos dispositivos, é necessário um repositório externo. O FortiAnalyzer é a solução nativa da Fortinet para essa função — recebe logs em tempo real de FortiGates, FortiClients, FortiMails e outros dispositivos do ecossistema, armazena com retenção configurável e oferece análise e relatórios integrados.
O que o FortiAnalyzer entrega
Dashboards em tempo real: visão consolidada de ameaças bloqueadas, top usuários por tráfego, aplicações mais usadas, tentativas de intrusão e eventos de VPN — de todos os FortiGates gerenciados em uma única tela.
Relatórios automáticos: relatórios periódicos configuráveis — diários, semanais, mensais — com exportação em PDF para envio a gestores e auditorias. Modelos prontos para PCI-DSS, ISO 27001 e outros frameworks de conformidade.
Correlação de eventos: o FortiAnalyzer correlaciona eventos de múltiplas fontes para identificar padrões de ataque que se manifestam em vários pontos — impossível de detectar analisando logs de cada dispositivo individualmente.
Retenção configurável: armazene logs por 90 dias, 1 ano ou mais, conforme requisitos de conformidade. O tamanho do storage do FortiAnalyzer determina o período de retenção possível para o volume de logs do ambiente.
FortiAnalyzer físico, virtual ou Cloud
O FortiAnalyzer está disponível em três formatos:
Appliance físico: hardware dedicado com armazenamento interno de alta capacidade. Melhor para ambientes com alto volume de logs que precisam de performance consistente e retenção de longo prazo.
VM (Virtual Machine): disponível para VMware, Hyper-V e KVM. Permite aproveitar infraestrutura de virtualização existente. O armazenamento é fornecido pela infraestrutura de VM — mais flexível para expansão.
FortiAnalyzer Cloud: serviço SaaS gerenciado pela Fortinet. Sem hardware para gerenciar, storage elástico, acesso via navegador. Ideal para empresas sem infraestrutura on-premise ou que preferem modelo de assinatura.
Conectando o FortiGate ao FortiAnalyzer
A configuração é feita em ambos os lados:
No FortiAnalyzer: em Device Manager, autorize o FortiGate adicionando o serial number ou aguarde a solicitação de conexão do dispositivo.
No FortiGate: em Log & Report > Log Settings, ative o envio para FortiAnalyzer e informe o endereço IP do servidor. O FortiGate estabelece uma conexão SSL segura e começa a enviar logs em tempo real.
Verificação: após a conexão, acesse Log & Report > Log Browse no FortiGate e confirme que os logs estão sendo recebidos pelo FortiAnalyzer. O status da conexão aparece em Sistema > Status no FortiGate.
Alternativa open-source: se o FortiAnalyzer está fora do orçamento, o FortiGate suporta envio de logs via Syslog para soluções como Graylog, Elastic Stack ou Splunk. A análise é menos integrada, mas viável para ambientes menores com equipe técnica para configurar o SIEM.
Event Handlers: alertas automáticos inteligentes
Um dos recursos mais valiosos do FortiAnalyzer são os Event Handlers — regras de correlação que disparam alertas quando condições específicas são detectadas nos logs.
Exemplos de Event Handlers úteis: alerta quando um mesmo IP gerar mais de 50 bloqueios de IPS em 5 minutos (possível ataque automatizado); alerta quando um usuário acessar mais de 5 categorias bloqueadas em 1 hora (possível dispositivo comprometido); alerta quando uma conta administrativa fizer login fora do horário comercial.
Os alertas podem ser enviados por e-mail, SNMP trap ou webhook — integrando com Slack, Teams ou sistemas de ticketing que o time de TI já utiliza.