FortiAnalyzer - Administration Guide

Version 6.4.4
FORTINET DOCUMENT LIBRARY
https://docs.fortinet.com

FORTINET VIDEO GUIDE

https://video.fortinet.com

FORTINET BLOG
https://blog.fortinet.com

CUSTOMER SERVICE & SUPPORT

https://support.fortinet.com

FORTINET TRAINING & CERTIFICATION PROGRAM

https://www.fortinet.com/support-and-training/training.html

NSE INSTITUTE
https://training.fortinet.com

FORTIGUARD CENTER
https://www.fortiguard.com

END USER LICENSE AGREEMENT

https://www.fortinet.com/doc/legal/EULA.pdf

FEEDBACK
Email: techdoc@fortinet.com

Apr 12, 2021

FortiAnalyzer 6.4.4 Administration Guide
05-644-601881-20210412
 TABLE OF CONTENTS

Change Log 10
Setting up FortiAnalyzer 11
Connecting to the GUI 11
Security considerations 12
Restricting GUI access by trusted host 12
Other security considerations 12
GUI overview 13
Panes 14
Color themes 15
Full-screen mode 15
Switching between ADOMs 16
Using the right-click menu 16
Avatars 16
Showing and hiding passwords 17
Target audience and access level 17
Initial setup 17
FortiManager features 18
Next steps 18
Restarting and shutting down 18
FortiAnalyzer Key Concepts 20
Two operation modes 20
Analyzer mode 20
Collector mode 21
Analyzer and Collector feature comparison 21
Analyzer–Collector collaboration 22
Administrative domains 22
Log storage 22
SQL database 23
Analytics and Archive logs 23
Data policy and automatic deletion 23
Disk utilization for Archive and Analytic logs 24
FortiView dashboard 24
Device Manager 25
ADOMs 25
FortiClient EMS devices 25
Unauthorized devices 25
Using FortiManager to manage FortiAnalyzer  devices 26
Adding devices 26
Adding devices using the wizard 26
Authorizing devices 27
Hiding unauthorized devices 28
Adding an HA cluster 28
Managing devices 29
Using the quick status bar 29

FortiAnalyzer 6.4.4 Administration Guide 3

Fortinet Technologies Inc.
 Using the toolbar 30
Editing device information 30
Displaying historical average log rates 32
Connecting to an authorized device GUI 32
Fabric View 33
Fabric Connectors 33
ITSM 33
Storage 34
Security fabric 35
Identity Center 36
Assets 38
Fortinet Security Fabric 40
Adding a Security Fabric group 40
Displaying Security Fabric topology 41
Security Fabric traffic log to UTM log correlation 41
Creating a Security Fabric ADOM 43
Enabling SAML authentication in a Security Fabric 44
Log View and Log Quota Management 47
Types of logs collected for each device 47
Log messages 49
Viewing the log message list of a specific log type 49
Viewing message details 50
Customizing displayed columns 51
Customizing default columns 52
Filtering messages 52
Viewing historical and real-time logs 55
Viewing raw and formatted logs 55
Custom views 55
Downloading log messages 56
Creating charts with Chart Builder 57
User and endpoint ID log fields 57
Log groups 58
Log browse 59
Importing a log file 59
Downloading a log file 60
Deleting log files 61
Log and file storage 61
Disk space allocation 61
Log and file workflow 62
Automatic deletion 63
Logs for deleted devices 64
Log storage information 64
Storage information 65
Configuring log storage policy 66
Incident and Event Management 68
Event handlers 68
Predefined event handlers 68

FortiAnalyzer 6.4.4 Administration Guide 4

Fortinet Technologies Inc.
 FortiGate event handlers 72
Creating a custom event handler 72
Using the Generic Text Filter in an event handler 76
Managing event handlers 76
Enabling event handlers 77
Cloning event handlers 77
Resetting event handlers to factory defaults 77
Importing and exporting event handlers 78
Events 80
All Events 81
Default event views 82
Filtering events 83
Viewing event details 84
Acknowledging events 84
Managing default views 84
Creating custom views 86
Understanding event statuses 87
Subnet lists 88
Creating a subnet list 89
Creating a subnet group 90
Assigning subnet filters to event handlers 90
Incidents 91
Raising an incident 92
Analyzing an incident 92
Configuring incident settings 94
Adding reports to an incident 94
FortiSoC 96
Viewing FortiSoC dashboards 96
Playbooks 97
Incidents 98
Events 98
Configuring playbook automation 99
Connectors 99
Playbooks 102
Triggers and tasks 105
Playbook templates 106
Playbook Monitor 107
Configuring tasks using variables 108
FortiView 110
Monitors 110
FortiView Monitors dashboards 111
Using the Monitors dashboard 119
Customizing the Monitors dashboard 120
Creating custom widgets 121
FortiView 123
How ADOMs affect FortiView 123
Logs used for FortiView 123
FortiView dashboards 123

FortiAnalyzer 6.4.4 Administration Guide 5

Fortinet Technologies Inc.
 Using FortiView 126
Viewing Compromised Hosts 130
Examples of using FortiView 134
Enabling and disabling FortiView 136
Reports 137
How ADOMs affect reports 137
Predefined reports, templates, charts, and macros 137
Logs used for reports 138
How charts and macros extract data from logs 138
How auto-cache works 138
Generating reports 138
Viewing completed reports 139
Enabling auto-cache 139
Grouping reports 140
Retrieving report diagnostic logs 140
Auto-Generated Reports 141
Scheduling reports 141
Creating reports 141
Creating reports from report templates 141
Creating reports by cloning and editing 142
Creating reports without using a template 143
Reports Settings tab 143
Customizing report cover pages 145
Reports Layout tab 147
Filtering report output 150
Managing reports 151
Organizing reports into folders 152
Importing and exporting reports 152
Report template library 153
Creating report templates 153
Viewing sample reports for predefined report templates 154
Managing report templates 154
List of report templates 154
Chart library 157
Creating charts 157
Managing charts 160
Macro library 161
Creating macros 161
Managing macros 162
Datasets 162
Creating datasets 162
Viewing the SQL query of an existing dataset 164
SQL query functions 164
Managing datasets 165
Output profiles 165
Creating output profiles 165
Managing output profiles 166
Report languages 167

FortiAnalyzer 6.4.4 Administration Guide 6

Fortinet Technologies Inc.
 Exporting and modifying a language 167
Importing a language 167
Report calendar 168
Viewing all scheduled reports 168
Managing report schedules 168
FortiRecorder 170
Configuring cameras in the Camera Manager 170
Creating a camera key 170
Setting up a camera 171
Configuring camera profiles 171
Configuring video profiles 174
Creating and editing camera schedules 175
Assigning camera schedules to a profile 175
Enabling motion detection 177
Face Recognition 177
Enabling face recognition 177
Identifying faces 178
Viewing activity reports 179
Viewing known faces 180
Configuring the AI module 181
Watching live and recorded video in the Monitor 182
Enabling and disabling FortiRecorder 184
System Settings 185
Dashboard 186
Customizing the dashboard 187
System Information widget 188
System Resources widget 193
License Information widget 194
Registering a device or VM license 195
Unit Operation widget 196
Alert Messages Console widget 196
Log Receive Monitor widget 197
Insert Rate vs Receive Rate widget 197
Log Insert Lag Time widget 198
Receive Rate vs Forwarding Rate widget 198
Disk I/O widget 199
Logging Topology 199
Network 200
Configuring network interfaces 200
Disabling ports 202
Changing administrative access 202
Static routes 202
Packet capture 203
RAID Management 204
Supported RAID levels 204
Configuring the RAID level 207
Monitoring RAID status 207
Swapping hard disks 208

FortiAnalyzer 6.4.4 Administration Guide 7

Fortinet Technologies Inc.
 Adding hard disks 209
Administrative Domains 210
Enabling and disabling the ADOM feature 212
ADOM device modes 213
Managing ADOMs 213
Deleting ADOMs 217
Certificates 218
Local certificates 218
CA certificates 221
Certificate revocation lists 222
Log Forwarding 223
Modes 223
Configuring log forwarding 225
Managing log forwarding 227
Log forwarding buffer 228
Fetcher Management 229
Fetching profiles 229
Fetch requests 230
Synchronizing devices and ADOMs 232
Fetch monitoring 233
Event Log 234
Event log filtering 235
Task Monitor 235
SNMP 237
SNMP agent 237
SNMP v1/v2c communities 239
SNMP v3 users 242
SNMP MIBs 243
SNMP traps 244
Fortinet & FortiAnalyzer MIB fields 245
Mail Server 246
Syslog Server 247
Meta Fields 248
Device logs 250
Configuring rolling and uploading of logs using the GUI 250
Configuring rolling and uploading of logs using the CLI 252
Upload logs to cloud storage 253
File Management 254
Advanced Settings 254
Administrators 256
Trusted hosts 256
Monitoring administrators 256
Disconnecting administrators 257
Managing administrator accounts 257
Creating administrators 258
Editing administrators 261
Deleting administrators 262

FortiAnalyzer 6.4.4 Administration Guide 8

Fortinet Technologies Inc.
 Administrator profiles 262
Permissions 263
Privacy Masking 264
Creating administrator profiles 265
Editing administrator profiles 267
Cloning administrator profiles 267
Deleting administrator profiles 267
Authentication 268
Public Key Infrastructure 268
Managing remote authentication servers 269
LDAP servers 271
RADIUS servers 272
TACACS+ servers 274
Remote authentication server groups 274
SAML admin authentication 275
Global administration settings 277
Password policy 278
Password lockout and retry attempts 279
GUI language 279
Idle timeout 280
Two-factor authentication 280
Configuring FortiAuthenticator 280
Configuring FortiAnalyzer 283
High Availability 284
Configuring HA options 284
Log synchronization 286
Configuration synchronization 286
Monitoring HA status 287
If the primary unit fails 288
Load balancing 288
Upgrading the FortiAnalyzer firmware for an operating cluster 288
Collectors and Analyzers 290
Configuring the Collector 290
Configuring the Analyzer 291
Fetching logs from the Collector to the Analyzer 292
Appendix A - Supported RFC Notes 293

FortiAnalyzer 6.4.4 Administration Guide 9

Fortinet Technologies Inc.
Change Log

Change Log

Date Change Description

2020-12-16 Initial release.

2021-01-22 Added a note about the maximum number of devices that can be added to Log 
groups on page 58.

2021-01-28 Added User and endpoint ID log fields on page 57.

2021-02-17 Added Configuring tasks using variables on page 108.

2021-04-12 Added RFC 2548 to Appendix A - Supported RFC Notes on page 293.

2021-04-22 Added tooltip to Viewing the SQL query of an existing dataset on page 164.
Added note about max supported subnet objects to Subnet lists on page 88.

FortiAnalyzer 6.4.4 Administration Guide 10

Fortinet Technologies Inc.
Setting up FortiAnalyzer

This chapter provides information about performing some basic setups for your FortiAnalyzer units.
This section contains the following topics:
 l Connecting to the GUI on page 11
 l Security considerations on page 12
 l GUI overview on page 13
 l Target audience and access level on page 17
 l Initial setup on page 17
 l FortiManager features on page 18
 l Next steps on page 18
 l Restarting and shutting down on page 18

Connecting to the GUI

The FortiAnalyzer unit can be configured and managed using the GUI or the CLI. This section will step you through 
connecting to the unit via the GUI.

To connect to the GUI:

 1. Connect the FortiAnalyzer unit to a management computer using an Ethernet cable.
 2. Configure the management computer to be on the same subnet as the internal interface of the FortiAnalyzer unit:   
 l IP address: 192.168.1.X
 l Netmask: 255.255.255.0
 3. On the management computer, start a supported web browser and browse to https://192.168.1.99.
 4. Type admin in the Name field, leave the Password field blank, and click Login.
The Change Password dialog box is displayed. 
 5. Change the default password now, or click Later to change the password later:   
 a. In the New Password box, type a new password.
 b. In the Confirm Password box, type the new password again, and click OK.
 6. If ADOMs are enabled, the Select an ADOM pane is displayed. Click an ADOM to select it.   
The FortiAnalyzer home page is displayed.
 7. Click a tile to go to that pane. For example, click the Device Manager tile to go to the Device Manager pane.   
See also GUI overview on page 13. 

If the network interfaces have been configured differently during installation, the URL 
and/or permitted administrative access protocols (such as HTTPS) may no longer be in 
their default state.

FortiAnalyzer 6.4.4 Administration Guide 11

Fortinet Technologies Inc.
 Setting up FortiAnalyzer

For information on enabling administrative access protocols and configuring IP addresses, see Configuring network 
interfaces on page 200.

If the URL is correct and you still cannot access the GUI, you may also need to configure static 
routes. For details, see Static routes on page 202.

After logging in for the first time, you should create an administrator account for yourself and assign the Super_User 
profile to it. Then you should log into the FortiAnalyzer unit by using the new administrator account. See Managing 
administrator accounts on page 257 for information.

Security considerations

You can take steps to prevent unauthorized access and restrict access to the GUI. This section includes the following 
information:
 l Restricting GUI access by trusted host on page 12
 l Other security considerations on page 12

Restricting GUI access by trusted host

To prevent unauthorized access to the GUI you can configure administrator accounts with trusted hosts. With trusted 
hosts configured, the administrator user can only log into the GUI when working on a computer with the trusted host as 
defined in the administrator account. You can configure up to ten trusted hosts per administrator account. See 
Administrators on page 256 for more details.

Other security considerations

Other security consideration for restricting access to the FortiAnalyzer GUI include the following:
 l Configure administrator accounts using a complex passphrase for local accounts
 l Configure administrator accounts using RADIUS, LDAP, TACACS+, or PKI
 l Configure the administrator profile to only allow read/write permission as required and restrict access using read-
only or no permission to settings which are not applicable to that administrator
 l Configure the administrator account to only allow access to specific ADOMs as required

When setting up FortiAnalyzer for the first time or after a factory reset, the password cannot be 
left blank. You are required to set a password when the admin user tries to log in to 
FortiManager from GUI or CLI for the first time. This is applicable to a hardware device as well 
as a VM. This is to ensure that administrators do not forget to set a password when setting up 
FortiAnalyzer for the first time.
After the initial setup, you can set a blank password from System Settings > Administrators.

FortiAnalyzer 6.4.4 Administration Guide 12

Fortinet Technologies Inc.
Setting up FortiAnalyzer

GUI overview

When you log into the FortiAnalyzer GUI, the following home page of tiles is displayed:

Select one of the following tiles to display the respective pane. The available tiles vary depending on the privileges of the 
current user.

Device Manager Add and manage devices and VDOMs. See Device Manager on page 25.

Fabric View Configure fabric connectors. See Fabric View on page 33.

FortiView Summarizes SOC information in FortiView and Monitors dashboards, which 
include widgets displaying log data in graphical formats, network security, WiFi 
security, and system performance in real-time.
This pane is not available when the unit is in Collector mode.

Log View View logs for managed devices. You can display, download, import, and delete 

logs on this page. You can also define custom views and create log groups. See 
Log View and Log Quota Management on page 47.

Incidents & Events Configure and view events for logging devices. See Incident and Event 

Management on page 68.
This pane is not available when the unit is in Collector mode.

Reports Generate reports. You can also configure report templates, schedules, and output 
profiles, and manage charts and datasets. See Reports on page 137.
This pane is not available when the unit is in Collector mode.

FortiAnalyzer 6.4.4 Administration Guide 13

Fortinet Technologies Inc.
Setting up FortiAnalyzer

FortiRecorder Manage FortiCamera devices and view camera streams and recordings through 
the Monitors dashboard.
This pane is only available in physical appliances and is disabled by default. See 
FortiRecorder on page 170
This pane is not available when the unit is in Collector mode.

FortiSoC FortiSoC is a subscription service that enables security orchestration, automation, 
and response (SOAR), and security information and event management 
(SIEM) capabilities on FortiAnalyzer. See FortiSoC on page 96.

System Settings Configure system settings such as network interfaces, administrators, system 

time, server settings, and others. You can also perform maintenance and 
firmware operations. See System Settings on page 185.

The top-right corner of the home page includes a variety of possible selections:

ADOM If ADOMs are enabled, the required ADOM can be selected from the dropdown list.
The ADOMs available from the ADOM menu will vary depending on the privileges of the 
current user.

Full Screen Click to view only the content pane in the browser window. See Full-screen mode on page 15.

Help Click to open the FortiAnalyzer online help, or view the About information for your device 
(Product, Version, and Build Number).
You can also open the FortiAnalyzer basic setup video 
(https://video.fortinet.com/products/fortianalyzer/6.2/).

CLI Console Click the CLI Console icon on the right side of the banner on any page.

The CLI console is a terminal window that enables you to configure the FortiAnalyzer unit 
using CLI commands directly from the GUI, without making a separate  SSH, or local console 
connection to access the CLI.
When using the CLI console, you are logged in with the same administrator account that you 
used to access the GUI. You can enter commands by typing them, or you can copy and paste 
commands into or out of the console.
Click Detach in the CLI Console toolbar to open the console in a separate window.
Note: The CLI Console requires that your web browser support JavaScript.

Notification Click to display a list of notifications. Select a notification from the list to take action on the 
issue.

admin Click to change the password or log out of the GUI.

Panes

In general, panes have four primary parts: the banner, toolbar, tree menu, and content pane.

Banner Along the top of the page; includes the home button (Fortinet logo), tile menu, 
ADOM menu (when enabled), admin menu, notifications, help button, and 
CLI console button.

FortiAnalyzer 6.4.4 Administration Guide 14

Fortinet Technologies Inc.
 Setting up FortiAnalyzer

Tree menu On the left side of the screen; includes the menus for the selected pane.

Not available in Device Manager.

Content pane Contains widgets, lists, configuration options, or other information, depending on 

the pane, menu, or options that are selected. Most management tasks are 
handled in the content pane.

Toolbar Directly above the content pane; includes options for managing content in the 
content pane, such as Create New and Delete.

To switch between panes, either select the home button to return to the home page, or select the tile menu then select a 
new tile.

Color themes

You can choose a color theme for the FortiAnalyzer GUI. For example, you can choose a color, such as blue or plum, or 
you can choose an image, such as summer or autumn. See Global administration settings on page 277.

Full-screen mode

You can view several panes in full-screen mode. When a pane is in full-screen mode, the tree menu on the left side of the 
screen is hidden.
Click the Full Screen button in the toolbar to enter full-screen mode, and press the Esc key on your keyboard to exit full-
screen mode.

FortiAnalyzer 6.4.4 Administration Guide 15

Fortinet Technologies Inc.
 Setting up FortiAnalyzer

Switching between ADOMs

When ADOMs are enabled, you can move between ADOMs by selecting an ADOM from the ADOM menu in the banner.

ADOM access is controlled by administrator accounts and the profile assigned to the administrator account. Depending 
on your account privileges, you might not have access to all ADOMs. See Managing administrator accounts on page 257 
for more information.

Using the right-click menu

Options are sometimes available using the right-click menu. Right-click an item in the content pane, or within some of the 
tree menus, to display the menu that includes various options similar to those available in the toolbar.
In the following example on the Reports pane, you can right-click a template, and select Create New, View, Clone, or 
Create Report.

Avatars

When FortiClient sends logs to FortiAnalyzer, an avatar for each user can be displayed in the Source column in the 
FortiView > FortiView and Log View panes. FortiAnalyzer can display an avatar when FortiClient is managed by 
FortiGate or FortiClient EMS with logging to FortiAnalyzer enabled.
 l When FortiClient Telemetry connects to FortiGate, FortiClient sends logs (including avatars) to FortiGate, and the 
logs display in FortiAnalyzer under the FortiGate device as a sub-type of security.
The avatar is synchronized from FortiGate to FortiAnalyzer by using the FortiOS REST API.
 l When FortiClient Telemetry connects to FortiClient EMS, FortiClient sends logs (including avatars) directly to 
FortiAnalyzer, and logs display in a FortiClient ADOM.
If FortiAnalyzer cannot find the defined picture, a generic, gray avatar is displayed. 

You can also optionally define an avatar for FortiAnalyzer administrators. See 
Creating administrators on page 258.

FortiAnalyzer 6.4.4 Administration Guide 16

Fortinet Technologies Inc.
 Setting up FortiAnalyzer

Showing and hiding passwords

In some cases you can show and hide passwords by using the toggle icon. When you can view the password, the Toggle
show password icon is displayed:

When you can hide the password, the Toggle hide password icon is displayed:

Target audience and access level

This guide is intended for administrators with full privileges, who can access all panes in the FortiAnalyzer GUI, including 
the System Settings pane.
In FortiAnalyzer, administrator privileges are controlled by administrator profiles. Administrators who are assigned 
profiles with limited privileges might be unable to view some panes in the GUI and might be unable to perform some 
tasks described in this guide. For more information about administrator profiles, see Administrator profiles on page 262.

If you logged in by using the admin administrator account, you have the Super_User 
administrator profile, which is assigned to the admin account by default and gives the admin 
administrator full privileges.

Initial setup

This topic provides an overview of the tasks that you need to do to get your FortiAnalyzer unit up and running.

To set up FortiAnalyzer:

 1. Connect to the GUI. See Connecting to the GUI on page 11.
 2. Configure the RAID level, if the FortiAnalyzer unit supports RAID. See Configuring the RAID level on page 207.
 3. Configure network settings. See Configuring network interfaces on page 200.

Once the IP address of the administrative port of FortiAnalyzer is changed, you will lose 
connection to FortiAnalyzer. You will have to reconfigure the IP address of the 
management computer to connect again to FortiAnalyzer and continue.

 4. (Optional) Configure administrative domains. See Managing ADOMs on page 213.
 5. Configure administrator accounts. See Managing administrator accounts on page 257.

After you configure the administrator accounts for the FortiAnalyzer unit, you should log in 
again by using your new administrator account.

FortiAnalyzer 6.4.4 Administration Guide 17

Fortinet Technologies Inc.
Setting up FortiAnalyzer

 6. Add devices to the FortiAnalyzer unit so that the devices can send logs to the FortiAnalyzer unit. See Adding 
devices on page 26.
 7. Configure the operation mode. See Configuring the operation mode on page 193 and Two operation modes on 
page 20.

FortiManager features

FortiManager features are not available in FortiAnalyzer 6.2.0 and up. 
For information about FortiManager, see the FortiManager Administration Guide.

If FortiManager features are enabled in FortiAnalyzer before upgrading to 6.2.0 and later, the 
existing feature configurations will continue to be available after the upgrade. 
FortiManager features carried over during an upgrade can be disabled through the CLI 
console.

Next steps

Now that you have set up your FortiAnalyzer units and they have started receiving logs from the devices, you can start 
monitoring and interpreting data. You can: 
 l View log messages collected by the FortiAnalyzer unit in Log View. See Types of logs collected for each device on 
page 47.
 l View multiple panes of network activity in FortiView > Monitors. See Monitors on page 110.
 l View summaries of threats, traffic, and more in FortiView > FortiView. See FortiView on page 123.
 l Generate and view events in Incidents & Events or FortiSoC. See Incident and Event Management on page 68
 l Generate and view reports in Reports. See Reports on page 137.

Restarting and shutting down

Always use the operation options in the GUI or the CLI commands to reboot and shut down the FortiAnalyzer system to 
avoid potential configuration problems.

To restart the FortiAnalyzer unit from the GUI:

 1. Go to System Settings > Dashboard.

 2. In the Unit Operation widget, click the Restart button.
 3. Enter a message for the event log, then click OK to restart the system.

FortiAnalyzer 6.4.4 Administration Guide 18

Fortinet Technologies Inc.
Setting up FortiAnalyzer

To restart the FortiAnalyzer unit from the CLI:

 1. From the CLI, or in the CLI Console menu, enter the following command:   

execute reboot
The system will be rebooted.
Do you want to continue? (y/n)
 2. Enter y to continue. The FortiAnalyzer system will restart.

To shutdown the FortiAnalyzer unit from the GUI:

 1. Go to System Settings > Dashboard.

 2. In the Unit Operation widget, click the Shutdown button.
 3. Enter a message for the event log, then click OK to shutdown the system.

To shutdown the FortiAnalyzer unit from the CLI:

 1. From the CLI, or in the CLI Console menu, enter the following command:   

execute shutdown
The system will be halted.
Do you want to continue? (y/n)
 2. Enter y to continue. The FortiAnalyzer system will shutdown.

To reset the FortiAnalyzer unit:

 1. From the CLI, or in the CLI Console menu, enter the following command:   

execute reset all-settings
This operation will reset all settings to factory defaults
Do you want to continue? (y/n)
 2. Enter y to continue. The device will reset to factory default settings and restart.

To reset logs and re-transfer all SQL logs to the database:

 1. From the CLI, or in the CLI Console menu, enter the following command:

execute reset-sqllog-transfer
WARNING: This operation will re-transfer all logs into database.
Do you want to continue? (y/n)
 2. Enter y to continue. All SQL logs will be resent to the database.

FortiAnalyzer 6.4.4 Administration Guide 19

Fortinet Technologies Inc.
FortiAnalyzer Key Concepts

This section provides information about basic FortiAnalyzer concepts and terms. If you are new to FortiAnalyzer, use this 
section to quickly understand this document and the FortiAnalyzer platform.
This section includes the following sections:
 l Two operation modes on page 20
 l Administrative domains on page 22
 l Log storage on page 22
 l FortiView dashboard on page 24

Two operation modes

FortiAnalyzer can run in two operation modes: Analyzer and Collector. Choose the operation mode for your 
FortiAnalyzer units based on your network topology and requirements.

Analyzer mode

Analyzer mode is the default mode that supports all FortiAnalyzer features. Use this mode to aggregate logs from one or 
more Collectors.

FortiAnalyzer 6.4.4 Administration Guide 20

Fortinet Technologies Inc.
 FortiAnalyzer Key Concepts

The following diagram shows an example of deploying FortiAnalyzer in Analyzer mode.

Collector mode

When FortiAnalyzer is in Collector mode, its primary task is forwarding logs of the connected devices to an Analyzer and 
archiving the logs. Instead of writing logs to the database, the Collector retains logs in their original binary format for 
uploading. In this mode, most features are disabled.

Analyzer and Collector feature comparison

Feature Analyzer Mode Collector Mode

Device Manager Yes Yes

FortiView Yes No

FortiAnalyzer 6.4.4 Administration Guide 21

Fortinet Technologies Inc.
 FortiAnalyzer Key Concepts

Feature Analyzer Mode Collector Mode

Log View Yes Raw archive logs only

Incidents & Events Yes No

Monitoring devices Yes No

Reporting Yes No

System Settings Yes Yes

Log Forwarding Yes Yes

Analyzer–Collector collaboration

You can deploy Analyzer mode and Collector mode on different FortiAnalyzer units and make the units work together to 
improve the overall performance of log receiving, analysis, and reporting. The Analyzer offloads the log receiving task to 
the Collector so that the Analyzer can focus on data analysis and report generation. This maximizes the Collector’s log 
receiving performance.
For an example of setting up Analyzer–Collector collaboration, see Collectors and Analyzers on page 290.

Administrative domains

Administrative domains (ADOMs) enable the admin administrator to constrain the access privileges of other 
FortiAnalyzer unit administrators to a subset of devices in the device list. For Fortinet devices with virtual domains 
(VDOMs), ADOMs can further restrict access to only data from a specific VDOM for a device.
Enabling ADOMs alters the available functions in the GUI and CLI. Access to the functions depends on whether you are 
logged in as the admin administrator. If you are logged in as the admin administrator, you can access all ADOMs. If you 
are not logged in as the admin administrator, the settings in your administrator account determines access to ADOMs.
For information on enabling and disabling ADOMs, see Enabling and disabling the ADOM feature on page 212. For 
information on working with ADOMs, see Administrative Domains on page 210. For information on configuring 
administrator accounts, see Managing administrator accounts on page 257.

ADOMs must be enabled to support FortiCarrier, FortiClient EMS, FortiMail, FortiWeb, 
FortiCache, and FortiSandbox logging and reporting. See Administrative Domains on page 
210.

Log storage

Logs and files are stored on the FortiAnalyzer disks. Logs are also temporarily stored in the SQL database.
You can configure data policy and disk utilization settings for devices. These are collectively called log storage settings.

FortiAnalyzer 6.4.4 Administration Guide 22

Fortinet Technologies Inc.
 FortiAnalyzer Key Concepts

You can configure global log and file storage settings. These apply to all logs and files in the FortiAnalyzer system 
regardless of log storage settings.

SQL database

FortiAnalyzer supports Structured Query Language (SQL) for logging and reporting. The log data is inserted into the 
SQL database to support data analysis in FortiView > FortiView, Log View, and Reports. Remote SQL databases are not 
supported.
For more information, see FortiView on page 123, Types of logs collected for each device on page 47, and Reports on 
page 137.
The log storage settings define how much FortiAnalyzer disk space to use for the SQL database.

When FortiAnalyzer is in Collector mode, the SQL database is disabled by default. If you want 
to use logs that require SQL when FortiAnalyzer is in Collector mode, you must enable the 
SQL database. See Two operation modes on page 20.

Analytics and Archive logs

Logs in FortiAnalyzer are in one of the following phases. Use a data policy to control how long to retain Analytics and 
Archive logs.
 l Real-time log: Log entries that have just arrived and have not been added to the SQL database, i.e., have not been 
rolled.
 l Analytics logs or historical logs: Indexed in the SQL database and online.
 l Archive logs: Compressed on hard disks and offline.
In the indexed phase, logs are indexed in the SQL database for a specified length of time for the purpose of analysis. 
Logs in the indexed phase in the SQL database are considered online and you can view details about these logs in 
FortiView > FortiView, Log View, and Incidents & Events/FortiSoC panes. You can also generate reports about the logs 
in the Reports pane.
In the compressed phase, logs are compressed and archived in FortiAnalyzer disks for a specified length of time for the 
purpose of retention. Logs in the compressed phase are considered offline and you cannot immediately view details 
about these logs in the FortiView > FortiView, Log View, and Incidents & Events/FortiSoC panes. You also cannot 
generate reports about the logs in the Reports pane.

Data policy and automatic deletion

Use a data policy to control how long to keep compressed and indexed logs. When ADOMs are enabled, you can specify 
settings for each ADOM and the settings apply to all devices in that ADOM. When ADOMs are disabled, settings apply to 
all managed devices.
A data policy specifies:
 l How long to keep Analytics logs indexed in the database
When the specified length of time in the data policy expires, logs are automatically purged from the database but 
remain compressed in a log file on the FortiAnalyzer disks.

FortiAnalyzer 6.4.4 Administration Guide 23

Fortinet Technologies Inc.
 FortiAnalyzer Key Concepts

 l How long to keep Archive logs on the FortiAnalyzer disks
When the specified length of time in the data policy expires, Archive logs are deleted from the FortiAnalyzer disks.
See also Log storage information on page 64.

Disk utilization for Archive and Analytic logs

You can specify how much of the total available FortiAnalyzer disk space to use for log storage. You can specify what 
ratio of the allotted storage space to use for logs that are indexed in the SQL database and for logs that are stored in a 
compressed format on the FortiAnalyzer disks. Then you can monitor how quickly device logs are filling up the allotted 
disk space.

Analytic logs indexed in the SQL database require more disk space than Archive logs (purged 
from the SQL database but remain compressed on the FortiAnalyzer disks). An average 
indexed log is 400 bytes and an average compressed log is 50 bytes. Keep this difference in 
mind when specifying the storage ratio for Analytics and Archive logs.

When ADOMs are enabled, you can specify settings for each ADOM and the settings apply to all devices in that ADOM. 
When ADOMs are disabled, settings apply to all managed devices. See Log storage information on page 64.

FortiView dashboard

FortiAnalyzer provides dashboards for Security Operations Center (SOC)  administrators. FortiView includes monitors 
which enhance visualization for real-time activities and historical trends for analysts to effectively monitor network 
activities and security alerts. See FortiView on page 110.
In high capacity environments, the FortiView module can be disabled to improve performance. See Enabling and 
disabling FortiView on page 136.

FortiAnalyzer 6.4.4 Administration Guide 24

Fortinet Technologies Inc.
Device Manager

Use the Device Manager pane to add, configure, and manage devices and VDOMs.
After you add and authorize a device or VDOM, the FortiAnalyzer unit starts collecting logs from that device or VDOM. 
You can configure the FortiAnalyzer unit to forward logs to another device. See Log Forwarding on page 223.

ADOMs

You can organize connected devices into ADOMs to better manage the devices. ADOMs can be organized by:
 l Firmware version: group all 6.0 devices into one ADOM, and all 6.2 devices into another.
 l Geographic regions: group all devices for a specific geographic region into an ADOM, and devices for a separate 
region into another ADOM.
 l Administrator users: group devices into separate ADOMs based for specific administrators responsible for the 
group of devices.
 l Customers: group all devices for one customer into an ADOM, and devices for another customer into another 
ADOM.   
FortiAnalyzer, FortiCache, FortiClient, FortiDDos, FortiMail, FortiManager, FortiSandbox, FortiWeb, Chassis, and 
FortiCarrier devices are automatically placed in their own ADOMs.
 l Security Fabric: group all devices that are within the Security Fabric.
Each administrator profile can be customized to provide read-only, read/write, or restrict access to various ADOM 
settings. When creating new administrator accounts, you can restrict which ADOMs the administrator can access, for 
enhanced control of your administrator users. For more information on ADOM configuration and settings, see 
Administrative Domains on page 210.

FortiClient EMS devices

You can add FortiClient EMS servers to FortiAnalyzer. Authorized FortiClient EMS servers are added to the default 
FortiClient ADOM. You must enable ADOMs to work with FortiClient EMS servers in FortiAnalyzer. When you select the 
FortiClient ADOM and go to the Device Manager pane, the FortiClient EMS servers are displayed. See also FortiClient 
support and ADOMs on page 211.

Unauthorized devices

When a device is configured to send logs to FortiAnalyzer, the unauthorized device is displayed in the Device Manager >

Devices Unauthorized pane. You can then add devices to specific ADOMs or delete devices by using the toolbar buttons 
or the right-click menu.

FortiAnalyzer 6.4.4 Administration Guide 25

Fortinet Technologies Inc.
 Device Manager

Using FortiManager to manage FortiAnalyzer devices

You can add FortiAnalyzer devices to FortiManager and manage them. When you add a FortiAnalyzer device to 
FortiManager, FortiManager automatically enables FortiAnalyzer features. FortiAnalyzer and FortiManager must be 
running the same OS version, at least 5.6 or later.
In the Device Manager pane, a message informs you the device is managed by FortiManager and all changes should be 
performed on FortiManager to avoid conflict. The top right of this pane displays a lock icon. If ADOMs are enabled, the 
System Settings > All ADOMs pane displays a lock icon beside the ADOM managed by FortiManager.
Logs are stored on the FortiAnalyzer device, not the FortiManager device. You configure log storage settings on the 
FortiAnalyzer device; you cannot change log storage settings using FortiManager.
For more information, see Adding FortiAnalyzer devices in the FortiManager Administration Guide.

Adding devices

You must add and authorize devices and VDOMs to FortiAnalyzer to enable the device or VDOM to send logs to 
FortiAnalyzer. Authorized devices are also known as devices that have been promoted to the DVM table.

You must configure devices to send logs to FortiAnalyzer. For example, after you add and 
authorize a FortiGate device with FortiAnalyzer, you must also configure the FortiGate device 
to send logs to FortiAnalyzer. In the FortiGate GUI, go to Log & Report > Log Settings, and 
enable Send Logs to FortiAnalyzer/FortiManager.

Adding devices using the wizard

You can add devices and VDOMs to FortiAnalyzer using the Add Device wizard. When the wizard finishes, the device is 
added to the FortiAnalyzer unit, authorized, and is ready to start sending logs. 

To add devices using the wizard:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to Device Manager and click Add Device.

FortiAnalyzer 6.4.4 Administration Guide 26

Fortinet Technologies Inc.
 Device Manager

 3. Configure the following settings:

IP Address Type the IP address for the device.

SN Type the serial number for the device.

Device Name Type a name for the device.

Device Model Select the model of the device.

Firmware Version Select the firmware version of the device.

Description Type a description of the device (optional).

 4. Click Next.
The device is added to the ADOM and, if successful, is ready to begin sending logs to the FortiAnalyzer unit.

 5. Click Finish to finish adding the device and close the wizard.

Authorizing devices

You can configure supported devices to send logs to the FortiAnalyzer device. These devices are displayed in the root 
ADOM as unauthorized devices. You can quickly view unauthorized devices by clicking Unauthorized Devices in the 
quick status bar. You must authorize the devices before FortiAnalyzer can start receiving logs from the devices.
When ADOMs are enabled, you can assign the device to an ADOM. When authorizing multiple devices at one time, they 
are all added to the same ADOM.
When you delete a device or VDOM from the FortiAnalyzer unit, its raw log files are also deleted. SQL database logs are 
not deleted.

To authorize devices:

 1. In the root ADOM, go to Device Manager and click Unauthorized Devices in the quick status bar. The content pane 

displays the unauthorized devices.
 2. If necessary, select the Display Hidden Devices check box to display hidden unauthorized devices.

FortiAnalyzer 6.4.4 Administration Guide 27

Fortinet Technologies Inc.
 Device Manager

 3. Select the unauthorized device or devices, then click Authorize. The Authorize Device dialog box opens.

 4. If ADOMs are enabled, select the ADOM in the Add the following device(s) to ADOM list. If ADOMs are disabled, 

select root. The default value is None.

If you try to authorize devices having different firmware versions than the selected ADOM 
version, the system shows a Version Mismatch Warning confirmation dialog.
If you authorize the devices in spite of the warning, the configuration syntax may not be 
fully supported in the selected ADOM.

 5. Click OK to authorize the device or devices.
The device or devices are authorized, and FortiAnalyzer can start receiving logs from the device or devices.

Hiding unauthorized devices

You can hide unauthorized devices from view, and choose when to view hidden devices. You can authorize or delete 
hidden devices. 

To hide and display unauthorized devices:

 1. In the root ADOM, go to Device Manager and click Unauthorized Devices in the quick status bar. The content pane 

displays the unauthorized devices.
 2. Select the unauthorized device or devices, then click Hide. 
The unauthorized devices are hidden from view.
You can view hidden devices by selecting the Display Hidden Devices check box.

Adding an HA cluster

You can use a HA cluster to synchronize logs and data securely among multiple FortiGate devices.
An HA cluster can have a maximum of four devices: one primary device with up to three backup devices. All the devices 
in the cluster must be of the same FortiGate series and must be visible on the network.

You can use auto-grouping in FortiAnalyzer to group devices in a cluster based on the group 
name specified in Fortigate's HA cluster configuration. For auto-grouping to work properly, 
each FortiGate cluster requires a unique group name.
If a unique group name is not used, auto-grouping should be disabled.
FAZ # config system global
(global)# set ha-member-auto-grouping disable

To create a HA cluster:

FortiAnalyzer 6.4.4 Administration Guide 28

Fortinet Technologies Inc.
 Device Manager

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Add the devices to the Device Manager.
 3. Choose a primary device, and click Edit.
 4. In the Edit Device pane, select HA Cluster. 
 5. From the Add Existing Device list, select a device, and click Add.

 6. Optionally, you can use the Add Other Device field to add a new device.

Adding the devices before you create the HA is recommended.

 7. Add more devices as necessary, and click OK.
The maximum is three backup devices.
To view the HA in the Device Manager, click Column Settings > HA Status.

Managing devices

Use the tools and commands in the Device Manager pane to manage devices and VDOMs.

Using the quick status bar

You can see the quick status bar at the top of the Device Manager pane. The quick status bar contains the following tabs:
 l Devices Total: Displays the authorized devices.
 l Devices Unauthorized: Displays the unauthorized devices.
 l Devices Log Status Down: Displays the authorized devices with a log status of down.
 l Storage Used: Displays the Log View > Storage Statistics page.
The Devices Total, Devices Unauthorized, and the Devices Log Status Down tabs include the following default columns:

FortiAnalyzer 6.4.4 Administration Guide 29

Fortinet Technologies Inc.
 Device Manager

Column Description

Device Name Displays the name of the device.

IP Address Displays the IP address for the device.

Platform Displays the platform for the device.

Logs Identifies whether the device is successfully sending logs to the FortiAnalyzer 
unit. A green circle indicates that logs are being sent. A red circle indicates that 
logs are not being sent.
A lock icon displays when a secure tunnel is being used to transfer logs from the 
device to the FortiAnalyzer unit.

Average Log Rate Displays the average rate at which the device is sending logs to the FortiAnalyzer 

(Logs/Sec) unit in log rate per second. Click the number to display a graph of historical 
average log rates.

Device Storage Displays how much of the allotted disk space has been consumed by logs.

Description Displays a description of the device (not displayed in Devices Unauthorized tab).

Using the toolbar

The following buttons and menus are available for selection on the toolbar:

Button Description

Add Device Opens the Add Device Wizard to add a device to the FortiAnalyzer unit. The 

device is added, but not authorized. Unauthorized devices are displayed in the 
Unauthorized Devices tree menu.

Edit Edits the selected device.

Delete Deletes the selected devices or VDOMs from the FortiAnalyzer unit.
When you delete a device, its raw log files are also deleted. SQL database logs 
are not deleted.

Column Settings Click to select which columns to display or select Reset to Default to display the 

default columns.

More Displays more menu items including Import Device List and Export Device List.

Search Type the name of a device. The content pane displays the results. Clear the 
search box to display all devices in the content pane.

Editing device information

Use the Edit Device page to edit information about a device. The information and options available on the Edit Device 

page depend on the device type, firmware version, and which features are enabled. 

FortiAnalyzer 6.4.4 Administration Guide 30

Fortinet Technologies Inc.
Device Manager

To edit information for a device or model device:

 1. Go to Device Manager and click the Devices Total tab in the quick status bar.

 2. In the content pane, select the device or model device and click Edit, or right-click on the device and select Edit. The 
Edit Device pane displays.   

 3. Edit the device settings and click OK.

Name The name of the device.

Description Descriptive information about the device.

IP Address Enter the IP address of the device.

Serial Number The serial number of the device.

Firmware Version The firmware version.

Admin User Enter the administrator user name.

Password Enter the administrator user password.

HA Cluster Select to identify the device as part of an HA cluster, and to identify the other 
device in the cluster by selecting them from the drop-down list, or by inputting 
their serial numbers.

Geographic Coordinates Identifies the latitude and longitude of the device location to support the 

interactive maps.
Click Show Map to open a map showing the location of the device based on 
the coordinates. Click and drag the map marker to adjust the device's location.

Company/Organization Optionally, enter the company or organization information.

FortiAnalyzer 6.4.4 Administration Guide 31

Fortinet Technologies Inc.
 Device Manager

Country Optionally, enter the country where the device is located.

Province/State Optionally, enter the province or state.

City Optionally, enter the city.

Contact Optionally, enter the contact information.

Displaying historical average log rates

You can display a graph of the historical, average log rates for each device.

To display historical average logs rates:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to Device Manager and click the Devices Total tab in the quick status bar.
 3. In the Average Log Rate (Logs/Sec) column, click the number to display the graph.

 4. Hover the cursor over the graph to display more details.

Connecting to an authorized device GUI

You can connect to the GUI of an authorized device from Device Manager.

To connect to an authorized device GUI:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to Device Manager and click the Devices Total tab in the quick status bar.
 3. Right-click the device that you want to access, and select Connect to Device.
 4. If necessary, change the port number and click OK.
You are directed to the Login page of the device GUI.

FortiAnalyzer 6.4.4 Administration Guide 32

Fortinet Technologies Inc.
Fabric View

The Fabric View module  enables you to create fabric connectors and view the list of endpoints. The Fabric View tab is 

available in version 6.0 ADOMs and later.
This section contains the following topics:
 l Fabric Connectors on page 33
 l Identity Center on page 36
 l  Assets on page 38

Fabric Connectors

You can use FortiAnalyzer to create the following types of fabric connectors:
 l ITSM
 l Storage on page 34

ITSM

You can use the Fabric Connectors tab to create the following types of ITSM connectors:
 l ServiceNow
 l Webhook, a generic connector

Creating or editing ITSM connectors

You can create ITSM connectors for ServiceNow and Webhook. 

To create or edit ITSM connectors:

 1. Go to Fabric View > Fabric Connectors.

 2. To create an ITSM connector, click Create New. In the Create New Fabric Connector wizard, select ServiceNow or 
Webhook, and click Next.
To edit an ITSM connector, click the ITSM connector. The connector options are displayed.
 3. Configure the following options, and then click OK:   

Property Description

Name Type a name for the fabric connector.

Description (Optional) Type a description for the fabric connector.

Protocol Select HTTPS.

FortiAnalyzer 6.4.4 Administration Guide 33

Fortinet Technologies Inc.
 Fabric View

Property Description

Port Specify the port FortiAnalyzer uses to communicate with the external platform.

Method Select POST.

Title Type a title for the fabric connector.

URL Type the URL of the external platform.
Using ServiceNow as an example, copy and paste the URL from ServiceNow
API URL in the Connection to ServiceNow API section in ServiceNow >
FortiAnalyzer System Properties.

Enable HTTP Authentication Set HTTP authentication to ON or OFF.

Using ServiceNow as an example, enter the username and password from the 
Connection to ServiceNow API section in ServiceNow > FortiAnalyzer System
Properties.

Status Toggle ON to enable the fabric connector. Toggle OFF to disable the fabric 
connector.

Storage

You can use the Fabric Connectors tab to create the following types of storage connectors:
 l Amazon S3
 l Microsoft Azure
 l Google Cloud

Creating or editing storage connectors

You can create storage connectors for Amazon S3, Microsoft Azure, and Google Cloud. Once you have created a 
storage connector, you can upload FortiAnalyzer logs to cloud storage. See Upload logs to cloud storage on page 253

To create a storage connector:

 1. Go to Fabric View > Fabric Connectors.

 2. Select Create New. In the Create New Fabric Connector wizard, choose Amazon S3, Azure Blob, or Google and 
select Next. 

FortiAnalyzer 6.4.4 Administration Guide 34

Fortinet Technologies Inc.
 Fabric View

 3. Configure the following options and select OK.

Property Description

Name Type a name for the fabric connector.

Comments (Optional) Add comments about the connector.

Title Type a title for the fabric connector.

Status Toggle On to enable the fabric connector. Toggle Off to disable the 
fabric connector.

Amazon S3 Provider Type AWS.

Region Select a region.

Access Key ID Paste the access key from the IAM user account.

Secret Access Key Paste the secret access key from the IAM user account. Click the eye 
icon to Show or Hide the key.

Azure Blob Storage Account  Paste the storage account name from the Microsoft Azure account.

Name

Account Key Paste the account key from the Microsoft Azure account.

Google Cloud  Paste the project number from the Google account.

  Project Number

Service Account  Paste the entire Google account JSON key into the field. Click the eye 
Credentials icon to Show or Hide the key.

Cloud Location Select a Google Cloud location. For information about Google locations, 
visit the product help.

 4. Advanced options will differ between the various types of storage connectors.

To edit a storage connector:

 1. Go to Fabric View > Fabric Connectors.

 2. Select an existing storage connector to edit.
 3. In the dropdown menu that appears below the connector name, modify the connector settings.
 4. Select OK.
   

Security fabric

You can use the Fabric Connectors tab to create the following types of security fabric connectors:
 l FortiClient EMS
 l FortiMail

FortiAnalyzer 6.4.4 Administration Guide 35

Fortinet Technologies Inc.
 Fabric View

Creating or editing Security Fabric connectors

You can create a fabric connector on FortiAnalyzer for FortiClient EMS and FortiMail to execute operations on 
endpoints.
Once configured, fabric connectors enrich incident response related actions available in FortiSoC.

To create an Security Fabric connecter:

 1. Go to Fabric View.

 2. Click the Fabric Connectors tab, then click Create New.
 3. Click the FortiClient EMS or FortiMail tile. The Create New Fabric Connector dialog opens.
 4. In the Configuration tab, configure the connector settings and click OK.   

Property Description

Name Type a name for the fabric connector.

Description (Optional) Type a description for the fabric connector.

IP\FQDN Type the IP address or FQDN for the fabric device.

Username Type the username for the fabric device.

Password Type the password for the fabric device.

Status Toggle On to enable the fabric connector. Toggle Off to disable the fabric 
connector.

 5. Click the Actions tab to view the actions available with the Security Fabric connector, then click OK. 
For a list of FortiMail and FortiClient EMS actions, see  Connectors on page 99.  
After the fabric connector is created, playbooks configured in FortiSoC can use the connector to execute automated 
actions. 

To edit a security fabric connector:

 1. Go to Fabric View > Fabric Connectors.

 2. Select an existing security fabric connector to edit.
 3. In the dropdown menu that appears below the connector name, modify the connector settings.
 4. Click OK.

Identity Center

The Fabric View > Identity Center pane displays a list of users and endpoints in the network  from relevant logs, and 

correlates them with FortiAnalyzer modules.
The Identity Center is useful for user and endpoint mapping. Some users might use multiple endpoints in the network, 
endpoints might use multiple different interfaces to connect, network interfaces might have multiple IP addresses, and so 
on. A map of users and their endpoints gives you better visibility when you analyze logs, events, and incidents. This also 
helps with your reporting.

FortiAnalyzer 6.4.4 Administration Guide 36

Fortinet Technologies Inc.
Fabric View

To view relevant identity logs directly from the FortiView, Log View, and Incidents & Events panes, click the user or 
endpoint log, then click the Topography link in the pop-up that appears.
This Identity pane lists all endpoints and users from relevant logs and correlates them with FortiAnalyzer modules. 

Column Description

User Name The name of the user. 

User Group The group of user identities. An identity can be a:

 l Local user account (username/password stored on the FortiGate unit)
 l Remote user account (password stored on a RADIUS, LDAP, or TACACS+ server)
 l PKI user account with digital client authentication certificate stored on the FortiGate unit
 l RADIUS, LDAP, or TACACS+ server, optionally specifying particular user groups on that 
server
 l User group defined on an FSSO server.

Endpoints Endpoint host name, IP address, or MAC address. A user may be connected to multiple 
endpoints.
Click the endpoint to display the corresponding user information in the Assets pane. 

Social The user's Name, Picture, Email, Phone Number, and Social if it is available.

Source The name of device that created the log.

Last Update The date and time the log was updated.

Use the toolbar to select a Security Fabric, time period, and columns.

End user information is limited if there is no FortiClient in your installation. 
 l Endpoints are detected based on MAC address and displayed by IP address instead of 
host name.
 l User related information might not be available.
 l Detailed information such as OS version, avatar, and social ID information are not 
available.

To provide a unified experience, you can customize how identity information is displayed, including which fields are 
displayed, the order, and the priority.

To filter the entries using filters in the toolbar:

 l Specify filters in the Add Filter box.
 l Regular Search: In the selected summary view, click Add Filter and select a filter from the dropdown list, then 
type a value. Click NOT to negate the filter value. You can add multiple filters and connect them with “and” or 
“or”.
 l Advanced Search: Click the Switch to Advanced Search icon  at the end of the Add Filter box. In Advanced
Search mode, enter the search criteria (log field names and values). Click the Switch to Regular Search icon  to 
go back to regular search.

FortiAnalyzer 6.4.4 Administration Guide 37

Fortinet Technologies Inc.
Fabric View

To create a custom view:

 1. In the toolbar, click the column settings icon, and select the columns you want to display.
 2. Click Custom View. The Save as New Custom View dialog is displayed.
 3. In the Name field, enter a name for the custom view, and click OK. The view is saved under Custom View in the tree 
menu.

To configure the display settings in the Social column:

 1. Go to Log View >Tools > User Display Preferences.

 2. Select the order preference tab you want to configure. 
Tabs include Name, Picture, Email, Phone Number, and Social.
 3. Rearrange the order preference as per your needs by drag-and-dropping an entry. For names, pictures, emails, and 
phone numbers, only the top entry will appear in the identity pop-up window.
 4. User information can be disabled by moving the Show toggle to the Off position in the respective tabs.

Assets

The Fabric View > Assets  pane is the central location for security analysts to view endpoint and user information to 

make sure they are compliant. Endpoints  are important assets in a network as they are the main entry points in a 
cybersecurity breach. 
The Assets pane is useful for the following:
 l Incident response: check assets that are infected or vulnerable as part of your SOC analysis and incident 
response process.
 l Compliance: identify unknown and non-compliant users and endpoints.
To view relevant asset logs directly from the FortiView, Log View, and Incidents & Events panes, click the user or 
endpoint log, then click the Topography link in the pop-up that appears.
The Assets pane lists all endpoints and users from relevant logs and correlates them with FortiAnalyzer modules. Sort by 
the Vulnerabilities column to see which endpoints and users have the highest vulnerabilities.

Column Description

Endpoint Endpoint host name or IP address. 

Tags Tags are used to group and identify assets to assist SOC analysts with incident management 
and prioritization.
Tags are determined based on the Classification Tag assigned in FortiClient EMS. Tags are 
displayed in FortiAnalyzer Assets when a FortiSoC playbook retrieves information about that 
endpoint using the Get Endpoints task available with a FortiClient EMS connector. See 
Connectors on page 99.

User The name of the user. Click the name to view the corresponding user information  in the 
Identity Center pane.

MAC Address Endpoint MAC address.

FortiAnalyzer 6.4.4 Administration Guide 38

Fortinet Technologies Inc.
Fabric View

Column Description

IP Address IP address the endpoint is connected to. A user might be connected to multiple endpoints.

FortiClient UUID Unique ID of the FortiClient.

Hardware / OS OS name and version.

Software Click Details to view information about software installed on an endpoint when available.
Endpoint software information is retrieved when a playbook runs the Get Software Inventory 
action using the FortiClient EMS connector. See Configuring playbook automation on page 
99.

Vulnerabilities The number of vulnerabilities for critical, high, medium, and low vulnerabilities. Click the 
vulnerability to view the name and category. Right-click the vulnerability to view available on-
demand actions using a security fabric connector. 
Endpoint vulnerability information is retrieved when a playbook runs the Get Vulnerabilities 
action using the FortiClient EMS connector. See Configuring playbook automation on page 
99.

Last Update The date and time the log was updated.

Use the toolbar to select a Security Fabric, time period, and columns.

If there is no FortiClient in your installation, then endpoint and end user information is limited.
 l Endpoints are detected based on MAC address and displayed by IP address instead of 
host name.
 l User related information might not be available.
 l Detailed information such as OS version, avatar, and social ID information are not 
available.

To filter the entries using filters in the toolbar:

 l Specify filters in the Add Filter box.
 l Regular Search: In the selected summary view, click Add Filter and select a filter from the dropdown list, then 
type a value. Click NOT to negate the filter value. You can add multiple filters and connect them with “and” or 
“or”.
 l Advanced Search: Click the Switch to Advanced Search icon  at the end of the Add Filter box. In Advanced
Search mode, enter the search criteria (log field names and values). Click the Switch to Regular Search icon  to 
go back to regular search.

To create a custom view in the toolbar:

 1. In the toolbar, click the column settings icon, and select the columns you want to display.
 2. Click Custom View. The Save as New Custom View dialog is displayed.
 3. In the Name field, enter a name for the custom view, and click OK. The view is saved under Custom View in the tree 
menu.

To download the entries as a CSV file:

 l Click  Tools > Download.

FortiAnalyzer 6.4.4 Administration Guide 39

Fortinet Technologies Inc.
Fortinet Security Fabric

FortiAnalyzer can recognize a Security Fabric group of devices and display all units in the group on the Device Manager 
pane. See Adding a Security Fabric group on page 40. FortiAnalyzer supports the Security Fabric by storing and 
analyzing the logs from the units in a Security Fabric group as if the logs are from a single device. You can also view the 
logging topology of all units in the Security Fabric group for additional visibility. See Displaying Security Fabric topology 
on page 41.
FortiAnalyzer provides dynamic data and metadata exchange with the Security Fabric and uses the data in FortiView 
and Reports for additional visibility. A default report template lets you monitor new users, devices, applications, 
vulnerabilities, threats and so on from the Security Fabric.
A set of dashboard widgets lets you review audit scores for a FortiGate Security Fabric group with recommended best 
practices and historical audit scores and trends.
If FortiClient is installed on endpoints for endpoint control with FortiGate, you can use the endpoint telemetry data 
collected by the Security Fabric agent to display user profile photos in reports and FortiView.

Adding a Security Fabric group

Before you can add a Security Fabric group to FortiAnalyzer, you need to create the Security Fabric group in FortiGate. 
Fortinet recommends using a dedicated Super_User administrator account on the FortiGate for FortiAnalyzer access. 
This ensures that associated log messages are identified as originating from FortiAnalyzer activity. This dedicated 
Super_User administrator account only needs Read Only access to System Configuration; all other access can be set to 
None.

To add a Security Fabric group:

 1. Go to Device Manager > Unauthorized Devices.

 2. Select all the devices corresponding to the Security Fabric group created in FortiGate.
 3. Authenticate the Security Fabric group by clicking the Warning icon (yellow triangle) beside the corresponding 
FortiGate root.

 4. Enter the Authentication Credentials. The authentication credentials are the ones you specified in FortiGate. Once 

the FortiGate root has been authenticated, the Warning icon will disappear.
 5. After authentication, it takes a few minutes for FortiAnalyzer to automatically populate the devices under the 
FortiGate root which creates the Security Fabric group.

FortiAnalyzer 6.4.4 Administration Guide 40

Fortinet Technologies Inc.
 Fortinet Security Fabric

Displaying Security Fabric topology

For Security Fabric devices, you can display the Security Fabric topology.

To display the Security Fabric topology:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to Device Manager and click the Devices Total tab in the quick status bar.
 3. Right-click a Security Fabric device and select Fabric Topology.
A pop-up window displays the Security Fabric topology for that device.
If you selected Fabric Topology by right-clicking a device within the Security Fabric group, the device is highlighted 
in the topology. If you selected Fabric Topology by right-clicking the name of the Security Fabric group, no device is 
highlighted in the topology.

Security Fabric traffic log to UTM log correlation

FortiAnalyzer correlates traffic logs to corresponding UTM logs so that it can report sessions/bandwidth together with its 
UTM threats. Within a single FortiGate, the correlation is performed by grouping logs with the same session IDs, source 
and destination IP addresses, and source and destination ports.
In a Cooperative Security Fabric (CSF), the traffic log is generated by the ingress FortiGate, while UTM inspection (and 
subsequent logs) can occur on any of the FortiGates. This means that the traffic logs did not have UTM related log fields, 
as they would on a single FortiGate. Different CSF members also have different session IDs, and NAT can hide or 
change the original source and destination IP addresses. Consequently, without a proper UTM reference, the 
FortiAnalyzer will fail to report UTM threats associated with the traffic.
This feature adds extensions to traffic and UTM logs so that they can be correlated across different FortiGates within the 
same security fabric. It creates a UTM reference across CSF members and generates the missing UTM related log fields 
in the traffic logs as if the UTM was inspected on a single FortiGate.
NAT translation is also considered when searching sources and destinations in both traffic and UTM logs. The FortiGate 
will generate a special traffic log to indicate the NAT IP addresses to the FortiAnalyzer within the CSF.
Traffic logs to DNS and SSH UTM references are also implement - the DNS and SSH counts in Log View can now be 
clicked on to open the related DNS and SSH UTM log. IPS logs in the UTM reference are processed for both their 
sources and destinations in the same order, and in the reverse order as the traffic log. The FortiGate log version indicator 
is expanded and used to make a correct search for related IPS logs for a traffic log.

FortiAnalyzer 6.4.4 Administration Guide 41

Fortinet Technologies Inc.
Fortinet Security Fabric

This feature requires no special configuration. The FortiAnalyzer will check the traffic and UTM logs for all FortiGates 
that are in the same CSF cluster and create the UTM references between them.

To view the logs:

 1. On the FortiAnalyzer, go to Log View > Traffic.

The UTM security event list, showing all related UTM events that can happen in another CSF member, is shown.
 2. Click the count beside a UTM event to open the related UTM event log window. In this example, the traffic log is 
from the CSF child FortiGate, and the UTM log is from the CSF root FortiGate.

Like other UTM logs, newly added DNS and SSH UTM references can also be shown in the FortiAnalyzer Log View. 
Clicking the count next to the DNS or SSH event opens the respective UTM log.
 3. Go to FortiView > FortiView > Threats > Top Threats. All threats detected by any CSF member are shown.

 4. The created UTM reference is also transparent to the FortiGate when it gets its logs from the FortiAnalyzer. On the 
FortiGate, the traffic log shows UTM events and referred UTM logs from other CSF members, even though the 

FortiAnalyzer 6.4.4 Administration Guide 42

Fortinet Technologies Inc.
 Fortinet Security Fabric

FortiGate does not generate those UTM log fields in its traffic log. In this example, the CSF child FortiGate shows 
the referred UTM logs from the CSF root FortiGate.

Creating a Security Fabric ADOM

All Fortinet devices included in a Security Fabric can be placed into a Security Fabric ADOM, allowing for fast data 
processing and log correlation. Fabric ADOMs enable combined results to be presented in the Device Manager, Log
View, FortiView, Incidents & Events/FortiSoC and Reports panes.
In a Fabric ADOM:
 l Device Manager: View and add all Fortinet devices in the Security Fabric to the Fabric ADOM, including FortiGate, 
FortiSandbox, FortiMail, FortiDDoS, and FortiClient EMS. 
 l Log View: View logs from all Security Fabric devices.
 l FortiView: FortiDDoS and FortiClient EMS widgets are available.
 l Incidents & Events: Predefined event handlers for FortiGate, FortiSandbox, FortiMail, and FortiWeb ADOMs are 
available, and triggered events are displayed for all device types.
 l Reports: View predefined reports, templates, datasets, and charts for all device types. Charts from all device types 
can be inserted into a single report.

To create a Fabric ADOM:

 1. In FortiAnalyzer, go to System Settings > All ADOMs.

 2. Select Create New.
 3. Configure the settings for the new Fabric ADOM and select Fabric as the type. 
See Creating ADOMs on page 214 for more information on the individual settings.

FortiAnalyzer 6.4.4 Administration Guide 43

Fortinet Technologies Inc.
 Fortinet Security Fabric

 4. Select OK to create the ADOM.
The Fabric ADOM is listed under the Security Fabric section of All ADOMs.

Enabling SAML authentication in a Security Fabric

When FortiGate is configured as a SAML SSO IdP in a Security Fabric, FortiAnalyzer can register itself to FortiGate as 
an SAML service provider, allowing for simplified configuration of SAML authentication.
When FortiAnalyzer is configured as a Fabric SP, a default SSO administrator is automatically created for each Security 
Fabric. When a user logs in through Fabric SSO, the Fabric IdP provides the user's profile name. If FortiAnalyzer has a 
profile with a matching name, the profile is assigned to the user. Otherwise, the profile of the SSO administrator is 
assigned to the user by default. 
Before configuring FortiAnalyzer as a Fabric SP, Security Fabric Connection and FortiAnalyzer Logging must be 
configured on the root FortiGate.

When ADOMs are enabled, SSO users can only access the ADOM that includes the root 
FortiGate.

FortiAnalyzer 6.4.4 Administration Guide 44

Fortinet Technologies Inc.
Fortinet Security Fabric

To configure FortiAnalyzer as a Fabric SP:

 1. Enable SAML SSO on the root FortiGate in the Security Fabric. For more information, see the FortiGate 
documentation in the Fortinet Document Library.
 2. On FortiAnalyzer, enable the Fabric SP Single Sign-On Mode.
 a. Go to System Settings > Admin > SAML SSO.
 b. Select Fabric SP as the Single Sign-On Mode.
 c. Enter the address of the FortiAnalyzer SP.
 d. Select a Default Admin Profile. 
 e. Click Apply.

The FortiAnalyzer will automatically detect the IdP FortiGate and register itself as a SAML SP. This process may 
take up to ten minutes. Once completed, IdP information is displayed in the Fabric SP table on FortiAnalyzer, and 
SP information can be viewed  in FortiOS.
 3. Sign in using Fabric SSO.
Users are presented with the Login via Fabric Single Sign-On option on the FortiAnalyzer login page. When more 
than one Security Fabric with SAML SSO enabled is configured, you are presented with the option to select which 
Fabric login to use.

FortiAnalyzer 6.4.4 Administration Guide 45

Fortinet Technologies Inc.
Fortinet Security Fabric

Fabric devices configured to the IdP can be accessed through the Security Fabric members dropdown which 
appears in the top-right corner of the toolbar. 

FortiAnalyzer 6.4.4 Administration Guide 46

Fortinet Technologies Inc.
Log View and Log Quota Management

You can view log information by device or by log group.

When rebuilding the SQL database, Log View is not available until the rebuild is complete. 
Click the Show Progress link in the message to view the status of the SQL rebuild.

When ADOMs are enabled, each ADOM has its own information displayed in Log View.
Log View can display the real-time log or historical (Analytics) logs.
Log Browse can display logs from both the current, active log file and any compressed log files.
For more information, see Analytics and Archive logs on page 23.

Types of logs collected for each device

FortiAnalyzer can collect logs from the following device types: FortiAnalyzer, FortiAuthenticator, FortiCache, 
FortiCarrier, FortiClient, FortiDDoS, FortiDeceptor, FortiGate, FortiMail, FortiManager, FortiNAC, FortiProxy, 
FortiSandbox, FortiWeb, and Syslog servers. Following is a description of the types of logs FortiAnalyzer collects from 
each type of device:

Device Type Log Type

Fabric All

FortiAnalyzer Event, Application

FortiAuthenticator Event

FortiGate Traffic
Security: Antivirus, Intrusion Prevention, Application Control, Web Filter, File Filter, DNS, 
Data Leak Prevention, Email Filter, Web Application Firewall, Vulnerability Scan, VoIP, 
FortiClient
Event: Endpoint, HA, Compliance, System, Router, VPN, User, WAN Opt. & Cache, WiFi

File Filter logs are sent when the File Filter sensor is enabled in the 
FortiOS Web Filter profile. You can enable the File Filter sensor in 
FortiOS at Security Profiles > Web Filters.

FortiCarrier Traffic, Event, GTP

FortiCache Traffic, Event, Antivirus, Web Filter

FortiClient Traffic, Event, Vulnerability Scan

FortiAnalyzer 6.4.4 Administration Guide 47

Fortinet Technologies Inc.
Log View and Log Quota Management

Device Type Log Type

FortiDDoS Event, Intrusion Prevention

FortiDeceptor Event

FortiMail History, Event, Antivirus, Email Filter.

FortiMail logs support cross-log functionality. When viewing History, 
Event, Antivirus, or Email Filter logs from FortiMail, you can click on the 
Session ID to see correlated logs. 

When VDOMs are used to divide FortiMail into two or more virtual units, 
cross-log searches display correlated log data from FortiMail’s VDOMs, 
including those assigned to different ADOMs. VDOM results are 
included only when performing the cross-log search through FortiMail's 
History log view, but results include correlated data for all available log 
types (History, Events, Antivirus, and Email Filter). 

FortiManager Event

FortiNAC Event

FortiProxy Traffic, Event, Antivirus, Web Filter

FortiSandbox Malware, Network Alerts

FortiWeb Event, Intrusion Prevention, Traffic

You can view a subset of FortiWEB packet logs which contain additional 
HTTP request information. See Viewing message details on page 50.

Syslog Generic

The logs displayed on your FortiAnalyzer depends on the device type logging to it and the 
enabled features.  
ADOMs must be enabled to support non-FortiGate logging. In a Security Fabric ADOM, all 
device logs are displayed.

Traffic logs

Traffic logs record the traffic flowing through your FortiGate unit. Since traffic needs firewall policies to properly flow 
through FortiGate, this type of logging is also called firewall policy logging. Firewall policies control all traffic attempting to 
pass through the FortiGate unit, between FortiGate interfaces, zones, and VLAN sub-interfaces.

FortiAnalyzer 6.4.4 Administration Guide 48

Fortinet Technologies Inc.
 Log View and Log Quota Management

Security logs

Security logs (FortiGate) record all antivirus, web filtering, file filtering, application control, intrusion prevention, email 
filtering, data leak prevention, vulnerability scan, and VoIP activity on your managed devices.

DNS logs

DNS logs (FortiGate) record the DNS activity on your managed devices.

Event logs

Event logs record administration management and Fortinet device system activity, such as when a configuration 
changes, or admin login or HA events occur. Event logs are important because they record Fortinet device system 
activity which provides valuable information about how your Fortinet unit is performing. FortiGate event logs includes 
System, Router, VPN, User, and WiFi menu objects to provide you with more granularity when viewing and searching 
log data.

Application Logs

Application logs record playbook and incident activity on FortiAnalyzer. Logs are generated and stored separately for 
each ADOM. Application logs can only be viewed on the local FortiAnalyzer.

Fabric (SIEM) Logs

Fabric logs are a licensed feature that enables FortiAnalyzer's SIEM capabilities to parse, normalize, and correlate logs 
from Fortinet products as well as security event logs of Windows and Linux hosts (with Fabric Agent integration). When 
licensed, parsing is predefined by FortiAnalyzer and does not require manual configuration by administrators. 

A SIEM database  is automatically created for Fabric ADOMs once a SIEM license has been 
applied to FortiAnalyzer and Fabric devices begin logging. Past logs and imported log files are 
not included in the SIEM database.

Log messages

You can view log information by device or by log group.

Viewing the log message list of a specific log type

You can find FortiMail and FortiWeb logs in their default ADOMs.

FortiAnalyzer 6.4.4 Administration Guide 49

Fortinet Technologies Inc.
 Log View and Log Quota Management

To view the log message list:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to Log View, and select a log type from the tree menu.
The corresponding log messages list is displayed.

Viewing message details

To view message details:

 1. Double-click a message in the message list.
The details pane is displayed to the right of the message list, with the fields categorized in tree view.

You can display the log details pane below the message list by clicking the Bottom icon in the log details pane. 
When the log details pane is displayed below the message list, you can move it to the right of the log message list by 
clicking the Right icon. This is sometimes referred to as docking the pane to the bottom or right of the screen.
The log details pane provides shortcuts for adding filters and for showing or hiding a column. Right-click a log field to 
select an option.

FortiAnalyzer 6.4.4 Administration Guide 50

Fortinet Technologies Inc.
 Log View and Log Quota Management

If the log message contains UTM logs, you can click the UTM log icon in the log details pane to 
open the UTM log view window.

To view FortiWEB packet logs:

 1. In the Type column, click Attack log.
 2. Double-click a message in the list to open the log details pane.
 3. In the Data field, click the Device icon. The View Attack Content dialog displays a subset of FortiWEB's packet log  
(headers, arguments, and a truncated HTTP body). The maximum size of the packet log is 8 KB.   

The Device icon is also available in the Data column. To display the column,  click Column
Settings, and select Data from the dropdown.

Customizing displayed columns

The columns displayed in the log message list can be customized and reordered as needed.

To customize what columns to display:

 1. In the toolbar of the log message list view, click Column Settings and select a column to hide or display.

The available columns vary depending on the device and log type.
 2. To add other columns, click More Columns. In the Column Settings dialog box, select the columns to show or hide.
 3. To reset to the default columns, click Reset to Default.
 4. Click OK.

You can also add or remove a log field column in the log details pane, by right-clicking a 
log field and selecting Add [log field name] or Remove [log field name].

To change the order of the displayed columns:

Place the cursor in the column title and move a column by drag and drop.

FortiAnalyzer 6.4.4 Administration Guide 51

Fortinet Technologies Inc.
 Log View and Log Quota Management

Customizing default columns

In Log View, you can select the columns that are displayed as the default by clicking Save as Default in the Column

Settings menu when customizing columns. See Customizing displayed columns on page 51. 

Customizing the default column view can only be done on a Super_User administrator profile. 
Default column customization is applied per devtype/logtype across all ADOMs.
The GUI displays columns based on the following order of priority:
 1. Displays the user’s column customizations (if defined).
 2. Displays the default columns set by the Super_User administrator (if defined).
 3. Displays the system default columns.
Customized default column configuration is preserved during upgrades.

To reset default columns to the system default, deselect all columns from the Column Settings 
selection menu and then select Set as Default. 

Filtering messages

You can apply filters to the message list. Filters are not case-sensitive by default. If available, select Tools > Case

Sensitive Search to create case-sensitive filters.

FortiAnalyzer 6.4.4 Administration Guide 52

Fortinet Technologies Inc.
Log View and Log Quota Management

Filtering messages using filters in the toolbar

 1. Go to the view you want.   

Regular search Click Add Filter and select a filter from the dropdown list, then type a value. 

Only displayed columns are available in the dropdown list. You can use search 
operators in regular search.

Switching between regular At the right end of the Add Filter box, click the Switch to Advanced Search icon 

search and advanced search  or click the Switch to Regular Search icon  .

Advanced search In Advanced Search mode, enter the search criteria (log field names and 

values).

Search operators and syntax If available, click   at the right end of the Add Filter box to view search 

operators and syntax. See also Filter search operators and syntax on page 54.

CLI string “freestyle” search Searches the string within the indexed fields configured using the CLI 

command: config ts-index-field.
For example, if the indexed fields have been configured using these CLI 
commands:
config system sql
config ts-index-field
edit "FGT-traffic"
set value "app,dstip,proto,service,srcip,user,utmaction"
next
end
end
Then if you type “Skype” in the Add Filter box, FortiAnalyzer searches for 
“Skype” within these indexed fields: 
app,dstip,proto,service,srcip,user and utmaction.
You can combine freestyle search with other search methods, for example: 
Skype user=David.

 2. In the toolbar, make other selections such as devices, time period, which columns to display, etc.

Filtering messages using the right-click menu

In a log message list, right-click an entry and select a filter criterion. The search criterion with a   icon returns entries 
matching the filter values, while the search criterion with a   icon returns entries that do not match the filter values.
Depending on the column in which your cursor is placed when you right-click, Log View uses the column value as the 
filter criteria. This context-sensitive filter is only available for certain columns.

To see log field name of a filter/column, right-click the column of a log entry and select a 
context-sensitive filter. The Add Filter box shows log field name.
Context-sensitive filters are available for each log field in the log details pane. See Viewing 
message details on page 50.

FortiAnalyzer 6.4.4 Administration Guide 53

Fortinet Technologies Inc.
Log View and Log Quota Management

Filtering messages using smart action filters

For Log View windows that have an Action column, the Action column displays smart information according to policy (log 
field action) and utmaction (UTM profile action).
The Action column displays a green checkmark Accept icon when both policy and UTM profile allow the traffic to pass 
through, that is, both the log field action and UTM profile action specify allow to this traffic.
The Action column displays a red X Deny icon and the reason when either the log field action or UTM profile action  deny 
the traffic.
If the traffic is denied due to policy, the deny reason is based on the policy log field action.
If the traffic is denied due to UTM profile, the deny reason is based on the FortiView threattype from craction. 
craction shows which type of threat triggered the UTM action. The threattype, craction, and crscore fields are 
configured in FortiGate in Log & Report. For more information, see the FortiOS - Log Message Reference in the Fortinet
Document Library.
A filter applied to the Action column is always a smart action filter.

The smart action filter uses the FortiGate UTM profile to determine what the Action column 
displays. If the FortiGate UTM profile has set an action to allow, then the Action column will 
display that line with a green Accept icon, even if the craction field defines that traffic as a 
threat. The green Accept icon does not display any explanation.
In the scenario where the craction field defines the traffic as a threat but the FortiGate UTM 
profile has set an action to allow, that line in the Log View Action column displays a green 
Accept icon. The green Accept icon does not display any explanation.

Filter search operators and syntax

Operators or symbols Syntax

And Find log entries containing all the search terms. Connect the terms with a space 
character, or “and”. Examples:
 1. user=henry group=sales
 2. user=henry and group=sales

Or Find log entries containing any of the search terms. Separate the terms with “or” 
or a comma “,”. Examples:
 1. user=henry or srcip=10.1.0.15
 2. user=henry,linda

Not Find log entries that do NOT contain the search terms. Add “-” before the field 
name. Example:
-user=henry

>, < Find log entries greater than or less than a value, or within a range. This operator 

only applies to integer fields. Example:
policyid>1 and policyid<10

IP subnet/range search Find log entries within a certain IP subnet or range. Examples:

FortiAnalyzer 6.4.4 Administration Guide 54

Fortinet Technologies Inc.
 Log View and Log Quota Management

Operators or symbols Syntax

 1. srcip=192.168.1.0/24
 2. srcip=10.1.0.1-10.1.0.254

Wildcard search You can use wildcard searches for all field types. Examples:

 1. srcip=192.168.1.*
 2. policyid=1*
 3. user=*

Filtering FortiClient log messages in FortiGate traffic logs

For FortiClient endpoints registered to FortiGate devices, you can filter log messages in FortiGate traffic log files that are 
triggered by FortiClient.

To Filter FortiClient log messages:

 1. Go to Log View > Traffic.

 2. In the Add Filter box, type fct_devid=*. A list of FortiGate traffic logs triggered by FortiClient is displayed.
 3. In the message log list, select a FortiGate traffic log to view the details in the bottom pane.
 4. Click the FortiClient tab, and double-click a FortiClient traffic log to see details.
The FortiClient tab is available only when the FortiGate traffic logs reference FortiClient traffic logs.

Viewing historical and real-time logs

By default, Log View displays historical logs. Custom View and Chart Builder are only available in historical log view.

To view real-time logs, in the log message list view toolbar, click Tools > Real-time Log.
To switch back to historical log view, click Tools > Historical Log.

Viewing raw and formatted logs

By default, Log View displays formatted logs. The log view you select affects available view options. You cannot 
customize columns when viewing raw logs.
To view raw logs, in the log message list view toolbar, click Tools > Display Raw.
To switch back to formatted log view, click Tools > Formatted Log.
For more information about FortiGate raw logs, see the FortiGate Log Message Reference in the Fortinet Document 
Library. For more information about raw logs of other devices, see the Log Message Reference for the platform type.

Custom views

Use Custom View to save the filter setting, device selection, and the time period you have specified.

FortiAnalyzer 6.4.4 Administration Guide 55

Fortinet Technologies Inc.
 Log View and Log Quota Management

To create a new custom view:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to Log View, and select a log type.
 3. In the content pane, customize the log view as needed by adding filters, specifying devices, and/or specifying a time 
period.
 4. In the toolbar, click Custom View.

 5. In the Name field, type a name for the new custom view.
 6. Click OK. The custom view is now displayed under Log View > Custom View.

To edit a custom view:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to the Log View > Custom View.
 3. In the toolbar, edit the filter settings, and click GO.
 4. In the toolbar, click Custom View.
 5. Click Save to save the changes to the existing custom view or click Save as to save the changes to a new custom 
view.
 6. Click OK.

To view the traffic log of a custom view:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to the Log View > Custom View.
 3. Right-click the name of a custom view and select View Traffic.

Downloading log messages

You can download historical log messages to the management computer as a text or CSV file. You cannot download 
real-time log messages.

To download log messages:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to Log View, and select a log type.
 3. In the toolbar, click Tools > Download.
 4. In the Download Logs dialog box, configure download options:   
 l In the Log file format dropdown list, select Text or CSV.
 l To compress the downloaded file, select Compress with gzip.

FortiAnalyzer 6.4.4 Administration Guide 56

Fortinet Technologies Inc.
 Log View and Log Quota Management

 l To download only the current log message page, select Current Page. To download all the pages in the log 
message list, select All Pages.
 5. Click Download.

Creating charts with Chart Builder

You can also create charts in Reports > Report Definitions > Chart Library. See Chart library 

on page 157

Log View includes a Chart Builder for you to build custom charts for each type of log messages.

To create charts with Chart Builder:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to Log View, and select a log type.
 3. In the toolbar, click Tools > Chart Builder.
 4. In the Chart Builder dialog box, configure the chart and click Save.   

Name Type a name for the chart.

Columns Select which columns of data to include in the chart based on the log 
messages that are displayed on the Log View page.

Group By Select how to group data in the chart.

Order By Select how to order data in the chart.

Sort Select a sort order for data in the chart.

Show Limit Show Limit

Device Displays the device(s) selected on the Log View page.

Time Frame Displays the time frame selected on the Log View page.

Query Displays the query being built.

Preview Displays a preview of the chart.

Once a chart has been created, it can be inserted into a new report. See Reports Layout tab on page 147.

User and endpoint ID log fields

Log information about user and endpoint IDs is available in Log View and can be viewed by configuring these fields as 
displayed columns. See Customizing displayed columns on page 51.
UEBA User ID and UEBA Endpoint ID fields with values below 1024 are special cases which are tracked by 
FortiAnalyzer's UEBA. See the table below for information on what each value represents.

FortiAnalyzer 6.4.4 Administration Guide 57

Fortinet Technologies Inc.
Log View and Log Quota Management

Value Name Description

1 EPEU_NOT_IMPL_DEVTYPE EP and EU not implemented for this devtype.

2 EPEU_NOT_IMPL_LOGTYPE EP and EU not implemented for this logtype.

3 EPEU_NO_ENOUGH_INFO Not enough information to identify an EP or EU.

4 EPEU_CANNOT_GET_UID Cannot get a UID range (max limit reached).

5 EPEU_INTERNAL_ERROR Internal error (e.g. cannot allocate memory).

6 EPEU_HA_BACKUP_ASK_FAIL  Ask primary failed and could not recover.

7 EPEU_HA_REBUILD_THROTTLE  Prevent too many EP and EU requests during 
database rebuilding.

8 EPEU_CLIENT_ASK_FAIL  Ask server failed and could not recover.

10 EPEU_NOT_SUPPORT_LOGVER Log version is not supported.

100 EPEU_ID_LOCAL_HOST Local host event, such as a local host event in 

FortiGate.

101 EPEU_ID_UNTRACK_IP IP is public and related interface role is not LAN.

102 EPEU_ID_UNTRACK_LOGID Log ID is not identified.

103 EPEU_ID_UNTRACK_TOOMANYIP Too many IPs on one MAC.

104 EPEU_ID_UNTRACK_VPN_IP Do not track VPN IP.

When a device has FortiClient installed and FortiAnalyzer is able to retrieve endpoint 
information, all interfaces of this device will belong to a single endpoint with the FCT-UID as 
the key. For devices without FortiClient that have multiple NICs, each interface appears as a 
separate endpoint. 

The User ID and UEBA User ID fields are interchangeable and contain the same information. 

The Endpoint ID and UEBA Endpoint ID fields are interchangeable and contain the same 
information. 

Log groups

You can group devices into log groups. You can view FortiView summaries, display logs, generate reports, or create 
handlers for a log group. Log groups are virtual so they do not have SQL databases or occupy additional disk space.

A maximum of 100 devices can be included in a log group.

When you add a device with VDOMs to a log group, all VDOMs are automatically added.

FortiAnalyzer 6.4.4 Administration Guide 58

Fortinet Technologies Inc.
 Log View and Log Quota Management

To create a new log group:

 1. Go to Log View > Log Group.

 2. In the content pane toolbar, click Create New.
 3. In the Create New Log Group dialog box, type a log group name and add devices to the log group.
 4. Click OK.

Log browse

When a log file reaches its maximum size or a scheduled time, FortiAnalyzer rolls the active log file by renaming the file. 
The file name is in the form of xlog.N.log, where x is a letter indicating the log type, and N is a unique number 
corresponding to the time the first log entry was received. For information about setting the maximum file size and log 
rolling options, see Device logs on page 250.
Log Browse displays log files stored for both devices and the FortiAnalyzer itself, and you can log in the compressed 
phase of the log workflow.

In Collector mode, if you want to view the latest log messages, select the latest log file to 
display its log messages.

To view log files:

 1. Go to Log View > Log Browse

 2. Select a log file, and click Display to open the log file and display the log messages in formatted view.
You can perform all the same actions as with the log message list. See Viewing message details on page 50.

Importing a log file

Imported log files can be useful when restoring data or loading log data for temporary use. For example, if you have older 
log files from a device, you can import these logs to the FortiAnalyzer unit so that you can generate reports containing 
older data.
Log files can also be imported into a different FortiAnalyzer unit. Before importing the log file you must add all devices 
included in the log file to the importing FortiAnalyzer.

FortiAnalyzer 6.4.4 Administration Guide 59

Fortinet Technologies Inc.
 Log View and Log Quota Management

To insert imported logs into the SQL database, the config system sql start-time and rebuild-event-

start-time must be older than the date of the logs that are imported and the storage policy for analytic data (the Keep
Logs for Analytics field) must also extend back far enough.

To set the SQL start time and rebuild event start time using CLI commands:

config system sql

set start-time <start-time-and-date>
set rebuild-event-start-time <start-time-and-date>
end

Where <start-time-and-date> is in the format hh:mm yyyy/mm/dd.

To import a log file:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to Log View > Log Browse and click Import in the toolbar.
 3. In the Device dropdown list, select the device the imported log file belongs to or select [Take From Imported File] to 
read the device ID from the log file.
If you select [Take From Imported File], the log file must contain a device_id field in its log messages.
 4. Drag and drop the log file onto the dialog box, or click Add Files and locate the file to be imported on your local 
computer.
 5. Click OK. A message appears, stating that the upload is beginning, but will be canceled if you leave the page.
 6. Click OK. The upload time varies depending on the size of the file and the speed of the connection.
After the log file is successfully uploaded, FortiAnalyzer inspects the file:
 l If the device_id field in the uploaded log file does not match the device, the import fails. Click Return to try 
again.
 l If you selected [Take From Imported File] and the FortiAnalyzer unit’s device list does not currently contain that 
device, an error is displayed stating Invalid Device ID.
 

Downloading a log file

You can download a log file to save it as a backup or to use outside the FortiAnalyzer unit. The download consists of 
either the entire log file, or a partial log file, as selected by your current log view filter settings and, if downloading a raw 
file, the time span specified.

To download a log file:

 1. Go to Log View > Log Browse and select the log file that you want to download.

 2. In the toolbar, click Download.
 3. In the Download Log File(s) dialog box, configure download options:   
 l In the Log file format dropdown list, select Native, Text, or CSV.
 l If you want to compress the downloaded file, select Compress with gzip.
 4. Click Download.

FortiAnalyzer 6.4.4 Administration Guide 60

Fortinet Technologies Inc.
 Log View and Log Quota Management

Deleting log files

To delete log files:

 1. Go to Log View > Log Browse.

 2. Select one or more files and click Delete.
 3. Click OK to confirm.

Log and file storage

Logs and files are stored on the FortiAnalyzer hard disks. Logs are also temporarily stored in the SQL database. 
When a SIEM license is added, a SIEM database is created to store normalized Fabric logs.
When ADOMs are enabled, settings can be specified for each ADOM that apply only to the devices in it. When ADOMs 
are disabled, the settings apply to all managed devices.
Data policy and disk utilization settings for devices are collectively called log storage settings. Global log and file storage 
settings apply to all logs and files, regardless of log storage settings (see File Management on page 254). Both the global 
and log storage settings are always active.

The log rate and log volume per ADOM can be viewed through the CLI using the following 
commands:
diagnose fortilogd lograte-adom <name>
diagnose fortilogd logvol-adom <name>

Disk space allocation

On the FortiAnalyzer, the system reserves 5% to 20% of the disk space for system usage and unexpected quota 
overflow. The remaining 80% to 95% of the disk space is available for allocation to devices.
Reports are stored in the reserved space.

Total Available Disk Size Reserved Disk Quota

Small Disk (up to 500GB) The system reserves either 20% or 50GB of disk space, whichever is smaller.

Medium Disk (up to 1TB) The system reserves either 15% or 100GB of disk space, whichever is smaller.

Large Disk (up to 3TB) The system reserves either 10% or 200GB of disk space, whichever is smaller.

Very Large Disk (5TB and The system reserves either 5% or 300GB of disk space, whichever is smaller.

higher)

The RAID level you select determines the disk size and the reserved disk quota level. For 
example, a FortiAnalyzer 1000C with four 1TB disks configured in RAID 10 is considered a 
large disk, so 10%, or 100GB, of disk space is reserved.

FortiAnalyzer 6.4.4 Administration Guide 61

Fortinet Technologies Inc.
 Log View and Log Quota Management

Log and file workflow

When devices send logs to a FortiAnalyzer unit, the logs enter the following workflow automatically:
 1. Compressed logs are received and saved in a log file on the FortiAnalyzer disks.
When a log file reaches a specified size, FortiAnalyzer rolls it over and archives it, and creates a new log file to 
receive incoming logs. You can specify the size at which the log file rolls over. See Device logs on page 250.
 2. Logs are indexed in the database to support analysis.
You can specify how long to keep logs indexed using a data policy. See Log storage information on page 64.
 3. Logs are purged from the database, but remain compressed in a log file on the FortiAnalyzer disks.
 4. Logs are deleted from the FortiAnalyzer disks.
You can specify how long to keep logs using a data policy. See Log storage information on page 64.

In the indexed phase, logs are indexed in the database for a specified length of time so they can be used for analysis. 
Indexed, or Analytics, logs are considered online, and details about them can be used viewed in the FortiView, Log View, 
and Incidents & Events/FortiSoC panes. You can also generate reports about the logs in the Reports pane.
In the compressed phase, logs are compressed and archived in FortiAnalyzer disks for a specified length of time for the 
purpose of retention. Compressed, or Archived, logs are considered offline, and their details cannot be immediately 
viewed or used to generate reports.

FortiAnalyzer 6.4.4 Administration Guide 62

Fortinet Technologies Inc.
 Log View and Log Quota Management

The following table summarizes the differences between indexed and compressed log phases:

Log Phase Location Immediate Analytic Support

Indexed Compressed in log file and  Yes. Logs are available for analytic use in FortiView, 

indexed in database Incidents & Events/FortiSoC, and Reports.

Compressed Compressed in log file No.

Automatic deletion

Logs and files are automatically deleted from the FortiAnalyzer unit according to the following settings:
 l Global automatic file deletion
File management settings specify when to delete the oldest Archive logs, quarantined files, reports, and archived 
files from  disks, regardless of the log storage settings. For more information, see File Management on page 254.
 l Data policy
Data policies specify how long to store Analytics and Archive logs for each device. When the specified length of time 
expires, Archive logs for the device are automatically deleted from the FortiAnalyzer device's disks.
 l Disk utilization
Disk utilization settings delete the oldest Archive logs for each device when the allotted disk space is filled. The 
allotted disk space is defined by the log storage settings. Alerts  warn you when the disk space usage reaches a 
configured percentage.

When log trimming is performed by disk quota enforcement, tables from both the SQL and 
SIEM databases are considered together, and the oldest table, identified by the timestamp 
of logs inside, is trimmed. The process repeats until the quota is within the defined 
threshold. The SIEM database is always partitioned by day, whereas the size of the SQL 
database partition can be configured in FortiAnalyzer settings. For information on SIEM 
logs, see Types of logs collected for each device on page 47.

All deletion policies are active on the FortiAnalyzer unit at all times, and you should carefully configure each policy. For 
example, if the disk fullness policy for a device hits its threshold before the global automatic file deletion policy for the 
FortiAnalyzer unit, Archive logs for the affected device are automatically deleted. Conversely, if the global automatic file 
deletion policy hits its threshold first, the oldest Archive logs on the FortiAnalyzer unit are automatically deleted 
regardless of the log storage settings associated with the device.
The following table summarizes the automatic deletion polices:

Policy Scope Trigger

Global automatic file  All logs, files, and  When the specified length of time expires, old files are automatically 

deletion reports on the  deleted. This policy applies to all files in the system regardless of the 
system data policy settings associated with devices.

Data policy Logs for the device  When the specified length of retention time expires, old Archive logs 

with which the data  for the device are deleted. This policy affects only Archive logs for the 
policy is associated device with which the data policy is associated.

FortiAnalyzer 6.4.4 Administration Guide 63

Fortinet Technologies Inc.
 Log View and Log Quota Management

Policy Scope Trigger

Disk utilization Logs for the device  When the specified threshold is reached for the allotted amount of 

with which the log  disk space for the device, the oldest Archive logs are deleted for the 
storage settings are  device. This policy affects only Archive logs for the device with which 
associated the log storage settings are associated.

Logs for deleted devices

When you delete one or more devices from FortiAnalyzer, the raw log files and archive packets are deleted, and the 
action is recorded in the local event log. However, the logs that have been inserted into the SQL database are not 
deleted from the SQL database. As a result, logs for the deleted devices might display in the Log View and FortiView
> FortiView panes, and any reports based on the logs might include results.
The following are ways you can remove logs from the SQL database for deleted devices.
 l Rebuild the SQL database for the ADOM to which deleted devices belonged or rebuild the entire SQL database.
 l Configure the log storage policy. When the deleted device logs are older than the Keep Logs for Analytics setting, 
they are deleted. Also, when analytic logs exceed their disk quota, the SQL database is trimmed starting with the 
oldest database tables. For more information, see Configuring log storage policy on page 66.
 l Configure global automatic file deletion settings in System Settings > Advanced > File Management. When the 
deleted device logs are older than the configured setting, they are deleted. For more information, see File 
Management on page 254.

File Management configures global settings that override other log storage settings and 
apply to all ADOMs.

Log storage information

To view log storage information and to configure log storage policies, go to System Settings > Storage Info.

If ADOMs are enabled, you can view and configure the data policies and disk usage for each ADOM.
The log storage policy affects only the logs and databases of the devices associated with the log storage policy. Reports 
are not affected. See Disk space allocation on page 61.

FortiAnalyzer 6.4.4 Administration Guide 64

Fortinet Technologies Inc.
 Log View and Log Quota Management

The following information and options are available:

Edit Edit the selected ADOM's log storage policy.

Refresh Refresh the page.

Search Enter a search term to search the list.

Name The name of the ADOM.
ADOMs are listed in two groups: FortiGates and Other Device Types.

Analytics The age, in days, of the oldest Analytics logs (Actual Days), and the number of days 
(Actual/Config Days) Analytics logs will be kept according to the data policy (Config Days).

Archive The age, in days, of the oldest Archive logs (Actual Days) and the number of days 
(Actual/Config Days) Archive logs will be kept according to the data policy (Config Days).

Max Storage The maximum disk space allotted to the ADOM (for both Analytics and Archive logs). 

See Disk space allocation on page 61 for more information.

Analytics Usage How much disk space Analytics logs have used, and the maximum disk space allotted 

(Used/Max) for them.

Archive Usage How much disk space Archive logs have used and the maximum disk space allotted for 

(Used/Max) them.

Storage information

To view log storage policy and statistics, go to System Settings > Storage Info.

The top part of Storage Info shows visualizations of disk space usage for Analytic and Archive logs where the policy 
diagrams show an overview and the graphs show disk space usage details. The bottom part shows the log storage 
policy.

The policy diagram shows the percentage of the disk space quota that is used. Hover your cursor over the diagram to 
view the used, free, and total allotted disk space. The configured length of time that logs are stored is also shown.

FortiAnalyzer 6.4.4 Administration Guide 65

Fortinet Technologies Inc.
 Log View and Log Quota Management

The graphs show the amount disk space used over time. Click Max Line to show a line on the graph for the total space 
allotted. Hover over a spot in the graph to view the used and available disk space at that specific date and time. Click the 
graph to view a breakdown of the disk space usage by device.

When the used quota approaches 100 percent, a warning message displays when accessing the Storage Statistics 
pane.

Click Configure Now to open the Edit Log Storage Policy dialog box where you can adjust log storage policies to prevent 

running out of allocated space (see Configuring log storage policy on page 66), or click Remind Me Later to resolve the 
issue another time.

Configuring log storage policy

The log storage policy affects the logs and databases of the devices associated with the log storage policy.

If you change log storage settings, the new date ranges affect Analytics and Archive logs 
currently in the FortiAnalyzer device. Depending on the date change, Analytics logs might be 
purged from the database, Archive logs might be added back to the database, and Archive 
logs outside the date range might be deleted.

To configure log storage settings:

 1. Go to System Settings > Storage Info.

 2. Double-click on an ADOM, right-click on an ADOM and then select Edit from the menu, or select the ADOM then 
click Edit in the toolbar. Scroll to the log storage policy sections at the bottom of the Edit Log Storage Policy pane.    

 3. Configure the following settings, then click OK.   

Data Policy  

FortiAnalyzer 6.4.4 Administration Guide 66

Fortinet Technologies Inc.
Log View and Log Quota Management

Keep Logs for Specify how long to keep Analytics logs.

Analytics

Keep Logs for Specify how long to keep Archive logs.

Archive Make sure your setting meets your organization’s regulatory requirements.

Disk Utilization  

Maximum Allowed Specify the amount of disk space allotted. See also Disk space allocation on 

page 61.

Analytics : Archive Specify the disk space ratio between Analytics and Archive logs. Analytics 

logs require more space than Archive logs. Click the Modify checkbox to 
change the setting.

Alert and Delete Specify the percentage of allotted disk space usage that will trigger an  alert 

When Usage messages and start automatically deleting logs. The oldest Archive log files or 
Reaches Analytics database tables are deleted first.

FortiAnalyzer 6.4.4 Administration Guide 67

Fortinet Technologies Inc.
Incident and Event Management

Use Incidents & Events to generate, monitor, and manage alerts and events from logs. The live monitoring of security 

events is a powerful and enabling feature for security operations. Incidents can be created from events to track and 
respond to suspicious or malicious activities. 
Incidents & Events displays all events generated by event handlers.

By default, incidents and events can be managed through the FortiSOC module, which is 
available as a trial or when licensed. See FortiSoC on page 96.

Event handlers

Event handlers determine what events are to be generated from logs. Enable an event handler to start generating 
events. To see which event handlers are enabled or disabled, see Enabling event handlers.
When ADOMs are enabled, each ADOM has its own event handlers and lists of events. Ensure you are in the correct 
ADOM when working in Incidents & Events.
You can use predefined event handlers to generate events. There are predefined event handlers for FortiGate, 
FortiSandbox, FortiMail, and FortiWeb devices. In a Security Fabric ADOM, all predefined event handlers are displayed.
You can create custom event handlers. An easy way to create a custom event handler is to clone a predefined event 
handler and customize its settings. See Cloning event handlers.
Configure event handlers to generate events for all devices, a specific device, or for the local FortiAnalyzer unit. You can 
create event handlers for FortiGate, FortiCarrier, FortiCache, FortiMail, FortiManager, FortiWeb, FortiSandbox devices, 
and syslog servers. Event handlers can also be configured for SIEM logs by selecting the SIEM log device type when 
configuring an event handler.
To see event handlers, go to Incidents & Events/FortiSoC > Event Monitor > Event Handler List.
Event handlers generate events only from Analytics logs and not Archive logs. For more information, see Analytics and 
Archive logs.
In an Analyzer–Collector collaboration scenario, the Analyzer evaluates event handlers. For more information, see 
Analyzer–Collector collaboration.
You can also import and export event handlers, allowing you to develop custom event handlers and deploy them in bulk 
to other ADOMS or FortiAnalyzer units. For more information, see Importing and exporting event handlers.

Predefined event handlers

FortiAnalyzer includes many predefined event handlers that you can use to generate events. You can easily create a 
custom event handler by cloning a predefined event handler and customizing its settings. See Cloning event handlers on 
page 77.

FortiAnalyzer 6.4.4 Administration Guide 68

Fortinet Technologies Inc.
Incident and Event Management

In 6.2.0 and up, predefined event handlers have been consolidated and have multiple filters 
that can be enabled or disabled individually.

The following are a small sample of FortiAnalyzer predefined event handlers. To see all predefined event handlers, go to 
Incidents & Events/FortiSoC > Event Monitor > Event Handler List and select Show Predefined.

Event Handler Description

Default-Compromised Host- Disabled by default

Detection-by IOC-By-Threat Filter 1:   
 l Event Severity: Critical
 l Log Type: Traffic Log
 l Group by: dstip
 l Log messages that match all of the following conditions:   
 l tdtype~infected
 l Tags: By_Endpoint, IP, C&C
Filter 2:   
 l Event Severity: Critical
 l Log Type: Web Filter
 l Group by: Hostname URL
 l Log messages that match all of the following conditions:   
 l tdtype~infected
 l Tags: By_Endpoint, C&C, URL
Filter 3:   
 l Event Severity: Critical
 l Log Type: DNS Log
 l Group by: QNAME
 l Log messages that match all of the following conditions:   
 l tdtype~infected
 l Tags: By_Endpoint, C&C, Domain

Default-Data-Leak-Detection- Disabled by deafult
By-Threat Filter 1:   
 l Event Severity: Medium
 l Log Type: DLP
 l Group by: Filter Category, Source Endpoint
 l Tags: Signature, Leak
Filter 2:   
 l Event Severity: Low
 l Log Type: DLP
 l Group by: Filter Category
 l Event Status: Mitigated
 l Tags: Signature, Leak

FortiAnalyzer 6.4.4 Administration Guide 69

Fortinet Technologies Inc.
Incident and Event Management

Event Handler Description

Default-Sandbox-Detections- Disabled by default
By-Endpoint Filter 1:   
 l Event Severity: Critical
 l Log Type: AntiVirus
 l Group by: Source Endpoint, Virus Name
 l Log messages that match all of the following conditions:   
 l logid==0211009235 or logid==0211009237
 l Tags: By_Endpoint, Sandbox, Signature, Malware
Filter 2:   
 l Event Severity: Critical
 l Log Type: AntiVirus
 l Group by: Source Endpoint, Virus Name
 l Log messages that match all of the following conditions:   
 l logid==0211009234 or logid==0211009236
 l Tags: By_Endpoint, Sandbox, Signature, Malware
Filter 3:   
 l Event Severity: Critical
 l Log Type: AntiVirus
 l Group by: Source Endpoint
 l Log messages that match all of the following conditions:   
 l logid==0201009238 and fsaverdict==malicious
 l Tags: By_Endpoint, Sandbox, Malware

Local Device Event Available only in the Root ADOM.

Enabled by default
 l Devices: Local Device
 l Event Severity: Medium
 l Log Type: Event Log
 l Event Type: Any
 l Group By: Device ID
 l Log messages that match the following conditions:   
 l Level Equal To Emergency
 l Tags: System, Local

Below are examples of raw logs that would trigger the associated default event handler.

Default Event Handler Example Log

Local Device Event id=6872390755323740160 itime=2020-09-14 10:06:03 euid=1 epid=1

dsteuid=1 dstepid=1 log_id=0034043006 subtype=logdb type=event
level=warning time=10:06:03 date=2020-09-14 user=system
action=delete msg=Requested to trim database tables older than
60 days to enforce the retention policy of Adom root.
userfrom=system desc=Trim local db devid=FAZ-VMTM20001572

FortiAnalyzer 6.4.4 Administration Guide 70

Fortinet Technologies Inc.
Incident and Event Management

Default Event Handler Example Log

devname=FAZ-VMTM20001572 dtime=2020-09-14 10:06:03 itime_
t=1600103163

Default-Compromised Host- date=2020-09-20 time=07:41:20 id=6874471739997290516

Detection-by IOC-By-Threat itime=2020-09-20 00:41:20 euid=3 epid=1161 dsteuid=3
dstepid=101 type=utm subtype=ips level=warning
sessionid=917509475 policyid=2 srcip=172.16.93.164
dstip=5.79.68.109 srcport=51392 dstport=80 proto=6
logid=0421016399 service=HTTP eventtime=1537181449 crscore=30
crlevel=high srcintfrole=lan dstintfrole=wan
direction=outgoing url=/ hostname=survey-smiles.com
profile=default eventtype=malicious-url srcintf=95-FortiCloud
dstintf=OSPF msg=URL blocked by malicious-url-list
devid=FG100D3G02000011 vd=root dtime=2020-09-20 07:41:20
itime_t=1600587680 devname=FG100D3G02000011

Default-Risky-App-Detection- date=2020-09-20 time=07:41:23 id=6874471752882192399

By-Threat itime=2020-09-20 00:41:23 euid=3 epid=1201 dsteuid=3
dstepid=101 type=utm subtype=app-ctrl level=information
action=pass sessionid=3003333495 policyid=79
srcip=172.16.80.218 dstip=122.195.166.40 srcport=38625
dstport=26881 proto=6 logid=1059028704 service=tcp/26881
eventtime=1537399002 incidentserialno=603516169 crscore=5
crlevel=low direction=outgoing apprisk=high appid=6
srcintfrole=lan dstintfrole=wan applist=scan appcat=P2P
app=BitTorrent eventtype=app-ctrl-all srcintf=80-software-r
dstintf=port7 msg=P2P: BitTorrent_HTTP.Track,
devid=FG100D3G02000011 vd=root dtime=2020-09-20 07:41:23
itime_t=1600587683 devname=FG100D3G02000011

FortiOS system events

FortiOS predefined system event handlers are consolidated into a single event handler with multiple filters called Default
FOS System Events. 
Events are organized by device in the Incidents & Events dashboards, which can be expanded to view all related events.
Default FOS System Event filters apply tags to each event, allowing you to identify which Deafult FOS System Event 
filter triggered the event.

If you are upgrading from a version before FortiAnalyzer 6.2.0, the existing legacy predefined 
handlers which are enabled or have been modified will be available as custom handlers. In the 
Event Handler List, select the More dropdown and choose Show Custom.

FortiAnalyzer 6.4.4 Administration Guide 71

Fortinet Technologies Inc.
 Incident and Event Management

FortiGate event handlers

All FortiGates added to FortiAnalyzer use a default event handler on the FortiAnalyzer side to receive high severity 
events such as Botnet Communication, IPS Attack Pass Through, and Virus Pass Through AntiVirus.
Events triggered from FortiGate Event Handler are not shown in the FortiAnalyzer GUI. The events are pushed to the 
FortiGate for further processing.
Custom FortiGate event handlers can also be created. See Creating a custom event handler on page 72.

Creating a custom event handler

You can create a custom event handler from scratch or clone a predefined event handler and customize its settings. See 
Cloning event handlers on page 77.
Configuring an event handler includes defining the following main sections:

Option Description

Event handler attributes Event handler attributes such as name, description, and devices.

Filters Filters are rules for event generation.
 l Select the log filters to limit the logs that trigger an event.
 l Group the logs by primary and secondary (optional) values to separate the 
events that are generated for different Group By values.
 l Set the number of occurrences within a time frame that triggers an event.
 l Configure event fields such as event status and severity.

Additional Info Specify what to show in the Additional Info column. You can use the system 

default information or configure a custom information message.

Notifications Configure notifications to be sent on event generation.
You can send alert notifications to a fabric connector, email address, SNMP 
community, or syslog server.

FortiAnalyzer 6.4.4 Administration Guide 72

Fortinet Technologies Inc.
Incident and Event Management

To create a new event handler:

 1. Go to Incidents & Events/FortiSoC > Event Monitor > Event Handler List.
 2. In the toolbar, click Create New.
 3. Configure the settings as required and click OK.

Field Description

Status Enable or disable the event handler.

Enabled event handlers have a Status of ON and show the   icon in the 
Event Handler List. Disabled event handlers have a a Status of OFF and show 
the   icon in the Event Handler List.

Name Add a name for the handler.

Description Type a description of the event handler.

FortiAnalyzer 6.4.4 Administration Guide 73

Fortinet Technologies Inc.
Incident and Event Management

Field Description

Devices Select the devices to include.   
 l All Devices.
 l Specify: To add devices, click the Add icon.
 l Local Device: Select if the event handler is for local FortiAnalyzer event 
logs. This option is only available in the root ADOM and is used to query 
FortiAnalyzer event logs.   
For Local Device, the Log Type must be Event Log and Log Subtype must 
be Any.

Subnets Select All Subnets to include all subnets, or select Specify to choose which 

subnet(s) or subnet group(s) will be included or excluded from triggering 
events.

Filters Configure one or more filters for the handler. You can add multiple filters each 
with its own set of filter settings. You can enable or disable specific filters in an 
event handler.

Log Device Type If you are in a Security Fabric ADOM, select the log device type from the 

dropdown list. If you are not in a Security Fabric ADOM, you cannot change 
the Log Device Type.
The SIEM log device type can be used to generate alerts from SIEM logs 
when SIEM logs are available. 

Log Type Select the log type from the dropdown list.

When Devices is set to Local Device, you cannot change the Log Type or Log
Subtype.

Log Subtype Select the category of event that this handler monitors. The available options 

depends on the platform type.
This option is only available when Log Type is set to Event Log or Traffic Log.

Group By Select how to group the events. Some Group By selections allow a secondary 

Group By option. If available, click Add beside the Group By field to add a 
secondary Group By option.

Logs match Select All or Any of the following conditions.

Log Field Select a log field to filter from the dropdown list. The available options depends 

on the selected log type.

Match Criteria Select a match criteria from the dropdown list. The available options depends 

on the selected log field.

Value Either select a value from the dropdown list or enter a value in the text box. 
The available options depends on the selected log field.

Add Add Log Field to the filter.

Remove Delete the filter.

Generic Text Filter Enter a generic text filter.

FortiAnalyzer 6.4.4 Administration Guide 74

Fortinet Technologies Inc.
Incident and Event Management

Field Description

For information on text format, hover the cursor over the help icon. The 
operator ~ means contains and !~ means does not contain.
For more information on creating a generic text filter, see Using the Generic 
Text Filter in an event handler on page 76.

Generate alert Enter threshold values to generate alerts. Enter the number of matching Exact 

when at least n or Distinct events that must occur in the number of minutes to generate an 
Exact/Distinct alert. 
matches occurred When Distinct is selected, you can further specify the alert criteria by indicating 
over a period of n the field that must be distinct (for example, Source IPor Application).
minutes

Event Message If you wish, enter a custom event message. The default message is the Group

By value. You can use variables in the event message.

Event Status Select Allow FortiAnalyzer to choose or select a status from the dropdown list: 

Unhandled, Mitigated, Contained, or Blank.

Event Severity Select the severity from the dropdown list: Critical, High, Medium, or Low.

Tags If you wish, enter custom tags. Tags can be used as a filter when using default 
or custom views.

Additional Info Specify what to show in the Additional Info column. You can use the system 

default information or configure a custom information message.

Use system Select to use the system default message in the Additional Info column.

default

Use custom Type a custom message for the Additional Info column. A custom message 

message can include variables and log field names. For more information, click the 
question mark icon.

Notifications Configure alerts for the handler.

Send Alert Send an alert through one or more fabric connectors. Click the + button to add 

through Fabric fabric connectors. For more information, see Fabric Connectors on page 33.
Connectors

Send Alert Email Send an alert by email. Specify email parameters including the mail server. 

For more information, see Mail Server on page 246.

Send SNMP(...) Select one or both checkboxes and specify an SNMP community or user from 

Trap the dropdown list. Click the add icon to create a new SNMP community or 
user. For more information, see SNMP on page 237.

Send Alert to Send an alert to the syslog server. Select a syslog server from the dropdown 

Syslog Server list. Click the add icon to create a new syslog server. For more information, 
see Syslog Server on page 247.

Send Each Alert Select to send each alert individually instead of in a group.

Separately

FortiAnalyzer 6.4.4 Administration Guide 75

Fortinet Technologies Inc.
 Incident and Event Management

Using the Generic Text Filter in an event handler

The Generic Text Filter uses the glibc regex library for values with operators (~,!~), using the POSIX standard. Filter 

string syntax is parsed by FortiAnalyzer, and both upper and lower case characters are supported (for example "and" is 
the same as "AND"). You must use an escape character when needed. For example, cfgpath=firewall.policy is 
the wrong syntax because it's missing an escape character. The correct syntax is cfgpath=firewall\.policy.

To create an event handler using the Generic Text Filter to match raw log data:

 1. Go to Log View, and select a log type.

 2. In the toolbar, click Tools > Display Raw.
The easiest method is to copy the text string you want from the raw log and paste it into the Generic Text Filter field. 
Ensure you insert an escape character when necessary, for example, cfgpath=firewall\.policy.
 3. Locate and copy the text in the raw log.
 4. Go to Incidents & Events/FortiSoC > Event Monitor > Event Handler List and click Create New.
 5. In the Generic Text Filter box, paste the text you copied or type the text you want. Ensure you use the raw log field 
names, for example, mem (not memory) and setuprate (not setup-rate).
For information on text format and operators, hover the cursor over the help icon. The operator ~ means contains 
and !~ means does not contain.
 6. If you want to be notified of events, configure the Notifications section.
 7. Configure other settings as required and click OK. For a description of the fields, see Creating a custom event 
handler on page 72.

Managing event handlers

To manage event handlers, go to Incidents & Events/FortiSoC > Event Monitor > Event Handler List.
FortiAnalyzer includes predefined event handlers that you can use to generate events.

This page lists both predefined and custom event handlers with a   icon for enabled event handlers and a   icon for 

disabled event handlers.
The following options are available:

Option Description

Create New Create a new event handler.

Edit Edit the selected event handler.
Some fields in predefined event handlers cannot be modified, such as the name, 
description and filter settings.  However, you can clone a predefined event handler 
and customize its settings. See Cloning event handlers on page 77.

Delete Delete the selected event handler. You cannot delete predefined event handlers.

Clone Clone the selected event handler. You can clone a predefined event handler and 
modify it to create a customized event handler.

Enable / Disable Enable or disable the selected event handler to start or stop generating events on 

the Incidents & Events/FortiSoC > Event Monitor > All Events page.

FortiAnalyzer 6.4.4 Administration Guide 76

Fortinet Technologies Inc.
 Incident and Event Management

Option Description

Collapse All / Expand All Collapse or expand the Filters column.

Show Predefined Show or hide predefined handlers in the list.

Show Custom Show or hide custom handlers in the list.

Import / Export Export the selected event handlers or import an event handler you have exported.

You can export one or more predefined or custom event handlers and import 
them into another ADOM or FortiAnalyzer.

Factory Reset If you have modified a predefined event handler, return the selected predefined 

event handler to its factory default settings.

Enabling event handlers

For both predefined and custom event handlers, you must enable the event handler to generate events. The Event
Handler List page displays a   icon besides enabled event handlers and a   icon besides disabled event handlers.

If you want to receive alerts for predefined events handlers, edit the predefined event handler to configure notifications.

To enable event handlers:

 1. Go to Incidents & Events/FortiSoC > Event Monitor > Event Handler List.
 2. Select one or more event handlers and click More > Enable or right-click an event handler and select Enable.

Cloning event handlers

Most predefined event handler attributes cannot be modified, such as the name, description and filter settings. You can 
clone a predefined event handler and customize its settings, and give it a meaningful name that shows its function.

To clone a predefined event handler:

 1. Select a predefined event handler and in the toolbar, click Clone or right-click a predefined event handler and select 
Clone.
 2. Configure the settings as required and click OK. For a description of the fields, see Creating a custom event handler 
on page 72.
 3. Click OK to clone the predefined event handler.

Resetting event handlers to factory defaults

You can change predefined event handlers as needed. If required, you can restore predefined event handlers to factory 
default settings. The Factory Reset option is only available for predefined event handlers that have been changed.

To reset predefined event handlers:

 1. Go to Incidents & Events/FortiSoC > Event Monitor > Event Handler List.
 2. In the More menu, ensure Show Predefined is selected.

FortiAnalyzer 6.4.4 Administration Guide 77

Fortinet Technologies Inc.
 Incident and Event Management

 3. Right-click an event handler and select Factory Reset or select one or more predefined event handlers and click 

More > Factory Reset.

Importing and exporting event handlers

You can import and export event handlers. This feature allows you to develop custom event handlers and deploy them in 
bulk to other ADOMs or FortiAnalyzer units. Simply export the custom event handlers, then import them into the ADOMs 
or units where you want them deployed. You can also export event handlers as part of your backup procedure.

To export event handlers:

 1. Go to Incidents & Events  and select Event Monitor > Event Handler List.

 2. Select the event handler or handlers that you are exporting, then right click on one and click Export.

 3. Save the exported JSON file to your management computer.

FortiAnalyzer 6.4.4 Administration Guide 78

Fortinet Technologies Inc.
Incident and Event Management

To import event handlers:

 1. Go to Incidents & Events and select Event Monitor > Event Handler List.

 2. Right click in the event handler list and click Import.
The Import Event Handler dialog box opens.

 3. Drag the event handler JSON file onto the import dialog box, or click Browse to locate the file on the management 
computer.

FortiAnalyzer 6.4.4 Administration Guide 79

Fortinet Technologies Inc.
Incident and Event Management

 4. Click OK to import the event handler or handlers.

If the imported event handler's name already exists, the Unix epoch timestamp will be 
automatically appended to the imported handler's name, for example: App Ctrl
Event‘1544644459276775. The name can be edited as required after importing.

If the imported file is the wrong format or has an error, the system will report an error.

Events

After event handlers start generating events, view events and event details in Incidents & Events/FortiSoC > Event

Monitor. 

When rebuilding the SQL database, you might not see a complete list of historical events. 
However, you can always see events in real-time logs. You can view the status of the SQL 
rebuild by checking the Rebuilding DB status in the Notification Center.

FortiAnalyzer 6.4.4 Administration Guide 80

Fortinet Technologies Inc.
 Incident and Event Management

All Events

To view all the events, go to Incidents & Events/FortiSoC > Event Monitor > All Events.

Double-click an event line to drill down for more details.
Hover your mouse over an entry to view the asset and identity information for that event.

Devices To view events for specific devices, click the devices dropdown and select a 
device.

Time Period To change the time period to display, click the time icon and specify a time period. 

Select Custom to specify a time period not in the dropdown list.

Collapse All/Expand All To view event summaries or details, click Collapse All or Expand All.

Show Acknowledged To include acknowledged events, click Show Acknowledged. See Acknowledging 

events on page 84.

Refresh To manually refresh the events data, click Refresh.
You can specify a refresh interval of Every 10 Seconds, Every 30 Seconds, Every
1 Minute, or Every 5 Minutes. 

Export to CSV Download the events to a CSV file.

Custom View Save the current view including filter settings, device selection, and time period.

Column Settings Select which columns are displayed in the All Events pane. Columns not 

displayed by default include Acknowledged, Comment, Device ID, Device Name, 
Device Type, Event ID, Handler Description, Last Occurrence, Tags, and 
VDOM Name.

FortiAnalyzer 6.4.4 Administration Guide 81

Fortinet Technologies Inc.
 Incident and Event Management

Default event views

FortiAnalyzer event handlers apply one or more tags to events, allowing the events to be grouped into views in the Event
Monitor. These views are visible in the left navigation tree.
Default views are organized into three view categories, including:
 l By Endpoint: Provides security event views from an endpoint perspective.
 l By Threat: Provides security event views from a threat perspective.
 l System Events: Provides event views which cover device system events.
In order for events to be displayed in default views, the corresponding event handler(s) must be enabled. Refer to the 
chart below for a list of the predefined event handlers that must be enabled to support each default view:

View category Default view Required predefined event handler

By Endpoint All Security Events Displays all events within category with enabled handlers

Compromised Hosts Default-Botnet-Communication-Detection-By-Endpoint
Default-Compromised Host-Detection-IOC-By-Endpoint

High Risk App Usage Default-Risky-App-Detection-By-Endpoint

Malicious Domain/URL Access Default-Risky-Destination-Detection-By-Endpoint

Malware Activity Default-Sandbox-Detections-By-Endpoint
Default-Malicious-File-Detection-By-Endpoint

Ongoing Intrusions Default-Malicious-Code-Detection-By-Endpoint

Sandbox Detections Default-Sandbox-Detections-By-Endpoint

By Threat All Security Events Displays all events within category with enabled handlers

 
C&C Call Backs Default-Botnet-Communication-Detection-By-Threat
 
  Default-Compromised Host-Detection-IOC-By-Threat
  High Risk App Usage Default-Risky-App-Detection-By-Threat
 
Malicious Domain/URL Access Default-Risky-Destination-Detection-By-Threat
 
Malware Activity Default-Sandbox-Detections-By-Threat
Default-Malicious-File-Detection-By-Threat

Ongoing Intrusions Default-Malicious-Code-Detection-By-Threat

Sandbox Detections Default-Sandbox-Detections-By-Threat

System Events All Displays all events within category with enabled handlers

  FortiGate Default FOS System Events
 
Local Device Local Device Event

You can see the tags associated with each view by hovering your mouse over the view in Incidents & Events; a pop-up is 

displayed.

FortiAnalyzer 6.4.4 Administration Guide 82

Fortinet Technologies Inc.
 Incident and Event Management

Default views can be hidden or disabled. For more information, see Managing default views.
Admins can copy existing views to create custom views. For more information, see Creating custom views.

Filtering events

You can filter events using the Add Filter box in the toolbar or by right-clicking an entry and selecting a context-sensitive 
filter.
Filter FortiView summaries using the Add Filter box in the toolbar or by right-clicking an entry and selecting a context-
sensitive filter. You can also filter by specific devices or log groups and by time.

To filter events using filters in the toolbar:

 l Specify filters in the Add Filter box.   
 l Regular Search: In the selected summary view, click Add Filter and select a filter from the dropdown list, then 
type a value. Click NOT to negate the filter value. You can add multiple filters and connect them with “and” or 
“or”.
 l Advanced Search: Click the Switch to Advanced Search icon   at the end of the Add Filter box. In Advanced
Search mode, enter the search criteria (log field names and values). Click the Switch to Regular Search icon   
to go back to regular search.

To filter events using the right-click menu:

In the event list, right-click an entry and select a filter criterion (Search <filter value>).

Depending on the column in which your mouse is placed when you right-click, FortiView uses the column value as the 
filter criteria. This context-sensitive filter is only available for certain columns.

To launch Search in Logview from an event:

In the event list, right-click an entry and select Search in Logview.
Log View will launch with the filter automatically filled in with the following information:
 l Log type of the event
 l Time range (the first to the last occurrence of the event)
 l Event trigger and group by value

FortiAnalyzer 6.4.4 Administration Guide 83

Fortinet Technologies Inc.
 Incident and Event Management

Viewing event details

In an event list, to view event details, double-click  an event line to drill down for more details.
The event details page contains information about the event and a list of all individual logs. You can work on events 
using buttons in the toolbar or by right-clicking an event.
 l To change what columns to display, click Column Settings or Column Settings > More Columns.
 l In event details, to view raw logs, click Tools > Display Raw.
 l To switch back to formatted log view, click Tools > Formatted Log.
 l To return to the previous page, click the back button.

Acknowledging events

Acknowledging an event removes it from the event list. Click Show Acknowledged to view acknowledged events.

To acknowledge events:

 l In the event list, select one or more events, then right-click and select Acknowledge.

Managing default views

Default views in the By Endpoint, By Threat, and System Events view categories can be hidden, disabled, or copied as a 
custom view, allowing you to display only the views that are useful to the user.

To hide default views:

 1. Go to Incidents & Events > Event Monitor.

 2. Select an event category. 

FortiAnalyzer 6.4.4 Administration Guide 84

Fortinet Technologies Inc.
Incident and Event Management

 3. Right-click on an event view and select Hide.

To disable/enable default views:

 1. Go to Incidents & Events.

 2. Select the gear icon on the bottom of the navigation tree to access the Default Views setting.
 3. Choose which views are displayed. Add a checkmark to enable the view; remove the check mark to disable the 
view.

FortiAnalyzer 6.4.4 Administration Guide 85

Fortinet Technologies Inc.
 Incident and Event Management

 4. Select Save.

Creating custom views

To create a custom view:

 1. Go to Incidents & Events.

 2. Select an existing view to copy.
 3. Select Add Filters to add any additional filters you want to include in the custom view. 
 4. Select the custom view icon on the top-right side of the toolbar.
 5. Enter a name for the custom view and assign it to one of the following categories:
 l By Endpoint
 l By Threat
 l System Events

FortiAnalyzer 6.4.4 Administration Guide 86

Fortinet Technologies Inc.
 Incident and Event Management

 l Custom View

 6. Select OK to save the view.
Once the custom view is created, you can modify it further by removing or adding filters. Modifications can be saved 
by selecting the custom view icon and choosing Save or Save As to save the changes as a new view.

When upgrading from versions prior to 6.2.0, existing custom views will be placed in the 
Custom Views category.

Understanding event statuses

In the Event Monitor dashboards, you can view the status of an event in the Event Status column.  Event statuses include 

Unhandled, Mitigated, Contained, and (blank).
Event statuses are applied by the associated event handler. When creating a custom event handler, you can manually 
select an event status or choose to allow FortiAnalyzer to decide.
In general, when Allow FortiAnalyzer to choose is selected, the event status for UTM events is applied based on the 
following:

Event status Description

Unhandled The security event risk is not mitigated or contained, so it is considered open. 
Example: an IPS/AV log with action=pass will have the event status Unhandled.
Botnet and IoC events are also considered Unhandled.

Contained The risk source is isolated.
Example: an AV log with action=quarantine will have the event status Contained.

Mitigated The security risk is mitigated by being blocked or dropped.
Example: an IPS/AV log with action=block/drop will have the event status 
Mitigated.

FortiAnalyzer 6.4.4 Administration Guide 87

Fortinet Technologies Inc.
Incident and Event Management

Event status Description

(Blank) Other scenarios. 

Subnet lists

In Incidents & Events, you can define subnet lists which can be added to subnet groups. 

Subnet lists and groups can be used to create a whitelist or blacklist in event handlers.
 l Creating a subnet list on page 89
 l Creating a subnet group  on page 90
 l Assigning subnet filters to event handlers on page 90

Subnet filtering for event handlers is supported in FortiGate, FortiWeb, FortiMail, and Fabric 
ADOMs.

A maximum of 10,000 subnet objects can be created.

FortiAnalyzer 6.4.4 Administration Guide 88

Fortinet Technologies Inc.
 Incident and Event Management

Creating a subnet list

To create a new subnet:

 1. Go to Incidents & Events > Subnet Lists.

 2. Select Create New > Subnet.
 3. Enter a name for the subnet.

 4. Select a Subnet type and configure the corresponding information.

Subnet types include:
 l Subnet Notation
 l IP Range
 l Batch Add
 5. Select OK.
Once a subnet has been created, it can be edited, cloned, or deleted by highlighting it and selecting the 
corresponding action in Subnet List toolbar.

FortiAnalyzer 6.4.4 Administration Guide 89

Fortinet Technologies Inc.
 Incident and Event Management

Creating a subnet group

To create a subnet group:

 1. Go to Incidents & Events > Subnet List.

 2. Select Create New > Subnet Group.

 3. Enter a name for the subnet group.
 4. Select the subnet entries to be included in the group and select OK in the pop-up window.
 5. Select OK.
Once a subnet group has been created, it can be edited, cloned, or deleted by highlighting it and selecting the 
corresponding action in Subnet List toolbar.
 

Assigning subnet filters to event handlers

You can streamline SOC processes by defining a subnet whitelist/blacklist for event handlers. These addresses can be 
linked to any event handler to enable or prevent it from triggering an event. Creating a subnet whitelist/blacklist for event 
handlers eliminates the need to specify common networks in every event handler.

To include or exclude subnets in an event handler:

 1. Go to Incidents & Events > Event Handler List.

 2. Select an event handler to edit from the list.
 3. In the Subnet category, select Specify.

FortiAnalyzer 6.4.4 Administration Guide 90

Fortinet Technologies Inc.
Incident and Event Management

 4. Choose which subnets to include or exclude by selecting them from the corresponding dropdown menu.

 5. Select OK.

If a conflict arises between the exclude and include lists, the exclude list will take priority.

Subnet filters work when either SRCIP or DSTIP hit the subnet, meaning SRCIPs and DSTIPs 
share the same subnet filters.

Incidents

Incidents can be created to track and analyze events.
Incidents raised from Event Monitor contain event details, as well as information and actions helpful for administrator 
analysis. From the incident's analysis page, administrators can assign incidents, view audit history, and manage 
attached reports, events, and comments.
For more information on incidents, see the following topics:
 l Raising an incident on page 92
 l Analyzing an incident on page 92

FortiAnalyzer 6.4.4 Administration Guide 91

Fortinet Technologies Inc.
 Incident and Event Management

 l Configuring incident settings on page 94
 l Adding reports to an incident on page 94
Incidents can be viewed at Incidents & Events/FortiSoC > Incidents.
To configure incident settings, go to Incidents & Events/FortiSoC > Incidents, and click Settings.

Raising an incident

You can raise an incident only from alerts generated for one endpoint.
Incidents can be raised in the following ways:
 l In Incidents & Events/FortiSoC > Incidents > All Incidents, click Create New in the toolbar. This opens the Create
New Incident pane.
 l In Incidents & Events/FortiSoC > All Events, right-click an event and select Raise Incident. This opens the Raise
Incident pane with the applicable fields filled in, such as the Affected Endpoint.
The following is a description of the options available in the Create New Incident and Raise Incident pane.

Incident Reporter The admin account raising the incident. This field cannot be changed.

Incident Category Select a category from the dropdown list.

Severity Select a severity level from the dropdown list.

Status Select a status from the dropdown list.

Affected Endpoint In the Raise Incident pane, the affected endpoint is filled in and cannot be 

changed.
In the Create New Incident pane, select the affected endpoint from the dropdown 
list.

Description If you wish, enter a description.

Analyzing an incident

In Incidents & Events/FortiSoC > Incidents, double-click an incident or right-click an incident and select Analysis.

The analysis page shows the incident's affected endpoint and user, audit history, attached events, reports, comments, 
and more.
In the incident information panel, you can change information collected about the incident.
In order to assist SOC analysts during their investigation, comments and reports can be attached to incidents. 
In the Events panel, you can review and delete events attached to the incident. See Raising an incident on page 92.
The Analysis page includes the following information and features:

Panel Description

Incident information General information about the incident. 

Click Edit to modify the following information:
 l Incident Number: The unique incident ID.

FortiAnalyzer 6.4.4 Administration Guide 92

Fortinet Technologies Inc.
Incident and Event Management

Panel Description

 l Incident Date/Time: The date and time that the incident was created.
 l Incident Category: The incident category, including Unauthorized Access, 
Denial of Service (DoS), Malicious Code, Improper Usage, 
Scans/Probes/Attempted Access, and Uncategorized.
 l Severity: The severity of the incident, including High, Medium, and Low.
 l Status: The current status of the incident, including New, Analysis, 
Response, Closed: Remediated, and Closed: False Positive.
 l Affected Endpoint: The endpoint associated with this incident.
 l Description: A description of the incident provided by the administrator.
 l Assigned To: A dropdown menu of administrators to which the incident can 
be assigned.
Click Refresh to manually update the displayed information.

Affected Endpoint/User Information about the affected endpoint/user. When multiple endpoints/users are 

associated with the incident, the total number is displayed and you can click the 
forward or backwards arrow on the tile to cycle between them.

Executed Playbooks The history of executed playbooks related to the incident. 

Click Execute Playbook to run a playbook configured with the On_Demand 
trigger. See FortiSoC on page 96.

Audit History Displays the history of changes made to an incident, including the user who made 

the change and information about the type of change that was made.
Click Expand All to see additional details.

Incident Timeline The timeline of the events raised for the incident.

Scroll using your mouse wheel to change the displayed time frame.

Comments Displays comments made by administrators for this incident with a timestamp. 
The most recent comments appear at the top of the list.
Enter a comment and click POST to create a new comment.
Existing comments can be edited and deleted by administrators.

Events Displays the events that have been raised for this incident.

Reports Attach and manage reports related to this incident. 
See Adding reports to an incident on page 94.

Indicators Displays FortiGuard indicators attached to an incident.
Hover your mouse over an indicator to view detailed information from FortiGuard.
Indicator information can be attached to incidents using the FortiGuard connector 
in FortiSoC playbooks.

Affected Assets Displays affected asset(s) in a table. Includes the host, user, IP address, and 

MAC address of the asset.
Selecting a user shows endpoint information in a window.

Processes Displays endpoint processes associated with this incident including the process 
ID, process path, and network connection. 

FortiAnalyzer 6.4.4 Administration Guide 93

Fortinet Technologies Inc.
 Incident and Event Management

Panel Description

Select a time period to view by choosing a snapshot from the snapshot dropdown. 
Processes can be displayed in a table format or as raw data. 

Software Displays endpoint software associated with this incident including the software, 
installation path, and installation time. 
Select a time period to view by choosing a snapshot from the snapshot dropdown. 
Software can be displayed in a table format or as raw data. 

Vulnerabilities Displays endpoint vulnerabilities associated with this incident including the 
vulnerability name, ID, severity, and category. 
Select a time period to view by choosing a snapshot from the snapshot dropdown. 
Vulnerabilities can be displayed in a table format or as raw data. 

Some features of incident analysis are only available with the applicable license.

Configuring incident settings

To configure incident settings, go to Incidents & Events/FortiSoC > Incidents > Incident Settings.

When an incident is created, updated, or deleted, you can send a notification to external platforms using selected fabric 
connectors.

To configure incident notification settings:

 1. Go to Incidents & Events/FortiSoC > Incidents > Incident Settings.

 2. Select a Fabric Connector from the dropdown list.
 3. Select which notifications you want to receive:
l Send notification when new incident is created. Incidents with draft status will not trigger notification.

l Send notification when new incident is updated.

l Send notification when new incident is deleted.

 4. To add more fabric connectors, click Add Fabric Connector and repeat the above steps to configure notification 

settings.

Adding reports to an incident

Reports can be attached to incidents to include historical data relevant to that incident. 
Reports can be added to incidents through the following methods:
 1. Reports can be manually added by an admin from the Reports module or from the incident's Analysis page.
 2. Reports can be automatically added to an incident by a FortiSoC playbook. See FortiSoC on page 96.
Once a report has been attached to an incident, it can be viewed, managed, and downloaded from the Reports tab on 
the incident's Analysis page. Multiple reports can be attached to a single incident. 

FortiAnalyzer 6.4.4 Administration Guide 94

Fortinet Technologies Inc.
Incident and Event Management

To attach reports from an incident:

 1. Go to Events & Incidents/FortiSoC > Incidents, and select an incident.

 2. Click on the Reports tab in the incident analysis page, and click Add.
 3. Select one or more previously generated reports, and click OK.

To attach reports from the Reports module:

 1. Go to Reports > Generated Reports.

 2. Right-click on a report, and select Attach to Incident.
 3. Select an incident from the list, and click Add to this incident.

FortiAnalyzer 6.4.4 Administration Guide 95

Fortinet Technologies Inc.
FortiSoC

FortiSoC

FortiSoC is a subscription service that enables security orchestration, automation, and response (SOAR), and security 
information and event management (SIEM) capabilities on FortiAnalyzer.
FortiAnalyzer's SIEM capabilities parse, normalize, and correlate logs from Fortinet products and the security event log 
of Windows and Linux hosts (with Fabric Agent integration). Parsing is predefined by FortiAnalyzer and does not require 
manual configuration by administrators. SIEM logs are displayed as Fabric logs in Log View and can be used when 
generating reports. See Types of logs collected for each device on page 47.
FortiSoC provides incident management capabilities with playbook automation to accelerate incident response. When 
FortiAnalyzer has a valid subscription license, the FortiSoC module is activated and administrators are able access 
SOAR features. Task automation can be configured by SOC analysts using playbooks which consist of a trigger and 
sequence of automated actions. Playbooks can be created from scratch or by using one of the predefined templates. 
Fabric connectors further enhance FortiSoC functionality by allowing playbooks to perform tasks using connected 
devices, including FortiOS and FortiClient EMS. 

FortiSoC includes a trial with a limited capacity allowing up to five playbooks per day. 
A SOC subscription is required to run at full capacity. For additional information about 
licensing, please see support.fortinet.com.

This section includes information on the following topics:
 l Viewing FortiSoC dashboards on page 96
 l Configuring playbook automation on page 99
 l Connectors on page 99
 l Playbooks on page 102
 l Triggers and tasks on page 105
 l Playbook templates on page 106
 l Playbook Monitor on page 107
 l Configuring tasks using variables on page 108

For information about FortiSoC incidents and events, see Incident and Event Management on 
page 68.

Viewing FortiSoC dashboards

FortiSoC includes multiple dashboards for viewing information about playbooks, incidents, and events. 

FortiAnalyzer 6.4.4 Administration Guide 96

Fortinet Technologies Inc.
 FortiSoC

Playbooks

The Playbooks dashboard includes:

Total Playbooks Executed The total number of playbooks executed.

Total Playbook Actions The total number of playbook actions (tasks) executed.

Executed

Playbooks Executed The number of times each playbook has been run.

Overall Time Saved The estimated time saved by administrators resulting from FortiSoC automation.

Total Executed Playbooks and A timeline of the number of playbooks and actions run for each day. Both actions 

Actions and playbooks can be toggled on or off in the graph by clicking the corresponding 
name below the graph. 

FortiAnalyzer 6.4.4 Administration Guide 97

Fortinet Technologies Inc.
 FortiSoC

Incidents

The Incidents dashboard includes:

Total Incidents Displays the total number of incidents created by their status.

Unsolved Incidents Displays the total number of unsolved (not closed) incidents by severity.

Incidents Timeline Total incidents breakdown by category trend by day.

Events

FortiAnalyzer 6.4.4 Administration Guide 98

Fortinet Technologies Inc.
 FortiSoC

The Events dashboard includes:

Total Events The total number of events with the Generated/Mitigated/Unhandled status 

Generated/Mitigated/Unhandled created by FortiAnalyzer.

Events by Severity The total number of events by severity.

Top Events by Type Total events breakdown by type.

Top Events by Handler Total events breakdown by event handler.

Configuring playbook automation

FortiSoC enables the ability to automate SOC tasks through the use of playbooks. 
This section includes information on the following topics:
 l Connectors on page 99
 l Playbooks on page 102
 l Triggers and tasks on page 105
 l Playbook templates on page 106
 l Playbook Monitor on page 107
 l Configuring tasks using variables on page 108

Connectors

Connectors displays the automated actions that can be performed in playbooks using configured FortiSoC connectors. 
Local (FortiAnalyzer), FortiOS, FortiMail, FortiGuard, and FortiClient EMS connectors are supported. To view FortiSoC 
connectors, go to FortiSoC > Automation > Connectors. 
The status of FortiSoC connectors are indicated with a colored icon:
 l Green: The API connection successful.
 l Black: The API connection is unknown.
 l Red: The API connection is down.
You can see when the status was last updated by hovering your mouse over the status icon. Click the refresh icon to get 
an updated status.

FortiAnalyzer 6.4.4 Administration Guide 99

Fortinet Technologies Inc.
FortiSoC

The following information is displayed for configured connectors:

Connector type Field Description

Local, FortiMail, Name The name of the action.

FortiGuard and
Description A description of the action.
EMS connectors
Parameter The parameters that can be specified when configuring the action. 
Required parameters are listed with an asterisk. 

Output The output available with the action.
Not applicable to FortiGuard connectors.

FOS connectors Automation The name of the automation rule created on FortiOS.

Rule

Automation The action(s) that occur when the task is triggered.
Action

Parameter The parameters that can be specified when configuring the action. 
Required parameters are listed with an asterisk. 

Configuring FortiSoC connectors

Local Connector

The local connector is the default connector for FortiAnalyzer and is available automatically.  The local connector 
displays a set of predefined FortiAnalyzer actions to be used within playbooks. 
Local connectors include the following actions:

Update Asset and Identity Update FortiAnalyzer's Asset and Identity.

Get Events Get events.

FortiAnalyzer 6.4.4 Administration Guide 100

Fortinet Technologies Inc.
FortiSoC

Get Endpoint Vulnerabilities Get endpoint vulnerabilities.

Create Incident Create a new incident.

Update Incident Update an existing incident.

Attach Data to Incident Attach the specified data to an existing incident.

Run Report Run the specified FortiAnalyzer report.

EMS Connector

FortiClient EMS connectors are configured as Security Fabric connectors in Fabric View > Fabric Connectors. See 

Creating or editing Security Fabric connectors on page 36. Individual FortiClient EMS connector actions can be toggled 
on and off while editing the connector in Fabric View. 
FortiClient EMS connectors include the following actions:

Get Endpoints Retrieve list of endpoints and all of the related information to enrich FortiAnalyzer 

asset and identity views.

Quarantine Quarantines an endpoint.

Unquarantine Unquarantines an endpoint.

Vulnerability Scan Run a vulnerability scan on endpoints.

AV Quick Scan Run a quick antivirus scan on endpoints.

AV Full Scan Run a full antivirus scan on endpoints.

Get Software Inventory Retrieve list of software and apps installed on an endpoint to enrich FortiAnalyzer 

asset view.

Get Process List Retrieve list of running process on endpoints OS.

Get Vulnerabilities Retrieve list of endpoint vulnerabilities on endpoints OS.

FortiMail Connector

FortiMail connectors are configured as Security Fabric connectors in Fabric View > Fabric Connectors. See Creating or 

editing Security Fabric connectors on page 36.
Individual FortiMail connector actions can be toggled on and off while editing the connector in Fabric View. 
FortiMail connectors include the following actions:

Get Email Statistics Query a given email address.

Get Sender Reputation Query a given sender's reputation information.

Add Sender to Blocklist Update system and domain level blocklist.

FortiAnalyzer 6.4.4 Administration Guide 101

Fortinet Technologies Inc.
 FortiSoC

FortiGuard Connector

The FortiGuard connector is automatically configured in FortiSoC when a valid license has been applied to 
FortiAnalyzer.
FortiGuard connectors include the following actions:

Lookup Indicator Lookup indicators in FortiGuard to get threat intelligence.

FortiOS Connector

The FortiOS connector is added after the first FortiGate has been authorized on an ADOM. Additional devices 
authorized to the ADOM are displayed as separate entries within the same connector. FortiOS connectors are available 
in FortiGate and Fabric ADOMs. 

Enabling FortiOS actions

The actions available with FortiOS connectors are determined by automation rules configured on each FortiGate. 
Automation rules using the Incoming Webhook trigger must be created in FortiOS before they are shown as actions in 
FortiSoC. FortiOS automation rules are configured on FortiOS in Security Fabric > Automation. For information on 
creating FortiOS automation rules, see the FortiOS administration guide.
Rules for FortiOS actions:
 l Automation rules must use the Incoming Webhook trigger.
 l Automation rules are configured on FortiGate devices individually. 
 l When multiple FortiOS connectors are configured, FortiAnalyzer decides which device to call based on the devid 
(serial number) identified in the task. FortiGate serial numbers can be manually entered or supplied by a preceding 
task.
 l Automation rules must have unique names to be displayed in the task's Action dropdown menu. Rules sharing the 
same name will appear only once, as they are considered to be the same automation rule configured on multiple 
FortiGate devices.
 l FortiOS automation rules are only displayed in FortiSoC when they are enabled in FortiOS. 

Playbooks

To manage playbooks, go to FortiSoC > Automation > Playbooks. The following options are available:

Create New Create a new playbook. Playbooks can be created from scratch or by using 

playbook templates.

Run Run selected playbooks that are configured with the ON_DEMAND trigger.

Edit Edit the selected playbook.

Delete Delete the selected playbook.

Column Settings Choose which columns are displayed in the playbook table.

Search Perform a text search for the playbook name, description, created time, and 
modified time.

FortiAnalyzer 6.4.4 Administration Guide 102

Fortinet Technologies Inc.
FortiSoC

To manage playbooks, administrators must be assigned to an administrator profile with Read-
Write permissions for Incidents & Events. See Administrator profiles on page 262.

Creating a playbook

Playbooks include a starter event (trigger) and one or more tasks configured with automated actions. 
A task is run as soon as the playbook is triggered and all connected tasks preceding it are complete. 

To create a playbook:

 1. Go to FortiSoC > Automation > Playbooks, and click Create New.

Select a playbook template or choose New Playbook created from scratch. 
The playbook editor opens. 

When a playbook template is selected, the playbook designer is automatically populated 
with a trigger and one or more tasks. You can configure trigger filter conditions and add or 
remove tasks to customize the playbook. See Playbook templates on page 106.

 2. Click within the playbook's title field to change its name and description.
 3. Select a playbook trigger from the Triggers menu and configure the trigger's filter conditions.

Once the trigger is created, it is displayed in the playbook editor with highlighted connector points. 
For more information on the available playbook triggers, see Triggers and tasks on page 105.
 4. Add playbook tasks.
Drag-and-drop any connector point to add a new task. A new placeholder step is added to the playbook editor, and 

FortiAnalyzer 6.4.4 Administration Guide 103

Fortinet Technologies Inc.
FortiSoC

the Tasks window is displayed showing available FortiSoC connectors. See Connectors on page 99.

 5. Select a connector type and configure an automated action:

Name Enter a name for the task.

Description Enter a description of the task.

Connector Select a connector to use from the dropdown menu. See Connectors on page 
99.

Action Select the automated action to be performed. 

Parameters Configure the parameters for the selected action.

 6. Connect playbook tasks.
Additional connector points can be added to connect this task to other tasks in the playbook. A task automatically 

FortiAnalyzer 6.4.4 Administration Guide 104

Fortinet Technologies Inc.
 FortiSoC

begins once all preceding tasks connected to it have been completed. A playbook ends when there are no 
additional tasks to run.

 7. (Optional) Manage your playbook by clicking on one of the options displayed when hovering your mouse over the 
trigger or task:
 l Edit: Edit the trigger or task.
 l Delete: Delete the task.
 8. Click Save Playbook.

Enabling and disabling playbooks

Once created, playbooks can be enabled or disabled through the playbook editor. Enabled playbooks will run as soon as 
their trigger conditions are met. Playbooks configured with the On_Demand trigger start when manually initiated by the 
administrator in FortiSoC > Automation > Playbook Monitor or an Incident Analysis page.

To enable or disable a playbook:

 1. Go to FortiSoC > Automation > Playbooks.

 2. Edit a previously configured playbook.
 3. In the playbook designer, select the option to Enable or Disable the playbook located in the top-right corner.
 4. Click Save Playbook.

Triggers and tasks

Triggers

Triggers determine when a playbook is to be executed. Triggers are always the first step in a playbook, and each 
playbook can only include one trigger. Once a playbook has been triggered, it flows through the remaining tasks as 
defined by the routes in the playbook using the trigger as a starting point.
The following playbook triggers are available:

FortiAnalyzer 6.4.4 Administration Guide 105

Fortinet Technologies Inc.
 FortiSoC

Trigger Description

EVENT_TRIGGER The playbook is run when an event is created that matches the configured filters.
When no filters are set, all events will trigger the playbook.

INCIDENT_TRIGGER The playbook is run when an incident is created that matches the configured 
filters.
When no filters are set, all incidents will trigger the playbook.

ON_SCHEDULE The playbook is run during the configured schedule. 
You can define the start time, end time, interval type, and interval frequency for 
the schedule.

ON_DEMAND The playbook is run when manually started by an administrator. 
You can run playbooks configured with the ON_DEMAND trigger from 
FortiSoC > Automation > Playbook or within an incident's Analysis page.

Tasks

Tasks include automated actions that take place on FortiAnalyzer or devices with configured FortiSoC connectors. See 
Connectors on page 99.
Tasks can be linked together in sequences. A task's automated action will only begin once the playbook is triggered and 
all preceding connected tasks are complete.
Tasks can be configured with default input values or take inputs from the trigger or preceding tasks. 

FortiOS actions are configured using automation rules created on FortiGate. For more 
information on enabling FortiOS actions in tasks, see Connectors on page 99.

Playbook templates

When a playbook template is selected, the playbook designer is automatically populated with a trigger and one or more 
tasks. You can configure, add, or remove tasks to customize the playbook.
When creating a new playbook, the following predefined templates are available:

Connector Name Description

FAZ Localhost Compromised Host Playbook to create an incident on FortiAnalyzer compromised hosts 

Incident detected by the IoC feature.

Critical Intrusion Playbook to create an incident on FortiAnalyzer for critical 

Incident intrusions detected by IPS.

Attach Endpoint Playbook to collect the list of endpoint vulnerabilities from logs and 

Vulnerability List to attach it to an incident.
Incident

FortiAnalyzer 6.4.4 Administration Guide 106

Fortinet Technologies Inc.
 FortiSoC

Connector Name Description

FortiOS Quarantine Endpoint by Playbook to quarantine an endpoint by FOS connector providing 

FortiOS the MAC address or FortiClient UID.

FortiClient EMS Update Asset and Playbook to automatically update FortiAnalyzer Asset and Identity 

Identity Database database with endpoint and user information from EMS.

Run AV Scan on Playbook to run AV scan on an endpoint by EMS Connector.

Endpoint

Run Vulnerability Scan Playbook to run a vulnerability scan on an endpoint.

on Endpoint

Quarantine Endpoint by Playbook to quarantine an endpoint by EMS connector.

EMS

Unquarantine Endpoint Playbook to unquarantine an endpoint by EMS connector.

by EMS

Enrich Incident with Playbook to get running processes on endpoint by EMS connector 

Process List and attach to an incident.

Enrich Incident with Playbook to collect the list of endpoint vulnerabilities from logs and 

Vulnerability List attach to an incident.

Enrich Incident with Playbook to get software inventory from endpoint by EMS 

Software Inventory connector and attach to an incident.

Playbook Monitor

You can view the status of playbook jobs in FortiSoC > Automation > Playbook Monitor. 

The Playbook Monitor table includes:

Field Description

Job ID The unique ID of the playbook job. 
The ID includes the date and time that the job began as well as a unique number.

Playbook The name of the playbook as configured in FortiSoC > Automation > Playbook.

User Displays the name of the administrator who started the playbook job when 
configured with theOn Demand trigger.

Start Time The date and time that the job began.

End Time The date and time that the job ended.

Status The current status of the job. Statuses include:
 l Running: The job is currently running.
 l Success: The job has finished with all tasks completed successfully.
 l Failed: The job has finished with one or more tasks failing to complete 
successfully.

Details Clicking on the Detail icon shows the status of each task run by the playbook. 

FortiAnalyzer 6.4.4 Administration Guide 107

Fortinet Technologies Inc.
 FortiSoC

Task statuses include:

Task status Description

Scheduled Scheduled to run.

Success Completed successfully. 

Failed Failed to complete.

Upstream_failed Failed because the task could not connect with an upstream device.

Playbook jobs that include one or more failed tasks are labeled as Failed in Playbook Monitor, however, individual 
actions may have been completed successfully.

Configuring tasks using variables

Variables can be used when configuring playbook tasks. There are two types of playbook variables, including output 
variables and trigger variables. 

Output variables

Output variables allow you to use the output from a proceeding task as an input to the current task. For example, the 
report generated in one task can be attached to an incident in a second task. For a list of output types, see FortiSoC >
Automation > Connector. A task ID is created automatically for each task added to the playbook.
Output variables use the following format:
Format: ${<task_id>.<output>}
Example: ${id_2c7_84b_2c5_f47.vulnerabilities}

Obtaining task IDs

Task IDs are not currently displayed within a task. To view a task ID, the following workaround 
can be used.
 1. Create a new task in the playbook using the Local Connector action Attach Data to
Incident.
 2. In the Attachment dropdown, select a preceding task to view its task ID. You can switch to 
text mode to copy the value after selection.
 

FortiAnalyzer 6.4.4 Administration Guide 108

Fortinet Technologies Inc.
FortiSoC

Trigger (incident and event) variables

Trigger variables allow you to use information from the trigger (starter) of a playbook when it has been configured with an 
incident or event trigger. 
For example, the Run Report action can include a filter for the endpoint IP address from the event that triggered the 
playbook.
Trigger variables use the following format:
Format: ${trigger.<variable>}
Example: ${trigger.epip} 

FortiAnalyzer 6.4.4 Administration Guide 109

Fortinet Technologies Inc.
FortiView

Use FortiView to view the Monitors and FortiView panes.
Monitors are designed for network and security operation centers where dashboards are displayed across multiple large 
monitors.
FortiView is a comprehensive monitoring system for your network that integrates real-time and historical data into a 
single view. It can log and monitor threats to networks, filter data on multiple levels, keep track of administrative activity, 
and more.
 l Monitors on page 110
 l FortiView on page 123

To allow tuning of CPU and memory usage in high capacity environments, you can opt to 
disable FortiView, which stops the background processing for this feature. See Enabling and 
disabling FortiView on page 136.

Monitors

FortiView Monitors are designed for a network and security operations center where multiple dashboards are displayed 
in large monitors. 
In the Monitors view, dashboards display both real-time monitoring and historical trends. Centralized monitoring and 
awareness help you to effectively monitor network events, threats, and security alerts. Use Monitors dashboards to view 
multiple panes of network activity, including monitoring network security, compromised hosts, endpoints, Security 
Fabric, WiFi security, and FAZ system performance.
A typical scenario is to set up dashboards and widgets to display information most relevant to your network and security 
operations. Use the main monitors in the middle to display important dashboards in a larger size. Then use the monitors 
on the sides to display other information in smaller widgets.
For example, use the top monitor in the middle to display the Top Threat Destinations widget in full screen, use the 
monitor(s) below that to display other Threat Monitor widgets, use the monitors on the left to display WiFi Monitor 
widgets at the top and FAZ Performance Monitor widgets at the bottom, and use the monitors on the right as a 
workspace to display widgets showing the busiest network activity. You can move, add, or remove widgets.
Monitors dashboards and widgets are very flexible and have the following features:
 l You can create predefined or custom dashboards.
 l For both predefined and custom dashboards, you can add, delete, move, or resize widgets.
 l You can add the same dashboard multiple times on the same or different monitors.
 l Each widget monitors one activity.
 l You can add the same widget multiple times and apply different settings to each one. For example, you can add  
widgets to monitor the same activity using a different chart type, refresh interval, or time period.
 l You can resize widgets or display a widget in full screen.

FortiAnalyzer 6.4.4 Administration Guide 110

Fortinet Technologies Inc.
 FortiView

Some dashboards and widgets require that specific log types are enabled before they can be used. When an 
ADOM does not include any logs of the required type, the dashboard or widget appears in gray and includes an 
information icon that indicates what logs must be enabled before it can be used.

FortiView, including the Monitors pane, can be disabled to improve performance in high 
capacity environments. For more information, see Enabling and disabling FortiView on page 
136

To prevent timeout, ensure Idle Timeout is greater than the widget's Refresh Interval. See Idle 

timeout on page 280 and Settings icon on page 120.

FortiView Monitors dashboards

FortiView Monitors include predefined dashboards. 
Both predefined and custom dashboards can be modified with widgets, including: Threats widgets, Compromised Hosts 
widgets, Traffic widgets, Applications & Websites widgets, VPN widgets, WiFi widgets, Endpoints widgets, Local System 
Performance widgets, Global Threat Research widgets, Security Fabric widgets, and FortiClient Software Inventory 
widgets. 
For example, the default Threat Monitor dashboard includes four widgets: Threat Map, Top Threat Destinations, Top
Threats, and Top Virus Incidents Over Time. These widgets can be removed, enlarged, reduced, or customized, and 
new widgets can be added to the dashboard. 
For more information, see Customizing the Monitors dashboard on page 120.

FortiAnalyzer 6.4.4 Administration Guide 111

Fortinet Technologies Inc.
FortiView

FortiView Monitors includes the following predefined dashboards:

Threats Monitor the top security threats to your network.

Traffic Monitor the traffic on your network.

Applications & Websites Monitor the application and website traffic on your network.

Compromised Hosts Monitor compromised and suspicious web use in your network.

FortiSandbox Detections Monitor FortiSandbox detections on your network.

Endpoints Monitor endpoint activity on your network.

Fabric State of Security Monitor your network's Security Fabric rating, score, and topology.

This information for this dashboard is available after you create a Security Fabric 
group in FortiGate and add it in FortiAnalyzer. The Security Fabric can be 
selected in the settings options for each widget.

VPN Monitor VPN activity on your network.

WiFi Monitor WiFi access points and SSIDs.

FortiClient Software Inventory Monitor the FortiClient endpoints sending logs to FortiAnalyzer.

Threat(FortiClient) Monitor threat activity from FortiClient.

Applications & Websites Monitor application and website activity from FortiClient.

(FortiClient)

Endpoints(FortiClient) Monitor endpoint activity from FortiClient.

Local System Performance Monitor the local system performance of the FortiAnalyzer unit.

Global Threat Research Monitor global threat research. 

Secure SD-WAN Monitor Monitor secure software-defined networking.

Archive Includes archived monitors from previous versions.

When upgrading versions prior to FortiAnalyzer 6.2.0, custom dashboards will not be migrated 
and must be recreated.

Threats widgets

Threats includes the following widgets:

Threat Map Threats happening right now across the world.

Top Threat A world map, spinning 3D globe, or table showing the top 10, 20, 50, 100 threat destinations.

Destinations On the map view, hover the cursor over data points to see the source device and IP address, 
destination IP address and country, threat level, and the number of incidents (blocked and 
allowed). 

FortiAnalyzer 6.4.4 Administration Guide 112

Fortinet Technologies Inc.
FortiView

Top Threats The top threats to your network. Hover the cursor over data points to see the threat, category, 

threat level, threat score (blocked and allowed), and the number of incidents (blocked and 
allowed).
The following incidents are considered threats:   
 l Risk applications detected by application control
 l Intrusion incidents detected by IPS
 l Malicious web sites detected by web filtering
 l Malware/botnets detected by antivirus

Top Threats by The top threats by weight and count to your network from risk applications, intrusion incidents, 

Weight & Count malicious websites, and malware/botnets.

Top Virus Incidents The top virus incidents over time.

Over Time

Traffic widgets

Traffic includes the following widgets:

Top Sources The highest network traffic by source IP address and interface, sessions (blocked and 

allowed), threat score (blocked and allowed), and bandwidth (sent and received).

Top The historical network traffic by country/region, sessions, bandwidth, or threat score.
Country/Region

Top Policy Hits Top policy hits from recent traffic.

Top Destinations Top destinations from recent traffic by bandwidth or sessions.

Traffic Over Time The historical destinations from recent traffic.

by Sessions

Policy Hits Over The historical policy hits from recent traffic.

Time by Bandwidth

User Data Flow Bandwidth breakdown of top user destination country/region or application usage.

Top Sources Today Near real-time network traffic by blocked and allowed sessions.

Top Interface of Line charts for the top 10 sent bit rate of interfaces over the specified time period.

Sent Bit Rate Mouse over the line charts to view bit rate information for each interface.

Top Interface of Line charts for the top 10 received bit rate of interfaces over the specified time period.

Received Bit Rate Mouse over the line charts to view bit rate information for each interface.

Top Source Top source IP addresses from recent traffic.

(FortiDDoS) Only available in a Fabric ADOM.

Top Destination Top destination IP addresses from recent traffic.

(FortiDDoS) Only available in a Fabric ADOM.

Top Type Top types from recent traffic.

(FortiDDoS) Only available in a Fabric ADOM.

FortiAnalyzer 6.4.4 Administration Guide 113

Fortinet Technologies Inc.
FortiView

Applications & Websites widgets

Applications & Websites includes the following widgets:

Top Website Top website domains from recent traffic.

Domains

Top Cloud Top cloud applications from recent traffic.

Applications

Top Applications The top applications used on the network, including application name, risk level, category, 

sessions (blocked and allowed), and bytes (sent and received).

Top Browsing User Top browsing users from recent traffic.

Cloud Applications The historical sessions of cloud applications used on the network.

Over Time by
Sessions

Top Applications The historical sessions of applications used on the network, including application name, risk 

Over Time by level, category, sessions (blocked and allowed), and bytes (sent and received).
Sessions

Top Endpoint The top applications used on the network, including application name, risk level, category, 

Applications sessions (blocked and allowed), and bytes (sent and received).
Only available in a Fabric ADOM.

Website Browsing The historical websites browsing sessions from recent traffic.

Over Time by
Sessions

Browsing User The historical browsing users from recent traffic.

Over Time by
Bandwidth

Compromised Hosts widgets

Compromised Hosts includes the following widget:

Compromised Suspicious web use compromises. By default, this widget includes two panes: Compromised
Hosts Hosts and Compromised Hosts Incidents.
The Compromised Hosts pane automatically rotates through compromised hosts. You can 
pause autoplay or click > or < to manually move to another compromised host.
The Compromised Hosts Incidents pane displays a map of compromised hosts incidents.
Click Settings to change the number of top compromised hosts, Time Period, Refresh
Interval, Autoplay Interval, and to show or hide Compromised Hosts Incidents.

FortiAnalyzer 6.4.4 Administration Guide 114

Fortinet Technologies Inc.
FortiView

FortiSandbox Detections widgets

FortiSandbox Detections includes the following widgets:

FortiSandbox FortiSandbox detection detail, including date, file name, end user, destination IP, analysis, 
Detection action, and service.

FortiSandbox - The number of files detected by FortiSandbox by type: Malicious, Suspicious, Clean, and 
Scanning Statistics Others.

FortiSandbox - Top Users or IP addresses that have the highest number of malicious and suspicious files 

Malicious detected by FortiSandbox.
& Suspicious File
Users

Endpoints widgets

Endpoints includes the following widgets:

Top Endpoint Vulnerability information about FortiClient endpoints including vulnerability name and CVE ID.

Vulnerabilities

Top Endpoint Vulnerability information about FortiClient endpoints including vulnerability name and CVE ID.

Vulnerabilities Only available in a Fabric ADOM.
(FortiClient)

Top Endpoint Vulnerability information about FortiClient endpoints including source IP address and device.

Devices with
Vulnerabilities

Top Endpoint Vulnerability information about FortiClient endpoints including source IP address and device.

Devices with Only available in a Fabric ADOM.
Vulnerabilities
(FortiClient)

User Vulnerabilities User vulnerabilities summary.

Summary

All Endpoints All endpoints.

All Endpoints All endpoints.

(FortiClient)

Top Endpoint Top threats from all endpoints.

Threats

Top Endpoints Top applications from all endpoints.

Applications Only available in a Fabric ADOM.

FortiAnalyzer 6.4.4 Administration Guide 115

Fortinet Technologies Inc.
FortiView

Security Fabric widgets

Security Fabric includes the following widgets. 
This information for this dashboard is available after you create a Security Fabric group in FortiGate and add it in 
FortiAnalyzer. The Security Fabric can be selected in the settings options for each widget.

Security Fabric A report showing the security rating details of connected Security Fabric devices. Click a 

Rating Report milestone to drill down and hover the cursor over data points to see more details.

Security Fabric The current and historical Security Fabric scores. The Historical Security Fabric Scores pane 

Score displays your Security Fabric score over time and how it compares to the industry average 
and the industry score range. You can hide the Historical Security Fabric Scores pane.

Security Fabric A topology map showing the logical structure of connected Security Fabric devices.

Topology

Best Practices Overview of the device best practices across regions of North America, Latin America, EMEA, 

Overview and APAC.

VPN widgets

VPN includes the following widgets:

Top Dialup VPN The users accessing the network using SSL or IPsec over a VPN tunnel.

VPN Site-to-Site The names of VPN tunnels with Internet protocol security (IPsec) that are accessing the 

network.

WiFi widgets

WiFi includes the following widgets:

Authorized APs The names of authorized WiFi access points on the network.

Top Rogue APs The top SSID (service set identifiers) of unauthorized WiFi access points on the network. 

Hover the cursor over data points to see the SSID and total live time.

Top SSID The top SSID (service set identifiers) of authorized WiFi access points on the network. Hover 

the cursor over data points to see the SSID and bytes (sent and received).

Top SSID Over The historical SSID (service set identifiers) traffic of authorized WiFi access points on the 

Time by Bandwidth network.

WiFi Clients The top WiFi access points on the network by bandwidth/sessions.

FortiClient Software Inventory widgets

FortiClient Software includes the following widget:

FortiAnalyzer 6.4.4 Administration Guide 116

Fortinet Technologies Inc.
FortiView

FortiClient The total number of apps installed, top apps, new apps installed, top apps by installs, and top 
Software Inventory hosts by number of apps.

Threat (FortiClient) widgets

Threat (FortiClient) includes the following widgets:

Threat The top threats to your network from risk applications, intrusion alerts, malicious websites, 
and malware/botnets.
Only visible in a Fabric ADOM.

Applications & Websites (FortiClient) widgets

Applications & Websites (FortiClient) includes the following widgets:

Application The top applications used on the network, including application name, risk level, category, 
sessions (blocked and allowed), and bytes (sent and received).
Only available in a Fabric ADOM.

Website Top website domains from recent traffic.
Only available in a Fabric ADOM.

Endpoints (FortiClient) widgets

Endpoints (FortiClient) includes the following widgets:

Top Endpoint Vulnerability information about FortiClient endpoints including vulnerability name and CVE ID.

Vulnerabilities Only available in a Fabric ADOM.
(FortiClient)

Endpoint Devices Information about FortiClient endpoints including source IP address, device, and 

vulnerabilities.
Only available in a Fabric ADOM.

All Endpoints All endpoints.

(FortiClient)

Local System Performance widgets

This dashboard monitors the system performance of the FortiAnalyzer unit running FortiView. It includes the following 
widgets:

Multi Core CPU The usage status of a multi-core CPU.

Usage

FortiAnalyzer 6.4.4 Administration Guide 117

Fortinet Technologies Inc.
FortiView

Insert Rate vs The number of logs received vs the number of logs actively inserted into the database, 

Receive Rate including the maximum and minimum rates.
 l Receive rate: how many logs are being received.
 l Insert rate: how many logs are being actively inserted into the database.
If the insert rate is higher than the log receive rate, then the database is rebuilding. The lag is 
the number of logs waiting to be inserted.

CPU & Memory The usage status of the CPU and memory.

Usage

Disk I/O The disk  Transaction Rate (I/Os per second), Throughput (KB/s), or Utilization (%). The 

Transaction Rate and Throughput graphs also show the maximum and minimum disk activity.

Receive Rate vs The number of logs received vs the number of logs forwarded out, including the maximum and 

Forwarding Rate minimum rates.
 l Receive rate: how many logs are being received.
 l Forward rate: how many logs are being forwarded out.

Resource Usage Overview of average resource usage history across all devices.

Average

Resource Usage Overview of peak resource usage history across all devices.

Peak

Failed Top unauthorized connections from recent traffic.
Authentication
Attempts

System Events Top system events from recent traffic.

Admin Logins Top admin logins from recent traffic.

Global Threat Research widgets

Threat Research includes the following widgets:

Worldwide Threat The top virus, IPS, botnet, and application threats globally today based on UTC.

Prevalence - Today This data is from FortiGuard and not from FortiGate.
(UTC)

Secure SD-WAN widgets

Secure SD-WAN monitor includes the following widgets:

SD-WAN The performance of the SD-WAN and each WAN links in the network over time.
Performance
Status

Jitter The number of seconds for disruption in the data flow across the network for each WAN link 
over time.

FortiAnalyzer 6.4.4 Administration Guide 118

Fortinet Technologies Inc.
 FortiView

Latency The number of seconds for a packet of data to travel across the network for each WAN link 
over time.

Packet Loss The percentage of network data that failed to reach its intended destination for each WAN link 

over time.

SD-WAN Utilization The share of bandwidth utilization by application for each WAN link.

by Application

Bandwidth The share of bandwidth utilization for each configured SD-WAN rule.
Utilization by SD-
WAN Rules

SD-WAN Link The share of bandwidth, volume, and session utilization by WAN links. 

Utilization

SD-WAN High and The existing alarms on path, connection, or individual WAN links for their states (Information, 

Critical Events Notice, and Warning).

SD-WAN Rules The SD-WAN rule traffic utilization by interface and application.

Utilization

To update the Refresh Interval, click the gear icon at the top of the widget, and then select a 
value from the dropdown.
To filter a chart, click a key in the legend.

Using the Monitors dashboard

FortiView Monitors dashboards contain widgets that provide network and security information. Use the controls in the 
dashboard toolbar to work with a dashboard.

Edit Dashboard Add, remove, resize, or move widgets on a predefined dashboard. 

Devices Select the devices to include in the widget data.
The device list will also include a Security Fabric if available.
To select a Security Fabric, you need to first create a Security Fabric group in FortiGate and 
add the Security Fabric group in FortiAnalyzer.

Time Period Select a time period from the dropdown menu, or set a custom time period.

Refresh Refresh the data in the widgets.

Theme Change the background color of the dashboard to make widgets easier to view in different 
room lighting.
 l Day shows a brighter gray background color.
 l Night shows a black background.
 l Ocean shows a blue background color.

Hide Side-menu or Hide or show the tree menu on the left. In a typical SOC environment, the side menu is 

Show Side-menu hidden and dashboards are displayed in full screen mode.

FortiAnalyzer 6.4.4 Administration Guide 119

Fortinet Technologies Inc.
 FortiView

Use the controls in the widget title bar to work with widgets.

Settings icon Change the settings of the widget. Widgets have settings applicable to that widget, such as 

how many of the top items to display, Time Period, Refresh Interval, and Chart Type.

View different chart Some widget settings let you choose different chart types such as the Disk I/O and Top

types Countries widget. You can add these widgets multiple times and set each widget to show a 
different chart type.

Hide or show a For widgets that show different data types, click a data type in the title bar to hide or show that 

data type data type in the graph.
For example, in the Insert Rate vs Receive Rate widget, click Receive Rate or Insert Rate in 
the title bar to hide or show that data. In the Disk I/O widget, click Read or Write in the title bar 
to hide or show that data type.

View more details Hover the cursor over a widget’s data points to see more details.

View a narrower Some widgets have buttons below the graph. Click and drag the buttons to view a narrower 

time period time period.

Zoom in and out For widgets that show information on a map such as the Top Threat Destinations widget, use 

the scroll wheel to change the zoom level. Click and drag the map to view a different area.

Customizing the Monitors dashboard

You can add any widget to a custom or predefined dashboard. You can also move, resize, or delete widgets. You cannot 
rename or delete a predefined dashboard. To reset a predefined dashboard to its default settings, click Dashboard >
Reset.

To create a dashboard:

 1. In the Monitors tree-menu, right-click and select Create New.

 2. Specify the Name and whether you want to create a blank dashboard or use a template.
If you select From Template, specify which predefined dashboard you want to use as a template.
 3. Click OK. The new dashboard appears In the tree menu.
 4. Select widgets to include on the dashboard, and click Done.

To display Security Fabric in Monitors:

 1. Create a Security Fabric in FortiGate.
 2. Add the Security Fabric in FortiAnalyzer. 
 3. Go to FortiView > Monitors > Dashboards.
 4. Select the Fabric State of Security dashboard.
 5. Select the Security Fabric from the Devices menu.

To add a widget:

 1. Select the predefined or custom dashboard where you want to add a widget.
 2. Click Add Widget to see a list of available widgets. Click on the widget you'd like to add. 
Some widgets can only be added when their corresponding log type is enabled in the ADOM, for example, the Top

FortiAnalyzer 6.4.4 Administration Guide 120

Fortinet Technologies Inc.
 FortiView

Threats widget requires that Traffic logs are enabled. Widgets that cannot be added appear in gray and include an 
information icon indicating what logs must be present in the ADOM before the widget can be added to the 
dashboard.

 
 3. When you have finished adding widgets, click Save Changes to close the Add Widget pane.

Creating custom widgets

Custom widgets can be created and added to custom dashboards in FortiView Monitors.

To create a custom widget:

 1. Go to FortiView > Monitors.

 2. Go to a previously configured custom dashboard and click Add Widget. 
For information on creating and managing dashboards, see Customizing the Monitors dashboard on page 120
 3. Click the add icon in the Custom Widgets field.
The Custom Widget Dashboard opens.
 4. Configure the following information for your widget.

Name Enter a name for the widget.

Data Source Select a data source for the widget. The following data sources are available:

FortiAnalyzer 6.4.4 Administration Guide 121

Fortinet Technologies Inc.
FortiView

 l soc-sources
 l soc-destinations
 l soc-threats
 l soc-sdwan-stats

Time Frame Select the time frame.

You can specify a custom time frame by clicking Custom..., choosing the start and end 
date, and clicking Apply.

Chart Type Choose how the data is presented in the widget from one of the following options:

 l Bar Chart
 l Line Chart
 l Pie Chart
 l Donut Chart

X Axis Select the source type for the X axis. The sources available for selection depend on the 
data source selected.
X Axis is only available when the chart type is Bar or Line. 

Y Axis Select the source type for the Y axis. The sources available for selection depend on the 
data source selected.
Y Axis is only available when the chart type is Bar or Line.

Category Select the data category. The categories available for selection depend on the data 
source selected.
Category is only available when the chart type is Pie or Donut.

Value Select the data value. The values available for selection depend on the data source 
selected.
Value is only available when the chart type is Pie or Donut.

Show Top Select the number of results that are displayed in the widget. 

Options include the top 10, 20, 50, and 100 results.

 5. Click Preview to preview the widget based on the information selected.
 6. Click Create to save your changes.
After the widget has been created, you can select it in the Add Widget window to add it to your dashboard.
For information on managing your dashboard, see Using the Monitors dashboard on page 119.

To edit a custom widget:

 1. In any custom dashboard, select Add Widget.

 2. Right-click on the custom widget that you want to edit, and click Edit
 3. Edit the widget's settings, and click Update.

To delete a custom widget:

 1. In any custom dashboard, select Add Widget.

 2. Right-click on the custom widget that you want to delete, and click Delete.

FortiAnalyzer 6.4.4 Administration Guide 122

Fortinet Technologies Inc.
FortiView

FortiView is a comprehensive monitoring system for your network that integrates real-time and historical data into a 
single view. It can log and monitor threats to networks, filter data on multiple levels, keep track of administrative activity, 
and more.
FortiView allows you to use multiple filters in the consoles, enabling you to narrow your view to a specific time, by user ID 
or local IP address, by application, and others. You can use it to investigate traffic activity such as user 
uploads/downloads or videos watched on YouTube on a network-wide user group or on an individual-user level. 
In FortiView dashboards, you can view summaries of log data such as top threats to your network, top sources of 
network traffic, and top destinations of network traffic. 
Depending on which dashboard you are viewing, information can be viewed in different formats: table, bubble, map, or 
tile. Alternative chart types are available in each widget's Settings menu.
For each summary, you can drill down to see more details.
FortiGate, FortiCarrier, and FortiClient EMS devices support FortiView.
Some dashboards require that specific log types are enabled before they can be used. When an ADOM does not include 
any logs of the required type, the dashboard appears in gray and includes an information icon that indicates what logs 
must be enabled before the dashboard can be used.

The FortiView module, which includes the FortiView pane, can be disabled to improve 
performance in high capacity environments. For more information, see Enabling and disabling 
FortiView on page 136

How ADOMs affect FortiView

When ADOMs are enabled, each ADOM has its own data analysis in FortiView.
Fabric ADOMs will show data analysis from all eligible devices in the Security Fabric.

Logs used for FortiView

FortiView displays data from Analytics logs. Data from Archive logs is not displayed in FortiView. For more information, 
see Analytics and Archive logs on page 23.

FortiView dashboards

Many dashboards display a historical chart in a table format to show changes over the selected time period. 
If you sort by a different column, the chart shows the history of the sorted column. For example, if you sort by Sessions
Blocked/Allowed, the chart shows the history of blocked and allowed sessions. If you sort by Bytes Sent/Received, the 
chart shows the history of bytes sent and received.
When you drill down to view a line item, the historical chart show changes for that line item.

FortiAnalyzer 6.4.4 Administration Guide 123

Fortinet Technologies Inc.
 FortiView dashboards for FortiGate and FortiCarrier devices

Category View Description

Threats Top Threats Lists the top threats to your network.

The following incidents are considered threats:
 l Risk applications detected by application control.
 l Intrusion incidents detected by IPS.
 l Malicious web sites detected by web filtering.
 l Malware/botnets detected by antivirus.

Threat Map Displays a map of the world that shows the top traffic destinations starting 
at the country of origin. Threats are displayed when the threat score is 
greater than zero and either the source or destination IP is a public IP 
address.
The Threat Window below the map, shows the  threat, source, destination, 
severity, and time. The color gradient of the lines  indicate the traffic risk. A 
yellow line indicates a high risk  and a red line indicates a critical risk.
This view does not support filtering and Day, Night, and Ocean themes. 
See also Viewing the threat map on page 127.

Compromised Hosts Displays end users with suspicious web use compromises, including end 
users’ IP addresses, overall threat rating, and number of threats.
To use this feature:
 1. UTM logs of the connected FortiGate devices must be enabled.
 2. The FortiAnalyzer must subscribe to FortiGuard to keep its threat 
database up-to-date.

FortiSandbox  Displays a summary of FortiSandbox related detections. 
Detection The following information is displayed: Filename, End User and/or IP, 
Destination IP, Analysis (Clean, Suspicious or Malicious rating), Action 
(Passthrough, Blocked, etc.), and Service (HTTP, FTP, SMTP, etc.).
Select an entry to view additional information in the drilldown menu. 
Clicking a FortiSandbox action listed in the Process Flow displays details 
about that action, including the Overview, Indicators, Behavior Chronology
Chart, Tree View, and more. Information included in the Details and Tree
View tab is only available with FortiSandbox 3.1.0 and above.

FortiAnalyzer 6.4.4 Administration Guide 124

Fortinet Technologies Inc.
 Category View Description

Traffic Top Source Displays the highest network traffic by source IP address and interface, 

device, threat score (blocked and allowed), sessions (blocked and 
allowed), and bytes (sent and received). 

Top Source  Displays the top source addresses by source object, interface, device, 
Addresses threat score (blocked and allowed), sessions (blocked and allowed), and 
bytes (sent and received). 

Top Destinations Displays the highest network traffic by destination IP addresses, the 
applications used to access the destination, sessions, and bytes. If 
available, click the icon beside the IP address to see its WHOIS 
information.

Top Destination  Displays the top destination addresses by destination objects, 
Addresses applications, sessions, and bytes. If available, click the icon beside the IP 
address to see its WHOIS information.

Top Country/Region Displays the highest network traffic by country in terms of traffic sessions, 
including the destination, threat score, sessions, and bytes.

Policy Hits Lists the policy hits by policy, device name, VDOM, number of hits, bytes, 
and last used time and date.

DNS Logs Summarizes the DNS activity on the network. Double click an entry to drill 
down to the specific details about that domain. 

Applications & Top Applications Displays the top applications used on the network including the application 

Websites name, category, risk level, and sessions blocked and allowed. Bytes sent 
and received can also be enabled through the widget settings. Top 
Applications can be viewed as a stackbar, bar, table, or bubble chart.
For a usage example, see Finding application and user information on 
page 135.

Top Cloud  Displays the top cloud applications used on the network.
Applications

Top Cloud Users Displays the top cloud users on the network.

Top Website  Displays the top allowed and blocked website domains on the network. 
Domains

Top Website  Displays the top website categories.
Categories

Top Browsing Users Displays the top web-browsing users, including source, group, number of 
sites visited, browsing time, and number of bytes sent and received.

VPN SSL & Dialup IPsec Displays the users who are accessing the network by using the following 

types of security over a virtual private network (VPN) tunnel: secure socket 
layers (SSL) and Internet protocol security (IPsec).

FortiAnalyzer 6.4.4 Administration Guide 125

Fortinet Technologies Inc.
 Category View Description

You can view VPN traffic for a specific user from the top view and drilldown 
views. In the top view, double-click a user to view the VPN traffic for the 
specific user. In the drilldown view, click an entry from the table to display 
the traffic logs that match the VPN user and the destination. 

Site-to-Site IPsec Displays the names of VPN tunnels with Internet protocol security (IPsec) 
that are accessing the network.

System Admin Logins Displays the users who logged into the managed device.

System Events Displays events on the managed device.

Resource Usage Displays device CPU, memory, logging, and other performance 
information for the managed device.
Resource Usage includes two widgets: Resource Usage Average and 
Resource Usage Peak.

Failed Authentication  Displays the IP addresses of the users who failed to log into the managed 
Attempts device.

Using FortiView

When ADOMs are enabled, FortiView displays information for each ADOM. Please ensure you are in the correct ADOM. 
See Switching between ADOMs on page 16.
 l Viewing FortiView dashboards on page 126
 l Filtering FortiView on page 127
 l Viewing related logs on page 128
 l Exporting filtered summaries on page 128
 l Monitoring resource usage of devices on page 129
 l Long-lived session handling on page 129

Viewing FortiView dashboards

When viewing FortiView dashboards, use the controls in the toolbar to select a device, specify a time period, refresh the 
view, and switch to full-screen mode.
Many widgets on FortiView dashboards let you drill down to view more details. To drill down to view more details, click, 
double-click, or right-click an element to view details about different dimensions in different tabs. You can continue to drill 
down by double-clicking an entry. Click the close icon in the widget's toolbar to return to the previous view.
Many FortiView widgets support multiple chart types such as table view, bubble view, map view, tile view, etc.
 l In widgets that support multiple views, select the settings icon in the top-right corner of the widget to choose another 
view.
 l If sorting is available, there is a Sort By dropdown list in the top-left.
 l Some widgets have a Show dropdown list in the bottom-right for you to select how many items to display.
 l To sort by a column in table view, click the column title.
 l To view more information in graphical views such as bubble, map, or user view, hover the mouse over a graphical 
element.

FortiAnalyzer 6.4.4 Administration Guide 126

Fortinet Technologies Inc.
 Some dashboards require that specific log types are enabled before they can be used. When an ADOM does not include 
the log type(s) required, the dashboard appears in gray and includes an information icon that indicates what logs must 
be enabled. 

Viewing the threat map

You can view an animated world map that displays threats from unified threat management logs. Threats are displayed 
in real-time. No replay or additional details are available.

You must specify the longitude and latitude of the device to enable threats for the device to 
display in the threat map. You can edit the device settings to identify the geographical location 
of the device in Device Manager. For more information, see Editing device information on 
page 30

To view the threat map:

 1. Go to FortiView > Threats > Threat Map.

 2. In the map, view the geographic location of the threats.  
Threats are displayed when the threat level is greater than zero.
 l A yellow line indicates  a high threat.
 l A red line indicates a critical threat.
 3. In the Threat Window, view the Time, Threat, Source, Destination, and Severity(score).

Filtering FortiView

Filter FortiView widgets using the Add Filter box in the toolbar or by right-clicking an entry and selecting a context-
sensitive filter. You can also filter by specific devices or log groups and by time.

FortiAnalyzer 6.4.4 Administration Guide 127

Fortinet Technologies Inc.
 To filter FortiView widgets using filters in the toolbar:

 1. Specify filters in the Add Filter box.   

 l Filter Mode: In the selected summary view, click Add Filter and select a filter from the dropdown list, then type a 
value. Click NOT to negate the filter value. You can add multiple filters and connect them with “and” or “or”.
 l Text Search: Click the Switch to Text Search icon  at the right end of the Add Filter box. In Text Search mode, 
enter the search criteria (log field names and values). Click the Switch to Filter Mode icon  to go back to Filter 
Mode.
 2. In the Device list, select a device.
 3. In the Time list, select a time period.

To filter FortiView widgets using the right-click menu:

In the selected view, right-click an entry and select a filter criterion (Search <filter value>).

Depending on the column in which your mouse is placed when you right-click, FortiView uses the column value as the 
filter criteria. This context-sensitive filter is only available for certain columns.

Viewing related logs

You can view the related logs for a FortiView summary in Log View. When you view related logs, the same filters that you 
applied to the FortiView summary are applied to the log messages.
To view related logs for a FortiView summary, right-click the entry and select View Related Logs.

Exporting filtered summaries

You can export filtered FortiView summaries or from any level of drilldown to PDF and report charts. Filtered summaries 
are always exported in table format.

To export a filtered summary:

 1. In the filtered summary view or its drilldown, select the tools icon in the top-right corner of the widget and choose 
Export to PDF or Export to Report Chart.
 2. In the  dialog box, review and configure settings:   
 l Specify a file name for the exported file.
 l In the Top field, specify the number of entries to export.
 l If you are in a drilldown view, the tab you are in is selected by default. You can select more tabs. If you are 
exporting to report charts, the export creates one chart for each tab.
 3. Click OK.
Charts are saved in the Chart Library. You can use them in the same way you use other charts.

Only log field filters are exported. Device and time period filters are not exported.

FortiAnalyzer 6.4.4 Administration Guide 128

Fortinet Technologies Inc.
 Monitoring resource usage of devices

You can monitor how much FortiAnalyzer system resources (e.g., CPU, memory, and disk space) each device uses. 
When ADOMs are enabled, this information is displayed per ADOM. In a specific ADOM, you can view the resource 
usage information of all the devices under the ADOM.
Go to FortiView > FortiView > System > Resource Usage to monitor resource usage for devices.

Long-lived session handling

Because traffic logs are only sent at the end of a session, long-lived sessions can be unintentionally excluded when 
narrowing searches in FortiView. To account for this, interim traffic logs can be enabled through FortiOS, allowing 
FortiView to show the trend of session history rather than one large volume once the session is closed. 
For a long-lived session with a duration greater than two minutes, interim traffic logs are generated with the Log ID of 20. 
 l For interim traffic logs, the sentdelta and rcvddelta fields are filled in with an increment of bytes which are 
sent/received after the start of the session or previous interim traffic log.
 l Interim traffic logs are not counted in Sessions, but the sentdelta and recvddelta in related traffic logs will be added 
when calculating the sent and received bytes.
When a long-lived session ends, a traffic log with a Log ID of 13 is sent which indicates the session is closed. 

When enabled, interim logs must be handled specially for Reports and Events to avoid 
multiple counting.

FortiAnalyzer 6.4.4 Administration Guide 129

Fortinet Technologies Inc.
Viewing Compromised Hosts

Compromised Hosts or Indicators of Compromise service (IOC) is a licensed feature. 
To view Compromised Hosts, you must turn on the UTM web filter of FortiGate devices and subscribe your FortiAnalyzer 
unit to FortiGuard to keep its local threat database synchronized with the FortiGuard threat database. See Subscribing 
FortiAnalyzer to FortiGuard on page 131.
The Indicators of Compromise Service (IOC) downloads the threat database from FortiGuard. The FortiGuard threat 
database contains the blacklist and suspicious list. IOC detects suspicious events and potentially compromised network 
traffic using sophisticated algorithms on the threat database.
FortiAnalyzer identifies possible compromised hosts by checking the threat database against an event's IP, domain, and 
URL in the following logs of each end user:
 l Web filter logs.
 l DNS logs.
 l Traffic logs.
When a threat match is found, sophisticated algorithms calculate a threat score for the end user. When the check is 
complete, FortiAnalyzer aggregates all the threat scores of an end user and gives its verdict of the end user’s overall 
IOC.
Compromised Hosts displays the results showing end users with suspicious web usage which can indicate that the 
endpoint is compromised. You can drill down to view threat details.
Compromised Hosts can be configured to rescan logs at regular intervals using new definitions from FortiGuard.

Understanding Compromised Hosts entries

When a log entry is received and inserted into the SQL database, the log entry is scanned and compared to the blacklist 
and suspicious list in the IOC threat database that is downloaded from FortiGuard.
If a match is found in the blacklist, FortiAnalyzer displays the endpoint in Compromised Hosts with a Verdict of Infected.
If a match is found in the suspicious list, FortiAnalyzer flags the endpoint for further analysis.
In the analysis, FortiAnalyzer compares the flagged log entries with the previous endpoint's statistics for the same day 
and then updates the score.
If the score exceeds the threshold, that endpoint is listed or updated in Compromised Hosts.
When an endpoint is displayed in Compromised Hosts, all the suspicious logs which contributed to the score are listed.
When the database is rebuilt, all log entries are reinserted and rescanned.

Working with Compromised Hosts information

Go to FortiView > FortiView > Threats > Compromised Hosts.

To navigate the Compromised Hosts dashboard:
 l Use the toolbar icons to select the table, user ioc, or bubble view.
 l Use the export icon to export table information into a PDF or report chart.
 l Use settings to edit rescan configuration, and set additional display options, including Show Only Rescan and Show
Acknowledged. 

FortiAnalyzer 6.4.4 Administration Guide 130

Fortinet Technologies Inc.
  l Use the toolbar to select  devices, specify a time period, refresh the view, or choose a GUI theme (Day, Night, and 
Ocean).
When viewing the Compromised Hosts dashboard, # of Threats is the number of unique threat names associated with 
that compromised host (end user).
 l To acknowledge a Compromised Hosts line item, click Ack on that line.
 l To filter entries, click Add Filter and specify devices or a time period.
 l To drill down and view threat details, double-click a tile or a row.
When viewing threat details, the # of Events is the number of logs matching each blacklist entry for that compromised 
host (end user).
Incorrectly rated IOCs can be reported within the Threat Intel Lookup screen, accessible by double-clicking on an End
User, selecting the detected pattern from the Blacklist, and clicking Report Misrated IOC.

Subscribing FortiAnalyzer to FortiGuard

To keep your FortiAnalyzer threat database up to date:

 l Ensure your FortiAnalyzer can reach FortiGuard at fds1.fortinet.com.
 l Purchase a FortiGuard Indicators of Compromise Service license and apply that license to the product registration. 
No change is needed on the FortiAnalyzer side.

To subscribe FortiAnalyzer to FortiGuard:

 1. Go to System Settings > Dashboard.

 2. In the License Information widget, find the FortiGuard > Indicators of Compromise Service field and click Purchase.
 3. After purchasing the license, check that the FortiGuard > Indicators of Compromise Service is Licensed and shows 
the expiry date.

Managing a Compromised Hosts rescan policy

Compromised Hosts can be configured to scan previous entries on regular intervals or when a new package is received 
from FortiGuard so that FortiAnalyzer performs a rescan using the latest available definitions.

Requirements for managing a Compromised Hosts rescan policy:
 l This feature requires a valid indicators of compromise (IOC) license. The rescan options 
is not available in the GUI or CLI without a license. 
 l The administrator must have Read-Write privileges for System Settings in order to 
configure global IOC rescan settings.

When IOC rescan is performed, the Ioc_Rescan tag is added to rescanned logs. Event handlers which include the Ioc_
Rescan tag in their filters will process rescanned logs and generate new alerts tagged with Ioc_Rescan. Real-time logs 
matching these event handler filters continue to generate alerts without the Ioc_Rescan tag.

FortiAnalyzer 6.4.4 Administration Guide 131

Fortinet Technologies Inc.
 By default, the following handlers include Ioc_Rescan tag for all filters:
 l Default-Compromised Host-Detection-IOC-By-Endpoint
 l Default-Compromised Host-Detection-IOC-By-Threat

To configure rescan settings and check rescan results:

 1. Go to FortiView > FortiView > Threats > Compromised Hosts.

 2. Click the Compromised Hosts settings menu.
The Compromised Hosts settings window opens.

 3. Enable a global rescan policy.
 a. Under Compromised Hosts Rescan Global Settings, toggle Enable Global Compromised Hosts Rescan to the 
On position.

FortiAnalyzer 6.4.4 Administration Guide 132

Fortinet Technologies Inc.
  b. Set the running time to a specific hour of the day, or select package update to perform a rescan when a 
package update is received.
 4. Enable policy settings for the current ADOM.
 a. Under Compromised Hosts Rescan Current ADOM Settings toggle Enable Current ADOM Compromised
Hosts Rescan to the On position.
 b. Select the log types to be scanned (DNS, web filter, and/or traffic logs).
 c. Set the number of previous days' logs to be scanned. 
By default, all log types are selected, and the scan will cover the last 14 days. The maximum recommended number 
of scan days is calculated based on historical scan speeds, or 30 days if no previous scans have been done.
 5. Rescan jobs are shown in the Rescan tasks table, which includes:
 l Start Time: The task's start time.
 l Status: The status of the task (complete, running, etc.).
 l Percentage: Task progress as a percentage.
 l End Time: The task's end time.
 l Threat Count: The total number of logs with threats.
 l Log Count: The number of logs included in the rescan.
 l Package Update Time: The IOC package update time.
 l Blacklist Count: A count of the newly detected threats added to the blacklist.

Running tasks can be canceled by clicking the cancel icon in the Status column.
 6. Select a non-zero threat count number in the table to drill-down to view specific task details, including the Detect
Pattern, Threat Type, Threat Name, # of Events, and Endpoint.

FortiAnalyzer 6.4.4 Administration Guide 133

Fortinet Technologies Inc.
 Click the return icon to return to the settings window.
A rescan icon is displayed in the Last Detected column if threats are found during a rescan. To view only those hosts 
that had threats found during a rescan, select Only Show Rescan from the settings menu.

Examples of using FortiView

You can use FortiView to find information about your network. The following are some examples.
 l Finding application and user information on page 135
 l Analyzing and reporting on network traffic on page 135
 l Finding FortiGate C&C detection logs on page 135

FortiAnalyzer 6.4.4 Administration Guide 134

Fortinet Technologies Inc.
 Finding application and user information

Company ABC has over 1000 employees using different applications across different divisional areas, including supply 
chain, accounting, facilities and construction, administration, and IT.
The administration team received a $6000 invoice from a software provider to license an application called Widget-Pro. 
According to the software provider, an employee at Company ABC is using Widget-Pro software.
The system administrator wants to find who is using applications that are not in the company’s list of approved 
applications. The administrator also wants to determine whether the user is unknown to FortiGuard signatures, identify 
the list of users, and perform an analysis of their systems.

To find application and user information:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to FortiView > FortiView > Applications & Websites > Top Applications.
 3. Click Add Filter, select Application, type Widget-Pro.
 4. If you do not find the application in the filtered results, go to Log View > Traffic.
 5. Click the Add Filter box, select Source IP, type the source IP address, and click Go.

Analyzing and reporting on network traffic

A new administrator starts at #1 Technical College. The school has a free WiFi for students on the condition that they 
accept the terms and policies for school use.
The new administrator is asked to analyze and report on the top source and destinations students visit, the source and 
destinations that consume the most bandwidth, and the number of attempts to visit blocked sites.

To review the source and destination traffic and bandwidth:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to FortiView > FortiView > Traffic > Top Sources.
 3. Go to FortiView > FortiView > Traffic > Top Destinations.
If available, select the icon beside the IP address to see its WHOIS information.

Finding FortiGate C&C detection logs

FortiGate detected botnet events while performing an IOC scan. The administrator wants to view the C&C and logs with 
SOC view in Compromised Hosts. 

To view C&C detection logs:

 1. Go to FortiView > Compromised Hosts.

 2. In the main view, right-click an entry and select Blocklist, or double-click an entry. The Blocklist is displayed.  C&C 
detection logs have the following values: 

Column Value

Threat Name *.Botnet (for example, Asprox.Botnet)

FortiAnalyzer 6.4.4 Administration Guide 135

Fortinet Technologies Inc.
 Column Value

Detect Method detected-by-fgt

Log Type attack

 3. In the Blocklist drill-down view, double-click an entry to view related logs. Log View is displayed. 

C&C detection entries appear in either the Attack Name or Message columns with one of the following values:

Column Value

Attack Name *.Botnet (for example, Asprox.Botnet)

Message Botnet C&C * (for example, Botnet C&C Communication)

Enabling and disabling FortiView

The FortiAnalyzer FortiView module can be disabled for performance tuning through the CLI. When disabled, the GUI 
will hide FortiView and stop background processing for this feature.

To disable FortiView in the CLI:

config system global

set disable-module fortiview-noc
end

To enable FortiView in the CLI:

config system global

unset disable-module
end

Disabling FortiView will cause the FortiAnalyzer to return the following error message when 
the FortiGate attempts to retrieve FortiAnalyzer data: Server Error: FortiView\/NOC
function is disabled on FortiAnalyzer.
The FortiGate GUI displays the message: Failed to retrieve FortiView data.

FortiAnalyzer 6.4.4 Administration Guide 136

Fortinet Technologies Inc.
Reports

You can generate data reports from logs by using the Reports feature. You can do the following:
 l Use predefined reports. Predefined report templates, charts, and macros are available to help you create new 
reports.
 l Create custom reports.
Report files are stored in the reserved space for the FortiAnalyzer device. See Automatic deletion on page 63.

When rebuilding the SQL database, Reports are not available until the rebuild is completed. 
Select the Show Progress link in the message to view the status of the SQL rebuild.

For more information on FortiAnalyzer report technology and troubleshooting report performance issues, see the 
FortiAnalyzer Report Performance Troubleshooting Guide.

How ADOMs affect reports

When ADOMs are enabled, each ADOM has its own reports, libraries, and advanced settings. Make sure you are in the 
correct ADOM before selecting a report. See Switching between ADOMs on page 16.
Some reports are available only when ADOMs are enabled. For example, ADOMs must be enabled to access 
FortiCarrier, FortiCache, FortiClient, FortiDDoS, FortiMail, FortiSandbox, and FortiWeb reports. In a Security Fabric 
ADOM, all reports are displayed.
You can configure and generate reports for these devices within their respective default ADOM or a Security Fabric 
ADOM. These devices also have device-specific charts and datasets.

Predefined reports, templates, charts, and macros

FortiAnalyzer includes a number of predefined elements you can use to create and/or build reports.

Predefined... GUI Location Purpose

Reports Reports > Report Definitions > All You can generate reports directly or with minimum 

Reports setting configurations. Predefined reports are actually 
report templates with basic default setting configurations.

Templates Reports > Report Definitions > You can use directly or build upon. Report templates 

Templates include charts and/or macros and specify the layout of 
the report. A template populates the Layout tab of a 
report that is to be created. See List of report templates 
on page 154.

FortiAnalyzer 6.4.4 Administration Guide 137

Fortinet Technologies Inc.
 Reports

Predefined... GUI Location Purpose

Charts Reports > Report Definitions > Chart You can use directly or build upon a report template you 

Library are creating, or in the Layout tab of a report that you are 
creating. Charts specify what data to extract from logs.

Macros Reports > Report Definitions > Macro You can use directly or build upon a report template that 

Library you are creating, or in the Layout tab of a report that you 
are creating. Macros specify what data to extract from 
logs.

Logs used for reports

Reports uses Analytics logs to generate reports. Archive logs are not used to generate reports. For more information, 
see Data policy and automatic deletion on page 23.
For reports about users, the FortiGate needs to populate the user field in the logs sent to FortiAnalyzer. 

How charts and macros extract data from logs

Reports include charts and/or macros. Each chart and macro is associated with a dataset. When you generate a report, 
the dataset associated with each chart and macro extracts data from the logs and populates the charts and macros. 
Each chart requires a specific log type.
FortiAnalyzer includes a number of predefined charts and macros. You can also create custom charts and macros.

How auto-cache works

When you generate a report, it can take days to assemble the required dataset and produce the report, depending on the 
required datasets. Instead of assembling datasets at the time of report generation, you can enable the auto-cache 
feature for the report.
Auto-cache is a setting that tells the system to automatically generate hcache. The hcache (hard cache) means that the 
cache stays on disk in the form of database tables instead of memory. Hcache is applied to “matured” database tables. 
When a database table rolls, it becomes “mature”, meaning the table will not grow anymore. Therefore, it is unnecessary 
to query this database table each time for the same SQL query, so hcache is used. Hcache runs queries on matured 
database tables in advance and caches the interim results of each query. When it is time to generate the report, much of 
the datasets are already assembled, and the system only needs to merge the results from hcaches. This reduces report 
generation time significantly.
The auto-cache process uses system resources to assemble and cache the datasets and it takes extra space to save 
the query results. You should only enable auto-cache for reports that require a long time to assemble datasets.

Generating reports

You can generate reports by using one of the predefined reports or by using a custom report that you created. You can 
find all the predefined reports and custom reports listed in Reports > Report Definitions > All Reports.

FortiAnalyzer 6.4.4 Administration Guide 138

Fortinet Technologies Inc.
 Reports

To generate a report:

 1. Go to Reports > Report Definitions > All Reports.

 2. In the content pane, select a report from the list.
 3. (Optional) Click Edit in the toolbar and edit settings on the Settings and Layout tabs. For a description of the fields in 
the Settings and Layout tabs, see Reports Settings tab on page 143 and Creating charts on page 157 and Macro 
library on page 161.
 4. In the toolbar, click Run Report.
Generated reports can be attached to incidents. See Adding reports to an incident on page 94.

Viewing completed reports

After you generate reports, you can view completed reports in Reports > Generated Reports or Reports > Report

Definitions > All Reports. You can view reports in the following formats: HTML, PDF, XML, and CSV.

To view completed reports in Generated Reports:

 1. Go to Reports > Generated Reports.   

This view shows all generated reports for the specified time period.
 2. To sort the report list by date, click Order by Time.To sort the report list by report name, click Order by Name.
 3. Locate the report and click the format in which you want to view the report to open the report in that format.   
For example, if you want to review the report in HTML format, click the HTML link.

To view completed reports in All Reports:

 1. Go to Reports > Report Definitions > All Reports.

 2. On the report list, double-click a report to open it.
 3. In the View Report tab, locate the report and click the format in which you want to view the report to open the report 
in that format.   
For example, if you want to review the report in HTML format, click the HTML link.

Enabling auto-cache

You can enable auto-cache to reduce report generation time for reports that require a long time to assemble datasets. 
For information about auto-cache and hcache, see How auto-cache works on page 138.
You can see the status of building the cache in Reports > Report Definitions > All Reports in the Cache Status column.

To enable auto-cache:

 1. Go to Reports > Report Definitions > All Reports.

 2. Select the report from the list, and click Edit in the toolbar.
 3. In the Settings tab, select the Enable Auto-cache checkbox.
 4. Click Apply.

FortiAnalyzer 6.4.4 Administration Guide 139

Fortinet Technologies Inc.
 Reports

Grouping reports

If you are running a large number of reports which are very similar, you can significantly improve report generation time 
by grouping the reports. Grouping reports has these advantages:
 l Reduce the number of hcache tables.
 l Improve auto-hcache completion time.
 l Improve report completion time.

Step 1: Configure report grouping

For example, to group reports with titles containing string Security_Report by device ID and VDOM, enter the 
following CLI commands:
config system report group
edit 0
set adom root
config group-by
edit devid
next
edit vd
next
end
set report-like Security_Report
next
end

Notes:
 l The report-like field specifies the string in report titles that is used for report grouping. This string is case-
sensitive.
 l The group-by value controls how cache tables are grouped.
 l To view report grouping information, enter the following CLI command, then check the Report Group column of the 
table that is displayed.   
execute sql-report list-schedule <ADOM>

Step 2: Initiate a rebuild of hcache tables

To initiate a rebuild of hcache tables, enter the following CLI command:
diagnose sql hcache rebuild-report <start-time> <end-time>

Where <start-time> and <end-time> are in the format: <yyyy-mm-dd hh:mm:ss>.

Retrieving report diagnostic logs

Once you start to run a report, FortiAnalyzer creates a log about the report generation status and system performance. 
Use this diagnostic log to troubleshoot report performance issues. For example, if your report is very slow to generate, 
you can use this log to check system performance and see which charts take the longest time to generate.
For information on how to interpret the report diagnostic log and troubleshoot report performance issues, see the 
FortiAnalyzer Report Performance Troubleshooting Guide.

FortiAnalyzer 6.4.4 Administration Guide 140

Fortinet Technologies Inc.
 Reports

To retrieve report generation logs:

 1. In Reports > Generated Report, right-click the report and select Retrieve Diagnostic to download the log to your 

computer.
 2. Use a text editor to open the log.

Auto-Generated Reports

The Cyber Threat Assessment report is automatically generated. By default, the report will run at 3:00AM every Monday. 

For more information on report scheduling, see Scheduling reports on page 141. 
Schedules can be viewed in the Report Calendar. See Report calendar on page 168.

This will only affect newly installed FortiAnalyzer or newly created ADOM. Upgraded ADOM 
reports, scheduling and calendar will be kept as is.

Scheduling reports

You can configure a report to generate on a regular schedule. Schedules can be viewed in the Report Calendar. See 
Report calendar on page 168.

To schedule a report:

 1. Go to Reports > Report Definitions > All Reports.

 2. Select a report and click Edit in the toolbar.
 3. Click Settings in the toolbar.
 4. Select the Enable Schedule checkbox and configure the schedule.
 5. Click Apply.

Creating reports

You can create reports from report templates, by cloning and editing predefined/existing reports, or start from scratch.

Creating reports from report templates

You can create a new report from a template. The template populates the Layout tab of the report. The template 
specifies what text, charts, and macros to use in the report and the layout of the content. Report templates do not contain 
any data. Data is added to the report when you generate the report.

To create a new report from a template:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to Reports > Report Definitions > All Reports.

FortiAnalyzer 6.4.4 Administration Guide 141

Fortinet Technologies Inc.
 Reports

 3. In the toolbar, click Create New. The Create Report dialog box opens.

 4. In the Name box, type a name for the new report. The following characters are NOT supported in report names: \ / " ' 
< > & , | # ? % $ +
 5. Select From Template for the Create from setting, then select a template from the dropdown list. The template 
populates the Layout tab of the report.
 6. Select the folder that the new report will be saved to from the dropdown list. See Organizing reports into folders on 
page 152 for information about folders.
 7. Select OK to create the new report.
 8. On the Settings tab, configure the settings as required. For a description of the fields, see Reports Settings tab on 
page 143.
 9. Optionally, go to the Layout tab to customize the report layout and content. For a description of the fields, see 
Reports Layout tab on page 147.
 10. Click Apply to save your changes.

Creating reports by cloning and editing

You can create reports by cloning and editing predefined and/or existing reports.

To create a report by cloning and editing:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to Reports > Report Definitions > All Reports.
 3. In the content pane, select the report from the list, then click Clone in the toolbar.
 4. In the Clone Report dialog box, type a name for the cloned report. The following characters are NOT supported in 
report names: \ / " ' < > & , | # ? % $ +
 5. Select the folder that the new report will be saved to from the dropdown list. See Organizing reports into folders on 
page 152 for information about folders.
 6. Select OK to create the new report.
 7. On the Settings tab, configure the settings as required. For a description of the fields, see Reports Settings tab on 
page 143.
 8. Optionally, go to the Layout tab to customize the report layout and content. For a description of the fields, see 
Reports Layout tab on page 147.
 9. Click Apply to save your changes.

FortiAnalyzer 6.4.4 Administration Guide 142

Fortinet Technologies Inc.
 Reports

Creating reports without using a template

To create a report without using a template:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to Reports > Report Definitions > All Reports.
 3. In the toolbar, click Create New. The Create New Report dialog box opens.
 4. In the Name box, type a name for the new report. The following characters are NOT supported in report names: \ / " ' 
< > & , | # ? % $ +
 5. Select the Blank option for the Create from setting.
 6. Select the folder that the new report will be saved to from the dropdown list. See Organizing reports into folders on 
page 152 for information about folders.
 7. Select OK to create the new report.
 8. On the Settings tab, you can specify a time period for the report, what device logs to include in the report, and so on. 
You can also add filters to the report, add a cover page to the report, and so on. For a description of the fields, see 
Reports Settings tab on page 143.   

To create a custom cover page, you must select Print Cover Page in the Advanced

Settings menu.

 9. On the Layout tab, you can specify the charts and macros to include in the report, as well as report content and 
layout.   
For a description of the fields, see Reports Layout tab on page 147.
For information about creating charts and macros, see Creating charts on page 157 and Creating macros on page 
161.
 10. Click Apply to save your changes.

Reports Settings tab

The following options are available in the Settings tab:

Field Description

Name The report name.

Time Period The time period the report covers. Select a time period or select Custom to manually 

specify the start and end date and time.

Devices The devices to include in the report. Select either All Devices or Specify to add specific 

devices. Select the add icon to select devices.

Subnets Select All Subnets to include all subnets, or select Specify to include/exclude subnets as a 

filter for this report.  See Creating a subnet list on page 89.

Type Select either Single Report (Group Report) or Multiple Reports (Per-Device).

This option is only available if multiple devices are selected.

Enable Schedule Select to enable report template schedules.

FortiAnalyzer 6.4.4 Administration Guide 143

Fortinet Technologies Inc.
Reports

Field Description

Enable Notification Select to enable notification to the selected output profile.

Enable Auto-Cache Select to assemble datasets before generating the report and as the data is available. 

This process uses system resources and is recommended only for reports that require 
days to assemble datasets. Disable this option for unused reports and for reports that 
require little time to assemble datasets.

Extended Log Enable to cache the following log fields for faster filtering.

Filtering  l Device ID
 l Source Endpoint ID
 l Source IP
 l Source  User ID
 l Destination IP

Generate PDF Report Select when the report is generated.

Every Enter a number for the frequency of the report based on the time period selected from the 
dropdown list.

Start time Enter a starting date and time for the file generation.

End time Enter an ending date and time for the file generation, or set it to never ending.

Enable Notification Select to enable report notification.

Output Profile Select the output profile from the dropdown list, or click Create New to create a new output 

profile. See Output profiles on page 165.

Filters section of Reports Settings tab

See Filtering report output on page 150.

Advanced Settings section of Reports Settings tab

The following options are available in the Advanced Settings section of the Settings tab.

Field Description

Language Select the report language.

Bundle rest into “Others” Select to bundle the uncategorized results into an Others category.

Print Orientation Set the print orientation to portrait or landscape.

Chart Heading Level Set the heading level for the chart heading.

Default Font Set the default font.

Hide # Column Select to hide the column numbers.

Layout Header Enter header text and select the header image. Accept the default Fortinet image  

or click Browse to select a different image.

FortiAnalyzer 6.4.4 Administration Guide 144

Fortinet Technologies Inc.
 Reports

Field Description

Layout Footer Select either the default footer or click Custom to enter custom footer text in the 

text field.

Print Cover Page Select to print the report cover page. Click Customize to customize the cover 

page. See Customizing report cover pages on page 145.

Print Table of Contents Select to include a table of contents.

Print Device List Select to print the device list. Select Compact, Count, or Detailed from the 

dropdown list.

Print Report Filters Select to print the filters applied to the report.

Obfuscate User Select to hide user information in the report.

Resolve Hostname Select to resolve hostnames in the report.

Allow Save Maximum Select a value between 1-10000 for the maximum number of reports to save.

Color Code The color used to identify the report on the calendar. Select a color code from the 

dropdown list to apply to the report schedule. Color options include: Bold Blue, 
Blue, Turquoise, Green, Bold Green, Yellow, Orange, Red, Bold Red, Purple, and 
Gray.

Customizing report cover pages

A report cover page is only included in the report when enabled on the Settings tab in the Advanced Settings section.
When enabled, the cover page can be customized to contain the desired information and imagery.

To customize a report cover page:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to Reports > Report Definitions > All Reports.
 3. In the content pane, select the report from the list, and click Edit in the toolbar.
 4. Select the Settings tab and then click Advanced Settings.
 5. Select the Print Cover Page checkbox, then click Customize next to the checkbox. The Edit Cover Page pane 
opens.   

FortiAnalyzer 6.4.4 Administration Guide 145

Fortinet Technologies Inc.
Reports

 6. Configure the following settings:   

Background Image Click Browse to open the Choose an Image dialog box.

Select an image or click Upload File to find an image on the management 
computer, then click OK to add the image as the background image of the 
cover page.

Top Image Click Browse to open the Choose an Image dialog box.

Select an image or click Upload File to find an image on the management 
computer, then click OK to add the image at the top of the cover page.

Top Image Position Select the top image position from the dropdown menu. Select one of the 

following: Left, Center, Right.

Text Color Select a text color from the dropdown list.

Show Creation Time Select to print the report date on the cover page.

Show Data Range Select to print the data range on the cover page.

Report Title Accept the default title or type another title in the Report Title field.

Custom Text 1 If you want, enter custom text for the Custom Text 1 field.

Custom Text 2 If you want, enter custom text for the Custom Text 2 field.

Bottom Image Click Browse to open the Choose an Image dialog box.

Select an image or click Upload File to find an image on the management 
computer, then click OK to add the image to the bottom of the cover page.

Footer Left Text If you want, enter custom text to be printed in the left footer of the cover page.

Footer Right Text If you want, enter custom text to be printed in the right footer of the cover page.

Footer Background Color Select the cover page footer background color from the dropdown list.

Reset to Default Select to reset the cover page settings to their default settings.

 7. Click OK to save the configurations and return to the Settings tab.

FortiAnalyzer 6.4.4 Administration Guide 146

Fortinet Technologies Inc.
 Reports

Reports Layout tab

Because the cut, copy, and paste functions need access to the clipboard of your operating 
system, some Internet browsers either block it when called from the layout editor toolbar, or 
ask you to explicitly agree to it. If you’re blocked from accessing the clipboard by clicking the 
respective cut, copy and paste buttons from the toolbar or context menu, you can always use 
keyboard shortcuts.

The following options are available in the Layout tab (layout editor):

Field Description

Insert Chart or Edit Chart Click to insert a FortiAnalyzer chart. Charts are associated with datasets that 

extract data from logs for the report.
In the Insert Chart or Chart Properties dialog box, you can specify a custom title, 
width, and filters for the chart. For information on setting filters, see Filtering report 
output on page 150.
You can edit a chart by right clicking  the chart in the layout editor and selecting 
Chart Properties or by clicking the chart to select it and then clicking Edit Chart.

Insert Macro Click to insert a FortiAnalyzer macro. Macros are associated with datasets that 

extract data from logs for the report.

Image Click the Image button in the toolbar to insert an image into the report layout. 
Right-click an existing image to edit image properties.

Table Click the Table button in the toolbar to insert a table into the report layout. Right-
click an existing table to edit a cell, row, column, table properties, or delete the 
table.

Insert Horizontal Line Click to insert a horizontal line.

Insert Page Break for Printing Click to insert a page break for printing.

Link Click the Link button in the toolbar to open the Link dialog box. You can select to 
insert a URL, a link to an anchor in the text, or an email address. Alternatively, use 
the CTRL+L keyboard shortcut to open the Link dialog box.

Anchor Click the Anchor button in the toolbar to insert an anchor in the report layout.

Cut To cut a text fragment, start with selecting it. When the text is selected, you can 
cut it using one of the following methods:
 l Click the cut button in the toolbar
 l Right-click and select cut in the menu
 l Use the CTRL+X shortcut on your keyboard.

Copy To cut a text fragment, start with selecting it. When the text is selected, you can 
cut it using one of the following methods:
 l Click the cut button in the toolbar
 l Right-click and select cut in the menu
 l Use the CTRL+C shortcut on your keyboard.

FortiAnalyzer 6.4.4 Administration Guide 147

Fortinet Technologies Inc.
Reports

Field Description

Paste To paste text, start with cutting or copying from another source. Depending on the 
security settings of your browser, you may either paste directly from the clipboard 
or use the Paste dialog box.

Paste as plain text Click Paste as plain text to paste formatted text without the formatting. If the 

browser blocks the editor toolbar’s access to clipboard, a Paste as Plain Text 
dialog box appears and you can paste the fragment into the text box using the 
CTRL+V keyboard shortcut.

Paste from Word You can preserve basic formatting when you paste a text fragment from Microsoft 

Word. To achieve this, copy the text in a Word document and paste it using one of 
the following methods:
 l Click the Paste from Word button in the toolbar
 l Use the CTRL+V shortcut on your keyboard.

Undo Click to undo the last action. Alternatively, use the CTRL+Z keyboard shortcut to 
perform the undo operation.

Redo Click to redo the last action. Alternatively, use the CTRL+Y keyboard shortcut to 
perform the redo operation.

Find Click to find text in the report layout editor. This dialog box includes the following 
elements:
 l Find what: Is the text field where you enter the word or phrase you want to 
find.
 l Match case: Checking this option limits the search operation to words whose 
case matches the spelling (uppercase and lowercase letters) given in the 
search field. This means the search becomes case-sensitive.
 l Match whole word: Checking this option limits the search operation to whole 
words.
 l Match cyclic: Checking this option means that after the editor reaches the 
end of the document, the search continues from the beginning of the text. 
This option is checked by default.

Replace Click to replace text in the report layout editor. This dialog box includes consists of 
the following elements:
 l Find what: Is the text field where you enter the word or phrase you want to 
find.
 l Replace with: Is the text field where you enter the word or phrase that will 
replace the search term in the document.
 l Match case: Checking this option limits the search operation to words whose 
case matches the spelling (uppercase and lowercase letters) given in the 
search field. This means the search becomes case-sensitive.
 l Match whole word: Checking this option limits the search operation to whole 
words.
 l Match cyclic: Checking this option means that after the editor reaches the 
end of the document, the search continues from the beginning of the text. 
This option is checked by default.

FortiAnalyzer 6.4.4 Administration Guide 148

Fortinet Technologies Inc.
Reports

Field Description

Save as Template Click to save the layout as a template.

Paragraph Format Select the paragraph format from the dropdown list. Select one of the following: 

Normal, Heading 1, Heading 2, Heading 3, Heading 4, Heading 5, Heading 6, 
Formatted, Address, or Normal (DIV).

Font Name Select the font from the dropdown list.

Font Size Select the font size from the dropdown list. Select a size ranging from 8 to 72.

Bold Select the text fragment and then click the Bold button in the toolbar. Alternatively, 
use the CTRL+B keyboard shortcut to apply bold formatting to a text fragment.

Italic Select the text fragment and then click the Italic button in the toolbar. Alternatively, 
use the CTRL+I keyboard shortcut to apply italics formatting to a text fragment.

Underline Select the text fragment and then click the Underline button in the toolbar. 
Alternatively, use the CTRL+U keyboard shortcut to apply underline formatting to 
a text fragment.

Strike Through Select the text fragment and then click the Strike Through button in the toolbar.

Subscript Select the text fragment and then click the Subscript button in the toolbar.

Superscript Select the text fragment and then click the Superscript button in the toolbar.

Text Color You can change the color of text in the report by using a color palette. To choose a 

color, select a text fragment, click the Text Color button in the toolbar, and select a 
color.

Background Color You can also change the color of the text background.

Insert/Remove Numbered List Click to insert or remove a numbered list.

Insert/Remove Bulleted List Click to insert or remove a bulleted list.

Decrease Indent To decrease the indentation of the element, click the Decrease Indent toolbar 

button. The indentation of a block-level element containing the cursor will 
decrease by one tabulator length.

Increase Indent To increase the indentation of the element, click the Increase Indent toolbar 

button. The block-level element containing the cursor will be indented with one 
tabulator length.

Block Quote Block quote is used for longer quotations that are distinguished from the main text 

by left and right indentation. It is recommended to use this type of formatting when 
the quoted text consists of several lines or at least 100 words.

Align Left When you align your text left, the paragraph is aligned with the left margin and the 

text is ragged on the right side. This is usually the default text alignment setting for 
the languages with left to right direction.

Center When you center your text, the paragraph is aligned symmetrically along the 
vertical axis and the text is ragged on the both sides. This setting is often used in 
titles or table cells.

FortiAnalyzer 6.4.4 Administration Guide 149

Fortinet Technologies Inc.
 Reports

Field Description

Align Right When you align your text right, the paragraph is aligned with the right margin and 

the text is ragged on the left side. This is usually the default text alignment setting 
for the languages with right to left direction.

Justify When you justify your text, the paragraph is aligned to both the left and right 
margins and the text is not ragged on either side..

Remove Format Click to remove formatting.

Filtering report output

You can apply log message filters to reports and charts.

To filter output in a report:

Click the Settings tab and scroll to the Filters section.

To filter output in a chart:

 1. Click the Layout tab.
 2. Filter a new or existing chart:
 l Click Insert Chart and scroll to the Filters section.
 l Right-click a chart in the layout and select Chart Properties. Scroll to the Filters section.
In the Filters section, the following options are available.

Field Description

Log messages that match Available in the Settings tab only.

Select All to filter log messages based on all of the added conditions, or select 
Any of the Following Conditions to filter log messages based on any one of the 
conditions.

Add Filter Click to add filters. For each filter, select the field, and operator from the dropdown 

lists, then enter or select the values as applicable.
Filters vary based on device type.

When adding a filter, keep the following considerations in mind:
 l The Settings and Layout tabs use the same Log Field list 
to filter output; however, some log fields are not used in 
charts. The Log Field you use to filter a report may not 
apply to the log fields in a chart.
 l The Value field is case sensitive.

LDAP Query Available in the Settings tab only.

Click to add an LDAP query, then select the LDAP Server and the Case Change 
value from the dropdown lists.

FortiAnalyzer 6.4.4 Administration Guide 150

Fortinet Technologies Inc.
Reports

Field Description

Use this option to query an LDAP server for group membership. The results of this 
query is used to filter the report to only match logs for users belonging to that 
group.
You must specify the group name in the filter definition.
If you enable LDAP Query, the group name is not used to match the group field in 
logs. The group name is only used for the LDAP query to determine group 
membership.   

The query will not retrieve the userPrincicpalName if the 
Distinguished Name in the System Settings does not contain 
an organization unit (ou). To retrieve the UPN, add the 
Distinguished Name as it appears in the System Settings to 
your query.

If both chart and report filters are selected for the same report, the chart filter will be used 
instead of the report filter.

Managing reports

You can manage reports by going to Reports > Report Definitions > All Reports. Some options are available as buttons 

on the toolbar. Some options are available in the right-click menu. Right-click a report to display the menu.

Option Description

Create New Creates a new report. You can choose whether to base the new report on a report 

template.

Edit Edits the selected report.

Delete Deletes the selected report.

Clone Clones the selected report.

Run report Generates a report.

Folder Organizes reports into folders.

Import Imports a report from a management computer.

Export Exports a report to a management computer.

Show Scheduled Only Filters the list to include only reports that have been run or are scheduled to be 

run.

FortiAnalyzer 6.4.4 Administration Guide 151

Fortinet Technologies Inc.
 Reports

Organizing reports into folders

You can create folders to organize reports.

To organize reports into folders:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to Reports > Report Definitions > All Reports.
 3. Click Folder in the toolbar, and select Create New Folder.
 4. Specify the folder name and location and click OK. The folder is now displayed in the report list.
You can now create, clone, or import reports into this folder.

Importing and exporting reports

You can transport a report between FortiAnalyzer units. You can export a report from the FortiAnalyzer unit to the 
management computer. The report is saved as a .dat file on the management computer. You can then import the report 
file to another FortiAnalyzer unit.

Exporting reports only exports the report layout, charts, datasets, and images. Other report 
configurations are not exported.

To export reports:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to Reports > Report Definitions > All Reports.
 3. In the content pane, select a report, and select More > Export in the toolbar to save the file to the management 
computer.

To import reports:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to Reports > Report Definitions > All Reports.
 3. In the content pane, click More > Import in the toolbar. The Import Report dialog box opens.
 4. Drag and drop the report file onto the dialog box, or click Browse and locate the file to be imported on your local 
computer.
 5. Select a folder to save the report to from the dropdown list.
 6. Click OK to import the report.

FortiAnalyzer 6.4.4 Administration Guide 152

Fortinet Technologies Inc.
 Reports

Report template library

Because the cut, copy, and paste functions need access to the clipboard of your operating 
system, some Internet browsers either block it when called from the layout editor toolbar, or 
ask you to explicitly agree to it. If you’re blocked from accessing the clipboard by clicking the 
respective cut, copy and paste buttons from the toolbar or context menu, you can always use 
keyboard shortcuts.

A report template defines the charts and macros that are in the report, as well as the layout of the content.
You can use the following items to create a report template:
 l Text
 l Images
 l Tables
 l Charts that reference datasets
 l Macros that reference datasets
Datasets for charts and macros specify what data are used from the Analytics logs when you generate the report. You 
can also create custom charts and macros for use in report templates.

Creating report templates

You can create a report template by saving a report as a template or by creating a totally new template.

To create a report template:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to the Reports > Report Definitions> Templates.
 3. In the toolbar of the content pane, click Create New.
 4. Set the following options:   
 a. Name.
 b. Description.
 c. Category. If you are in a Security Fabric ADOM, the Category must be SecurityFabric.
 d. Language.
 5. Use the toolbar to insert and format text and graphics for the template. In particular, use the Insert Chart and Insert
Macro buttons to insert charts and macros into the template.   
For a description of the fields, see Reports Layout tab on page 147. For information about creating charts and 
macros, see Creating charts on page 157 and Creating macros on page 161.
 6. Click OK.   
The new template is now displayed on the template list.

To create a report template by saving a report:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to Reports > Report Definitions > All Reports.
 3. In the content pane, select the report from the list, and click Edit in the toolbar.

FortiAnalyzer 6.4.4 Administration Guide 153

Fortinet Technologies Inc.
 Reports

 4. In the Layout tab, click the Save As Template button in the toolbar.

 5. In the Save as Template dialog box, set the following options, and click OK:   
 a. Name.
 b. Description.
 c. Category. If you are in a Security Fabric ADOM, the Category must be SecurityFabric.
The new template is now displayed on the template list.

Viewing sample reports for predefined report templates

You can view sample reports for predefined report templates to help you visualize how the reports would look.

To view sample reports:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to the Reports > Report Definitions > Templates.
 3. In the content pane, click the HTML or PDF link in the Preview column of a template to view a sample report based 
on the template.

Managing report templates

You can manage report templates in Reports > Report Definitions> Templates. Some options are available as buttons 

on the toolbar. Some options are available in the right-click menu. Right-click a template to display the menu.

Option Description

Create New Creates a new report template

Edit Edits a report template. You can edit report templates that you created. You 
cannot edit predefined report templates.

View Displays the settings for the predefined report template. You can copy elements 
from the report template to the clipboard, but you cannot edit a predefined report 
template.

Delete Deletes the selected report template. You cannot delete predefined report 
templates.

Clone Clones the selected report template.

Create Report Creates the selected report template.

Install Template Pack Upload and install a template pack.

List of report templates

FortiAnalyzer includes report templates you can use as is or build upon when you create a new report. FortiAnalyzer 
provide different templates for different devices.
You can find report templates in Reports > Report Definitions > Templates.

FortiAnalyzer 6.4.4 Administration Guide 154

Fortinet Technologies Inc.
Reports

Application templates

Template - Application Risk and Control Template - Self-Harm and Risk Indicators Report

Template - Bandwidth and Applications Report Template - Social Media Usage Report

Template - Cyber-Bullying Indicators Report Template - Top 20 Categories and Applications 
(Bandwidth)

Template - Detailed Application Usage and Risk Template - Top 20 Categories and Applications (Session)

Template - High Bandwidth Application Usage Report Template - Top Allowed and Blocked with Timestamps

Template - SaaS Application Usage Report  

Security templates

Template - 360-Degree Security Review Template - Security Events and Incidents Summary

Template - Cyber Threat Assessment Template - Situation Awareness Report

Template - Data Loss Prevention Detailed Report Template - Threat Report

Template - Email Report Template - VPN Report

Template - IPS Report Template - Web Usage Report

Template - PCI-DSS Compliance Review Template - What is New Report

Template - SOC Incident Report Template - WiFi Network Summary

Template - Security Analysis Template - Wireless PCI Compliance

System templates

Template - 360 Protection Report Template - GTP Report

Template - Admin and System Events Report Template - Secure SD-WAN Assessment Report

Template - DNS Report Template - Secure SD-WAN Report

Template - FortiGate Performance Statistics Report Template - Throughput Utilization Billing Report

User templates

Template - Client Reputation

Template - User Detailed Browsing Log

Template - User Security Analysis

Template - User Top 500 Websites by Bandwidth

Template - User Top 500 Websites by Session

FortiAnalyzer 6.4.4 Administration Guide 155

Fortinet Technologies Inc.
Reports

Web templates

Template - Hourly Website Hits

Template - Top 20 Category and Websites (Bandwidth)

Template - Top 20 Category and Websites (Session)

Template - Top 500 Sessions by Bandwidth

FortiCache report templates

Template - FortiCache Default Report

Template - FortiCache Security Analysis

Template - FortiCache Web Usage Report

FortiClient report templates

Template - FortiClient Default Report

Template - FortiClient Vulnerability Scan Report

FortiDDoS report templates

Template - FortiDDoS Default Report

FortiMail report templates

Template - FortiMail Analysis Report

Template - FortiMail Default Report

FortiProxy report templates

Template - FortiProxy Default Report

Template - FortiProxy Security Analysis

Template - FortiProxy Web Usage Report

FortiSandbox report templates

Template - Endpoint Sandbox Detections Report

FortiAnalyzer 6.4.4 Administration Guide 156

Fortinet Technologies Inc.
 Reports

Template - FortiSandbox Default Report

FortiWeb report templates

Template - FortiWeb Default Report

Template - FortiWeb Web Application Analysis Report

Fabric report templates

Template - Fortinet Email Risk Assessment

Chart library

Use the Chart library to create, edit, and manage your charts.
In a Security Fabric ADOM, you can insert charts from all device types into a single report.

Creating charts

You can also create charts using the Log View Chart Builder. See Creating charts with Chart 
Builder on page 57.

To create charts:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to Reports > Report Definitions > Chart Library.

FortiAnalyzer 6.4.4 Administration Guide 157

Fortinet Technologies Inc.
Reports

 3. Click Create New in the toolbar.

 4. Configure the settings for the new chart, the click OK.

Name Enter a name for the chart.

Description Enter a description of the chart.

Dataset Select a dataset from the dropdown list. For more information, see Datasets 
on page 162. Options vary based on device type.

Resolve Hostname Select to resolve the hostname. Select one of the following: Inherit, Enabled, 

or Disabled.

Chart Type Select a graph type from the dropdown list; one of: Table, Bar, Pie, Line, Area, 

Donut, or Radar. This selection affects the rest of the available selections.

Data Bindings The data bindings vary depending on the chart type selected.

Table

Table Type Select Regular, Ranked, or Drilldown.

Add Column Select to add a column. Up to 15 columns can be added for a Regular table.

Ranked tables have two columns, and Drilldown tables have three columns.

Columns The following column settings must be set:
 l Column Title: Enter a title for the column.
 l Width: Enter the column width as a percentage.
 l Data Binding: Select a value from the dropdown list. The options vary 
depending on the selected dataset.
 l Format: Select a value from the dropdown list.
 l Add Data Binding: Add data bindings to the column. Every column must 
have at least one data binding. The maximum number varies depending 
on the table type.

Order By Select what to order the table by. The available options vary depending on the 
selected dataset.

FortiAnalyzer 6.4.4 Administration Guide 158

Fortinet Technologies Inc.
Reports

Show Top Enter a numerical value. Only the first ‘X’ items are displayed. Other items can 

be bundled into the Others category for Ranked and Drilldown tables.

Drilldown Enter a numerical value. Only the first ‘X’ items are displayed. This options is 
Top only available for Drilldown tables.

Bar

X-Axis  l Data Binding: Select a value from the dropdown list. The available options 

vary depending on the selected dataset.
 l Label: Enter a label for the axis.
 l Show Top: Enter a numerical value. Only the first ‘X’ items are displayed. 
Other items are bundled into the Others category.

Y-axis  l Data Binding: Select a value from the dropdown list. The available options 

vary depending on the selected dataset.
 l Format: Select a format from the dropdown list: Bandwidth, Counter, 
Default, Percentage, or Severity.
 l Label: Enter a label for the axis.

Bundle rest Select to bundle the rest of the results into an Others category.

into "Others"

Group By  l Data Binding: Select a value from the dropdown list. The available options 

vary depending on the selected dataset.
 l Show Top: Enter a numerical value. Only the first ‘X’ items are displayed. 
Other items can be bundled into the Others category.

Order By Select to order by the X-Axis or Y-Axis.

Pie, Donut, or Radar

Category  l Data Binding: Select a value from the dropdown list. The available options 

vary depending on the selected dataset.
 l Label: Enter a label for the axis.
 l Show Top: Enter a numerical value. Only the first ‘X’ items are displayed. 
Other items can be bundled into the Others category.

Series  l Data Binding: Select a value from the dropdown list. The available options 

vary depending on the selected dataset.
 l Format: Select a format from the dropdown list: Bandwidth, Counter, 
Default, Percentage, or Severity.
 l Label: Enter a label for the axis.

Bundle rest Select to bundle the rest of the results into an Others category.

into "Others"

Line or Area

X-Axis  l Data Binding: Select a value from the dropdown list. The available options 

vary depending on the selected dataset.
 l Format: Select a format from the dropdown list: Default, or Time.
 l Label: Enter a label for the axis.

Lines  l Data Binding: Select a value from the dropdown list. The available options 

FortiAnalyzer 6.4.4 Administration Guide 159

Fortinet Technologies Inc.
 Reports

vary depending on the selected dataset.
 l Format: Select a format from the dropdown list: Bandwidth, Counter, 
Default, Percentage, or Severity.
 l Type: Select the type from the dropdown list: Line Up or Line Down.
 l Legend: Enter the legend text for the line.

Add line Select to add more lines.

Managing charts

Manage your charts in Reports > Report Definitions > Chart Library. Some options are available as buttons on the 

toolbar. Some options are available in the right-click menu. Right-click a chart to display the menu.

Option Description

Create New Creates a new chart.

Edit Edits a chart. You can edit charts that you created. You cannot edit predefined 
charts.

View Displays the settings for the selected predefined chart. You cannot edit a 
predefined chart.

Delete Deletes the selected chart. You can delete charts that you create. You cannot 
delete predefined charts.

Clone Clones the selected chart.

Import Imports a previously exported FortiAnalyzer chart.

Export Exports one or more FortiAnalyzer charts.

Show Predefined Displays the predefined charts.

Show Custom Displays the custom charts.

Search Lets you search for a chart name.

Viewing datasets associated with charts

To view datasets associated with charts:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to Reports > Report Definitions > Chart Library.
 3. Select a chart, and click View in the toolbar.
 4. In the View Chart pane, find the name of the dataset associated with the chart in the Dataset field.
 5. Go to Reports > Report Definitions > Datasets.
 6. In the Search box, type the name of the dataset.
 7. Select the dataset that is found, and click View in the toolbar to view it.

FortiAnalyzer 6.4.4 Administration Guide 160

Fortinet Technologies Inc.
 Reports

Macro library

Use the Macro library to create, edit, and manage your macros.

Creating macros

FortiAnalyzer includes a number of predefined macros. You can also create new macros, or clone and edit existing 
macros.
Macros are predefined to use specific datasets and queries. They are organized into categories, and can be added to, 
removed from, and organized in reports.

Macros are currently supported in FortiGate and FortiCarrier ADOMs only.

To create a new macro:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to Reports > Report Definitions > Macro Library, and click Create New. The Create Macro pane is displayed.

 3. Provide the required information for the new macro.   

Name Enter a name for the macro.

Description Enter a description of the macro.

Dataset Select a dataset from the dropdown list.The options will vary based on device 
type.

Query Displays the query statement for the dataset selected.

Data Binding The data bindings vary depending on the dataset selected. Select a data 

binding from the dropdown list.

Display Select a value from the dropdown list.

 4. Click OK. The newly created macro is shown in the Macro library.

FortiAnalyzer 6.4.4 Administration Guide 161

Fortinet Technologies Inc.
 Reports

Managing macros

You can manage macros by Reports > Report Definitions > Macro Library. Some options are available as buttons on the 

toolbar. Some options are available in the right-click menu. Right-click a macro to display the menu.

Option Description

Create New Creates a new macro.

Edit Edits the selected macro. You can edit macros that you created. You cannot edit 
predefined macros.

View Displays the settings for the selected macro. You cannot edit a predefined macro.

Delete Deletes the selected macro. You can delete macros that you create. You cannot 
delete predefined macros.

Clone Clones the selected macro.

Show Predefined Displays the predefined macros.

Show Custom Displays the custom macros.

Search Lets you search for a macro name.

Viewing datasets associated with macros

To view datasets associated with macros:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to Reports > Report Definitions> Macro Library.
 3. Select a macro, and click View (for predefined macros) or Edit (for custom macros) in the toolbar.
 4. In the View Macro or Edit Macro pane, find the name of the dataset associated with the macro in the Dataset field.
 5. Go to Reports > Report Definitions> Datasets.
 6. In the Search box, type the name of the dataset.
 7. Double-click the dataset to view it.

Datasets

Use the Datasets pane to create, edit, and manage your datasets.

Creating datasets

FortiAnalyzer datasets are collections of data from logs for monitored devices. Charts and macros reference datasets. 
When you generate a report, the datasets populate the charts and macros to provide data for the report.
FortiAnalyzer has many predefined datasets that you can use right away. You can also create your own custom 
datasets.

FortiAnalyzer 6.4.4 Administration Guide 162

Fortinet Technologies Inc.
Reports

To create a new dataset:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to Reports > Report Definitions > Datasets, and click Create New.
 3. Provide the required information for the new dataset.

Name Enter a name for the dataset.

Log Type Select a log type from the dropdown list. Below is a list of the available log 

types based on device.
 l FortiGate: Appevent, Intrusion Prevention, Content Log, Data Leak
Prevention, DNS, Email Filter, Event, FortiClient Event, FortiClient
Vulnerability Scan, FortiClient Traffic, File Filter, GTP, Vulnerability Scan, 
Protocol, SSH, SSL, Traffic, Virus, VoIP, Web Application Firewall, Web
Filter, and Local Event.
 l FortiMail: Email Filter, Event, History, and Virus.
 l FortiWeb: Intrusion Prevention, Event, and Traffic.
 l FortiAnalyer: Appevent, Event, and Local Event.
 l FortiCache: Intrusion Prevention, Content Log, Data Leak Prevention, 
DNS, Email Filter, Event, File Filter, Vulnerability Scan, Protocol, SSH, 
SSL, Traffic, Virus, VoIP, and Web Filter.
 l FortiClient: FortiClient Event, FortiClient Vulnerability Scan, FortiClient
Traffic.
 l Syslog: Generic.
 l FortiManager: Appevent and Event.
 l FortiSandbox: Event, Vulnerability Scan, and Virus.
 l FortiDDoS: Intrusion Prevention and Event.
 l FortiAuthenticator: Event.
 l FortiProxy: Appevent, Intrusion Prevention, Content Log, Data Leak
Prevention, DNS, Email Filter, Event, File Filter, Vulnerability Scan, 
Protocol, SSH, SSL, Traffic, Virus, VoIP, and Web Filter.
 l FortiNAC: Asset and Event.
 l FortiDeceptor: Event.
 l SIEM: Normalized.

Query Enter the SQL query used for the dataset. An easy way to build a custom 
query is to copy and modify a predefined dataset's query.

Variables Click the Add button to add variable, expression, and description information.

Test query with specified devices and time period

  Time Period Use the dropdown list to select a time period. When selecting Custom, enter 

the start date and time, and the end date and time.

  Devices Select All Devices or Specify to select specific devices to run the SQL query 

against. Click the Select Device button to add multiple devices to the query.

  Test Click to test the SQL query before saving the dataset configuration.

 4. Click Test.
The query results are displayed. If the query is not successful, an error message appears in the Test Result pane.
 5. Click OK.

FortiAnalyzer 6.4.4 Administration Guide 163

Fortinet Technologies Inc.
 Reports

Viewing the SQL query of an existing dataset

You can view the SQL query for a dataset, and test the query against specific devices or all devices.

To view the SQL query for an existing dataset:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to Reports > Report Definitions > Datasets.
 3. Hover the mouse cursor over the dataset on the dataset list. The SQL query is displayed as a tooltip.   
You can also  open the dataset to view the Query field.

The SQL dataset test function can be used to determine if any errors are present in the 
SQL format. It should not be used to test returned values as those may be different than the 
ones used in reports.

SQL query functions

In addition to standard SQL queries, the following are some SQL functions specific to FortiAnalyzer. These are based on 
standard SQL functions.

root_domain(hostname) The root domain of the FQDN. An example of using this function is:
select devid, root_domain(hostname) as website FROM $log
WHERE'user'='USER01' GROUP BY devid, hostname ORDER BY
hostname LIMIT 7
nullifna(expression) This is the inverse operation of coalesce that you can use to filter out n/a 
values. This function takes an expression as an argument. The actual SQL syntax 
this is base on is select nullif(nullif(expression, 'N/A'),
'n/a').
In the following example, if the user is n/a, the source IP is returned, otherwise the 
username is returned.
select coalesce(nullifna('user'), nullifna('srcip')) as user_
src, coalesce(nullifna(root_domain(hostname)),'unknown')
as domain FROM $log WHERE dstport='80' GROUP BY user_src,
domain ORDER BY user_src LIMIT 7
email_domain email_domain returns the text after the @ symbol in an email address. email_
email_user user returns the text before the @ symbol in an email address. An example of 
using this function is:
select 'from' as source, email_user('from') as e_user, email_
domain('from') as e_domain FROM $log LIMIT 5 OFFSET 10
from_dtime from_dtime(bigint) returns the device timestamp without time zone. from_
from_itime itime(bigint) returns FortiAnalyzer’s timestamp without time zone. An 
example of using this function is:
select itime, from_itime(itime) as faz_local_time, dtime,
from_dtime(dtime) as dev_local_time FROM $log LIMIT 3

FortiAnalyzer 6.4.4 Administration Guide 164

Fortinet Technologies Inc.
 Reports

Managing datasets

You can manage datasets by going to Reports > Report Definitions > Datasets. Some options are available as buttons 

on the toolbar. Some options are available in the right-click menu. Right-click a dataset to display the menu.

Option Description

Create New Creates a new dataset.

Edit Edits the selected dataset. You can edit datasets that you created. You cannot 
edit predefined datasets.

View Displays the settings for the selected dataset. You cannot edit predefined 
datasets.

Delete Deletes the selected dataset. You can delete datasets that you create. You 
cannot delete predefined datasets.

Clone Clones the selected dataset. You can edit cloned datasets.

Validate Validate selected datasets.

Validate All Custom Validates all custom datasets.

Search Lets you search for a dataset name.

Output profiles

Output profiles allow you to define email addresses to which generated reports are sent and provide an option to upload 
the reports to FTP, SFTP, or SCP servers. Once created, an output profile can be specified for a report.

Creating output profiles

You must configure a mail server before you can configure an output profile. See Mail Server 
on page 246.

To create output profiles:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to Reports > Advanced > Output Profile.

FortiAnalyzer 6.4.4 Administration Guide 165

Fortinet Technologies Inc.
 Reports

 3. Click Create New. The Create Output Profile pane is displayed.

 4. Provide the following information, and click OK:

Name Enter a name for the new output profile.

Comments Enter a comment about the output profile (optional).

Output Format Select the format or formats for the generated report. You can choose PDF, 

HTML, XML, or CSV format.

Email Generated Reports Enable emailing of generated reports.

Subject Enter a subject for the report email.

Body Enter body text for the report email.

Recipients Select the email server from the dropdown list and enter to and from email 
addresses. Click Add to add another entry so that you can specify multiple 
recipients.

Upload Report to Server Enable uploading of generated reports to a server.

Server Type Select FTP, SFTP, or SCP from the dropdown list.

Server Enter the server IP address.

User Enter the username.

Password Enter the password.

Directory Specify the directory where the report will be saved.

Delete file(s) after Select to delete the generated report after it has been uploaded to the selected 

uploading server.

Managing output profiles

You can manage output profiles by going to Reports > Advanced > Output Profile. Some options are available as buttons 

on the toolbar. Some options are available in the right-click menu. Right-click an output profile to display the menu.

FortiAnalyzer 6.4.4 Administration Guide 166

Fortinet Technologies Inc.
 Reports

Option Description

Create New Creates a new output profile.

Edit Edits the selected output profile.

Delete Deletes the selected output profile.

Report languages

You can specify the language of reports when creating a report.

Exporting and modifying a language

You can export a language and modify it to create a different language or modify the text in a predefined language.
One way to create a new language is to export a predefined language, modify the text to a different language, save the 
file as a different language name, and import it back into FortiAnalyzer. The file name must be one of the languages in 
the Advanced Settings section of the Reports Settings tab > Language dropdown list. See Advanced Settings section of 
Reports Settings tab on page 144.
If you want to modify a predefined language, export the predefined language, modify the text, and import it back into 
FortiAnalyzer.

To export and modify a language:

 1. Go to Reports > Advanced > Language.

 2. Select a language and click Export. The language is exported as a zip file into your default downloads folder.
 3. Extract the zip file and use a text editor to modify it.
 4. Change the text after the equal sign (=) to a different language or text.
 5. Zip the modified file. The file name must be one of the languages in the Advanced Settings section of the Reports 
Settings tab > Language dropdown list. See Advanced Settings section of Reports Settings tab on page 144.
The new language file is ready to be imported into FortiAnalyzer.

Importing a language

To import a language:

 1. Go to Reports > Advanced > Language.

 2. Click Import and locate the language file.
The language file must be a zip file with only one language file in it. Both the language file name and zip file name 
must be one of the language names in the Advanced Settings section of the Reports Settings tab > Language 
dropdown list. See Advanced Settings section of Reports Settings tab on page 144.
 3. Import the language zip file.
In Reports > Advanced > Language, you can select this language when you create or run reports.

FortiAnalyzer 6.4.4 Administration Guide 167

Fortinet Technologies Inc.
 Reports

Report calendar

You can use the report calendar to view all the reports that are scheduled for the selected month. You can edit or disable 
upcoming report schedules, as well as delete or download completed reports.

Viewing all scheduled reports

To view all scheduled reports:

 1. If using ADOMs, ensure that you are in the correct ADOM.
 2. Go to Reports > Advanced > Report Calendar.

 3. Hover the mouse cursor over a calendar entry to display the name, status, and device type of the scheduled report.
 4. Click a generated report to download it.
 5. Click a scheduled report to go to the Settings tab of the report.
 6. Click the left or right arrow at the top of the Report Calendar pane to change the month that is displayed. Click Today 
to return to the current month.

Managing report schedules

You can manage report schedules in Reports > Advanced > Report Calendar.

To edit a report schedule:

 1. In Report Calendar, right-click an upcoming calendar entry, and select Edit.

 2. In the Settings tab of the report that opens, edit the corresponding report schedule.

FortiAnalyzer 6.4.4 Administration Guide 168

Fortinet Technologies Inc.
Reports

To disable a report schedule:

In Report Calendar, right-click an upcoming calendar entry, and select Disable. All scheduled instances of the report are 
removed from the report calendar. Completed reports remain in the report calendar.

To delete or download a completed report:

In Report Calendar, right-click a past calendar entry, and select Delete or Download. The corresponding completed 
report will be deleted or downloaded.

You can only delete or download scheduled reports that have a Finished status. You cannot 
delete scheduled reports with a Pending status.

FortiAnalyzer 6.4.4 Administration Guide 169

Fortinet Technologies Inc.
 FortiRecorder

FortiRecorder

The FortiRecorder module allows you to set up, manage, and view cameras directly through the FortiAnalyzer GUI. 
Cameras can be set to record continuously and/or when motion is detected. Recorded video is stored in the root storage 
of the FortiAnalyzer device, however, it can be accessed from other ADOMs.
FortiRecorder includes three panes:
 l Camera Manager: Allows you to configure devices, profiles, and schedules.
 l Monitor: Allows you to view streaming and recorded video from configured devices.
 l Face Recognition: Allows you identify faces captured by the device and create profiles.

When upgrading from FortiAnalyzer 6.2.0 to 6.2.1 and later, previously enabled cameras are 
disabled until a new camera key has been created. Once  created, cameras can be re-enabled. 
See Creating a camera key on page 170.

The FortiRecorder module and its features are only available in select FortiAnalyzer 
appliances and is disabled by default. See Enabling and disabling FortiRecorder on page 184.

Third-party cameras are not supported in the FortiRecorder module. For a list of supported 
cameras, see the FortiAnalyzer Release Notes.

Configuring cameras in the Camera Manager

In the Camera Manager pane, you can set up and manage the cameras connected to the FortiAnalyzer FortiRecorder 
module. 
This section includes the following topics:
 l Creating a camera key on page 170
 l Setting up a camera on page 171
 l Configuring camera profiles on page 171
 l Configuring video profiles on page 174
 l Creating and editing camera schedules on page 175
 l Assigning camera schedules to a profile on page 175
 l Enabling motion detection on page 177

Creating a camera key

In order to enable cameras in the  FortiRecorder module, a camera key must be created. 

FortiAnalyzer 6.4.4 Administration Guide 170

Fortinet Technologies Inc.
 FortiRecorder

Camera keys are used by FortiAnalyzer to generate camera admin and operator passwords.
Only one camera key is required per FortiAnalyzer.

To set a camera key in the CLI:

config fortirecorder global

set camera key
end

Setting up a camera

New cameras automatically detected by FortiAnalyzer will appear in the FortiRecorder > Camera dashboard.

In order for FortiAnalyzer to detect cameras automatically, the cameras must be:
 l Assigned a DHCP address through a connected FortiGate.
 l Connected with Power over Ethernet (PoE) to the FortiAnalyzer.
If a DHCP server is not available, cameras can also be set up with a static IP address through the Create New menu in 
the Camera dashboard.
A camera key must be set before cameras can be activated in FortiAnalyzer. See Creating a camera key on page 170.

To activate a camera detected by the FortiAnalyzer:

 1. Go to FortiRecorder > Camera Manager > Camera.

 2. Select the Unauthorized filter.
 3. Right-click a detected camera and select Authorize.
The Edit Camera Device menu will open.
 4. Configure the camera settings, then select OK. 
Camera settings will vary depending on the model of camera detected. For information on the individual camera 
settings, see the FortiRecorder Administration Guide.
 5. Once successfully authorized, the camera will be enabled.

If a camera fails to connect, it will be displayed with an error icon. Right-click the device to 
Disable it and then attempt to Enable it again. This will reload the default settings for the device 
and may correct issues which are preventing it from connecting successfully.

In a HA configuration, FortiRecorder devices should only be configured on the FortiAnalyzer 
device on which they were set up. When attempting to modify a camera being managed by 
another device, a warning message will be displayed.

Configuring camera profiles

Camera profiles define which video profile, schedules, recording types, and storage options are set for each camera. 
You can modify the default camera profiles, create new profiles, or clone an existing profile in the Camera Profile 
dashboard.

FortiAnalyzer 6.4.4 Administration Guide 171

Fortinet Technologies Inc.
FortiRecorder

To create or edit a camera profile:

 1. Go to FortiRecorder > Camera Manager > Camera Profile.

 2. Click Create New or select an existing camera profile and click Edit.

FortiAnalyzer 6.4.4 Administration Guide 172

Fortinet Technologies Inc.
FortiRecorder

 3. Configure the following information:

Name Enter a name to identify the camera profile.

Video Profiles  

Recording profile Select a video profile from the dropdown list to set the resolution, frames per 

second, video codec, bitrate, quality, and audio of the recorded video. See 
Configuring video profiles on page 174.

Viewing profile Select a video profile from the dropdown list to set the resolution, frames per 

second, video codec, bitrate, quality, and audio of the streaming video. See 
Configuring video profiles on page 174.

Schedule By default, the schedule is set to Always. 
New schedules can initially only be added through the FortiAnalyzer CLI. See 
Assigning camera schedules to a profile on page 175.

Recording & Detection  

Settings

Recording type Select the recording type(s). 

 l Continuous: Records video for the entire duration of the schedule, 
regardless of movement.
 l Motion detection: Records a video clip  each time the camera's sensor 
detects movement.
See Enabling motion detection on page 177.

Schedule By default, the schedule is set as Always. 
New schedules can initially only be added through the FortiAnalyzer CLI. See 
Assigning camera schedules to a profile on page 175.

Storage Options  

Continuous Select the storage options for continuous recordings:
recordings  l Keep until overwritten: Retain video until all available disk space is nearly 
full. The oldest video will be overwritten.
 l Delete: Remove video when it exceeds the specified maximum age. Note 
that if the disk is full before the maximum age is reached, the oldest video 
will still be overwritten.

Detection Select the storage options for detection recordings:
recordings  l Keep until overwritten: Retain video until all available disk space is nearly 
full. The oldest video will be overwritten.
 l Delete: Remove video when it exceeds the specified maximum age. Note 
that if the disk is full before the maximum age is reached, the oldest video 
will still be overwritten.
 l Use continuous recordings if available: If a recording of the detected 
event is already stored as a continuous recording, the detection recording 
will not be saved to avoid duplication.

 4. Select OK. 

FortiAnalyzer 6.4.4 Administration Guide 173

Fortinet Technologies Inc.
 FortiRecorder

Configuring video profiles

By default, there are three video profiles.
 l low-resolution
 l med-resolution
 l high-resolution
The default video profiles can be customized, and new profiles can be created.

To create or edit a video profile:

 1. Go to FortiRecorder > Camera Manager > Video Profile.

 2. Click Create New or select an existing video profile and click Edit.
 3. Configure the following information:

Name Enter a name to identify the video profile.

Video codec Select a video codec from Default, H.264 AVC, and H.265 HEVC.

Resolution Select the amount of detail in the image from the dropdown menu.
Lower resolutions feature less detail but are faster to transmit. 
Higher resolutions produce a clearer image but require more bandwidth. A 
higher resolution is preferable if the camera is recording a large space, such 
as a parking lot, where small details like faces and license plates could be 
important.
Note: Resolution greatly impacts performance, bandwidth, and the rate at 
which the disk space is consumed.

Frames per second Type the number of frames per second (FPS).

Conventional video is 24 frames per second. More frames per second may be 
useful if you need to record very fast motion, but increasing FPS will also 
increase disk usage and CPU usage.

Bitrate mode Select a bitrate:

 l Variable: Automatically adjust the stream to the minimum bitrate required 
by the current video frames while maintaining video quality.
 l Fixed: Manually specify a constant bitrate. 
Specifying a bitrate that is too low may result in poor quality.
Specifying a bitrate that is too high may needlessly consume extra 
bandwidth.

Bitrate Type the bitrate that will be used.
This setting appears and is applicable only if the Bitrate mode is Fixed.

Quality Select the video quality from Extra Low, Low, Normal, High, and Extra High.

Audio enable Toggle to enable or disable audio in the video stream or recording.

 4. Select OK.   

FortiAnalyzer 6.4.4 Administration Guide 174

Fortinet Technologies Inc.
 FortiRecorder

Creating and editing camera schedules

The FortiRecorder module includes one default schedule: Always.
The default schedule can be customized, and new schedules can be created.

To use a custom camera schedule, it must first be assigned to the camera profile through the 
FortiAnalyzer CLI.
Once assigned, you can use the FortiAnalyzer GUI to select the new schedule for each 
recording stream or recording type. See Assigning camera schedules to a profile on page 175.

To create or edit a camera schedule:

 1. Go to FortiRecorder > Camera Manager > Schedule.

 2. Click Create New or select an existing schedule and click Edit.
 3. Configure the following information:

Setting name Description

Name Enter a name to identify the camera schedule.

Description Enter a description of the schedule (optional).

Type Select a schedule type:
 l Recurring: The schedule happens at specified times on selected days.
 l One-time: The schedule happens only during the specified date-range.

Days Select the days you want the camera to begin recording if you have selected 
the Recurring schedule type.

All day Select this option if you want the camera to record all day long.

Start time/End time Select the start and end time for the Recurring recording or the start and end 

date for the One-time recording.

 4. Select Save.   

Assigning camera schedules to a profile

By default, camera profiles are set to use the Always schedule. 
To assign a custom schedule to a camera profile, you must first enable it through the CLI. Once enabled, a table is added 
to the Camera Profile editor which allows you to select the custom schedule.

FortiAnalyzer 6.4.4 Administration Guide 175

Fortinet Technologies Inc.
FortiRecorder

After the first custom schedule has been enabled on a profile, subsequent schedules can be selected directly through 
the GUI.  New schedules can be created by clicking the Create New button above the table.
For more information on creating a custom schedule, see Creating and editing camera schedules on page 175.

To enable a recording schedule in the FortiAnalyzer CLI:

config fortirecorder camera profile

edit [profile name]
config recording-schedule
edit [schedule name]
end

To enable a video schedule in the FortiAnalyzer CLI:

config fortirecorder camera profile

edit [profile name]
config video-schedule
edit [schedule name]
end

To assign the schedule through the GUI:

 1. Go to FortiRecorder > Camera Manager > Camera Profile.

 2. Select the camera profile and click Edit.
A table appears underneath the Video Profiles and/or Recordings & Detections Settings sections, depending on 
where you enabled the schedule.
 3. Select a recording type or recording stream, then click Edit.
 4. Select a schedule from the dropdown menu.
 5. Click OK.

FortiAnalyzer 6.4.4 Administration Guide 176

Fortinet Technologies Inc.
 FortiRecorder

Enabling motion detection

Motion detection can be enabled on cameras through the Camera Profile. 

To enable motion detection:

 1. Go to FortiRecorder > Camera Profile.

 2. Click Create New or select an existing camera profile and click Edit.
 3. In Recordings & Detections Settings select Motion detection as the recording type.
Both Continuous and Motion detection recording types can be enabled at the same time.
 4. Enter any additional settings you want to configure for this camera profile and click OK.
 5. Go to FortiRecorder > Camera and double click the camera where motion detection is to be enabled.
 6. In the camera settings, select the profile where motion detection is enabled.
 7. Select OK.
Motion detected recordings can be viewed in the Monitor dashboard, and is identified in red in the camera's activity 
timeline. See Watching live and recorded video in the Monitor on page 182.

Face Recognition

In the Face Recognition pane, you can view detected faces, create profiles for internal users and guests, and view 
activity reports for events within a specific time period.
This section includes the following topics:
 l Enabling face recognition on page 177
 l Identifying faces on page 178
 l Viewing activity reports on page 179
 l Viewing known faces on page 180
 l Configuring the AI module on page 181

Enabling face recognition

FortiAnalyzer uses the AI module to detect faces when motion detection is enabled in the camera profile. Go to the 
Camera Manager pane to enable face recognition on an authorized camera. 
Requirements:
 l Enabling motion detection on page 177

To enable the AI module in the CLI:

config system global

# set disable-module

For information about configuring the AI module, see Configuring the AI module on page 181.

FortiAnalyzer 6.4.4 Administration Guide 177

Fortinet Technologies Inc.
 FortiRecorder

The AI module must be enabled for face recognition to work.

To enable facial recognition in the GUI:

 1. Go to FortiRecorder > Camera Manager.

 2. In the camera manager pane, select an authorized camera, and click Edit. The Edit Camera Device window opens.
 3. Set Face Recognition to ON.
 4. Use the preview image to adjust the camera focus.   
 a. Click the magnifying glass icons to zoom in or out on the camera. Wait a few seconds for the camera to focus.
 b. Click the AF icon to auto-focus the image.

The zoom feature is not supported on all FortiRecorder models. 
The zoom quality will depend on the FortiRecorder model. You may need to focus the 
image on the device itself.

 5. Click OK. A check mark appears in the Face Recognition column.

You can enable face recognition on a camera that is managed by another FortiAnalyzer device 
if the camera keys are the same.

Identifying faces

You can link a face detected by the camera to an existing UEBA profile. You can also use a face to create guest profiles.

To identify faces in a cluster in the GUI:

 1. Go to FortiRecorder > Face Recognition.

 2. In the tree menu, go to  Face Cluster > New Face Detected.
 3. In the toolbar, configure the detection settings.   
 a. Click the All Cameras dropdown to select a camera.
 b. Click the time period dropdown to select the time period.
 c. Select the detection order.   

Order by time Displays images by time stamp.

Order by count Displays images by the number of times the face was detected by the 

camera.

Hover over an image to view its time stamp.

FortiAnalyzer 6.4.4 Administration Guide 178

Fortinet Technologies Inc.
 FortiRecorder

 d. Click Show Unrecognizable to view  images the system could not identify as a face or match to a face in a 

cluster.   
 4. Select an image or image cluster. The image pane displays the time the face was detected, the camera that 
captured the image, and the number of images in the video.
 a. Click the image to watch a video of the event.
 b. Click the Images tab to view the images in the video.
 c. (Optional) Click Evict Event from Face Cluster to delete the image.
 5. Link a face to a profile.  

Similar Faces Links the image  with a known face. 

Click an image in the profile pane to open the Merge Clusters window, and then click OK. 
The selected images is added to Known Faces.

Link to UEBA Links the image to a user with a FortiGate endpoint.

Select a user name from the dropdown, and then click Link User.

Link to Non-UEBA Links the image to a user who does not connect to the internet, such as a site employee.

Staff  l To create a new profile, enter the profile name, and click Save.
 l To merge the face with a profile, click Create New to enable Merge. Select a profile 
from the dropdown, and then click Save.

Link to Guest Links the image to a person a site visitor, such as salesperson.

 l To create a new profile, enter the profile name, and click Save.
 l To merge the face with a profile, click Create Now to enable  Merge, then select a 
profile from the dropdown, and click Save.

 6. Click the close icon at the right side of the pane.

An image assigned to a profile will replace an existing user avatar in Log View.

To view face recognition logs in the GUI:

 1. Go to Log View > FortiAnalyzer> Event.

 2. In the User column, select an entry. Face recognition logs will display the image assigned to the user.   
There are three types of AI logs:
LOG_EVENT_AID_STATUS
LOG_EVENT_AID_CONFIG
LOG_EVENT_AID_UI

Viewing activity reports

Activity reports allow you to monitor user events within a specific time period. 

FortiAnalyzer 6.4.4 Administration Guide 179

Fortinet Technologies Inc.
 FortiRecorder

To view guest activity reports in the GUI:

 1. Go to FortiRecorder > Face Recognition.

 2. In the tree menu, go to Activity Report > Guests. The report pane displays the events.   
 l Hover over an event in the time line to view when the event was detected and the camera that detected it.
 l Click an event in the time line to watch a video of the event.
 l Use the scroll wheel to adjust the time frame.
 l Click Reset Zoom to reset the time line.

To view internal user activity reports in the GUI:

 1. Go to FortiRecorder > Face Recognition.

 2. In the tree menu, go to Activity Report > Internal Users. The report pane displays the activity report.   
Click a heading to sort a column in ascending or descending order.

User Name The internal user name.

Bandwidth (Sent/Received) The bandwidth sent and received by the camera in bytes. 

Captured Times The number of times the camera captured an image of the user.

 3. In the toolbar, click the time frame dropdown to specify the time period.

Viewing known faces

View the activity of known users for the last seven days.

To view known faces in the GUI:

 1. Go to FortiRecorder > Face Recognition.

 2. In the tree menu, go to Face Cluster > Known Faces. All known internal and guest users are displayed.   
 l A blue icon indicates UEBA users.
 l A green icon indicates non-UEBA users.
 l A red icon indicates guests.
 3. (Optional) In the Search field, enter a username  to find a specific user. You can also search by UEBA, Non-UEBA, 
and Guest.
 4. Click an image to open the user information pane.   
The left side of the pane displays user details such as Related Endpoint, Topology, Addresses, and Operating
System. Click a link to view drilldown information in Identity Center or Assets.
The Activity in last 7 days tab displays a graph with the number of user events. Hover over a point in the chart to 
view the event time stamp, and the name of the camera that captured the event. Click a point in the chart to watch a 
video the event or delete the event.
 5. Click the All Detections tab to view the event information as a time line.   
 l Use the scroll wheel to zoom to adjust the time frame.
 l Hover over a point in the time line to view when the event was detected and by which camera.
 l Click an event to watch a video of the event. 
 l Click Reset Zoom to reset the time line.

FortiAnalyzer 6.4.4 Administration Guide 180

Fortinet Technologies Inc.
 FortiRecorder

Configuring the AI module

You must enable the AI module in the CLI console for face recognition to work properly. You can use the CLI console to 
configure database and disk quotas, memory usage, and to backup user information.

To enable the AI module in the CLI:

config system global

# set disable-module

The disable-module command enables all of the AI modules.
fortiview noc FortiVew/NOC-SOC module
fortirecorder FortiRecorder module
soar SOAR module
ai AI module

To disable an AI module in the CLI:

config system global

# set disable-module <module>

Example
# set disable-module ai

To set the database and disk quota in the CLI:

 1. Set the disk quota for the AI module.   
config system global
set ai-disk-quota value <disk limit in GB>

If the configuration is successful, the remaining available hard disk space will be deducted accordingly.
 2. Set the database table item count limit,   
execute face-recognition setting db_item_count_max <limit>

CPU usage:
The AI module has three daemons:

aid Pre-processes videos with deep learning algorithms which consume large amounts of CPU 
resources.
aiclusterd Responsible for user interfaces and requires limited CPU and memory resources.
aisched Performs routine tasks, such as cleaning the database and disk used by the AI module 
approximately once a day.

To backup an AI user's information in the CLI:

execute backup ai-config <ip:port> <filename> <username><password>

To restore an AI user's information in the CLI:

execute restore ai-config <ip:port> <filename> <username><password>

FortiAnalyzer 6.4.4 Administration Guide 181

Fortinet Technologies Inc.
FortiRecorder

To insert a specific camera's videos into the AI database:

execute face-recognition process <camera_name>

To configure AI-specific settings in the CLI:

Show all AI setting parameters:
execute face-recognition setting

Show a specific key value:
execute face-recognition setting <key>

Modify a specific key value:
execute face-recognition setting <key> <key_value>

Watching live and recorded video in the Monitor

The Monitor pane allows you to view the streaming and recorded video captured by devices configured to the 
FortiAnalyzer. 

To view a video stream:

 1. Go to FortiRecorder > Monitor.
 2. Click Add Widget.
 3. Select the device to be displayed from the dropdown menu.

FortiAnalyzer 6.4.4 Administration Guide 182

Fortinet Technologies Inc.
FortiRecorder

 4. Once added, the widget displays the video stream from the selected camera. 

To watch recorded video:

 1. Go to FortiRecorder > Monitor. The recorded video clips for each camera appear in a timeline below the video 
stream.
 2. To locate a video clip, use the scroll wheel on your mouse to zoom in on a time frame. Ensure that your mouse 
cursor is centered in the area that you want to zoom in. You can also navigate the timeline by dragging it to the left or 
right.
 3. Click on a recorded video in the timeline to begin playback. 
Time periods in the timeline panel are color-coded:
 l Light blue: Recorded video clips.
 l Red: A motion detection-based recording that was not initiated by a schedule.
 l White/blank: No recording at that time period.

 4. To return to the live stream from the recording view, click Back to Live. 

FortiAnalyzer 6.4.4 Administration Guide 183

Fortinet Technologies Inc.
FortiRecorder

Video can also be viewed in a Picture in picture mode. 
This option opens a small window which persists outside of the browser. 
To launch Picture in picture mode, select the menu icon on the bottom-right side of the video 
and choose Picture in picture.

Enabling and disabling FortiRecorder

By default, the FortiRecorder module is disabled in FortiAnalyzer. 
The FortiRecorder module can be enabled or disabled on supported platforms through the FortiAnalyzer CLI.

To view supported platforms and cameras, see the product release notes in the Fortinet 
Document Library.

To enable the FortiRecorder module in the CLI:

config system global

set disable-module none
end

To disable the FortiRecorder module in the CLI:

config system global

set disable-module fortirecorder
end

FortiAnalyzer 6.4.4 Administration Guide 184

Fortinet Technologies Inc.
System Settings

System Settings allows you to manage system options for your FortiAnalyzer device. 

Additional configuration options and short-cuts are available using the right-click menu. Right-
click the mouse on different navigation panes on the GUI page to access these options.

This section contains the following topics:
 l Dashboard on page 186
 l Logging Topology on page 199
 l Network on page 200
 l RAID Management on page 204
 l Administrative Domains on page 210
 l Certificates on page 218
 l Log Forwarding on page 223
 l Fetcher Management on page 229
 l Event Log on page 234
 l Task Monitor on page 235
 l SNMP on page 237
 l Mail Server on page 246
 l Syslog Server on page 247
 l Meta Fields on page 248
 l Device logs on page 250
 l File Management on page 254
 l Advanced Settings on page 254

FortiAnalyzer 6.4.4 Administration Guide 185

Fortinet Technologies Inc.
System Settings

Dashboard

The Dashboard contains widgets that provide performance and status information and enable you to configure basic 
system settings.

The following widgets are available:

Widget Description

System Information Displays basic information about the FortiAnalyzer  system, such as up time and 

firmware version. You can also enable or disable Administrative Domains and 
adjust the operation mode. For more information, see System Information widget 
on page 188.   
From this widget you can manually update the FortiAnalyzer  firmware to a 
different release. For more information, see Updating the system firmware on 
page 190.   
The widget fields will vary based on how the FortiAnalyzer  is configured, for 
example, if ADOMs are enabled.

System Resources Displays the real-time and historical usage status of the CPU, memory and hard 

disk. For more information, see System Resources widget on page 193.

License Information Displays how many devices of the supported maximum are connected to the 

FortiAnalyzer unit. See License Information widget on page 194.
From this widget you can manually upload a license for VM systems.   

FortiAnalyzer 6.4.4 Administration Guide 186

Fortinet Technologies Inc.
 System Settings

Widget Description

Unit Operation Displays status and connection information for the ports of the FortiAnalyzer unit. 

It also enables you to shutdown and restart the FortiAnalyzer unit or reformat a 
hard disk. For more information, see Unit Operation widget on page 196.

Alert Message Console Displays log-based alert messages for both the FortiAnalyzer unit and connected 

devices. For more information, see Alert Messages Console widget on page 196.

Log Receive Monitor Displays a real-time monitor of logs received. You can view data per device or per 

log type. For more information, see Log Receive Monitor widget on page 197.   

Insert Rate vs Receive Rate Displays the log insert and receive rates. For more information, see Insert Rate vs 

Receive Rate widget on page 197.   
The Insert Rate vs Receive Rate widget is hidden when the FortiAnalyzer is 
operating in Collector mode, and the SQL database is disabled.

Log Insert Lag Time Displays how many seconds the database is behind in processing the logs. For 

more information, see Log Insert Lag Time widget on page 198.   
The Log Insert Lag Time widget is hidden when the FortiAnalyzer  is operating in 
Collector mode, and the SQL database is disabled.

Receive Rate vs Forwarding Displays the Receive Rate, which is the rate at which FortiAnalyzer is receiving 

Rate logs. When log forwarding is configured, the widget also displays the log 
forwarding rate for each configured server. For more information, see Receive 
Rate vs Forwarding Rate widget on page 198.   

Disk I/O Displays the disk utilization, transaction rate, or throughput as a percentage over 

time. For more information, see Disk I/O widget on page 199.   

Customizing the dashboard

The FortiAnalyzer system dashboard can be customized. You can select which widgets to display, where they are 
located on the page, and whether they are minimized or maximized. It can also be viewed in full screen by selecting the 
full screen button on the far right side of the toolbar.

Action Steps

Move a widget Move the widget by clicking and dragging its title bar, then dropping it in its new location

Add a widget Select Toggle Widgets from the toolbar, then select the name widget you need to add.

Delete a widget Click the Close icon in the widget's title bar.

Customize a widget For widgets with an edit icon, you can customize the widget by clicking the Edit icon and 

configuring the settings.

Reset the Select Toggle Widgets > Reset to Default from the toolbar. The dashboards will be reset to the 

dashboard default view.

FortiAnalyzer 6.4.4 Administration Guide 187

Fortinet Technologies Inc.
 System Settings

System Information widget

The information displayed in the System Information widget is dependent on the FortiAnalyzer model and device 
settings. The following information is available on this widget:

Host Name The identifying name assigned to this FortiAnalyzer unit. Click the edit host name 

button to change the host name. For more information, see Changing the host 
name on page 189.

Serial Number The serial number of the FortiAnalyzer unit. The serial number is unique to the 

FortiAnalyzer unit and does not change with firmware upgrades. The serial 
number is used for identification when connecting to the FortiGuard server.

Platform Type Displays the FortiAnalyzer platform type, for example FAZVM64 (virtual 

machine).

HA Status Displays if FortiAnalyzer unit is in High Availability mode and whether it is the 
Primary or Secondary unit in the HA cluster. 

System Time The current time on the FortiAnalyzer internal clock. Click the edit system time 

button to change system time settings. For more information, see Configuring the 
system time on page 189.

Firmware Version The version number and build number of the firmware installed on the 

FortiAnalyzer unit. 
You can access the latest firmware version available on FortiGuard from 
FortiAnalyzer. 
Alternately you can manually download the latest firmware from the Customer 
Service & Support website at https://support.fortinet.com. Click the update button, 
then select the firmware image to load from the local hard disk or network volume. 
For more information, see Updating the system firmware on page 190.

System Configuration The date of the last system configuration backup. The following actions are 

available:   
 l Click the backup button to backup the system configuration to a file; see 
Backing up the system on page 192.
 l Click the restore to restore the configuration from a backup file; see 
Restoring the configuration on page 192. You can also migrate the 
configuration to a different FortiAnalyzer model by using the CLI. See 
Migrating the configuration on page 193.

Current Administrators The number of administrators currently logged in. Click the current session list 

button to view the session details for all currently logged in administrators.

Up Time The duration of time the FortiAnalyzer unit has been running since it was last 
started or restarted.

Administrative Domain Displays whether ADOMs are enabled. Toggle the switch to change the 

Administrative Domain state. See Enabling and disabling the ADOM feature on 
page 212.

Operation Mode Displays the current operation mode of the FortiAnalyzer. Click the other mode to 

change to it. For more information on operation modes, see Two operation modes 
on page 20.

FortiAnalyzer 6.4.4 Administration Guide 188

Fortinet Technologies Inc.
System Settings

Changing the host name

The host name of the FortiAnalyzer unit is used in several places.
 l It appears in the System Information widget on the dashboard.
 l It is used in the command prompt of the CLI.
 l It is used as the SNMP system name.
The System Information widget and the get system status CLI command will display the full host name. However, if 
the host name is longer than 16 characters, the CLI and other places display the host name in a truncated form ending 
with a tilde ( ~ ) to indicate that additional characters exist, but are not displayed. For example, if the host name is 
FortiAnalyzer1234567890, the CLI prompt would be FortiAnalyzer123456~#.

To change the host name:

 1. Go to System Settings > Dashboard.

 2. In the System Information widget, click the edit host name button next to the Host Name field.
 3. In the Host Name box, type a new host name.
The host name may be up to 35 characters in length. It may include US-ASCII letters, numbers, hyphens, and 
underscores. Spaces and special characters are not allowed.
 4. Click the checkmark to change the host name.

Configuring the system time

You can either manually set the FortiAnalyzer system time or configure the FortiAnalyzer unit to automatically keep its 
system time correct by synchronizing with a Network Time Protocol (NTP) server.

For many features to work, including scheduling, logging, and SSL-dependent features, the 
FortiAnalyzer system time must be accurate.

To configure the date and time:

 1. Go to System Settings > Dashboard.

 2. In the System Information widget, click the edit system time button next to the System Time field.
 3. Configure the following settings to either manually configure the system time, or to automatically synchronize the 
FortiAnalyzer unit’s clock with an NTP server:   

System Time The date and time according to the FortiAnalyzer unit’s clock at the time that 

this pane was loaded or when you last clicked the Refresh button.

Time Zone Select the time zone in which the FortiAnalyzer unit is located and whether or 

not the system automatically adjusts for daylight savings time.

Update Time By Select Set time to manually set the time, or Synchronize with NTP Server to 

automatically synchronize the time.

Set Time Manually set the data and time.

FortiAnalyzer 6.4.4 Administration Guide 189

Fortinet Technologies Inc.
System Settings

Select Date Set the date from the calendar or by manually entering it in the format: 

YYYY/MM/DD.

Select Time Select the time.

Synchronize with NTP Server Automatically synchronize the date and time.

Sync Interval Enter how often, in minutes, the device should synchronize its time with the 

NTP server. For example, entering 1440 causes the Fortinet unit to 
synchronize its time once a day.

Server Enter the IP address or domain name of an NTP server. Click the plus icon to 
add more servers. To find an NTP server that you can use, go to 
http://www.ntp.org.

 4. Click the checkmark to apply your changes.

Updating the system firmware

To take advantage of the latest features and fixes, you can update FortiAnalyzer firmware. From the System Settings 
module in FortiAnalyzer, you can access firmware images on FortiGuard and update FortiAnalyzer. Alternately you can 
manually download the firmware image from the Customer Service & Support site, and then upload the image to 
FortiAnalyzer. 
For information about upgrading your FortiAnalyzer  device, see the FortiAnalyzer Upgrade Guide or contact Fortinet 
Customer Service & Support.

Back up the configuration and database before changing the firmware of FortiAnalyzer. 
Changing the firmware to an older or incompatible version may reset the configuration and 
database to the default values for that firmware version, resulting in data loss. For information 
on backing up the configuration, see Backing up the system on page 192.

Before you can download firmware updates for FortiAnalyzer, you must first register your 
FortiAnalyzer unit with Customer Service & Support. For details, go to 
https://support.fortinet.com/ or contact Customer Service & Support.

To update FortiAnalyzer firmware using FortiGuard:

 1. Go to System Settings.

 2. In the System Information widget, beside Firmware Version, click Update Firmware.
The Firmware Management dialog box opens. 

FortiAnalyzer 6.4.4 Administration Guide 190

Fortinet Technologies Inc.
System Settings

 3. From the FortiGuard Firmware box, select the version of FortiAnalyzer for the upgrade, and click OK.

The FortiGuard Firmware box displays all FortiAnalyzer firmware images available for upgrade. A green checkmark 
displays beside the recommended image for FortiAnalyzer upgrade.

If you select an image without a green checkmark, a confirmation dialog box is displayed. Click OK to continue.

FortiAnalyzer downloads the firmware image from FortiGuard.

FortiAnalyzer uses the downloaded image to update its firmware, and then restarts.

After FortiAnalyzer restarts, the upgrade is complete.

To manually update FortiAnalyzer firmware:

 1. Download the firmware (the .out file) from the Customer Service & Support website, https://support.fortinet.com/.
 2. Go to System Settings > Dashboard.
 3. In the System Information widget, in the Firmware Version field, click Upgrade Firmware. The Firmware Upload 
dialog box opens.

FortiAnalyzer 6.4.4 Administration Guide 191

Fortinet Technologies Inc.
System Settings

 4. Drag and drop the file onto the dialog box, or click Browse to locate the firmware package (.out file) that you 
downloaded from the Customer Service & Support portal and then click Open.
 5. Click OK. Your device will upload the firmware image and you will receive a confirmation message noting that the 
upgrade was successful.   

Optionally, you can upgrade firmware stored on an FTP or TFTP server using the following 
CLI command:
execute restore image {ftp | tftp} <file path to server> <IP of
server> <username on server> <password>
For more information, see the FortiAnalyzer CLI Reference.

 6. Refresh the browser and log back into the device.
 7. Launch the Device Manager module and make sure that all formerly added devices are still listed.
 8. Launch other functional modules and make sure they work properly.

Backing up the system

Fortinet recommends that you back up your FortiAnalyzer configuration to your management computer on a regular 
basis to ensure that, should the system fail, you can quickly get the system back to its original state with minimal affect to 
the network. You should also back up your configuration after making any changes to the FortiAnalyzer configuration or 
settings that affect connected devices.
Fortinet recommends backing up all configuration settings from your FortiAnalyzer unit before upgrading the 
FortiAnalyzer firmware.

To back up the FortiAnalyzer configuration:

 1. Go to System Settings > Dashboard.

 2. In the System Information widget, click the backup button next to System Configuration. The Backup System dialog 
box opens
 3. If you want to encrypt the backup file, select the Encryption box, then type and confirm the password you want to 
use. The password can be a maximum of 63 characters.
 4. Select OK and save the backup file on your management computer.

Restoring the configuration

You can use the following procedure to restore your FortiAnalyzer configuration from a backup file on your management 
computer.

To restore the FortiAnalyzer configuration:

 1. Go to System Settings > Dashboard.

 2. In the System Information widget, click the restore button next to System Configuration. The Restore System dialog 
box opens.
 3. Configure the following settings then select OK.   

Choose Backup File Select Browse to find the configuration backup file you want to restore, or drag 

and drop the file onto the dialog box.

FortiAnalyzer 6.4.4 Administration Guide 192

Fortinet Technologies Inc.
 System Settings

Password Type the encryption password, if applicable.

Overwrite current IP and Select the checkbox to overwrite the current IP and routing settings.

routing settings

Migrating the configuration

You can back up the system of one FortiAnalyzer model, and then use the CLI and the FTP, SCP, or SFTP protocol to 
migrate the settings to another FortiAnalyzer model.
If you encrypted the FortiAnalyzer configuration file when you created it, you need the password to decrypt the 
configuration file when you migrate the file to another FortiAnalyzer model.

To migrate the FortiAnalyzer configuration:

 1. In one FortiAnalyzer model, go to System Settings > Dashboard.

 2. Back up the system. See Backing up the system on page 192.
 3. In the other FortiAnalyzer model, go to System Settings > Dashboard.
 4. In the CLI Console widget, type the following command:   
execute migrate all-settings <ftp | scp | sftp> <server> <filepath> <user> <password>
[cryptpasswd]

Configuring the operation mode

The FortiAnalyzer unit has two operation modes: Analyzer and Collector. For more information, see Two operation 
modes on page 20.
When FortiAnalyzer is operating in Collector mode, the SQL database is disabled by default so logs that require the SQL 
database are not available in Collector mode unless the SQL database is enabled.

To change the operation mode:

 1. Go to System Settings > Dashboard.

 2. In the System Information widget, select Analyzer or Collector in the Operation Mode field
 3. Click OK in the confirmation dialog box to change the operation mode.

System Resources widget

The System Resources widget displays the usage status of the CPUs, memory, and hard disk. You can view system 
resource information in real-time or historical format, as well as average or individual CPU usage.

FortiAnalyzer 6.4.4 Administration Guide 193

Fortinet Technologies Inc.
 System Settings

On VMs, warning messages are displayed if the amount of memory or the number of CPUs assigned are too low, or if the 
allocated hard drive space is less than the licensed amount. These warnings are also shown in the notification list (see 
GUI overview on page 13). Clicking on a warning opens the FortiAnalyzer VM Install Guide.

To toggle between real-time and historical data, click Edit in the widget toolbar, select Historical or Real-time, edit the 
other settings as required, then click OK.
To view individual CPU usage, from the Real-Time display, click on the CPU chart. To go back to the standard view, click 
the chart again.

License Information widget

The License Information widget displays the number of devices connected to the FortiAnalyzer.

FortiCloud The license registration status and the FortiCloud account.

VM License VM license information and status.
Click the upload license button to upload a new VM license file.
This field is only visible for FortiAnalyzer VM.
The Duplicate status appears when users try to upload a license that is already in 
use. Additionally, the following message will be displayed in the Notifications: 
Duplicate License has been found! Your VM license will expire in XX hours (Grace
time: 24 hours)
Users will have 24 hours to upload a valid license before the duplicate license is 
blocked.

Logging

Device/VDOMs The total number of devices and VDOMs connected to the FortiAnalyzer and the 
total number of device and VDOM licenses.

GB/Day The gigabytes per day of logs allowed and used for this FortiAnalyzer. Click the 
show details button to view the GB per day of logs used for the previous 6 days.  
The GB/Day log volume can be viewed per ADOM through the CLI using: 
diagnose fortilogd logvol-adom <name>.

VM Storage The amount of VM storage used and  remaining.

FortiAnalyzer 6.4.4 Administration Guide 194

Fortinet Technologies Inc.
 System Settings

This field is only visible for FortiAnalyzer VM.

Storage Connector Service The cloud storage license status. 

Displays usage statistics as well as the license expiration date when a valid 
license is present. 
Click the purchase button to go to the Fortinet Customer Service & Support 
website, where you can purchase a license.

FortiGuard  

Indicators of The license status.
Compromise Click the purchase button to go to the Fortinet Customer Service & Support 
Service website, where you can purchase a license.

Secure DNS Server The SDNS server license status.

Click the upload image button to upload a license key.

Server Location The locations of the FortiGuard servers, either global or US only. 

Click the edit icon to adjust the location. Changing the server location will cause 
the FortiAnalyzer to reboot.

Update Server  

AntiVirus and IPS The IP address and physical location of the Antivirus and IPS update server.

Web and Email The IP address and physical location of the web and email filter update server.

Filter

FortiClient Update The IP address and physical location of the FortiClient update server.

Registering a device or VM license

Register your device with FortiCloud to receive customer services, such as firmware updates and customer support. 
Users are required to register a VM license the first time they log in to FortiAnalyzer VM.

To view a list of registered devices, log in to FortiCloud, and go to Asset > Manage/View
Products. 

To register a FortiAnalyzer device:

 1. Go to System Settings > Dashboard.

 2. In the License Information widget, click Register Now. The registration window opens.
 3. Enter the device details, and click OK. FortiAnalyzer connects to FortiCloud and registers the device.   
A confirmation message appears at the top of the content pane, and the Status field changes to Registered.

FortiAnalyzer 6.4.4 Administration Guide 195

Fortinet Technologies Inc.
 System Settings

To register a FortiAnalyzer VM license:

 1. Go to the FortiAnalyzer login page.
 2. Take one of the following actions:   

Action Description

Upload License  a. Click Browse  to upload the license file, or drag it onto the field.

 b. Click Upload. After the license file is uploaded, the system will restart to verify it. This 
may take a few moments.

To download the license file, log in to FortiCloud, and go to Asset > 
Manage/View Products, then click the product serial number.

Login with If a valid license is not associated with the account, you can start a free trial license for up 

FortCloud three devices.
 1. Click Login with FortiCloud.
 2. Log in with our account credentials or create a new account. 
FortiAnalyzer connects to FortiCloud to get the trial license. The system will restart to 
apply the trial license.

Unit Operation widget

The Unit Operation widget graphically displays the status of each port. The port name indicates its status by its color. 
Green indicates the port is connected. Grey indicates there is no connection.
Hover the cursor over the ports to view a pop-up that displays the full name of the interface, the IP address and netmask, 
the link status, the speed of the interface, and the amounts of sent and received data.

Alert Messages Console widget

The Alert Message Console widget displays log-based alert messages for both the FortiAnalyzer unit itself and 

connected devices.
Alert messages help you track system events on your FortiAnalyzer unit such as firmware changes, and network events 
such as detected attacks. Each message shows the date and time the event occurred.

Alert messages can also be delivered by email, syslog, or SNMP.

FortiAnalyzer 6.4.4 Administration Guide 196

Fortinet Technologies Inc.
 System Settings

Click Edit from the widget toolbar to view the Alert Message Console Settings, where you can adjust the number of 

entries that are visible in the widget, and the refresh interval.
To view a complete list of alert messages, click Show More from the widget toolbar. The widget will show the complete 
list of alerts. To clear the list, click Delete All Messages. Click Show Less to return to the previous view.

Log Receive Monitor widget

The Log Receive Monitor widget displays the rate at which the FortiAnalyzer unit receives logs over time. Log data can 

be displayed by either log type or device.
Hover the cursor over a point on the graph to see the exact number of logs that were received at a specific time. Click the 
name of a device or log type to add or remove it from the graph. Click Edit in the widget toolbar to modify the widget's 
settings.

Insert Rate vs Receive Rate widget

The Insert Rate vs Receive Rate widget displays the log insert and log receive rates over time.

 l Log receive rate: how many logs are being received.
 l Log insert rate: how many logs are being actively inserted into the database.
If the log insert rate is higher than the log receive rate, then the database is rebuilding. The lag is the number of logs 
waiting to be inserted.
Hover the cursor over a point on the graph to see the exact number of logs that were received and inserted at a specific 
time. Click Receive Rate or Insert Rate to remove those data from the graph. Click the edit icon in the widget toolbar to 
adjust the time interval shown on the graph and the refresh interval.

FortiAnalyzer 6.4.4 Administration Guide 197

Fortinet Technologies Inc.
 System Settings

This widget is hidden when FortiAnalyzer is operating in Collector mode, and the SQL 
database is disabled.

Log Insert Lag Time widget

The Log Insert Lag Time widget displays how many seconds the database is behind in processing the logs.

Click the edit icon in the widget toolbar to adjust the time interval shown on the graph and the refresh interval (0 to 
disable) of the widget.

This widget is hidden when FortiAnalyzer is operating in Collector mode, and the SQL 
database is disabled.

Receive Rate vs Forwarding Rate widget

The Receive Rate vs Forwarding Rate widget displays the rate at which the FortiAnalyzer is receiving logs. When log 

forwarding is configured, the widget also displays the log forwarding rate for each configured server.
Click the edit icon in the widget toolbar to adjust the time period shown on the graph and the refresh interval, if any, of the 
widget.

FortiAnalyzer 6.4.4 Administration Guide 198

Fortinet Technologies Inc.
 System Settings

Disk I/O widget

The Disk I/O widget shows the disk utilization (%), transaction rate (requests/s), or throughput (KB/s), versus time.
Click the edit icon in the widget toolbar to select which chart is displayed, the time period shown on the graph, and the 
refresh interval (if any) of the chart.

Logging Topology

The Logging Topology pane shows the physical topology of devices in the Security Fabric. Click, hold, and drag to adjust 
the view in the content pane, and double-click or use the scroll wheel to change the zoom.
The visualization can be filtered to show only FortiAnalyzer devices or all devices by device count or traffic.

FortiAnalyzer 6.4.4 Administration Guide 199

Fortinet Technologies Inc.
 System Settings

Hovering the cursor over a device in the visualization will show information about the device, such as the IP address and 
device name. Right-click on a device and select View Related Logs to go to the Log View pane, filtered for that device.

Network

The network settings are used to configure ports for the FortiAnalyzer unit. You should also specify what port and 
methods that an administrators can use to access the FortiAnalyzer unit. If required, static routes can be configured.
The default port for FortiAnalyzer units is port 1. It can be used to configure one IP address for the FortiAnalyzer unit, or 
multiple ports can be configured with multiple IP addresses for improved security.
You can configure administrative access in IPv4 or IPv6 and include settings for HTTPS, HTTP, PING, SSH, SNMP, 
Web Service, and FortiManager.
You can prevent unauthorized access to the GUI by creating administrator accounts with trusted hosts. With trusted 
hosts configured, the administrator can only log in to the GUI when working on a computer with the trusted host as 
defined in the administrator account. For more information, see Trusted hosts on page 256 and Managing administrator 
accounts on page 257.

Configuring network interfaces

Fortinet devices can be connected to any of the FortiAnalyzer unit's interfaces. The DNS servers must be on the 
networks to which the FortiAnalyzer unit connects, and should have two different IP addresses.
The following port configuration is recommended:
 l Use port 1 for device log traffic, and disable unneeded services on it, such as SSH, Web Service, and so on.
 l Use a second port for administrator access, and enable HTTPS, Web Service, and SSH for this port. Leave other 
services disabled.

FortiAnalyzer 6.4.4 Administration Guide 200

Fortinet Technologies Inc.
System Settings

To configure port 1:

 1. Go to System Settings > Network. The System Network Management Interface pane is displayed.

 2. Configure the following settings for port1, then click Apply to apply your changes.   

Name Displays the name of the interface.

IP Address/Netmask The IP address and netmask associated with this interface.

IPv6 Address The IPv6 address associated with this interface.

Administrative Access Select the allowed administrative service protocols from: HTTPS, HTTP, 

PING, SSH, SNMP, Web Service, and FortiManager.

IPv6 Administrative Access Select the allowed IPv6 administrative service protocols from: HTTPS, HTTP, 

PING, SSH, SNMP, Web Service, and FortiManager.

Default Gateway The default gateway associated with this interface.

Primary DNS Server The primary DNS server IP address.

Secondary DNS Server The secondary DNS server IP address.

To configure additional ports:

 1. Go to System Settings > Network and click All Interfaces. The interface list opens.

 2. Double-click on a port, right-click on a port then select Edit from the pop-up menu, or select a port then click Edit in 
the toolbar. The Edit System Interface pane is displayed.

FortiAnalyzer 6.4.4 Administration Guide 201

Fortinet Technologies Inc.
 System Settings

 3. Configure the settings as required.
 4. Click OK to apply your changes.

The port name, default gateway, and DNS servers cannot be changed from the Edit System
Interface pane. The port can be given an alias if needed.

Disabling ports

Ports can be disabled to prevent them from accepting network traffic 

To disable a port:

 1. Go to System Settings > Network and click All Interfaces. The interface list opens.

 2. Double-click on a port, right-click on a port then select Edit from the pop-up menu, or select a port then click Edit in 
the toolbar. The Edit System Interface pane is displayed.
 3. In the Status field, click Disable
 4. Click OK to disable the port.

Changing administrative access

Administrative access defines the protocols that can be used to connect to the FortiAnalyzer through an interface. The 
available options are: HTTPS, HTTP, PING, SSH, SNMP, Web Service, and FortiManager.

To change administrative access:

 1. Go to System Settings > Network and click All Interfaces. The interface list opens.

 2. Double-click on a port, right-click on a port then select Edit from the pop-up menu, or select a port then click Edit in 
the toolbar. The Edit System Interface pane is displayed.
 3. Select one or more access protocols for the interface for IPv4 and IPv6, if applicable.
 4. Click OK to apply your changes.

Static routes

Static routes can be managed from the routing tables for IPv4 and IPv6 routes.
The routing tables can be accessed by going to System Settings > Network and clicking Routing Table and IPv6 Routing
Table.

To add a static route:

 1. From the IPv4 or IPv6 routing table, click Create New in the toolbar. The Create New Network Route pane opens.

 2. Enter the destination IP address and netmask, or IPv6 prefix, and gateway in the requisite fields.
 3. Select the network interface that connects to the gateway from the dropdown list.
 4. Click OK to create the new static route.

FortiAnalyzer 6.4.4 Administration Guide 202

Fortinet Technologies Inc.
 System Settings

To edit a static route:

 1. From the IPv4 or IPv6 routing table: double-click on a route, right-click on a route then select Edit from the pop-up 
menu, or select a route then click Edit in the toolbar. The Edit Network Route pane opens.
 2. Edit the configuration as required. The route ID cannot be changed.
 3. Click OK to apply your changes.

To delete a static route or routes:

 1. From the IPv4 or IPv6 routing table, right-click on a route then select Delete from the pop-up menu, or select a route 
or routes then click Delete in the toolbar.
 2. Click OK in the confirmation dialog box to delete the selected route or routes.

Packet capture

Packets can be captured on configured interfaces by going to System > Network > Packet Capture.

The following information is available:

Interface The name of the configured interface for which packets can be captured.
For information on configuring an interface, see Configuring network interfaces on 
page 200.

Filter Criteria The values used to filter the packet.

# Packets The number of packets.

Maximum Packet Count The maximum number of packets that can be captured on a sniffer.

Progress The status of the packet capture process. 

Actions Allows you to start and stop the capturing process, and download the most 
recently captured packets.

 
To start capturing packets on an interface, select the Start capturing button in the Actions column for that interface. The 
Progress column changes to Running, and the Stop capturing and Download buttons become available in the Actions 
column.

To add a packet sniffer:

 1. From the Packet Capture table, click Create New in the toolbar. The Create New Sniffer pane opens.

 2. Configure the following options:

Interface The interface name (non-changeable).

Max. Packets to Save Enter the maximum number of packets to capture, between 1-10000. The 
default is 4000 packets.

Include IPv6 Packets Select to include IPv6 packets when capturing packets.

Include Non-IP Packets Select to include non-IP packets when capturing packets.

Enable Filters You can filter the packet by Host(s), Port(s), VLAN(s), and Protocol.

FortiAnalyzer 6.4.4 Administration Guide 203

Fortinet Technologies Inc.
 System Settings

 3. Click OK.

To download captured packets:

 1. In the Actions column, click the Download button for the interface whose captured packets you want to download.
If no packets have been captured for that interface, click the Start capturing button.
 2. When prompted, save the packet file (sniffer_[interface].pcap) to your management computer. 
The file can then be opened using packet analyzer software.

To edit a packet sniffer:

 1. From the Packet Capture table, click Edit in the toolbar. The Edit Sniffer pane opens.

 2. Configure the packet sniffer options
 3. Click OK.

RAID Management

RAID helps to divide data storage over multiple disks, providing increased data reliability. For FortiAnalyzer devices 
containing multiple hard disks, you can configure the RAID array for capacity, performance, and/or availability.

The RAID Management tree menu is only available on FortiAnalyzer devices that support 
RAID.

Supported RAID levels

FortiAnalyzer units with multiple hard drives can support the following RAID levels:

See the FortiAnalyzer datasheet to determine your devices supported RAID levels.

Linear RAID

A Linear RAID array combines all hard disks into one large virtual disk. The total space available in this option is the 
capacity of all disks used. There is very little performance change when using this RAID format. If any of the drives fails, 
the entire set of drives is unusable until the faulty drive is replaced. All data will be lost.

FortiAnalyzer 6.4.4 Administration Guide 204

Fortinet Technologies Inc.
System Settings

RAID 0

A RAID 0 array is also referred to as striping. The FortiAnalyzer unit writes information evenly across all hard disks. The 
total space available is that of all the disks in the RAID array. There is no redundancy available. If any single drive fails, 
the data on that drive cannot be recovered. This RAID level is beneficial because it provides better performance, since 
the FortiAnalyzer unit can distribute disk writing across multiple disks.
 l Minimum number of drives: 2
 l Data protection: No protection

RAID 0 is not recommended for mission critical environments as it is not fault-tolerant.

RAID 1

A RAID 1 array is also referred to as mirroring. The FortiAnalyzer unit writes information to one hard disk, and writes a 
copy (a mirror image) of all information to all other hard disks. The total disk space available is that of only one hard disk, 
as the others are solely used for mirroring. This provides redundant data storage with no single point of failure. Should 
any of the hard disks fail, there are backup hard disks available.
 l Minimum number of drives: 2
 l Data protection: Single-drive failure

One write or two reads are possible per mirrored pair. RAID 1 offers redundancy of data. A re-
build is not required in the event of a drive failure. This is the simplest RAID storage design 
with the highest disk overhead.

RAID 1s

A RAID 1 with hot spare array uses one of the hard disks as a hot spare (a stand-by disk for the RAID). If a hard disk fails, 
within a minute of the failure the hot spare is substituted for the failed drive, integrating it into the RAID array and 
rebuilding the RAID’s data. When you replace the failed hard disk, the new hard disk is used as the new hot spare. The 
total disk space available is the total number of disks minus two.

RAID 5

A RAID 5 array employs striping with a parity check. Similar to RAID 0, the FortiAnalyzer unit writes information evenly 
across all drives but additional parity blocks are written on the same stripes. The parity block is staggered for each stripe. 
The total disk space is the total number of disks in the array, minus one disk for parity storage. For example, with four 
hard disks, the total capacity available is actually the total for three hard disks. RAID 5 performance is typically better 
with reading than with writing, although performance is degraded when one disk has failed or is missing. With RAID 5, 
one disk can fail without the loss of data. If a drive fails, it can be replaced and the FortiAnalyzer unit will restore the data 
on the new disk by using reference information from the parity volume.
 l Minimum number of drives: 3
 l Data protection: Single-drive failure

FortiAnalyzer 6.4.4 Administration Guide 205

Fortinet Technologies Inc.
System Settings

RAID 5s

A RAID 5 with hot spare array uses one of the hard disks as a hot spare (a stand-by disk for the RAID). If a hard disk fails, 
within a minute of the failure, the hot spare is substituted for the failed drive, integrating it into the RAID array, and 
rebuilding the RAID’s data. When you replace the failed hard disk, the new hard disk is used as the new hot spare. The 
total disk space available is the total number of disks minus two.

RAID 6

A RAID 6 array is the same as a RAID 5 array with an additional parity block. It uses block-level striping with two parity 
blocks distributed across all member disks.
 l Minimum number of drives: 4
 l Data protection: Up to two disk failures.

RAID 6s

A RAID 6 with hot spare array is the same as a RAID 5 with hot spare array with an additional parity block.

RAID 10

RAID 10 (or 1+0), includes nested RAID levels 1 and 0, or a stripe (RAID 0) of mirrors (RAID 1). The total disk space 
available is the total number of disks in the array (a minimum of 4) divided by 2, for example:
 l 2 RAID 1 arrays of two disks each,
 l 3 RAID 1 arrays of two disks each,
 l 6 RAID1 arrays of two disks each.
One drive from a RAID 1 array can fail without the loss of data; however, should the other drive in the RAID 1 array fail, 
all data will be lost. In this situation, it is important to replace a failed drive as quickly as possible.
 l Minimum number of drives: 4
 l Data protection: Up to two disk failures in each sub-array.

Alternative to RAID 1 when additional performance is required.

RAID 50

RAID 50 (or 5+0) includes nested RAID levels 5 and 0, or a stripe (RAID 0) and stripe with parity (RAID 5). The total disk 
space available is the total number of disks minus the number of RAID 5 sub-arrays. RAID 50 provides increased 
performance and also ensures no data loss for the same reasons as RAID 5. One drive in each RAID 5 array can fail 
without the loss of data.
 l Minimum number of drives: 6
 l Data protection: Up to one disk failure in each sub-array.

Higher fault tolerance than RAID 5 and higher efficiency than RAID 0.

FortiAnalyzer 6.4.4 Administration Guide 206

Fortinet Technologies Inc.
 System Settings

RAID 50 is only available on models with 9 or more disks. By default, two groups are used 
unless otherwise configured via the CLI. Use the diagnose system raid status CLI 
command to view your current RAID level, status, size, groups, and hard disk drive 
information.

RAID 60

A RAID 60 (6+ 0) array combines the straight, block-level striping of RAID 0 with the distributed double parity of RAID 6.
 l Minimum number of drives: 8
 l Data protection: Up to two disk failures in each sub-array.

High read data transaction rate, medium write data transaction rate, and slightly lower 
performance than RAID 50.

Configuring the RAID level

Changing the RAID level will delete all data.

To configure the RAID level:

 1. Go to System Settings > RAID Management.

 2. Click Change in the RAID Level field. The RAID Settings dialog box is displayed.
 3. From the RAID Level list, select a new RAID level, then click OK.
The FortiAnalyzer unit reboots. Depending on the selected RAID level, it may take a significant amount of time to 
generate the RAID array.

Monitoring RAID status

To view the RAID status, go to System Settings > RAID Management. The RAID Management pane displays the RAID 

level, status, and disk space usage. It also shows the status, size, and model of each disk in the RAID array.

The Alert Message Console widget, located in System Settings > Dashboard, provides 

detailed information about RAID array failures. For more information see Alert Messages 
Console widget on page 196.

FortiAnalyzer 6.4.4 Administration Guide 207

Fortinet Technologies Inc.
 System Settings

Summary Shows summary information about the RAID array.

Graphic Displays the position and status of each disk in the RAID array. Hover the cursor 
over each disk to view details.

RAID Level Displays the selected RAID level.

Click Change to change the selected RAID level. When you change the RAID 
settings, all data is deleted.

Status Displays the overall status of the RAID array.

Disk Space Usage Displays the total size of the disk space, how much disk space is used, and how 

much disk space is free.

Disk Management Shows information about each disk in the RAID array.

Disk Number Identifies the disk number for each disk.

Disk Status Displays the status of each disk in the RAID array.

 l Ready: The hard drive is functioning normally.
 l Rebuilding: The FortiAnalyzer unit is writing data to a newly added hard drive 
in order to restore the hard drive to an optimal state. The FortiAnalyzer unit is 
not fully fault tolerant until rebuilding is complete.
 l Initializing: The FortiAnalyzer unit is writing to all the hard drives in the device 
in order to make the array fault tolerant.
 l Verifying: The FortiAnalyzer unit is ensuring that the parity data of a 
redundant drive is valid.
 l Degraded: The hard drive is no longer being used by the RAID controller.
 l Inoperable: One or more drives are missing from the FortiAnalyzer unit. The 
drive is no longer available to the operating system. Data on an inoperable 
drive cannot be accessed.

Size (GB) Displays the size, in GB, of each disk.

Disk Model Displays the model number of each disk.

Swapping hard disks

If a hard disk on a FortiAnalyzer unit fails, it must be replaced. On FortiAnalyzer devices that support hardware RAID, the 
hard disk can be replaced while the unit is still running - known as hot swapping. On FortiAnalyzer units with software 

FortiAnalyzer 6.4.4 Administration Guide 208

Fortinet Technologies Inc.
 System Settings

RAID, the device must be shutdown prior to exchanging the hard disk.
To identify which hard disk failed, read the relevant log message in the Alert Message Console widget. See Alert 
Messages Console widget on page 196.

Electrostatic discharge (ESD) can damage FortiAnalyzer equipment. Only perform the 
procedures described in this document from an ESD workstation. If no such station is 
available, you can provide some ESD protection by wearing an anti-static wrist or ankle strap 
and attaching it to an ESD connector or to a metal part of a FortiAnalyzer chassis.

When replacing a hard disk, you need to first verify that the new disk is the same size as those 
supplied by Fortinet and has at least the same capacity as the old one in the FortiAnalyzer unit. 
Installing a smaller hard disk will affect the RAID setup and may cause data loss. Due to 
possible differences in sector layout between disks, the only way to guarantee that two disks 
have the same size is to use the same brand and model.
The size provided by the hard drive manufacturer for a given disk model is only an 
approximation. The exact size is determined by the number of sectors present on the disk.

To hot swap a hard disk on a device that supports hardware RAID:

 1. Remove the faulty hard disk.
 2. Install a new disk.
The FortiAnalyzer unit automatically adds the new disk to the current RAID array. The status appears on the 
console. The RAID Management pane displays a green checkmark icon for all disks and the RAID Status area 
displays the progress of the RAID re-synchronization/rebuild.

Adding hard disks

Some FortiAnalyzer units have space to add more hard disks to increase your storage capacity.

Fortinet recommends you use the same disks as those supplied by Fortinet. Disks of other 
brands will not be supported by Fortinet. For information on purchasing extra hard disks, 
contact your Fortinet reseller.

To add more hard disks:

 1. Obtain the same disks as those supplied by Fortinet.
 2. Back up the log data on the FortiAnalyzer unit.
You can also migrate the data to another FortiAnalyzer unit, if you have one. Data migration reduces system down 
time and the risk of data loss.
 3. Install the disks in the FortiAnalyzer unit.
If your unit supports hot swapping, you can do so while the unit is running. Otherwise the unit must be shut down 
first. See Unit Operation widget on page 196 for information.
 4. Configure the RAID level. See Configuring the RAID level on page 207.
 5. If you backed up the log data, restore it.

FortiAnalyzer 6.4.4 Administration Guide 209

Fortinet Technologies Inc.
System Settings

Administrative Domains

Administrative domains (ADOMs) enable administrators to manage only those devices that they are specifically 
assigned, based on the ADOMs to which they have access. When the ADOM mode is advanced, FortiGate devices with 
multiple VDOMs can be divided among multiple ADOMs.
Administrator accounts can be tied to one or more ADOMs, or denied access to specific ADOMs. When a particular 
administrator logs in, they see only those devices or VDOMs that have been enabled for their account. Super user 
administrator accounts, such as the admin account, can see and maintain all ADOMs and the devices within them.
Each ADOM specifies how long to store and how much  disk space to use for its logs. You can monitor disk utilization for 
each ADOM and adjust storage settings for logs as needed.
The maximum number of ADOMs you can add depends on the FortiAnalyzer system model. Please refer to the 
FortiAnalyzer data sheet for more information.
When the maximum number of ADOMs has been reached, you will be unable to create a new ADOM. 
When upgrading to FortiAnalyzer 6.2.1 or later, you will continue to have access to any ADOMs exceeding the limit, 
however, no additional ADOMs can be created, and an alert will be issued in the Alert Message Console in System
Settings > Dashboard. 
By default, ADOMs are disabled. Enabling and configuring ADOMs can only be done by administrators with the Super_
User profile. See Administrators on page 256.
The root ADOM and Security Fabric ADOMs are available for visibility into all Fabric devices. See Creating a Security 
Fabric ADOM on page 43.

Non-FortiGate devices are automatically located in specific ADOMs for their device type. They 
cannot be moved to other ADOMs.

ADOMs must be enabled to support the logging and reporting of non-FortiGate devices. 

Root ADOM

When ADOMs are enabled, the default root ADOM type is  Fabric. Fabric ADOMs show combined results from all 
Security Fabric devices in the Device Manager, Log View, FortiView, Incidents & Events and Reports panes. For more 
information on Fabric ADOMs, see Creating a Security Fabric ADOM on page 43.
In FortiAnalyzer 6.2.0 and earlier, the root ADOM is a FortiGate ADOM. When upgrading to FortiAnalyzer 6.2.1 and later, 
the root ADOM type will not be changed to Fabric. Resetting the FortiAnalyzer settings through a factory reset will cause 
the root ADOM to become a Fabric ADOM.

FortiAnalyzer 6.4.4 Administration Guide 210

Fortinet Technologies Inc.
System Settings

Default device type ADOMs

When ADOMs are enabled, FortiAnalyzer includes default ADOMs for specific types of devices. When you add one or 
more of these devices to FortiAnalyzer, the devices are automatically added to the appropriate ADOM, and the ADOM 
becomes selectable. When a default ADOM contains no devices, the ADOM is not selectable.
For example, when you add a FortiClient EMS device to the FortiAnalyzer, the FortiClient EMS device is automatically 
added to the default FortiClient ADOM. After the FortiClient ADOM contains a FortiClient EMS device, the FortiClient 
ADOM is selectable when you log into FortiAnalyzer or when you switch between ADOMs.
You can view all of the ADOMs, including default ADOMs without devices, on the System Settings > All ADOMs pane.

Organizing devices into ADOMs

You can organize devices into ADOMs to allow you to better manage these devices. Devices can be organized by 
whatever method you deem appropriate, for example:
 l Firmware version: group all devices with the same firmware version into an ADOM.
 l Geographic regions: group all devices for a specific geographic region into an ADOM, and devices for a different 
region into another ADOM.
 l Administrative users: group devices into separate ADOMs based for specific administrators responsible for the 
group of devices.
 l Customers: group all devices for one customer into an ADOM, and devices for another customer into another 
ADOM.

FortiClient support and ADOMs

FortiClient logs are stored in the device that the FortiClient endpoint is registered to.
For example, when endpoints are registered to a FortiGate device, FortiClient logs are viewed on the FortiGate device. 
When endpoints are registered to a FortiClient EMS, FortiClient logs are viewed in the FortiClient ADOM that the 
FortiClient EMS device is added to.
ADOMs must be enabled to support FortiClient EMS devices.

Merge FortiAnalyzer Logging Support for FortiClient EMS for Chromebooks

 1. Add https-logging  to the allowaccess list using the following CLI command:   
config system interface
edit "port1"
set allowaccess https ssh https-logging
next
end
 2. Add SSL certificate to enable communication.
An SSL certificate is required to support communication and send logs between FortiClient Web Filter extension 
and FortiAnalyzer. If you use a public SSL certificate, you only need to add the public SSL certificate to 
FortiAnalyzer.
However, if you prefer to use a certificate that is not from a common CA, you must add the SSL certificate to 
FortiAnalyzer, and you must push the root CA of your certificate to the Google Chromebooks. Otherwise, the 

FortiAnalyzer 6.4.4 Administration Guide 211

Fortinet Technologies Inc.
 System Settings

HTTPS connection between the FortiClient EMS Chromebook Web Filter extension and FortiAnalyzer will not work. 
The common name of the certificate must be the FortiAnalyzer IP address.
 a. In FortiAnalyzer, go to System Settings > Certificates > Local Certificates.
 b. Click Import. The Import Local Certificate dialog box appears.
 c. In the Type list, select Certificate. Or,
In the Type list, select PKCS#12 Certificate to upload the certificate in PK12 format.
 d. Beside the Certificate File field, click Browse to select the certificate.
 e. Enter the password and certificate name.
 f. Click OK.
 3. Select certificates for HTTPS connections:
 a. In FortiAnalyzer, go to System Settings > Admin > Admin Settings.
 b. In the HTTPS & Web Service Certificate box, select the certificate you want to use for HTTPS connections, and 
click Apply.
 4. Enable the FortiClient ADOM using the following CLI command:   
conf sys global
set adom-status enable
end
 5. Add FortiClient EMS for Chromebooks as a device to the FortiClient ADOM:
Go to Device Manager > click the + Add Device button to add FortiClient EMS for Chromebooks as a FortiClient 
ADOM device.
 6. Enable logging in FortiClient EMS for Chromebooks:
You will need to enable logging in FortiClient EMS for Chromebooks, see the FortiClient EMS for Chromebooks
Administration Guide for more information.

Enabling and disabling the ADOM feature

By default, ADOMs are disabled. Enabling and configuring ADOMs can only be done by super user administrators. 
When ADOMs are enabled, the Device Manager, FortiView, Log View, Incidents & Events, and Reports panes are 
displayed per ADOM. You select the ADOM you need to work in when you log into the FortiAnalyzer unit. See Switching 
between ADOMs on page 16.

ADOMs must be enabled to support FortiMail and FortiWeb logging and reporting. When a 
FortiMail or FortiWeb device is authorized, the device is added to the respective default ADOM 
and is visible in the left-hand tree menu.

FortiGate and FortiCarrier devices cannot be grouped into the same ADOM. FortiCarrier 
devices are added to a specific default FortiCarrier ADOM.

To enable the ADOM feature:

 1. Log in to the FortiAnalyzer as a super user administrator.
 2. Go to System Settings > Dashboard.
 3. In the System Information widget, toggle the Administrative Domain switch to ON.
You will be automatically logged out of the FortiAnalyzer and returned to the log in screen.

FortiAnalyzer 6.4.4 Administration Guide 212

Fortinet Technologies Inc.
System Settings

To disable the ADOM feature:

 1. Remove all the devices from all non-root ADOMs. That is, add all devices to the root ADOM.
 2. Delete all non-root ADOMs. See Deleting ADOMs on page 217.
Only after removing all the non-root ADOMs can ADOMs be disabled.
 3. Go to System Settings > Dashboard.
 4. In the System Information widget, toggle the Administrative Domain switch to OFF.
You will be automatically logged out of the FortiAnalyzer and returned to the log in screen.

The ADOMs feature cannot be disabled if ADOMs are still configured and have managed 
devices in them.

ADOM device modes

An ADOM has two device modes: Normal (default) and Advanced.
In Normal mode, you cannot assign different FortiGate VDOMs to different  ADOMs. The FortiGate unit can only be 
added to a single ADOM.
In Advanced mode, you can assign a VDOM from a single device to a different ADOM. This allows you to  analyze data 
for individual VDOMs, but will result in  more complicated management scenarios. It is recommended only for advanced 
users.

FortiAnalyzer does not support splitting FortiGate VDOMs between multiple ADOMs in 
different device modes.

To change from Advanced mode back to Normal mode, you must ensure no FortiGate VDOMs are assigned to an 
ADOM.

To change the ADOM device mode:

 1. Go to System Settings > Advanced > Advanced Settings.

 2. In the ADOM Mode field, select either Normal or Advanced. 
 3. Select Apply to apply your changes.

Managing ADOMs

The ADOMs feature must be enabled before ADOMs can be created or configured. See Enabling and disabling the 
ADOM feature on page 212.

FortiAnalyzer 6.4.4 Administration Guide 213

Fortinet Technologies Inc.
System Settings

To create and manage ADOMs, go to System Settings > All ADOMs.

Create New Create a new ADOM. See Creating ADOMs on page 214.

Edit Edit the selected ADOM. This option is also available from the right-click menu. 
See Editing an ADOM on page 217.

Delete Delete the selected ADOM or ADOMs. You cannot delete default ADOMs. This 
option is also available from the right-click menu. See Deleting ADOMs on page 
217.

Enter ADOM Switch to the selected ADOM. This option is also available from the right-click 

menu.

More Select Expand Devices to expand all of the ADOMs to show the devices in each 

ADOM. Select Collapse Devices to collapses the device lists. These options are 
also available from the right-click menu.

Search Enter a search term to search the ADOM list.

Name The name of the ADOM.
ADOMs are listed in the following groups: FortiGates and Other Device Types. 
A group can be collapsed or expanded by clicking the triangle next to its name.

Firmware Version The firmware version of the ADOM. Devices in the ADOM should have the same 

firmware version.

Allocated Storage The amount of hard drive storage space allocated to the ADOM.

Devices The number of devices and VDOMs that the ADOM contains.
The device list can be expanded or by clicking the triangle.

Creating ADOMs

ADOMs must be enabled, and you must be logged in as a super user administrator to create a new ADOM.
Consider the following when creating ADOMs:
 l The maximum number of ADOMs that can be created depends on the FortiAnalyzer  model. For more information, 
see the FortiAnalyzer data sheet at https://www.fortinet.com/products/management/fortianalyzer.html.
When the maximum number of ADOMs has been exceeded, an alert will be issued in the Alert Message Console in 

FortiAnalyzer 6.4.4 Administration Guide 214

Fortinet Technologies Inc.
System Settings

System Settings > Dashboard. 
 l You must use an administrator account that is assigned the Super_User administrative profile.
 l You can add a device to only one ADOM. You cannot add a device to multiple ADOMs.
 l You cannot add FortiGate and FortiCarrier devices to the same ADOM. FortiCarrier devices are added to a specific, 
default FortiCarrier ADOM.
 l You can add one or more VDOMs from a FortiGate device to one ADOM. If you want to add individual VDOMs from 
a FortiGate device to different ADOMs, you must first enable advanced device mode. See ADOM device modes on 
page 213.
 l You can configure how an ADOM handles log files from its devices. For example, you can configure how much  disk 
space an ADOM can use for logs, and then monitor how much of the allotted disk space is used. You can also 
specify how long to keep logs in the SQL database and how long to keep logs stored in  compressed format.

To create an ADOM:

 1. Ensure that ADOMs are enabled. See Enabling and disabling the ADOM feature on page 212.
 2. Go to System Settings > All ADOMs.
 3. Click Create New in the toolbar. The Create New ADOM pane is displayed.   

 4. Configure the following settings, then click OK to create the ADOM.   

Name Type a name that allows you to distinguish this ADOM from your other 
ADOMs. ADOM names must be unique.
Type Select the type of device that you are creating an ADOM for. The ADOM type 
cannot be edited.
For Security Fabric ADOMs, select Fabric. 
Although you can create a different ADOM for each type of device, 
FortiAnalyzer does not enforce this setting.

FortiAnalyzer 6.4.4 Administration Guide 215

Fortinet Technologies Inc.
System Settings

Devices Add a device or devices with the selected versions to the ADOM. The search 
field can be used to find specific devices. See Assigning devices to an ADOM 
on page 216.
Data Policy Specify how long to keep logs in the indexed and compressed states.
Keep Logs for Specify how long to keep logs in the indexed state.
Analytics During the indexed state, logs are indexed in the SQL database for the 
specified amount of time. Information about the logs can be viewed in the 
FortiView > FortiView, Incidents & Events/FortiSoC, and Reports modules. 
After the specified length of time expires, Analytics logs are automatically 
purged from the SQL database.
Keep Logs for Specify how long to keep logs in the compressed state.
Archive During the compressed state, logs are stored in a compressed format on the 
FortiAnalyzer unit. When logs are in the compressed state, information about 
the log messages cannot be viewed in the FortiView > FortiView, Incidents &
Events/FortiSoC, or Reports modules. After the specified length of time 
expires, Archive logs are automatically deleted from the FortiAnalyzer unit.
Disk Utilization Specify how much disk space to use for logs.
Maximum Allowed Specify the maximum amount of FortiAnalyzer disk space to use for logs, and 
select the unit of measure.
The total available space on the FortiAnalyzer unit is shown.
For more information about the maximum available space for each 
FortiAnalyzer unit, see Disk space allocation on page 61.
Analytics : Archive Specify the percentage of the allotted space to use for Analytics and Archive 
logs.
Analytics logs require more space than Archive logs. For example, a setting of 
70% and 30% indicates that 70% of the allotted disk space will be used for 
Analytics logs, and 30% of the allotted space will be used for Archive logs. 
Select the Modify checkbox to change the setting.
Alert and Delete Specify at what data usage percentage an alert messages will be generated 
When Usage and logs will be automatically deleted. The oldest Archive log files or Analytics 
Reaches database tables are deleted first.

Assigning devices to an ADOM

To assign devices to an ADOM you must be logged in as a super user administrator. Devices cannot be assigned to 
multiple ADOMs.

To assign devices to an ADOM:

 1. Go to System Settings > All ADOMs.

 2. Double-click on an ADOM, right-click on an ADOM and then select the Edit from the menu, or select the ADOM then 
click Edit in the toolbar. The Edit ADOM pane opens.
 3. Click Select Device. The Select Device list opens on the right side of the screen.
 4. Select the devices that you want to add to the ADOM. Only devices with the same version as the ADOM can be 
added. The selected devices are displayed in the Devices list.

FortiAnalyzer 6.4.4 Administration Guide 216

Fortinet Technologies Inc.
 System Settings

If the ADOM mode is Advanced you can add separate VDOMs to the ADOM as well as units.
 5. When done selecting devices, click Close to close the Select Device list.
 6. Click OK.
The selected devices are removed from their previous ADOM and added to this one.

Assigning administrators to an ADOM

Super user administrators can create other administrators and either assign ADOMs to their account or exclude them 
from specific ADOMs, constraining them to configurations and data that apply only to devices in the ADOMs they can 
access.

By default, when ADOMs are enabled, existing administrator accounts other than admin are 
assigned to the root domain, which contains all devices in the device list. For more information 
about creating other ADOMs, see Creating ADOMs on page 214.

To assign an administrator to specific ADOMs:

 1. Log in as a super user administrator. Other types of administrators cannot configure administrator accounts when 
ADOMs are enabled.
 2. Go to System Settings > Admin > Administrator.
 3. Double-click on an administrator, right-click on an administrator and then select the Edit from the menu, or select the 
administrator then click Edit in the toolbar. The Edit Administrator pane opens.
 4. Edit the Administrative Domain field as required, either assigning or excluding specific ADOMs.
 5. Select OK to apply your changes.

The admin administrator account cannot be restricted to specific ADOMs.

Editing an ADOM

To edit an ADOM you must be logged in as a super user administrator. The ADOM type and version cannot be edited. 
For the default ADOMs, the name cannot be edited.

To edit an ADOM:

 1. Go to System Settings > All ADOMs.

 2. Double-click on an ADOM, right-click on an ADOM and then select Edit from the menu, or select the ADOM then 
click Edit in the toolbar. The Edit ADOM pane opens.
 3. Edit the settings as required, and then select OK to apply the changes.

Deleting ADOMs

To delete an ADOM, you must be logged in as a super-user administrator (see Administrator profiles on page 262), such 
as the admin administrator.

FortiAnalyzer 6.4.4 Administration Guide 217

Fortinet Technologies Inc.
 System Settings

Prior to deleting an ADOM:
 l All devices must be removed from the ADOM. Devices can be moved to another ADOM, or to the root ADOM. See 
Assigning devices to an ADOM on page 216.

To delete an ADOM:

 1. Go to System Settings > All ADOMs.

 2. Ensure that the ADOM or ADOMs being deleted have no devices in them. 
 3. Select the ADOM or ADOMs you need to delete.
 4. Click Delete in the toolbar, or right-click and select Delete.
 5. Click OK in the confirmation box to delete the ADOM or ADOMs.
 6. If there are users or policy packages referring to the ADOM, they are displayed in the ADOM References Detected 
dialog. Click Delete Anyway to delete the ADOM or ADOMs. The references to the ADOMs are also deleted. 

Default ADOMs cannot be deleted.

Certificates

The FortiAnalyzer generates a certificate request based on the information you entered to identify the FortiAnalyzer unit. 
After you generate a certificate request, you can download the request to a management computer and then forward the 
request to a CA.
Local certificates are issued for a specific server, or website. Generally they are very specific, and often for an internal 
enterprise network.
CA root certificates are similar to local certificates, however they apply to a broader range of addresses or to an entire 
company.
The CRL is a list of certificates that have been revoked and are no longer usable. This list includes expired, stolen, or 
otherwise compromised certificates. If your certificate is on this list, it will not be accepted. CRLs are maintained by the 
CA that issues the certificates and include the date and time when the next CRL will be issued, as well as a sequence 
number to help ensure you have the most current versions.

Local certificates

The FortiAnalyzer unit generates a certificate request based on the information you enter to identify the FortiAnalyzer 
unit. After you generate a certificate request, you can download the request to a computer that has management access 
to the FortiAnalyzer unit and then forward the request to a CA.
The certificate window also enables you to export certificates for authentication, importing, and viewing.
The FortiAnalyzer has one default local certificate: Fortinet_Local.
You can manage local certificates from the System Settings > Certificates > Local Certificates page. Some options are 
available in the toolbar and some are also available in the right-click menu.

FortiAnalyzer 6.4.4 Administration Guide 218

Fortinet Technologies Inc.
System Settings

In order to safeguard against compromise, in FortiAnalyzer 6.4.4, FAZ-VM license files contain 
a unique certificate which is tied to the device's serial number.

Creating a local certificate

To create a certificate request:

 1. Go to System Settings > Certificates > Local Certificates.

 2. Click Create New in the toolbar. The Generate Certificate Signing Request pane opens.
 3. Enter the following information as required, then click OK to save the certificate request:

Certificate Name The name of the certificate.

Subject Information Select the ID type from the dropdown list:

 l Host IP: Select if the unit has a static IP address. Enter the public IP 
address of the unit in the Host IP field.
 l Domain Name: Select if the unit has a dynamic IP address and 
subscribes to a dynamic DNS service. Enter the domain name of the unit 
in the Domain Name field.
 l Email: Select to use an email address. Enter the email address in the 
Email Address field.

Optional Information  

Organization Unit The name of the department. You can enter a series of OUs up to a maximum 

(OU) of 5. To add or remove an OU, use the plus (+) or minus (-) icons.

Organization (O) Legal name of the company or organization.

Locality (L) Name of the city or town where the device is installed.

State/Province Name of the state or province where the FortiGate unit is installed.
(ST)

Country (C) Select the country where the unit is installed from the dropdown list.

E-mail Address Contact email address.

(EA)

Subject Optionally, enter one or more alternative names for which the certificate is also 
Alternative Name valid. Separate names with a comma.   
A name can be:
 l e-mail address
 l IP address
 l URI
 l DNS name (alternatives to the Common Name)
 l directory name (alternatives to the Distinguished Name)
You must precede the name with the name type. Examples:
 l IP:1.1.1.1

FortiAnalyzer 6.4.4 Administration Guide 219

Fortinet Technologies Inc.
System Settings

 l email:test@fortinet.com
 l email:my@other.address
 l URI:http://my.url.here/

Key Type The key type can be RSA or Elliptic Curve.

Key Size Select the key size from the dropdown list: 512 Bit, 1024 Bit, 1536 Bit, or 2048

Bit. This option is only available when the key type is RSA.

Curve Name Select the curve name from the dropdown list: secp256r1 (default), 

secp384r1, or secp521r1. This option is only available when the key type is 
Elliptic Curve.

Enrollment Method The enrollment method is set to File Based.

Importing local certificates

To import a local certificate:

 1. Go to System Settings > Certificates > Local Certificates.

 2. Click Import in the toolbar or right-click and select Import. The Import dialog box opens.
 3. Enter the following information as required, then click OK to import the local certificate:

Type Select the certificate type from the dropdown list: Local Certificate, PKCS #12

Certificate, or Certificate.

Certificate File Click Browse... and locate the certificate file on the management computer, or 

drag and drop the file onto the dialog box.

Key File Click Browse... and locate the key file on the management computer, or drag 

and drop the file onto the dialog box.
This option is only available when Type is Certificate.

Password Enter the certificate password.
This option is only available when Type is PKCS #12 Certificate or Certificate.

Certificate Name Enter the certificate name.

This option is only available when Type is PKCS #12 Certificate or Certificate.

Deleting local certificates

To delete a local certificate or certificates:

 1. Go to System Settings > Certificates > Local Certificates.

 2. Select the certificate or certificates you need to delete.
 3. Click Delete in the toolbar, or right-click and select Delete.
 4. Click OK in the confirmation dialog box to delete the selected certificate or certificates.

FortiAnalyzer 6.4.4 Administration Guide 220

Fortinet Technologies Inc.
 System Settings

Viewing details of local certificates

To view details of a local certificate:

 1. Go to System Settings > Certificates > Local Certificates.

 2. Select the certificates that you would like to see details about, then click View Certificate Detail in the toolbar or 
right-click menu. The View Local Certificate page opens.

 3. Click OK to return to the local certificates list.

Downloading local certificates

To download a local certificate:

 1. Go to System Settings > Certificates > Local Certificates.

 2. Select the certificate that you need to download.
 3. Click Download in the toolbar, or right-click and select Download, and save the certificate to the management 
computer.

When an object is added to a policy package and assigned to an ADOM, the object is available 
in all devices that are part of the ADOM. If the object is renamed on a device locally, 
FortiManager automatically syncs the renamed object to the ADOM.

CA certificates

The FortiAnalyzer has one default CA certificate, Fortinet_CA. In this sub-menu you can delete, import, view, and 
download certificates.

Importing CA certificates

To import a CA certificate:

 1. Go to System Settings > Certificates > CA Certificates.

 2. Click Import in the toolbar, or right-click and select Import. The Import dialog box opens.
 3. Click Browse... and locate the certificate file on the management computer, or drag and drop the file onto the dialog 
box.
 4. Click OK to import the certificate. 

FortiAnalyzer 6.4.4 Administration Guide 221

Fortinet Technologies Inc.
 System Settings

Viewing CA certificate details

To view a CA certificate's details:

 1. Go to System Settings > Certificates > CA Certificates.

 2. Select the certificates you need to see details about.
 3. Click View Certificate Detail in the toolbar, or right-click and select View Certificate Detail. The View CA Certificate 
page opens.
 4. Click OK to return to the CA certificates list.

Downloading CA certificates

To download a CA certificate:

 1. Go to System Settings > Certificates > CA Certificates.

 2. Select the certificate you need to download.
 3. Click Download in the toolbar, or right-click and select Download, and save the certificate to the management 
computer.

Deleting CA certificates

To delete a CA certificate or certificates:

 1. Go to System Settings > Certificates > CA Certificates.

 2. Select the certificate or certificates you need to delete.
 3. Click Delete in the toolbar, or right-click and select Delete.
 4. Click OK in the confirmation dialog box to delete the selected certificate or certificates.

The Fortinet_CA certificate cannot be deleted.

Certificate revocation lists

When you apply for a signed personal or group certificate to install on remote clients, you can obtain the corresponding 
root certificate and Certificate Revocation List (CRL) from the issuing CA.
The CRL is a list of certificates that have been revoked and are no longer usable. This list includes expired, stolen, or 
otherwise compromised certificates. If your certificate is on this list, it will not be accepted. CRLs are maintained by the 
CA that issues the certificates and includes the date and time when the next CRL will be issued as well as a sequence 
number to help ensure you have the most current version of the CRL.
When you receive the signed personal or group certificate, install the signed certificate on the remote client(s) according 
to the browser documentation. Install the corresponding root certificate (and CRL) from the issuing CA on the 
FortiAnalyzer unit according to the procedures given below.

FortiAnalyzer 6.4.4 Administration Guide 222

Fortinet Technologies Inc.
System Settings

Importing a CRL

To import a CRL:

 1. Go to System Settings > Certificates > CRL.

 2. Click Import in the toolbar, or right-click and select Import. The Import dialog box opens.
 3. Click Browse... and locate the CRL file on the management computer, or drag and drop the file onto the dialog box.
 4. Click OK to import the CRL. 

Viewing a CRL

To view a CRL:

 1. Go to System Settings > Certificates > CRL.

 2. Select the CRL you need to see details about.
 3. Click View Certificate Detail in the toolbar, or right-click and select View Certificate Detail. The Result page opens.
 4. Click OK to return to the CRL list.

Deleting a CRL

To delete a CRL or CRLs:

 1. Go to System Settings > Certificates > CRL.

 2. Select the CRL or CRLs you need to delete.
 3. Click Delete in the toolbar, or right-click and select Delete.
 4. Click OK in the confirmation dialog box to delete the selected CRL or CRLs.

Log Forwarding

You can forward logs from a FortiAnalyzer unit to another FortiAnalyzer  unit, a syslog server, or a Common Event 
Format (CEF) server when you use the default forwarding mode in log forwarding.
The client is the FortiAnalyzer unit that forwards logs to another device. The server is the FortiAnalyzer unit, syslog 
server, or CEF server that receives the logs.
In addition to forwarding logs to another unit or server, the client retains a local copy of the logs. The local copy of the 
logs is subject to the data policy settings for archived logs. See Log storage on page 22 for more information.

To see a graphical view of the log forwarding configuration, and to see details of the devices 
involved, go to System Settings > Logging Topology. For more information, see Logging 
Topology on page 199.

Modes

FortiAnalyzer supports two  log forwarding modes: forwarding (default), and aggregation.

FortiAnalyzer 6.4.4 Administration Guide 223

Fortinet Technologies Inc.
System Settings

Forwarding

Logs are forwarded in real-time or near real-time as they are received. Forwarded content files include: DLP  files, 
antivirus quarantine files, and IPS packet captures.
This mode can be configured in both the GUI and CLI.

Aggregation

As FortiAnalyzer receives logs from devices, it stores them, and then forwards the collected logs at a specified time 
every day.
FortiAnalyzer supports log forwarding in aggregation mode only between two FortiAnalyzer units. Syslog and CEF 
servers are not supported.

The client must provide super user log in credentials  to get authenticated by the server to 
aggregate logs.

Aggregation mode can only be configured with the log-forward and log-forward-service CLI commands. See 
the FortiAnalyzer CLI Reference for more information.
The following table lists the differences between the two modes:

Log Forwarding Log Aggregation

Configuration Portal GUI or CLI CLI

Remote Server Type FortiAnalyzer FortiAnalyzer   

Syslog/CEF

Device Filter Support Yes Yes

Log Filter Support Yes No

Log Archive Support Yes Yes

Server Port customization Yes (Except for FortiAnalyzer) No

Log Field Exclusion Yes No

Log Delay Real-time (max 5 minutes delay) Max 1 day

Meta-data synchronization Yes No

Secure channel support Yes (SSL as reliable connection) Yes (rsync + SSH)

Network bandwidth Normal (as log traffic received) Peak hour as aggregation starts to 

finish

Impact on remote Normal (as log volume received) Potentially large table

FortiAnalyzer (If there is a mix of incoming real-time 
and real-time logs.)

FortiAnalyzer 6.4.4 Administration Guide 224

Fortinet Technologies Inc.
 System Settings

Configuring log forwarding

Forwarding mode only requires configuration on the client side. No configuration is needed on the server side. In 
aggregation mode, accepting the logs must be enabled on the FortiAnalyzer that is acting as the server.

Forwarding mode

Forwarding mode can be configured in the GUI. No configuration is required on the server side.

To configure the client:

 1. Go to System Settings > Log Forwarding.

 2. Click Create New in the toolbar. The Create New Log Forwarding pane opens.

 3. Fill in the information as per the below table, then click OK to create the new log forwarding. The FortiAnalyzer 
device will start forwarding logs to the server.

Name Enter a name for the remote server.

Status Set to On to enable log forwarding. Set to Off to disable log forwarding.

Remote Server Type Select the type of remote server to which you are forwarding logs: 

FortiAnalyzer, Syslog, or Common Event Format (CEF). The Syslog option 
can be used to forward logs to FortiSIEM and FortiSOAR.

Server IP Enter the IP address of the remote server.

Server Port Enter the server port number. Default: 514.

This option is only available when the server type in not FortiAnalyzer.

Reliable Connection Turn on to use TCP connection. Turn off to use UDP connection.

If you want to forward logs to a Syslog or CEF server, ensure this option is 
supported.
RELP is not supported.
If the connection goes down, logs are buffered and automatically forwarded 
when the connection is restored. The buffer limit is 12GB.

FortiAnalyzer 6.4.4 Administration Guide 225

Fortinet Technologies Inc.
System Settings

Sending Frequency Select when logs will be sent to the server: Real-time, Every 1 Minute, or 

Every 5 Minutes (default).
This option is only available when the server type is FortiAnalyzer.

Log Forwarding Filters  

Device Filters Click Select Device, then select the devices whose logs will be forwarded.

Log Filters Turn on to configure filter on the logs that are forwarded.

Select All or Any of the Following Conditions in the Log messages that match 
field to control how the filters are applied to the logs.
Add filters to the table by selecting the  Log Field, Match Criteria, and Value for 
each filter.

Enable Exclusions This option is only available when the remove server is a Syslog or CEF 

server.
Turn on to configure filter on the logs that are forwarded.
Add exclusions to the table by selecting the Device Type and Log Type. Then, 
add Log Fields to the  Exclusion List by clicking Fields and specifying the 
excluded log fields in the Select Log Field pane.

Devices whose logs are being forwarded to another FortiAnalyzer device are added to the 
server as unauthorized devices. To authorize devices, see Authorizing devices on page 27.

Aggregation mode

Aggregation mode can only be configured using the CLI. Aggregation mode configurations are not listed in the GUI table, 
but still use a log forwarding ID number.

Use the following CLI command to see what log forwarding IDs have been used:
get system log-forward

To configure the server:

 1. If required, create a new administrator with the Super_User profile. See Creating administrators on page 258.
 2. Enable log aggregation and, if necessary, configure the disk quota, with the following CLI commands:
config system log-forward-service
set accept-aggregation enable
set aggregation-disk-quota <quota>
end

To configure the client:

 1. Open the log forwarding command shell:
config system log-forward

FortiAnalyzer 6.4.4 Administration Guide 226

Fortinet Technologies Inc.
 System Settings

 2. Create a new, or edit an existing, log forwarding entry:
edit <log forwarding ID>
 3. Set the log forwarding mode to aggregation:
set mode aggregation
 4. Set the server display name and IP address:
set server-name <string>
set server-ip <xxx.xxx.xxx.xxx>
 5. Enter the user name and password of the super user administrator on the server:
set agg-user <string>
set agg-password <string>
 6. If required, set the aggregation time from 0 to 23 hours (default: 0, or midnight):
set agg-time <integer>
 7. Enter the following to apply the configuration and create the log aggregation:
end
The following line will be displayed to confirm the creation of the log aggregation:
check for cfg[<log forwarding ID>] svr_disp_name=<server-name>

For more information, see the FortiAnalyzer CLI Reference.

Managing log forwarding

Log forwarding mode server entries can be edited and deleted using both the GUI and the CLI. Aggregation mode server 
entries can only be managed using the CLI. Entries cannot be enabled or disabled using the CLI.

To enable or disable a log forwarding server entry:

 1. Go to System Settings > Log Forwarding.

 2. Double-click on a server entry, right-click on a server entry and select Edit, or select a server entry then click Edit in 
the toolbar. The Edit Log Forwarding pane opens.
 3. Set the Status to Off to disable the log forwarding server entry, or set it to On to enable the server entry.
Only the name of the server entry can be edited when it is disabled.
 4. Click OK to apply your changes.

To edit a log forwarding server entry using the GUI:

 1. Go to System Settings > Log Forwarding.

 2. Double-click on a server entry, right-click on a server entry and select Edit, or select a server entry then click Edit in 
the toolbar. The Edit Log Forwarding pane opens.
 3. Edit the settings as required, then click OK to apply your changes.

To edit a log forwarding server entry using the CLI:

 1. Open the log forwarding command shell:
config system log-forward
 2. Enter an existing  entry using its log forwarding ID:
edit <log forwarding ID>

FortiAnalyzer 6.4.4 Administration Guide 227

Fortinet Technologies Inc.
 System Settings

 3. Edit the settings as required. See the FortiAnalyzer CLI Reference for information.

 4. Enter the following command to apply your changes:
end

To delete a log forwarding server entry or entries using the GUI:

 1. Go to System Settings > Log Forwarding.

 2. Select the entry or entries you need to delete.
 3. Click Delete in the toolbar, or right-click and select Delete.
 4. Click OK in the confirmation dialog box to delete the selected entry or entries.

To delete a log forwarding server entry using the CLI:

 1. Open the log forwarding command shell:
config system log-forward
 2. Delete an entry using its log forwarding ID:
delete <log forwarding ID>
The log forwarding server entry is immediately deleted. There is no confirmation.

To delete all log forwarding entries using the CLI:

 1. Enter the following CLI command:
config system log-forward
purge
 2. Enter y to delete all the entries.
This operation will clear all table!
Do you want to continue? (y/n)y

Log forwarding buffer

When log forwarding is configured, FortiAnalyzer reserves space on the system disk as a buffer between the fortilogd 
and logfwd daemons. In the event of a connection failure between the log forwarding client and server (network jams, 
dropped connections, etc.), logs are cached as long as space remains available. When storage space is exceeded, older 
logs are deleted in favor of new logs.
The default log forward buffer size is 30% of the system reserved disk size, and it can be configured up to 80%. The 
system reserved disk size varies by platform and total available storage. See Disk space allocation on page 61.
For example, in a scenario where the FortiAnalyzer has a system reserved disk size of 50 GB, the default logfwd buffer is 
15 GB (30% of 50 GB), and the maximum configurable size is 40 GB (80% of 50 GB).

The log forward buffer is shared between fortilogd for all logfwd servers. 
When changes are made to the log forward cache size, each server individually resets the log 
reading position to the latest one, and all logs currently in the log-forward disk cache are 
dropped.

FortiAnalyzer 6.4.4 Administration Guide 228

Fortinet Technologies Inc.
 System Settings

To change the log forward cache size:

 1. In the FortiAnalyzer CLI, enter the following commands:
config system global
(global)# set log-forward-cache-size [number (GB)]

 2. When prompted, enter Y to confirm the change.
Entering a number that is outside of the valid cache size range will cause the valid range to be displayed. For 
example:
(global)# set log-forward-cache-size 360
Cache size must be within the range between 1GB and 240GB
node_check_object fail! for log-forward-cache-size 360

The diagnose test application 3 CLI command can be used to display log positions 

for the last log buffered and last log sent, as well as determine the buffer lag-behind. See the 
FortiAnalyzer CLI Reference.

Fetcher Management

Log fetching is used to retrieve archived logs from one FortiAnalyzer device to another. This allows administrators to run 
queries and reports against historic data, which can be useful for forensic analysis.
The fetching FortiAnalyzer can query the server FortiAnalyzer and retrieve the log data for a specified device and time 
period, based on specified filters. The retrieved data are then indexed, and can be used for data analysis and reports.
Log fetching can only be done on two FortiAnalyzer devices running the same firmware. A FortiAnalyzer device can be 
either the fetch server or the fetching client, and it can perform both roles at the same time with different FortiAnalyzer 
devices. Only one log fetching session can be established at a time between two FortiAnalyzer devices.
The basic steps for fetching logs are:
 1. On the client, create a fetching profile. See Fetching profiles on page 229.
 2. On the client, send the fetch request to the server. See Fetch requests on page 230.
 3. If this is the first time fetching logs with the selected profile, or if any changes have been made to the devices and/or 
ADOMs since the last fetch, on the client, sync devices and ADOMs with the server. See Synchronizing devices and 
ADOMs on page 232.
 4. On the server, review the request, then either approve or reject it. See Request processing on page 232.
 5. Monitor the fetch process on either FortiAnalyzer. See Fetch monitoring on page 233.
 6. On the client, wait until the database is rebuilt before using the fetched data for analysis.

Fetching profiles

Fetching profiles can be managed from the Profiles tab on the System Settings > Fetcher Management pane.

Profiles can be created, edited, and deleted as required. The profile list shows the name of the profile, as well as the IP 
address of the server it fetches from, the server and local ADOMs, and the administrator name on the fetch server.

FortiAnalyzer 6.4.4 Administration Guide 229

Fortinet Technologies Inc.
 System Settings

To create a new fetching profile:

 1. On the client, go to System Settings > Fetcher Management.

 2. Select the Profiles tab, then click Create New in the toolbar, or right-click and select Create New from the menu. The 
Create New Profile dialog box opens.   

 3. Configure the following settings, then click OK to create the profile.   

Name Enter a name for the profile.

Server IP Enter the IP address of the fetch server.

User Enter the username of an administrator on the fetch server, which, together 
with the password, authenticates the fetch client's access to the fetch server.

Password Enter the administrator's password, which, together with the username, 
authenticates the fetch client's access to the fetch server.

The fetch server administrator user name and password must be for an administrator with 
either a Standard_User or Super_User profile.

To edit a fetching profile:

 1. Go to System Settings > Fetching Management.

 2. Double-click on a profile, right-click on a profile then select Edit, or select a profile then click Edit in the toolbar. The 
Edit Profile pane opens.
 3. Edit the settings as required, then click OK to apply your changes.

To delete a fetching profile or profiles:

 1. Go to System Settings > Fetching Management.

 2. Select the profile or profiles you need to delete.
 3. Click Delete in the toolbar, or right-click and select Delete.
 4. Click OK in the confirmation dialog box to delete the selected profile or profiles.

Fetch requests

A fetch request requests archived logs from the fetch server configured in the selected fetch profile. When making the 
request, the ADOM on the fetch server the logs are fetched from must be specified. An ADOM on the fetching client must 

FortiAnalyzer 6.4.4 Administration Guide 230

Fortinet Technologies Inc.
System Settings

be specified or, if needed, a new one can be created. If logs are being fetched to an existing local ADOM, you must 
ensure the ADOM has enough disk space for the incoming logs.
The data policy for the local ADOM on the client must also support fetching logs from the specified time period. It must 
keep both archive and analytics logs long enough so they will not be deleted in accordance with  the policy. For example: 
Today is July 1, the ADOM's data policy is configured to keep analytics logs for 30 days (June 1 - 30), and you need to 
fetch logs from the first week of May. The data policy of the ADOM must be adjusted to keep analytics and archive logs 
for at least 62 days to cover the entire time span. Otherwise, the fetched logs will be automatically deleted after they are 
fetched.

To send a fetch request:

 1. On the fetch client, go to System Settings > Fetcher Management and select the Profiles tab

 2. Select the profile then click Request Fetch in the toolbar, or right-click and select Request Fetch from the menu. The 
Fetch Logs dialog box opens.

 3. Configure the following settings, then click Request Fetch.

The request is sent to the fetch server. The status of the request can be viewed in the Sessions tab.

Name Displays the name of the fetch server you have specified.

Server IP Displays the IP address of the server you have specified.

User Displays the username of the server administrator you have provided.

Secure Connection Select to use SSL connection to transfer fetched logs from the server.

Server ADOM Select the ADOM on the server the logs will be fetched from. Only one ADOM 

can be fetched from at a time.

Local ADOM Select the ADOM on the client where the logs will be received.

Either select an existing ADOM from the dropdown list, or create a new ADOM 
by entering a name for it into the field.

Devices Add the devices and/or VDOMs that the logs will be fetched from. Up to 256 
devices can be added.

FortiAnalyzer 6.4.4 Administration Guide 231

Fortinet Technologies Inc.
 System Settings

Click Select Device, select devices from the list, then click OK.

Enable Filters Select to enable filters on the logs that will be fetched.

Select All or Any of the Following Conditions in the Log messages that match 
field to control how the filters are applied to the logs.
Add filters to the table by selecting the  Log Field, Match Criteria, and Value for 
each filter. 

Time Period Specify what date and time range of log messages to fetch.

Index Fetch Logs If selected, the fetched logs will be indexed in the SQL database of the client 

once they are received. Select this option unless you want to manually index 
the fetched logs.

Synchronizing devices and ADOMs

If this is the first time the fetching client is fetching logs from the device, or if any changes have been made  the devices or 
ADOMs since the last fetch, then the devices and ADOMs must be synchronized with the server.

To synchronize devices and ADOMs:

 1. On the client, go to System Settings > Fetcher Management and select the Profiles tab

 2. Select the profile then click Sync Devices in the toolbar, or right-click and select Sync Devices from the menu. The 
Sync Server ADOM(s) & Device(s) dialog box opens and shows the progress of the process.
Once the synchronization is complete, you can verify the changes on the client. For example, newly added devices 
in the ADOM specified by the profile.

If a new ADOM is created, the new ADOM will mirror the disk space and data policy of the 
corresponding server ADOM. If there is not enough space on the client, the client will create an 
ADOM with the maximum allowed disk space and give a warning message. You can then 
adjust disk space allocation as required.

Request processing

After a fetching client has made a fetch request, the request will be listed on the fetch server in the Received Request 
section of the Sessions tab on the Fetcher Management pane. It will also be available from the notification center in the 
GUI banner.
Fetch requests can be approved or rejected.

To process the fetch request:

 1. Go to the notification center in the GUI banner and click the log fetcher request, or go to the Sessions tab on the 
System Settings > Fetcher Management pane.

FortiAnalyzer 6.4.4 Administration Guide 232

Fortinet Technologies Inc.
 System Settings

 2. Find the request in the Received Request section. You may have to expand the section, or select Expand All in the 

content pane toolbar. The status of the request will be Waiting for approval.
 3. Click Review to review the request. The Review Request dialog box will open.

 4. Click Approve to approve the request, or click Reject to reject the request.   
If you approve the request, the server will start to retrieve the requested logs in the background and send them to 
the client. If you reject the request, the request will be canceled and the request status will be listed as Rejected on 
both the client and the server.

Fetch monitoring

The progress of an approved fetch request can be monitored on both the fetching client and the fetch server.
Go to System Settings > Fetcher Management and select the Sessions tab to monitor the fetch progress. A fetch session 
can be paused  by clicking Pause, and resumed by clicking Resume. It can also be canceled by clicking Cancel.
Once the log fetching is completed, the status changes to Done and the request record can be deleted by clicking 
Delete. The client will start to index the logs into the database.

It can take a long time for the client to finish indexing the fetched logs and make the analyzed 
data available. A progress bar is shown in the GUI banner; for more information, click on it to 
open the Rebuild Log Database dialog box.
Log and report features will not be fully available until the rebuilding process is complete.

You may need to rebuild the ADOM after the transfer is complete depending on the Log Fetch settings.

To perform post fetch actions:

Is Index Fetched Yes The ADOM is rebuilt automatically and the log fetch workflow is complete. 

Logs enabled in the 
Log Fetch settings? No You will need to rebuild ADOM manually from the CLI.

FortiAnalyzer 6.4.4 Administration Guide 233

Fortinet Technologies Inc.
System Settings

Event Log

The Event Log pane provides an audit log of actions made by users on FortiAnalyzer. It allows you to view log messages 
that are stored in memory or on the internal hard disk drive. You can use filters to search the messages and download 
the messages to the management computer.
See the FortiAnalyzer Log Message Reference, available from the Fortinet Document Library, for more information 
about the log messages.
Go to System Settings > Event Log to view the local log list.

The following options are available:

Add Filter Filter the event log list based on the log level, user, sub type, or message. See 

Event log filtering on page 235.

Last... Select the amount of time to show from the available options, or select a custom 
time span or any time.

Column Settings Select which columns are enabled or disabled in the Event Log table.

Tools  

Raw Log / Click on Raw Log to view the logs in their raw state.

Formatted Log Click Formatted Log to view them in the formatted into a table.

Real-time Log / Click to view the real-time or historical logs list.

Historical Log

Case Sensitive Enable or disable case sensitive searching.

Search

Download Download the event logs in either CSV or the normal format to the management 
computer.

Pagination Browse the pages of logs and adjust the number of logs that are shown per page.

The following information is shown:

# The log number.

Date/Time The date and time that the log file was generated.

Device ID The ID of the related device.

Sub Type The log sub-type:

FortiAnalyzer 6.4.4 Administration Guide 234

Fortinet Technologies Inc.
 System Settings

System manager event HA event

FG-FM protocol event Firmware manager event

Device configuration event FortiGuard service event

Global database event FortiClient manager event

Script manager event FortiMail manager event

Web portal event Debug I/O log event

Firewall objects event Configuration change event

Policy console event Device manager event

VPN console event Web service event

Endpoint manager event FortiAnalyzer event

Revision history event Log daemon event

Deployment manager event FIPS-CC event

Real-time monitor event Managered devices event

Log and report manager event  

User The user that the log message relates to.

Message Log message details. A Session ID is added to each log message. The username 

of the administrator is added to log messages wherever applicable for better 
traceability. 

Event log filtering

The event log can be filtered using the Add Filter box in the toolbar.

To filter FortiView summaries using the toolbar:

 1. Specify filters in the Add Filter box.   

 l Regular Search: In the selected summary view, click in the Add Filter box, select a filter from the dropdown list, 
then type a value. Click NOT to negate the filter value. You can add multiple filters at a time, and connect them 
with an "or".
 l Advanced Search: Click the Switch to Advanced Search icon  at the right end of the Add Filter box to switch to 
advanced search mode. In this mode, you type in the whole search criteria (log field names and values). Click 
the Switch to Regular Search icon  to return to regular search.
 2. Click Go to apply the filter.

Task Monitor

Use the task monitor to view the status of the tasks you have performed.

FortiAnalyzer 6.4.4 Administration Guide 235

Fortinet Technologies Inc.
System Settings

Go to System Settings > Task Monitor to view the task monitor. The task list size can also be configured; see Advanced 

Settings on page 254. 
To filter the information in the monitor, enter a text string in the search field.

The following options are available:

Group Error Devices    Create a group of the failed devices, allowing for re-installations to be done only 

on the failed devices.

Delete Remove the selected task or tasks from the list.
This changes to Cancel Running Task(s) when View is Running.

View Task Detail View  the task Index, Name, Status, Time Used, and History, in a new window. 

Click the icons in the History column to view the following information:
 l History
 l Promotion of device in FortiAnalyzer with autolink
 l Upgrade remote device firmware
 l Retrieve remote device configuration
 l Installation of device templates
 l Installation of policy packages
 l Execution of additional scripts
To filter the information in the task details, enter a text string in the search field. 
This can be useful when troubleshooting warnings and errors. 

Show Status Select which tasks to view from the dropdown list, based on their status. The 

available options are: All, Pending, Running, Canceling, Canceled , Done, Error, 
Aborting, Aborted, and Warning.

Column Settings Select the columns you want to display from the dropdown.

The following information is available:

ID The identification number for a task.

Source The platform from where the task is performed. 

FortiAnalyzer 6.4.4 Administration Guide 236

Fortinet Technologies Inc.
System Settings

Description The nature of the task. Double-click the task to display the specific actions taken 
under this task.

User The user or users who performed the tasks.

Status The status of the task:   
 l Success: Completed with success.
 l Error: Completed without success.
 l Canceled: User canceled the task.
 l Canceling: User is canceling the task.
 l Aborted: The FortiAnalyzer system stopped performing this task.
 l Aborting: The FortiAnalyzer system is stopping performing this task.
 l Running: Being processed. In this status, a percentage bar appears in the 
Status column.
 l Pending
 l Warning

Time Used The number of seconds to complete the task.

ADOM The ADOM associated with the task.

Start Time The time that the task was started.

End Time The time that the task was completed.

SNMP

Enable the SNMP agent on the FortiAnalyzer device so it can send traps to and receive queries from the computer that is 
designated as its SNMP manager. This allows for monitoring the FortiAnalyzer with an SNMP manager.
SNMP has two parts - the SNMP agent that is sending traps, and the SNMP manager that monitors those traps. The 
SNMP communities on monitored FortiGate devices are hard coded and configured by the FortiAnalyzer system - they 
are not user configurable.
The FortiAnalyzer SNMP implementation is read-only — SNMP v1, v2c, and v3 compliant SNMP manager applications, 
such as those on your local computer, have read-only access to FortiAnalyzer system information and can receive 
FortiAnalyzer system traps.

SNMP agent

The SNMP agent sends SNMP traps originating on the FortiAnalyzer system to an external monitoring SNMP manager 
defined in a  SNMP community. Typically an SNMP manager is an application on a local computer that can read the 
SNMP traps and generate reports or graphs from them.
The SNMP manager can monitor the FortiAnalyzer system to determine if it is operating properly, or if there are any 
critical events occurring. The description, location, and contact information for this FortiAnalyzer system will be part of 
the information an SNMP manager will have — this information is useful if the SNMP manager is monitoring many 
devices, and it will enable faster responses when the FortiAnalyzer system requires attention.

FortiAnalyzer 6.4.4 Administration Guide 237

Fortinet Technologies Inc.
System Settings

Go to System Settings > Advanced > SNMP to configure the SNMP agent.

The following information and options are available:

SNMP Agent Select to enable the SNMP agent. When this is enabled, it sends FortiAnalyzer 

SNMP traps.

Description Optionally, type a description of this FortiAnalyzer system to help uniquely identify 
this unit.

Location Optionally, type the location of this FortiAnalyzer system to help find it in the event 
it requires attention.

Contact Optionally, type the contact information for the person in charge of this 
FortiAnalyzer system.

SNMP v1/2c The list of SNMP v1/v2c communities added to the FortiAnalyzer configuration.

Create New Select Create New to add a new SNMP community. If SNMP agent is not 

selected, this control will not be visible.
For more information, see SNMP v1/v2c communities on page 239.

Edit Edit the selected SNMP community. 

Delete Delete the selected SNMP community or communities.

Community Name The name of the SNMP community.

Queries The status of SNMP queries for each SNMP community. The enabled icon 
indicates that at least one query is enabled. The disabled icon indicates that all 
queries are disabled.

Traps The status of SNMP traps for each SNMP community. The enabled icon indicates 
that at least one trap is enabled. The disabled icon indicates that all traps are 
disabled.

Enable Enable or disable the SNMP community.

SNMP v3 The list of SNMPv3 users added to the configuration.

FortiAnalyzer 6.4.4 Administration Guide 238

Fortinet Technologies Inc.
 System Settings

  Create New Select Create New to add a new SNMP user. If SNMP agent is not selected, this 

control will not be visible. 
For more information, see SNMP v3 users on page 242.

  Edit Edit the selected SNMP user. 

  Delete Delete the selected SNMP user or users.

  User Name The user name for the SNMPv3 user.

  Security Level The security level assigned to the SNMPv3 user.

  Notification Hosts The notification host or hosts assigned to the SNMPv3 user.

  Queries The status of SNMP queries for each SNMP user. The enabled icon indicates 
queries are enabled. The disabled icon indicates they are disabled.

SNMP v1/v2c communities

An SNMP community is a grouping of equipment for network administration purposes. You must configure your 
FortiAnalyzer to belong to at least one SNMP community so that community’s SNMP managers can query the 
FortiAnalyzer system information and receive SNMP traps from it.

These SNMP communities do not refer to the FortiGate devices the FortiAnalyzer system is 
managing.

Each community can have a different configuration for SNMP traps and can be configured to monitor different events. 
You can add the IP addresses of up to eight hosts to each community. Hosts can receive SNMP device traps and 
information.

FortiAnalyzer 6.4.4 Administration Guide 239

Fortinet Technologies Inc.
System Settings

To create a new SNMP community:

 1. Go to System Settings > Advanced > SNMP and ensure the SNMP agent is enabled.

 2. In the SNMP v1/v2c section, click Create New in the toolbar. The New SNMP Community pane opens.

 3. Configure the following options, then click OK to create the community.

Name Enter a name to identify the SNMP community. This name cannot be edited 
later.

Hosts The list of hosts that can use the settings in this SNMP community to monitor 
the FortiAnalyzer system.   
When you create a new SNMP community, there are no host entries. Select 
Add to create a new entry that broadcasts the SNMP traps and information to 
the network connected to the specified interface.

IP Enter the IP address and netmask of an SNMP manager.
Address/Netmask By default, the IP address is 0.0.0.0 so that any SNMP manager can use this 
SNMP community.

Interface Select the interface that connects to the network where this SNMP manager 
is located from the dropdown list. This must be done if the SNMP manager is 
on the Internet or behind a router.

Delete Click the delete icon to remove this SNMP manager entry.

FortiAnalyzer 6.4.4 Administration Guide 240

Fortinet Technologies Inc.
System Settings

Add Select to add another entry to the Hosts list. Up to eight SNMP manager 
entries can be added for a single community.

Queries Enter the port number (161 by default) the FortiAnalyzer system uses to send 
v1 and v2c queries to the FortiAnalyzer in this community. Enable queries for 
each SNMP version that the FortiAnalyzer system uses.

Traps Enter the Remote port number (162 by default) the FortiAnalyzer system 
uses to send v1 and v2c traps to the FortiAnalyzer in this community. Enable 
traps for each SNMP version that the FortiAnalyzer system uses.

SNMP Event Enable the events that will cause SNMP traps to be sent to the community.

 l Interface IP changed
 l Log disk space low
 l CPU Overuse
 l Memory Low
 l System Restart
 l CPU usage exclude NICE threshold
 l RAID Event (only available for devices that support RAID)
 l Power Supply Failed (only available on supported hardware devices)
 l Fan Speed Out of Range
 l Temperature Out of Range
 l Voltage Out of Range
 l High licensed device quota
 l High licensed log GB/day
 l Log Alert
 l Log Rate
 l Data Rate
FortiAnalyzer feature set SNMP events:

To edit an SNMP community:

 1. Go to System Settings > Advanced > SNMP.

 2. In the SNMP v1/v2c section, double-click on a community, right-click on a community then select Edit, or select a 
community then click Edit in the toolbar. The Edit SNMP Community pane opens.
 3. Edit the settings as required, then click OK to apply your changes.

To delete an SNMP community or communities:

 1. Go to System Settings > Advanced > SNMP.

 2. In the SNMP v1/v2c section, select the community or communities you need to delete.
 3. Click Delete in the toolbar, or right-click and select Delete.
 4. Click OK in the confirmation dialog box to delete the selected community or communities.

FortiAnalyzer 6.4.4 Administration Guide 241

Fortinet Technologies Inc.
 System Settings

SNMP v3 users

The FortiAnalyzer SNMP v3 implementation includes support for queries, traps, authentication, and privacy. SNMP v3 
users can be created, edited, and deleted as required.

To create a new SNMP user:

 1. Go to System Settings > Advanced > SNMP and ensure the SNMP agent is enabled.

 2. In the SNMP v3 section, click Create New in the toolbar. The New SNMP User pane opens.

 3. Configure the following options, then click OK to create the community.

User Name The name of the SNMP v3 user.

Security Level The security level of the user. Select one of the following:

 l No Authentication, No Privacy
 l Authentication, No Privacy: Select the Authentication Algorithm (SHA1, 
MD5) and enter the password.
 l Authentication, Privacy: Select the Authentication Algorithm (SHA1, 
MD5), the Private Algorithm (AES, DES), and enter the passwords.

Queries Select to enable queries then enter the port number. The default port is 161.

Notification Hosts The IP address or addresses of the host. Click the add icon to add multiple IP 

addresses.

FortiAnalyzer 6.4.4 Administration Guide 242

Fortinet Technologies Inc.
System Settings

SNMP Event Enable the events that will cause SNMP traps to be sent to the SNMP 

manager.
 l Interface IP changed
 l Log disk space low
 l CPU Overuse
 l Memory Low
 l System Restart
 l CPU usage exclude NICE threshold
 l RAID Event (only available for devices that support RAID)
 l Power Supply Failed (only available on supported hardware devices)
 l High licensed device quota
 l High licensed log GB/day
 l Log Alert
 l Log Rate
 l Data Rate
 l Fan Speed Out of Range
 l Temperature Out of Range
 l Voltage Out of Range
FortiAnalyzer feature set SNMP events:

To edit an SNMP user:

 1. Go to System Settings > Advanced > SNMP.

 2. In the SNMP v3 section, double-click on a user, right-click on a user then select Edit, or select a user then click Edit 
in the toolbar. The Edit SNMP User pane opens.
 3. Edit the settings as required, then click OK to apply your changes.

To delete an SNMP user or users:

 1. Go to System Settings > Advanced > SNMP.

 2. In the SNMP v3 section, select the user or users you need to delete.
 3. Click Delete in the toolbar, or right-click and select Delete.
 4. Click OK in the confirmation dialog box to delete the selected user or users.

SNMP MIBs

The Fortinet and FortiAnalyzer MIBs, along with the two RFC MIBs, can be obtained from Customer Service & Support 
(https://support.fortinet.com). You can download the FORTINET-FORTIMANAGER-FORTIANALYZER-MIB.mib MIB file 
in the firmware image file folder. The FORTINET-CORE-MIB.mib file is located in the main FortiAnalyzer 5.00 file folder.
RFC support for SNMP v3 includes Architecture for SNMP Frameworks (RFC 3411), and partial support of User-based 
Security Model (RFC 3414).
To be able to communicate with the SNMP agent, you must include all of these MIBs into your SNMP manager. 
Generally your SNMP manager will be an application on your local computer. Your SNMP manager might already 

FortiAnalyzer 6.4.4 Administration Guide 243

Fortinet Technologies Inc.
 System Settings

include standard and private MIBs in a compiled database that is ready to use. You must add the Fortinet and 
FortiAnalyzer proprietary MIBs to this database.

MIB file name or RFC Description

FORTINET-CORE-MIB.mib The proprietary Fortinet MIB includes all system configuration information and 
trap information that is common to all Fortinet products.   
Your SNMP manager requires this information to monitor Fortinet unit 
configuration settings and receive traps from the Fortinet SNMP agent.

FORTINET-FORTIMANAGER- The proprietary FortiAnalyzer MIB includes system information and trap 
MIB.mib information for FortiAnalyzer units.

RFC-1213 (MIB II) The Fortinet SNMP agent supports MIB II groups with the following exceptions.

 l No support for the EGP group from MIB II (RFC 1213, section 3.11 and 6.10).
 l Protocol statistics returned for MIB II groups (IP/ICMP/TCP/UDP/etc.) do not 
accurately capture all Fortinet traffic activity. More accurate information can 
be obtained from the information reported by the Fortinet MIB.

RFC-2665 (Ethernet-like MIB) The Fortinet SNMP agent supports Ethernet-like MIB information with the 

following exception.   
No support for the dot3Tests and dot3Errors groups.

SNMP traps

Fortinet devices share SNMP traps, but each type of device also has traps specific to that device type. For example 
FortiAnalyzer units have FortiAnalyzer specific SNMP traps. To receive Fortinet device SNMP traps, you must load and 
compile the FORTINET-CORE-MIB into your SNMP manager.
Traps sent include the trap message as well as the unit serial number (fnSysSerial) and host name (sysName). The Trap 
Message column includes the message that is included with the trap, as well as the SNMP MIB field name to help locate 
the information about the trap.

Trap message Description

ColdStart, WarmStart, LinkUp, Standard traps as described in RFC 1215.

LinkDown

CPU usage high CPU usage exceeds the set percent. This threshold can be set in the CLI 

(fnTrapCpuThreshold) using the following commands:
config system snmp sysinfo
set trap-high-cpu-threshold <percentage value>
end

CPU usage excluding NICE CPU usage excluding NICE processes exceeds the set percentage. This 

processes threshold can be set in the CLI using the following commands:
(fmSysCpuUsageExcludedNice) config system snmp sysinfo
set trap-cpu-high-exclude-nice-threshold <percentage
value>
end

Memory low Memory usage exceeds 90 percent. This threshold can be set in the CLI using 

the following commands:

FortiAnalyzer 6.4.4 Administration Guide 244

Fortinet Technologies Inc.
 System Settings

Trap message Description

(fnTrapMemThreshold) config system snmp sysinfo

set trap-low-memory-threshold <percentage value>
end

Log disk too full Log disk usage has exceeded the configured threshold. Only available on 

(fnTrapLogDiskThreshold) devices with log disks.

Temperature too high A temperature sensor on the device has exceeded its threshold. Not all 

(fnTrapTempHigh) devices have thermal sensors. See manual for specifications.

Voltage outside acceptable range Power levels have fluctuated outside of normal levels. Not all devices have 

(fnTrapVoltageOutOfRange) voltage monitoring instrumentation.

Power supply failure Power supply failure detected. Available on some devices that support 

(fnTrapPowerSupplyFailure) redundant power supplies.

Interface IP change The IP address for an interface has changed. The trap message includes the 

(fnTrapIpChange) name of the interface, the new IP address and the serial number of the 
Fortinet unit. You can use this trap to track interface IP address changes for 
interfaces with dynamic IP addresses set using DHCP or PPPoE.

Log rate too high The incoming log rate has exceeded the peak log rate threshold. 

(fmTrapLogRateThreshold) To determine the peak log rate, use the following CLI command: get
system loglimits

Data rate too high The incoming data rate has exceeded the peak data rate threshold. 

(fmTrapLogDataRateThreshold) The peak data rate is calculated using the  peak log rate x 512 bytes (average 
log size).

Fortinet & FortiAnalyzer MIB fields

The Fortinet MIB contains fields reporting current Fortinet unit status information. The below tables list the names of the 
MIB fields and describe the status information available for each one. You can view more details about the information 
available from all Fortinet MIB fields by compiling the fortinet.3.00.mib file into your SNMP manager and browsing 
the Fortinet MIB fields.

System MIB fields:

MIB field Description

fnSysSerial Fortinet unit serial number.

Administrator accounts:

MIB field Description

fnAdminNumber The number of administrators on the Fortinet unit.

FortiAnalyzer 6.4.4 Administration Guide 245

Fortinet Technologies Inc.
System Settings

MIB field Description

fnAdminTable Table of administrators.

fnAdminIndex Administrator account index number.

fnAdminName The user name of the administrator account.

fnAdminAddr An address of a trusted host or subnet from 
which this administrator account can be used.

fnAdminMask The netmask for fnAdminAddr.

Custom messages:

MIB field Description

fnMessages The number of custom messages on the Fortinet unit.

MIB fields and traps

MIB field Description

fmModel A table of all FortiAnalyzer models.

Mail Server

A mail server allows the FortiAnalyzer to sent email messages, such as notifications when reports are run or specific 
events occur. Mail servers can be added, edited, deleted, and tested.
Go to System Settings > Advanced > Mail Server to configure SMTP mail server settings. 

If an existing mail server is in use, the delete icon is removed and the mail server entry cannot 
be deleted.

To add a mail server:

 1. Go to System Settings > Advanced > Mail Server.

 2. Click Create New in the toolbar. The Create New Mail Server Settings pane opens.

FortiAnalyzer 6.4.4 Administration Guide 246

Fortinet Technologies Inc.
System Settings

 3. Configure the following settings and then select OK to create the mail server.

SMTP Server Name Enter a name for the SMTP server.

Mail Server Enter the mail server information.

SMTP Server Port Enter the SMTP server port number. The default port is 25.

Enable Authentication Select to enable authentication.

Email Account Enter an email account. This option is only accessible when authentication is 

enabled.

Password Enter the email account password. This option is only accessible when 
authentication is enabled.

To edit a mail server:

 1. Go to System Settings > Advanced > Mail Server.

 2. Double-click on a server, right-click on a server and then select Edit from the menu, or select a server then click Edit 
in the toolbar. The Edit Mail Server Settings pane opens.
 3. Edit the settings as required, and then click OK to apply the changes.

To test the mail server:

 1. Go to System Settings > Advanced > Mail Server.

 2. Select the server you need to test.
 3. Click Test from the toolbar, or right-click and select Test.
 4. Type the email address you would like to send a test email to and click OK. A confirmation or failure message will be 
displayed.
 5. Click OK to close the confirmation dialog box.

To delete a mail server or servers:

 1. Go to System Settings > Advanced > Mail Server.

 2. Select the server or servers you need to delete.
 3. Click Delete in the toolbar, or right-click and select Delete.
 4. Click OK in the confirmation box to delete the server.

Syslog Server

Go to System Settings > Advanced > Syslog Server to configure syslog server settings. Syslog servers can be added, 

edited, deleted, and tested.

If an existing syslog server is in use, the delete icon is removed and the server entry cannot be 
deleted.

FortiAnalyzer 6.4.4 Administration Guide 247

Fortinet Technologies Inc.
System Settings

To add a syslog server:

 1. Go to System Settings > Advanced > Syslog Server.

 2. Click Create New in the toolbar. The Create New Syslog Server Settings pane opens.

 3. Configure the following settings and then select OK to create the mail server.

Name Enter a name for the syslog server.

IP address (or FQDN) Enter the IP address or FQDN of the syslog server.

Syslog Server Port Enter the syslog server port number. The default port is 514.

To edit a syslog server:

 1. Go to System Settings > Advanced > Syslog Server.

 2. Double-click on a server, right-click on a server and then select Edit from the menu, or select a server then click Edit 
in the toolbar. The Edit Syslog Server Settings pane opens.
 3. Edit the settings as required, and then click OK to apply the changes.

To test the syslog server:

 1. Go to System Settings > Advanced > Syslog Server.

 2. Select the server you need to test.
 3. Click Test from the toolbar, or right-click and select Test.
A confirmation or failure message will be displayed.

To delete a syslog server or servers:

 1. Go to System Settings > Advanced > Syslog Server.

 2. Select the server or servers you need to delete.
 3. Click Delete in the toolbar, or right-click and select Delete.
 4. Click OK in the confirmation box to delete the server or servers.

Meta Fields

Meta fields allow administrators to add extra information when configuring, adding, or maintaining FortiGate units or 
adding new administrators. You can make the fields mandatory or optional, and set the length of the field.
With the fields set as mandatory, administrators must supply additional information when they create a new FortiGate 
object, such as an administrator account or firewall policy. Fields for this new information are added to the FortiGate unit 
dialog boxes in the locations where you create these objects. You can also provide fields for optional additional 
information.
Go to System Settings > Advanced > Meta Fields to configure meta fields. Meta fields can be added, edited, and deleted.

FortiAnalyzer 6.4.4 Administration Guide 248

Fortinet Technologies Inc.
System Settings

Select Expand All or Contract All from the toolbar or right-click menu to view all of or none of 

the meta fields under each object. 

To create a new meta field:

 1. Go to System Settings > Advanced > Meta Fields.

 2. Click Create New in the toolbar. The Create New Meta Field pane opens.

 3. Configure the following settings and then select OK to create the meta field.

Object The object this metadata field applies to: Devices, Device Groups, or 

Administrative Domains.

Name Enter the label to use for the field.

Length Select the maximum number of characters allowed for the field from the 
dropdown list: 20, 50, or 255.

Importance Select Required to make the field compulsory, otherwise select Optional.

Status Select Disabled to disable this field. The default selection is Enabled.

To edit a meta field:

 1. Go to System Settings > Advanced > Meta Fields.

 2. Double-click on a field, right-click on a field and then select Edit from the menu, or select a field then click Edit in the 
toolbar. The Edit Meta Fields pane opens.
 3. Edit the settings as required, and then click OK to apply the changes.

The Object and Name fields cannot be edited.

FortiAnalyzer 6.4.4 Administration Guide 249

Fortinet Technologies Inc.
 System Settings

To delete a meta field or fields:

 1. Go to System Settings > Advanced > Meta Fields.

 2. Select the field or fields you need to delete.
 3. Click Delete in the toolbar, or right-click and select Delete.
 4. Click OK in the confirmation box to delete the field or fields.

The default meta fields cannot be deleted.

Device logs

The FortiAnalyzer allows you to log system events to disk. You can control device log file size and the use of the 
FortiAnalyzer unit’s disk space by configuring log rolling and scheduled uploads to a server.
As the FortiAnalyzer unit receives new log items, it performs the following tasks:   
 l Verifies whether the log file has exceeded its file size limit.
 l Checks to see if it is time to roll the log file if the file size is not exceeded.
When a current log file (tlog.log) reaches its maximum size, or reaches the scheduled time, the FortiAnalyzer unit 
rolls the active log file by renaming the file. The file name will be in the form of xlog.N.log (for example, 
tlog.1252929496.log), where x is a letter indicating the log type and N is a unique number corresponding to the time 
the first log entry was received. The file modification time will match the time when the last log was received in the log file.
Once the current log file is rolled into a numbered log file, it will not be changed. New logs will be stored in the new 
current log called tlog.log. If log uploading is enabled, once logs are uploaded to the remote server or downloaded via 
the GUI, they are in the following format:
FG3K6A3406600001-tlog.1252929496.log-2017-09-29-08-03-54.gz

If you have enabled log uploading, you can choose to automatically delete the rolled log file after uploading, thereby 
freeing the amount of disk space used by rolled log files. If the log upload fails, such as when the FTP server is 
unavailable, the logs are uploaded during the next scheduled upload.
Log rolling and uploading can be enabled and configured using the GUI or CLI.

Configuring rolling and uploading of logs using the GUI

Go to System Settings > Advanced > Device Log Setting to configure device log settings.

FortiAnalyzer 6.4.4 Administration Guide 250

Fortinet Technologies Inc.
System Settings

Configure the following settings, and then select Apply:

Registered Device Logs

Roll log file when size exceeds Enter the log file size, from 10 to 500MB. Default: 200MB.

Roll log files at scheduled time Select to roll logs daily or weekly.

 l Daily: select the hour and minute value in the dropdown lists.
 l Weekly: select the day, hour, and minute value in the dropdown 
lists.

Upload logs using a standard file Select to upload logs and configure the following settings.

transfer protocol

Upload Server Type Select one of FTP, SFTP, or SCP.

Upload Server IP Enter the IP address of the upload server.

User Name Enter the username used to connect to the upload server.

Password Enter the password used to connect to the upload server.

Remote Directory Enter the remote directory on the upload server where the log will be 

uploaded.

Upload Log Files Select to upload log files when they are rolled according to settings 

selected under Roll Logs, or daily at a specific hour.

Upload rolled files in Select to gzip the logs before uploading. This will result in smaller logs 

gzip file format and faster upload times.

Delete files after Select to remove device log files from the FortiAnalyzer system after 

uploading they have been uploaded to the Upload Server.

Local Device Log

FortiAnalyzer 6.4.4 Administration Guide 251

Fortinet Technologies Inc.
 System Settings

Send the local event logs to Select to send local event logs to another FortiAnalyzer or 

FortiAnalyzer / FortiManager FortiManager device.

IP Address Enter the IP address of the FortiAnalyzer or FortiManager.

Upload Option Select to upload logs in real time or at a scheduled time.

When selecting a scheduled time, you can specify the hour and minute 
to upload logs each day.

Severity Level Select the minimum log severity level from the dropdown list. This 

option is only available when Upload Option is Realtime.

Reliable log Select to use reliable log transmission.

transmission

Secure connection Select to use a secure connection for log transmission. This option is 

only available when Reliable log transmission is selected.

Configuring rolling and uploading of logs using the CLI

Log rolling and uploading can be enabled and configured using the CLI. For more information, see the FortiAnalyzer CLI
Reference.

Enable or disable log file uploads

Use the following CLI commands to enable or disable log file uploads.

To enable log uploads:

config system log settings

config rolling-regular
set upload enable
end

To disable log uploads:

config system log settings

config rolling-regular
set upload disable
end

Roll logs when they reach a specific size

Use the following CLI commands to specify the size, in MB, at which a log file is rolled.

To roll logs when they reach a specific size:

config system log settings

config rolling-regular
set file-size <integer>
end

FortiAnalyzer 6.4.4 Administration Guide 252

Fortinet Technologies Inc.
 System Settings

Roll logs on a schedule

Use the following CLI commands to configure rolling logs on a set schedule, or never.

To disable log rolling:

config system log settings

config rolling-regular
set when none
end

To enable daily log rolling:

config system log settings

config rolling-regular
set upload enable
set when daily
set hour <integer>
set min <integer>
end

To enable weekly log rolling:

config system log settings

config rolling-regular
set when weekly
set days {mon | tue | wed | thu | fri | sat | sun}
set hour <integer>
set min <integer>
end

Upload logs to cloud storage

The FortiAnalyzer can be set to upload logs to cloud storage. Before enabling this feature, you must have a valid Storage 
Connector Service license. See License Information widget on page 194. 
For information on setting up a storage fabric connector, see Creating or editing storage connectors on page 34.

To upload logs to cloud storage:

 1. Go to System Settings > Advanced > Device Log Settings.

 2. Select Create New.
 3. Complete the following options, and click OK.
 l Enter a name for the cloud storage.
 l In the Cloud Storage Connector list, select a Fabric Connector.
 l In the Remote Path box, type the bucket or container name from the storage account.

FortiAnalyzer 6.4.4 Administration Guide 253

Fortinet Technologies Inc.
System Settings

File Management

FortiAnalyzer allows you to configure automatic deletion of device log files, quarantined files, reports, and content 
archive files after a set period of time.
Go to System Settings > Advanced > File Management to configure file management settings.

Configure the following settings, and then select Apply:

Device log files older than Select to enable automatic deletion of compressed log files.

Enter a value in the text field, select the time period (Days, Weeks, or Months), 
and choose a time of day.

Reports older than Select to enable automatic deletion of reports of data from compressed log files. 

Enter a value in the text field, select the time period, and choose a time of day.

Content archive files older Select to enable automatic deletion of IPS and DP archives from Archive logs. 

than Enter a value in the text field, select the time period, and choose a time of day.

Quarantined files older than Select to enable automatic deletion of compressed log files of quarantined files. 

Enter a value in the text field, select the time period, and choose a time of day.

The time period you select determines how often the item is checked. If you select Months, then the item is checked 
once per month. If you select Weeks, then the item is checked once per week, and so on. For example, if you specify 
Device log files older than 3 Months, then on July 1, the logs for April, May, and June are kept and the logs for March and 
older are deleted.

Advanced Settings

Go to System Settings > Advanced > Advanced Settings to view and configure advanced settings and download WSDL 

files.
Configure the following settings and then select Apply:

ADOM Mode Select the ADOM mode, either Normal or Advanced.

Advanced mode will allow you to assign a VDOM from a single device to a 
different ADOM, but will result in more complicated management scenarios. It is 
recommended only for advanced users.

FortiAnalyzer 6.4.4 Administration Guide 254

Fortinet Technologies Inc.
System Settings

Download WSDL file Select the required WSDL functions then click the Download button to download 

the WSDL file to your management computer.
When selecting Legacy Operations, no other options can be selected.
Web services is a standards-based, platform independent, access method for 
other hardware and software APIs. The file itself defines the format of commands 
the FortiAnalyzer will accept as well as the responses to expect. Using the WSDL 
file, third-party or custom applications can communicate with the FortiAnalyzer 
unit and operate it or retrieve information, just as an administrator can from the 
GUI or CLI.

Task List Size Set a limit on the size of the task list. Default: 2000.

FortiAnalyzer 6.4.4 Administration Guide 255

Fortinet Technologies Inc.
Administrators

The System Settings > Admin menu enables you to configure administrator accounts, access profiles, remote 

authentication servers, and adjust global administrative settings for the FortiAnalyzer unit.
Administrator accounts are used to control access to the FortiAnalyzer unit. Local and remote authentication is 
supported, as well as two-factor authentication. Administrator profiles define different types of administrators and the 
level of access they have to the FortiAnalyzer unit, as well as its authorized devices.
Global administration settings, such as the GUI language and password policies, can be configured on the Admin
Settings pane. See Global administration settings on page 277 for more information.
This section contains the following topics:
 l Trusted hosts on page 256
 l Monitoring administrators on page 256
 l Disconnecting administrators on page 257
 l Managing administrator accounts on page 257
 l Administrator profiles on page 262
 l Authentication on page 268
 l Global administration settings on page 277
 l Two-factor authentication on page 280

Trusted hosts

Setting trusted hosts for all of your administrators increases the security of your network by further restricting 
administrative permissions. In addition to knowing the password, an administrator must connect only through the subnet 
or subnets you specify. You can even restrict an administrator to a single IP address if you define only one trusted host 
IP address with a netmask of 255.255.255.255.
When you set trusted hosts for all administrators, the FortiAnalyzer unit does not respond to administrative access 
attempts from any other hosts. This provides the highest security. If you leave even one administrator unrestricted, the 
unit accepts administrative access attempts on any interface that has administrative access enabled, potentially 
exposing the unit to attempts to gain unauthorized access.
The trusted hosts you define apply to both the GUI and to the CLI when accessed through SSH. CLI access through the 
console connector is not affected.

If you set trusted hosts and want to use the Console Access feature of the GUI, you must also 
set 127.0.0.1/255.255.255.255 as a trusted host.

Monitoring administrators

The Admin Session List lets you view a list of administrators currently logged in to the FortiAnalyzer unit.

FortiAnalyzer 6.4.4 Administration Guide 256

Fortinet Technologies Inc.
 Administrators

To view logged in administrators:

 1. Go to System Settings > Dashboard.

 2. In the System Information widget, in the Current Administrators field, click the Current Session List button. The 
Admin Session List opens in the widget.
The following information is available:

User Name The name of the administrator account. Your session is indicated by (current).

IP Address The IP address where the administrator is logging in from. This field also displays the 
logon type (GUI, jsconsole, or SSH).

Start Time The date and time the administrator logged in.

Time Out (mins) The maximum duration of the session in minutes (1 to 480 minutes).

Disconnecting administrators

Administrators can be disconnected from the FortiAnalyzer unit from the Admin Session List.

To disconnect administrators:

 1. Go to System Settings > Dashboard.

 2. In the System Information widget, in the Current Administrators field, click the Current Session List button. The 
Admin Session List opens in the widget.
 3. Select the administrator or administrators you need to disconnect.
 4. Click Delete in the toolbar, or right-click and select Delete.
The selected administrators will be automatically disconnected from the FortiAnalyzer device.

Managing administrator accounts

Go to System Settings > Admin > Administrator to view the list of administrators and manage administrator accounts.

Only administrators with the Super_User profile can see the complete administrators list. If you do not have certain 
viewing permissions, you will not see the administrator list. When ADOMs are enabled, administrators can only access 
the ADOMs they have permission to access.

FortiAnalyzer 6.4.4 Administration Guide 257

Fortinet Technologies Inc.
 Administrators

The following options are available:

Create New Create a new administrator. See Creating administrators on page 258.

Edit Edit the selected administrator. See Editing administrators on page 261.

Clone Clone the selected administrator.

Delete Delete the selected administrator or administrators. See Deleting administrators 
on page 262.

Table View/Tile View Change the view of the administrator list.

Table view shows a list of the administrators in a table format. Tile view shows a 
separate card for each administrator in a grid pattern.

Column Settings Change the displayed columns.

Search Search the administrators.

Change Password Change the selected administrator's password. This option is only available from 

the right-click menu. See Editing administrators on page 261.

The following information is shown:

Seq.# The sequence number.

Name The name the administrator uses to log in.

Type The user type, as well as if the administrator uses a wildcard.

Profile The profile applied to the administrator. See Administrator profiles on page 262

ADOMs The ADOMs the administrator has access to or is excluded from.

Comments Comments about the administrator account. This column is hidden by default.

Trusted IPv4 Hosts The IPv4 trusted host(s) associated with the administrator. See Trusted hosts on 

page 256.

Trusted IPv6 Hosts The IPv6 trusted host(s) associated with the administrator. See Trusted hosts on 

page 256. This column is hidden by default.

Contact Email The contact email associated with the administrator. This column is hidden by 

default.

Contact Phone The contact phone number associated with the administrator. This column is 

hidden by default.

Creating administrators

To create a new administrator account, you must be logged in to an account with sufficient privileges, or as a super user 
administrator.
You need the following information to create an account:
 l Which authentication method the administrator will use to log in to the FortiAnalyzer unit. Local, remote, and Public 
Key Infrastructure (PKI) authentication methods are supported.

FortiAnalyzer 6.4.4 Administration Guide 258

Fortinet Technologies Inc.
Administrators

 l What administrator profile the account will be assigned, or what system privileges the account requires.
 l If ADOMs are enabled, which ADOMs the administrator will require access to.
 l If using trusted hosts, the trusted host addresses and network masks.

For remote or PKI authentication, the authentication must be configured before you create the 
administrator. See Authentication on page 268 for details.

To create a new administrator:

 1. Go to System Settings > Admin > Administrators.

 2. In the toolbar, click Create New to display the New Administrator pane. 

 3. Configure the following settings, and then click OK to create the new administrator.   

User Name Enter the name of the administrator will use to log in.

Avatar Apply a custom image to the administrator.
Click Add Photo to select an image already loaded to the FortiAnalyzer, or to 
load an new image from the management computer.
If no image is selected, the avatar will use the first letter of the user name.

Comments Optionally, enter a description of the administrator, such as their role, location, 
or the reason for their account.

Admin Type Select the type of authentication the administrator will use when logging into 

the FortiAnalyzer unit. One of: LOCAL, RADIUS, LDAP, TACACS+, PKI, or 
Group. See Authentication on page 268 for more information.

Server or Group Select the RADIUS server, LDAP server, TACACS+ server, or group, as 

required.
The server must be configured prior to creating the new administrator. 
This option is not available if the Admin Type is LOCAL or PKI.

Match all users on remote Select this option to automatically add all users from a  LDAP server specified 

server in Admin>Remote Authentication Server. All users specified in the 
Distinguished Name field in the LDAP server will be added as FortiManager 
users with the selected Admin Profile. 

FortiAnalyzer 6.4.4 Administration Guide 259

Fortinet Technologies Inc.
Administrators

If this option is not selected, the User Name specified  must exactly match the 
LDAP user specified on the LDAP server. 
This option is not available if the Admin Type is LOCAL or PKI.

Subject Enter a comment for the PKI administrator.
This option is only available if the Admin Type is PKI.

CA Select the CA certificate from the dropdown list.
This option is only available if the Admin Type is PKI.

Required two-factor Select to enable two-factor authentication.

authentication This option is only available if the Admin Type is PKI.

New Password Enter the password.

This option is not available if Wildcard is selected.
If the Admin Type is PKI, this option is only available when Require two-factor
authentication is selected.
If the Admin Type is RADIUS, LDAP, or TACACS+, the password is only used 
when the remote server is unreachable.

Confirm Password Enter the password again to confirm it.

This option is not available if Wildcard is selected.
If the Admin Type is PKI, this option is only available when Require two-factor
authentication is selected.

Force this administrator to Force the administrator to change their password the next time that they log in 

change password upon next to the FortiAnalyzer.
log on. This option is only available if Password Policy is enabled in Admin Settings. 
See Password policy on page 278.

Admin Profile Select an administrator profile from the list. The profile selected determines 

the administrator’s access to the FortiAnalyzer unit’s features. See 
Administrator profiles on page 262.

JSON API Access Select the permission for JSON API Access. Select Read-Write, Read, or 

None. The default is None. 

Administrative Domain Choose the ADOMs this administrator will be able to access.

 l All ADOMs: The administrator can access all the ADOMs.
 l All ADOMs except specified ones: The administrator cannot access the 
selected ADOMs.
 l Specify: The administrator can access the selected ADOMs. Specifying 
the ADOM shows the Specify Device Group to Access check box. Select 
the Specify Device Group to Access check box and select the Device 
Group this administrator is allowed to access. The newly created 
administrator will only be able to access the devices within the Device 
Group and sub-groups. 
If the Admin Profile is Super_User, then this setting is All ADOMs.
This field is available only if ADOMs are enabled. See Administrative Domains 
on page 210.

FortiAnalyzer 6.4.4 Administration Guide 260

Fortinet Technologies Inc.
 Administrators

Trusted Hosts Optionally, turn on trusted hosts, then enter their IP addresses and netmasks. 

Up to ten IPv4 and ten IPv6 hosts can be added.
See Trusted hosts on page 256 for more information.

Meta Fields Optionally, enter the new administrator's email address and phone number.

Advanced Options Configure advanced options, see Advanced options below.

For more information on advanced options, see the FortiAnalyzer CLI
Reference.

Advanced options

Option Description Default

change-password Enable or Disable changing password.  disable

ext-auth-accprofile- Enable or Disable overriding the account profile by administrators  disable

override configured on a Remote Authentication Server. 

ext-auth-adom-override Enable or Disable overriding the ADOM  by administrators configured  disable

on a Remote Authentication Server.  

ext-auth-group-match Specify the  group configured on a Remote Authentication Server.    -

first-name Specify the first name.  -

last-name Specify the last name.  -

mobile-number Specify the mobile number.  -

pager-number Specify the pager number.  -

restrict-access Enable or Disable restricted access.  disable

Editing administrators

To edit an administrator, you must be logged in as a super user administrator. The administrator's name cannot be 
edited. An administrator's password can be changed using the right-click menu, if the password is not a wildcard.

To edit an administrator:

 1. Go to System Settings > Admin > Administrators.

 2. Double-click on an administrator, right-click on an administrator and then select Edit from the menu, or select the 
administrator then click Edit in the toolbar. The Edit Administrator pane opens.
 3. Edit the settings as required, and then select OK to apply the changes.

To change an administrator's password:

 1. Go to System Settings > Admin > Administrators.

 2. Right-click on an administrator and select Change Password from the menu. The Change Password dialog box 
opens.
 3. If you are editing the admin administrator's password, enter the old password in the Old Password field.

FortiAnalyzer 6.4.4 Administration Guide 261

Fortinet Technologies Inc.
 Administrators

 4. Enter the new password for the administrator in the New Password and Confirm Password fields.

 5. Select OK to change the administrator's password.

The current administrator's password can also be changed from the admin menu in the GUI 
banner. See GUI overview on page 13 for information.

Deleting administrators

To delete an administrator or administrators, you must be logged in as a super user administrator.

You cannot delete an administrator that is currently logged in to the device.

The admin administrator can only be deleted using the CLI.

To delete an administrator or administrators:

 1. Go to System Settings > Admin > Administrators.

 2. Select the administrator or administrators you need to delete.
 3. Click Delete in the toolbar, or right-click and select Delete.
 4. Select OK in the confirmation box to delete the administrator or administrators.

To delete an administrator using the CLI:

 1. Open a CLI console and enter the following command:   
config system admin user
delete <username>
end

Administrator profiles

Administrator profiles are used to control administrator access privileges to devices or system features. Profiles are 
assigned to administrator accounts when an administrator is created. The profile controls access to both the 
FortiAnalyzer GUI and CLI.
There are three predefined system profiles:

Restricted_User Restricted user profiles have no system privileges enabled, and have read-only 
access for all device privileges.

FortiAnalyzer 6.4.4 Administration Guide 262

Fortinet Technologies Inc.
 Administrators

Standard_User Standard user profiles have no system privileges enabled, and have read/write 
access for all device privileges.

Super_User Super user profiles have all system and device privileges enabled. It cannot be 
edited.

These profiles cannot be deleted, but standard and restricted profiles can be edited. New profiles can also be created as 
required. Only super user administrators can manage administrator profiles.
Go to System Settings > Admin > Profile to view and manage administrator profiles.

The following options are available:

Create New Create a new administrator profile. See Creating administrator profiles on page 

265.

Edit Edit the selected profile. See Editing administrator profiles on page 267.

Clone Clone the selected profile. See Cloning administrator profiles on page 267.

Delete Delete the selected profile or profiles. See Deleting administrator profiles on page 
267.

Search Search the administrator profiles list.

The following information is shown:

Name The name the administrator uses to log in.

Type The profile type.

Description A description of the system and device access permissions allowed for the 
selected profile.

Permissions

The below table lists the default permissions for the predefined administrator profiles. 

FortiAnalyzer 6.4.4 Administration Guide 263

Fortinet Technologies Inc.
 Administrators

When Read-Write is selected, the user can view and make changes to the FortiAnalyzer system. When Read-Only is 
selected, the user can only view information. When None is selected, the user can neither view or make changes to the 
FortiAnalyzer system.

Setting Predefined Administrator Profile

Super User Standard User Restricted User

System Settings Read-Write None None

system-setting

Administrative Domain Read-Write Read-Write None

adom-switch

Device Manager Read-Write Read-Write Read-Only

device-manager

Add/Delete/Edit Read-Write Read-Write None

Devices/Groups
device-op

Log View/FortiView Read-Write Read-Write Read-Only

log-viewer

Incidents & Events Read-Write Read-Write Read-Only

event-management

Reports Read-Write Read-Write Read-Only

report-viewer

FortiRecorder Read-Write Read-Write None

CLI only settings

device-wan-link-load-balance Read-Write Read-Write Read-Only
device-ap Read-Write Read-Write Read-Only
device-forticlient Read-Write Read-Write Read-Only
device-fortiswitch Read-Write Read-Write Read-Only
realtime-monitor Read-Write Read-Write Read-Only

Privacy Masking

Use Privacy Masking to help protect user privacy by masking or anonymizing user information. You can select which 
fields to mask. Masked fields show anonymous data. You can unmask and see the original data by entering the Data
Mask Key that you specify in the administrator profile.

FortiAnalyzer 6.4.4 Administration Guide 264

Fortinet Technologies Inc.
 Administrators

When Privacy Masking is enabled in an administrator profile, accounts using that profile have a See Original Data button 

in the banner.

To turn privacy masking on:

 1. In System Settings > Profile, create or edit a profile.

 2. In the Privacy Masking section, set the toggle to ON
 3. In the Masked Data Fields section, select the fields you want to mask. 
The fields you select  are masked in all modules that display those fields.
 4. In the Data Mask Key field, type the key that will allow users to unmask the data.
 5. In the Data Unmasked Time field, type the number of days the data is unmasked. 
You can enter a number between 0-365. Logs that are older than the number of days appear masked.

To see the original, unmasked data:

 1. In any list showing masked data, click See Original Data in the banner and select Screen Picker or Manual Input.

 2. If you select Screen Picker, click a masked field, for example, 75.196.35.21.
The Unmask Protected Data dialog box displays with the field you clicked already entered.
If you select Manual Input, enter the masked text, for example, 75.196.35.21.
 3. Enter the Data Mask Key that was set up in the administrator profile and click OK.

Creating administrator profiles

To create a new administrator profile, you must be logged in to an account with sufficient privileges, or as a super user 
administrator.

FortiAnalyzer 6.4.4 Administration Guide 265

Fortinet Technologies Inc.
Administrators

To create a custom administrator profile:

 1. Go to System Settings > Admin > Profile.

 2. Click Create New in the toolbar. The New Profile pane is displayed.   

 3. Configure the following settings:   

Profile Name Enter a name for this profile.

Description Optionally, enter a description for this profile. While not a 
requirement, a description can help to know what the profiles is for, 
or the levels it is set to.

Permissions Select None, Read Only, or Read-Write access for the categories 

as required.

Privacy Masking Enable/disable privacy masking.

Masked Data Fields Select the fields to mask: Destination Name, Source IP, 

Destination IP, User, Source Name, Email, Message, and/or 
Source MAC.

Data Mask Key Enter the data masking encryption key. You need the Data Mask

Key to see the original data.

Data Unmasked Time(0- Enter the number of days the user assigned to this profile can see 

365 Days) all logs without masking. 
The logs are masked if the time period in the Log View toolbar is 
greater than the number of days in the Data Masked Time field.

 l Only integers between 0-365 are supported.
 l Time frame masking does not apply to real 
time logs.
 l Time frame masking applies to custom view 
and drill-down data.

 4. Click OK to create the new administrator profile.

FortiAnalyzer 6.4.4 Administration Guide 266

Fortinet Technologies Inc.
 Administrators

To apply a profile to an administrator:

 1. Go to System Settings > Administrators.

 2. Create a new administrator or edit an existing administrator. The Edit Administrator pane is displayed.
 3. From the Admin Profile list, select a profile.

Editing administrator profiles

To edit an administrator profile, you must be logged in to an account with sufficient privileges, or as a super user 
administrator. The profile's name cannot be edited. The Super_User profile cannot be edited, and the predefined profiles 
cannot be deleted.

To edit an administrator:

 1. Go to System Settings > Admin > Profile.

 2. Double-click on a profile, right-click on a profile and then select Edit from the menu, or select the profile then click 
Edit in the toolbar. The Edit Profile pane opens.
 3. Edit the settings as required, and then select OK to apply the changes.

Cloning administrator profiles

To clone an administrator profile, you must be logged in to an account with sufficient privileges, or as a super user 
administrator.

To edit an administrator:

 1. Go to System Settings > Admin > Profile.

 2. Right-click on a profile and select Clone from the menu, or select the profile then click Clone in the toolbar. The 
Clone Profile pane opens.
 3. Edit the settings as required, and then select OK to apply the changes.

Deleting administrator profiles

To delete a profile or profiles, you must be logged in to an account with sufficient privileges, or as a super user 
administrator. The predefined profiles cannot be deleted. 

To delete a profile or profiles:

 1. Go to System Settings > Admin > Profile.

 2. Select the profile or profiles you need to delete.
 3. Click Delete in the toolbar, or right-click and select Delete.
 4. Select OK in the confirmation box to delete the profile or profiles.

FortiAnalyzer 6.4.4 Administration Guide 267

Fortinet Technologies Inc.
 Administrators

Authentication

The FortiAnalyzer system supports authentication of administrators locally, remotely with RADIUS, LDAP, or TACACS+ 
servers, and using PKI. Remote authentication servers can also be added to authentication groups that administrators 
can use for authentication.
Security Assertion Markup Language (SAML) authentication can be enabled across all Security Fabric devices, enabling 
smooth movement between devices for the administrator. FortiAnalyzer can play the role of the identity provider (IdP) or 
the service provider (SP) when an external identity provider is available. See SAML admin authentication on page 275.
To use PKI authentication, you must configure the authentication before you create the administrator accounts. See 
Public Key Infrastructure on page 268 for more information.
To use remote authentication servers, you must configure the appropriate server entries in the FortiAnalyzer unit for 
each authentication server in your network. New LDAP remote authentication servers can be added and linked to all 
ADOMs or specific ADOMs. See LDAP servers on page 271, RADIUS servers on page 272, TACACS+ servers on page 
274, and Remote authentication server groups on page 274 for more information.

Public Key Infrastructure

Public Key Infrastructure (PKI) authentication uses X.509 certificate authentication library that takes a list of peers, peer 
groups, and user groups and returns authentication successful or denied notifications. Administrators only need a valid 
X.509 certificate for successful authentication; no username or password is necessary.
To use PKI authentication for an administrator, you must configure the authentication before you create the administrator 
accounts. You will also need the following certificates:
 l an X.509 certificate for the FortiManager administrator (administrator certificate)
 l an X.509 certificate from the Certificate Authority (CA) which has signed the administrator’s certificate (CA 
Certificate)

To get the CA certificate:

 1. Log into your FortiAnalyzer.
 2. Go to Certificate Management > Certificate Authorities > Local CAs.
 3. Select the certificate and select Export in the toolbar to save the ca_fortinet.com CA certificate to your 
management computer. The saved CA certificate’s filename is ca_fortinet.com.crt.

To get the administrator certificate:

 1. Log into your FortiAnalyzer.
 2. Go to Certificate Management > End Entities > Users.
 3. Select the certificate and select Export in the toolbar to save the administrator certificate to your management 
computer. The saved CA certificate’s filename is admin_fortinet.com.p12. This PCKS#12 file is password 
protected. You must enter a password on export.

To import the administrator certificate into your browser:

 1. In Mozilla Firefox, go to Options > Advanced > Certificates > View Certificates > Import.
 2. Select the file admin_fortinet.com.p12 and enter the password used in the previous step.

FortiAnalyzer 6.4.4 Administration Guide 268

Fortinet Technologies Inc.
 Administrators

To import the CA certificate into the FortiAnalyzer:

 1. Log into your FortiAnalyzer.
 2. Go to System Settings > Certificates > CA Certificates.
 3. Click Import, and browse for the ca_fortinet.com.crt file you saved to your management computer, or drag 
and drop the file onto the dialog box. The certificate is displayed as CA_Cert_1.

To create a new PKI administrator account:

 1. Go to System Settings > Admin > Administrator.

 2. Click Create New. The New Administrator dialog box opens.
See Creating administrators on page 258 for more information.
 3. Select PKI for the Admin Type.
 4. Enter a comment in the Subject field for the PKI administrator.
 5. Select the CA certificate from the dropdown list in the CA field.
 6. Click OK to create the new administrator account.

PKI authentication must be enabled via the FortiAnalyzer CLI with the following commands:   
config system global
set clt-cert-req enable
end

When connecting to the FortiAnalyzer GUI, you must use HTTPS when using PKI certificate 
authentication.

When clt-cert-req is set to optional, the user can use certificate authentication or user 
credentials for GUI login.

Managing remote authentication servers

The FortiAnalyzer system supports remote authentication of administrators using LDAP, RADIUS, and TACACS+ 
remote servers. To use this feature, you must configure the appropriate server entries for each authentication server in 
your network, see LDAP servers on page 271, RADIUS servers on page 272, and TACACS+ servers on page 274 for 
more information.
Remote authentication servers can be added, edited, deleted, and added to authentication groups (CLI only).
Go to System Settings > Admin > Remote Authentication Server to manage remote authentication servers.

FortiAnalyzer 6.4.4 Administration Guide 269

Fortinet Technologies Inc.
Administrators

The following options are available:

Create New Add an LDAP, RADIUS, or TACACS+ remote authentication server. See LDAP 

servers on page 271, RADIUS servers on page 272, and TACACS+ servers on 
page 274.

Edit Edit the selected remote authentication server. See Editing remote authentication 
servers on page 270.

Delete Delete the selected remote authentication server or servers. See Deleting remote 
authentication servers on page 270.

The following information is displayed:

Name The name of the server.

Type The server type: LDAP, RADIUS, or TACACS+.

ADOM The administrative domain(s) which are linked to the remote authentication 
server.

Details Details about the server, such as the IP address.

Editing remote authentication servers

To edit a remote authentication server, you must be logged in to an account with sufficient privileges, or as a super user 
administrator. The server's name cannot be edited.

To edit a remote authentication server:

 1. Go to System Settings > Admin > Remote Authentication Server.

 2. Double-click on a server, right-click on a server and then select Edit from the menu, or select the server then click 
Edit in the toolbar. The Edit Server pane for that server type opens.
 3. Edit the settings as required, and then select OK to apply the changes.
See LDAP servers on page 271, RADIUS servers on page 272, and TACACS+ servers on page 274 for more 
information.

Deleting remote authentication servers

To delete a remote authentication server or servers, you must be logged in to an account with sufficient privileges, or as 
a super user administrator.

To delete a remote authentication server or servers:

 1. Go to System Settings > Admin > Remote Authentication Server.

 2. Select the server or servers you need to delete.
 3. Click Delete in the toolbar, or right-click and select Delete.
 4. Select OK in the confirmation box to delete the server or servers.

FortiAnalyzer 6.4.4 Administration Guide 270

Fortinet Technologies Inc.
 Administrators

LDAP servers

Lightweight Directory Access Protocol (LDAP) is an Internet protocol used to maintain authentication data that may 
include departments, people, groups of people, passwords, email addresses, and printers. LDAP consists of a data-
representation scheme, a set of defined operations, and a request/response network.
If you have configured LDAP support and an administrator is required to authenticate using an LDAP server, the 
FortiAnalyzer unit sends the administrator’s credentials to the LDAP server for authentication. If the LDAP server can 
authenticate the administrator, they are successfully authenticated with the FortiAnalyzer unit. If the LDAP server cannot 
authenticate the administrator, the FortiAnalyzer unit refuses the connection.
To use an LDAP server to authenticate administrators, you must configure the server before configuring the 
administrator accounts that will use it.

To add an LDAP server:

 1. Go to System Settings > Admin > Remote Authentication Server.

 2. Select Create New > LDAP Server from the toolbar. The New LDAP Server pane opens.   

 3. Configure the following settings, and then click OK to add the LDAP server.   

Name Enter a name to identify the LDAP server.

Server Name/IP Enter the IP address or fully qualified domain name of the LDAP server.

Port Enter the port for LDAP traffic. The default port is 389.

Common Name Identifier The common name identifier for the LDAP server. Most LDAP servers use cn. 

However, some servers use other common name identifiers such as UID.

Distinguished Name The distinguished name is used to look up entries on the LDAP server.

The distinguished name reflects the hierarchy of LDAP database object 
classes above the common name identifier. Clicking the query distinguished
name icon will query the LDAP server for the name and open the LDAP
Distinguished Name Query window to display the results.

Bind Type Select the type of binding for LDAP authentication: Simple, Anonymous, or 

Regular.

FortiAnalyzer 6.4.4 Administration Guide 271

Fortinet Technologies Inc.
 Administrators

User DN When the Bind Type is set to Regular, enter the user DN.

Password When the Bind Type is set to Regular, enter the password.

Secure Connection Select to use a secure LDAP server connection for authentication.

Protocol When Secure Connection is enabled, select either LDAPS or STARTTLS.

Certificate When Secure Connection is enabled, select the certificate from the dropdown 

list.

Administrative Domain Choose the ADOMs that this server will be linked to for reporting: All ADOMs 

(default), or Specify for specific ADOMs.

Advanced Options  

  adom-attr Specify an attribute for the ADOM.

  attributes Specify the attributes such as member, uniquemember, or memberuid.

  connect-timeout Specify the connection timeout in millisecond. 

  filter Specify the filter in the format (objectclass=*)

  group Specify the name of the LDAP group. 

  memberof-attr Specify the value for this attribute. This value must match the attribute of the 
group in LDAP Server. All users part of the LDAP group with the attribute 
matching the   memberof-attr will inherit the administrative permissions  
specified for this group. 

  profile-attr Specify the attribute for this profile. 

  secondary-server Specify a secondary server.

  tertiary-server Specify a tertiary server.

RADIUS servers

Remote Authentication Dial-in User (RADIUS) is a user authentication and network-usage accounting system. When 
users connect to a server they type a user name and password. This information is passed to a RADIUS server, which 
authenticates the user and authorizes access to the network.
You can create or edit RADIUS server entries in the server list to support authentication of administrators. When an 
administrator account’s type is set to RADIUS, the FortiAnalyzer unit uses the RADIUS server to verify the administrator 
password at log on. The password is not stored on the FortiAnalyzer unit.
To use a RADIUS server to authenticate administrators, you must configure the server before configuring the 
administrator accounts that will use it.

FortiAnalyzer 6.4.4 Administration Guide 272

Fortinet Technologies Inc.
Administrators

To add a RADIUS server:

 1. Go to System Settings > Admin > Remote Authentication Server.

 2. Select Create New > RADIUS Server from the toolbar. The New RADIUS Server pane opens.

 3. Configure the following settings, and then click OK to add the RADIUS server.   

Name Enter a name to identify the RADIUS server.

Server Name/IP Enter the IP address or fully qualified domain name of the RADIUS server.

Port Enter the port for RADIUS traffic. The default port is 1812. Some RADIUS 
servers use port 1645.

Server Secret Enter the RADIUS server secret. Click the eye icon to Show or Hide the server 

secret.

Test Connectivity Click Test Connectivity to test the connectivity with the RADIUS server. Shows 

success or failure. 

Test User Credentials Click Test User Credentials to test the user credentials. Shows success or 

failure. 

Secondary Server Name/IP Enter the IP address or fully qualified domain name of the secondary RADIUS 

server.

Secondary Server Secret Enter the secondary RADIUS server secret.

Authentication Type Select the authentication type the RADIUS server requires. If you select the 

default ANY, FortiAnalyzer tries all authentication types.

Advanced Options  

nas-ip Specify the IP address for the Network Attached Storage (NAS). 

FortiAnalyzer 6.4.4 Administration Guide 273

Fortinet Technologies Inc.
 Administrators

TACACS+ servers

Terminal Access Controller Access-Control System (TACACS+) is a remote authentication protocol that provides 
access control for routers, network access servers, and other network computing devices via one or more centralized 
servers. It allows a client to accept a user name and password and send a query to a TACACS authentication server. 
The server host determines whether to accept or deny the request and sends a response back that allows or denies 
network access to the user. The default TCP port for a TACACS+ server is 49.
If you have configured TACACS+ support and an administrator is required to authenticate using a TACACS+ server, the 
FortiAnalyzer unit contacts the TACACS+ server for authentication. If the TACACS+ server can authenticate the 
administrator, they are successfully authenticated with the FortiAnalyzer unit. If the TACACS+ server cannot 
authenticate the administrator, the connection is refused by the FortiAnalyzer unit.
To use a TACACS+ server to authenticate administrators, you must configure the server before configuring the 
administrator accounts that will use it.

To add a TACACS+ server:

 1. Go to System Settings > Admin > Remote Authentication Server.

 2. Select Create New > TACACS+ Server from the toolbar. The New TACACS+ Server pane opens.   

 3. Configure the following settings, and then click OK to add the TACACS+ server.   

Name Enter a name to identify the TACACS+ server.

Server Name/IP Enter the IP address or fully qualified domain name of the TACACS+ server.

Port Enter the port for TACACS+ traffic. The default port is 49.

Server Key Enter the key to access the TACACS+ server. The server key can be a 

maximum of 16 characters in length.

Authentication Type Select the authentication type the TACACS+ server requires. If you select the 

default ANY, FortiAnalyzer tries all authentication types.

Remote authentication server groups

Remote authentication server groups can be used to extend wildcard administrator access. Normally, a wildcard 
administrator can only be created for a single server. If multiple servers of different types are grouped, a wildcard 
administrator can be applied to all of the servers in the group.
Multiple servers of the same type can be grouped to act as backups - if one server fails, the administrator can still be 
authenticated by another server in the group.
To use a server group to authenticate administrators, you must configure the group before configuring the administrator 
accounts that will use it.

FortiAnalyzer 6.4.4 Administration Guide 274

Fortinet Technologies Inc.
 Administrators

Remote authentication server groups can only be managed using the CLI. For more information, see the FortiAnalyzer
CLI Reference.

To create a new remote authentication server group:

 1. Open the admin group command shell:
config system admin group
 2. Create a new  group, or edit an already create group:
edit <group name>
 3. Add remote authentication servers to the group:
set member <server name> <server name> ...
 4. Apply your changes:
end

To edit the servers in a group:

 1. Enter the following CLI commands:
config system admin group
edit <group name>
set member <server name> <server name> ...
end
Only the servers listed in the command will be in the group. 

To remove all the servers from the group:

 1. Enter the following CLI commands:
config system admin group
edit <group name>
unset member
end
All of the servers in the group will be removed.

To delete a group:

 1. Enter the following CLI commands:
config system admin group
delete <group name>
end

SAML admin authentication

SAML can be enabled across devices, enabling smooth movement between devices for the administrator. FortiAnalyzer 
can play the role of the identity provider (IdP) or the service provider (SP) when an external identity provider is available. 
When FortiGate is acting as the IdP in a Security Fabric, FortiAnalyzer can be configured to automatically connect as a 
Fabric SP, allowing for easy setup of SAML authentication. See Enabling SAML authentication in a Security Fabric on 
page 44.
Devices configured to the IdP can be accessed through the Quick Access menu which appears in the top-right corner of 
the main menu. The current device is indicated with an asterisk (currently only supported between FAZ/FMG).

FortiAnalyzer 6.4.4 Administration Guide 275

Fortinet Technologies Inc.
Administrators

Logging into an SP device will redirect you to the IdP login page. By default, it is a Fortinet login page. After successful 
authentication, you can access other SP devices from within the same browser without additional authentication.

The admin user must be created on both the IdP and SP, otherwise you will see an error 
message stating that the admin doesn't exist.

When accessing FortiGate from the Quick Access menu, if FGT is set up to use the default 
login page with SSO options, you must select the via Single Sign-On button to be 
automatically authenticated.

To configure FortiAnalyzer as the identity provider:

 1. Go to System Settings > SAML SSO.

 2. Select Identity Provider (IdP).
 3. In the IdP Certificate dropdown, choose a certificate where IdP is used.
 4. Select Download to get the IdP certificate, used later to configure SPs.
 5. Select Apply.
 6. In the SP Settings table, select Create to add a service provider.
 7. In the Edit Service Provider window:
 l Enter a name for the SP.
 l Select Fortinet as the SP Type.
 l If the SP is not a Fortinet product, select Custom as the SP Type and copy the SP Entity ID, SP ACS
(Login) URL, and SP SLS (Logout) URL from your SPs configuration page.
 l Enter the SP IP address.
 l Copy down the IdP Prefix. It is required when configuring SPs.
 8. Select OK.
 9. A custom login page can be created by moving the Login Page Template toggle to the On position and selecting 
Customize. 

To configure FortiAnalyzer as a service provider:

 1. Go to System Settings > SAML SSO.

 2. Select Service Provider (SP).
 3. Select Fortinet as the IdP Type.
 4. Enter the IdP IP address and the IdP prefix that you obtained while configuring the IdP device.
 5. Select the IdP certificate.
If this is a first-time set up, you can import the IdP certificate that you downloaded while configuring the IdP device.
 6. Confirm that the information is correct and select Apply.
 7. Repeat the steps for each FAZ/FMG that is to be set as a service provider. 
For information on configuring FortiAnalyzer as an SP in a Security Fabric, see: Enabling SAML authentication in a 
Security Fabric on page 44.

FortiAnalyzer 6.4.4 Administration Guide 276

Fortinet Technologies Inc.
Administrators

Global administration settings

The administration settings page provides options for configuring global settings for administrator access to the 
FortiAnalyzer device. Settings include:
 l Ports for HTTPS and HTTP administrative access
To improve security, you can change the default port configurations for administrative connections to the 
FortiAnalyzer. When connecting to the FortiAnalyzer unit when the port has changed, the port must be included, 
such as https://<ip_address>:<port>. For example, if you are connecting to the FortiAnalyzer unit using 
port 8080, the URL would be https://192.168.1.99:8080. When you change to the default port number for 
HTTP, HTTPS,  or SSH, ensure that the port number is unique.
 l Idle timeout settings
By default, the GUI disconnects administrative sessions if no activity occurs for five minutes. This prevents 
someone from using the GUI if the management computer is left unattended.
 l GUI language   
The language the GUI uses. For best results, you should select the language used by the management computer.
 l GUI theme   
The default color theme of the GUI is Blueberry. You can choose another color or an image.
 l Password policy   
Enforce password policies for administrators.

Only super user administrators can access and configure the administration settings. The 
settings are global and apply to all administrators of the FortiAnalyzer unit.

To configure the administration settings:

 1. Go to System Settings > Admin > Admin Settings.

 2. Configure the following settings as needed, then click Apply to save your changes to all administrator accounts:   

Administration Settings  

FortiAnalyzer 6.4.4 Administration Guide 277

Fortinet Technologies Inc.
 Administrators

HTTP Port Enter the TCP port to be used for administrative HTTP access. Default: 80.

Select Redirect to HTTPS to redirect HTTP traffic to HTTPS.

HTTPS Port Enter the TCP port to be used for administrative HTTPS access. Default: 443.

HTTPS & Web Select a certificate from the dropdown list.

Service Server
Certificate

Idle Timeout Enter the number of minutes an administrative connection can be idle before 

the administrator must log in again, from 1 to 480 (8 hours). See Idle timeout 
on page 280 for more information.

View Settings  

Language Select a language from the dropdown list. See GUI language on page 279 for 
more information.

Theme Select a theme for the GUI. The selected theme is not applied until you click 
Apply, allowing to you to sample different themes. Default: Blueberry.

FortiAnalyzer also implements a high contrast dark theme in 
order to make the FortiAnalyzer GUI more accessible, and to 
aid people with visual disability in using the FortiAnalyzer 
GUI.
Select the High Contrast Dark theme and click Apply.

Password Policy Click to enable administrator password policies. See Password policy on page 

278 and Password lockout and retry attempts on page 279 for more 
information.

Minimum Length Select the minimum length for a password, from 8 to 32 characters. Default: 8.

Must Contain Select the types of characters a password must contain.

  Admin Password Select the number of days a password is valid for, after which it must be 

Expires after changed.

Password policy

You can enable and configure password policy for the FortiAnalyzer.

To configure the password policy:

 1. Go to System Settings > Admin > Admin Settings.

 2. Click to enable Password Policy.
 3. Configure the following settings, then click Apply to apply to password policy.

Minimum Length Specify the minimum number of characters that a password must be, from 8 to 32. 

Default: 8.

FortiAnalyzer 6.4.4 Administration Guide 278

Fortinet Technologies Inc.
 Administrators

Must Contain Specify the types of characters a password must contain: uppercase and lowercase 

letters, numbers, and/or special characters.

Admin Password Specify the number of days a password is valid for. When the time expires, an 

Expires after administrator will be prompted to enter a new password.

Password lockout and retry attempts

By default, the number password retry attempts is set to three, allowing the administrator a maximum of three attempts 
at logging in to their account before they are locked out for a set amount of time (by default, 60 seconds).
The number of attempts and the default wait time before the administrator can try to enter a password again can be 
customized. Both settings can be configured using the CLI.

To configure the lockout duration:

 1. Enter the following CLI commands:   
config system global
set admin-lockout-duration <seconds>
end

To configure the number of retry attempts:

 1. Enter the following CLI commands:   
config system global
set admin-lockout-threshold <failed_attempts>
end

Example

To set the lockout threshold to one attempt and set a five minute duration before the administrator can try to log in again, 
enter the following CLI commands:
config system global
set admin-lockout-duration 300
set admin-lockout-threshold 1
end

GUI language

The GUI supports multiple languages, including:
 l English
 l Simplified Chinese
 l Spanish
 l Traditional Chinese
 l Japanese
 l Korean

FortiAnalyzer 6.4.4 Administration Guide 279

Fortinet Technologies Inc.
 Administrators

By default, the GUI language is set to Auto Detect, which automatically uses the language used by the management 
computer. If that language is not supported, the GUI defaults to English. For best results, you should select the language 
used by the operating system on the management computer. 
For more information about  language support, see the FortiAnalyzer Release Notes.

To change the GUI language:

 1. Go to System Settings > Admin > Admin Settings.

 2. Under the View Settings, In the Language field, select a language, or Auto Detect, from the dropdown list.
 3. Click Apply to apply the language change.

Idle timeout

To ensure security, the idle timeout period should be short. By default, administrative sessions are disconnected if no 
activity takes place for five minutes. This idle timeout is recommended to prevent anyone from using the GUI on a PC 
that was logged in to the GUI and then left unattended. The idle timeout period can be set from 1 to 480 minutes.

To change the idle timeout:

 1. Go to System Settings > Admin > Admin Settings.

 2. Change the Idle Timeout period as required.
 3. Click Apply.

Two-factor authentication

To configure two-factor authentication for administrators you will need the following:
 l FortiAnalyzer
 l FortiAuthenticator
 l FortiToken

Configuring FortiAuthenticator

On the FortiAuthenticator, you must create a local user and a RADIUS client.

Before proceeding, ensure you have configured your FortiAuthenticator, created a NAS entry 
for your FortiAnalyzer, and created or imported FortiTokens.
For more information, see the Two-Factor Authenticator Interoperability Guide and 
FortiAuthenticator Administration Guide in the Fortinet Document Library.

Create a local user:

 1. Go to Authentication > User Management > Local Users.

 2. Click Create New in the toolbar.

FortiAnalyzer 6.4.4 Administration Guide 280

Fortinet Technologies Inc.
Administrators

 3. Configure the following settings:   

Username Enter a user name for the local user.

Password creation Select Specify a password from the dropdown list.

Password Enter a password. The password must be a minimum of 8 characters.

Password confirmation Re-enter the password. The passwords must match.

Allow RADIUS authentication Enable to allow RADIUS authentication.

Role Select the role for the new user.

Enable account expiration Optionally, select to enable account expiration. For more information see the 

FortiAuthenticator Administration Guide.

 4. Click OK to continue to the Change local user page.

 5. Configure the following settings, then click OK.   

Disabled Select to disable the local user.

Password-based Leave this option selected. Select [Change Password] to change the 

authentication password for this local user.

Token-based authentication Select to enable token-based authentication.

Deliver token code Select to deliver token by FortiToken, email, or SMS.

by Click Test Token to test the token.

Allow RADIUS authentication Select to allow RADIUS authentication.

Enable account expiration Optionally, select to enable account expiration. For more information see the 

FortiAuthenticator Administration Guide.

User Role

Role   Select either Administrator or User.

Full Permission Select to allow Full Permission, otherwise select the admin profiles to apply to 

the user. This option is only available when Role is Administrator.

FortiAnalyzer 6.4.4 Administration Guide 281

Fortinet Technologies Inc.
Administrators

Web service Select to allow Web service, which allows the administrator to access the web 

service via a REST API or by using a client application. This option is only 
available when Role is Administrator.

Restrict admin Select to restrict admin login from trusted management subnets only, then 

login from trusted enter the trusted subnets in the table. This option is only available when Role 
management is Administrator.
subnets only

Allow LDAP Select to allow LDAP browsing. This option is only available when Role is 

Browsing User.

Create a RADIUS client:

 1. Go to Authentication > RADIUS Service > Clients.

 2. Click Create New in the toolbar.
 3. Configure the following settings, then click OK.   

Name Enter a name for the RADIUS client entry.

Client name/IP Enter the IP address or Fully Qualified Domain Name (FQDN) of the 

FortiAnalyzer.

Secret Enter the server secret. This value must match the FortiAnalyzer RADIUS 
server setting at System Settings > Admin > Remote Authentication Server.

First profile name See the FortiAuthenticator Administration Guide.

Description Enter an optional description for the RADIUS client entry.

Apply this profile based on Select to apply the profile based on RADIUS attributes.

RADIUS attributes

Authentication method Select Enforce two-factor authentication from the list of options.

Username input format Select specific user name input formats.

Realms Configure realms.

Allow MAC-based Optional configuration.

authentication

Check machine Select to check machine based authentication and apply groups based on the 

authentication success or failure of the authentication.

Enable captive portal Enable various portals.

EAP types Optional configuration.

For more information, see the FortiAuthenticator Administration Guide, available in the 

Fortinet Document Library.

FortiAnalyzer 6.4.4 Administration Guide 282

Fortinet Technologies Inc.
 Administrators

Configuring FortiAnalyzer

On the FortiAnalyzer, you need to configure the RADIUS server and create an administrator that uses the RADIUS 
server for authentication.

Configure the RADIUS server:

 1. Go to System Settings > Admin > Remote Authentication Server.

 2. Click Create New > RADIUS in the toolbar.
 3. Configure the following settings, then click OK.   

Name Enter a name to identify the FortiAuthenticator.

Server Name/IP Enter the IP address or fully qualified domain name of your FortiAuthenticator.

Server Secret Enter the FortiAuthenticator secret.

Secondary Server Name/IP Enter the IP address or fully qualified domain name of the secondary 

FortiAuthenticator, if applicable.

Secondary Server Secret Enter the secondary FortiAuthenticator secret, if applicable.

Port Enter the port for FortiAuthenticator traffic.

Authentication Type Select the authentication type the FortiAuthenticator requires. If you select the 

default ANY, FortiAnalyzer tries all authentication types.
Note: RADIUS server authentication for local administrator users stored in 
FortiAuthenticator requires the PAP authentication type.

Create the administrator:

 1. Go to System Settings > Admin > Administrator.

 2. Click Create New from the toolbar.
 3. Configure the settings, selecting the previously added RADIUS server from the RADIUS Server dropdown list. See 
Creating administrators on page 258.
 4. Click OK to save the settings.

Test the configuration:

 1. Attempt to log in to the FortiAnalyzer GUI with your new credentials.
 2. Enter your user name and password and click Login.
 3. Enter your FortiToken pin code and click Submit to log in to the FortiAnalyzer.

FortiAnalyzer 6.4.4 Administration Guide 283

Fortinet Technologies Inc.
High Availability

A FortiAnalyzer high availability (HA) cluster provides the following features:
 l Provide real-time redundancy in case a FortiAnalyzer primary unit fails. If the primary unit fails, another unit in the 
cluster is selected as the primary unit. See If the primary unit fails on page 288.
 l Synchronize logs and data securely among multiple FortiAnalyzer units. Some system and configuration settings 
are also synchronized. See Configuration synchronization on page 286.
 l Alleviate the load on the primary unit by using secondary (backup) units for processes such as running reports.
A FortiAnalyzer HA cluster can have a maximum of four units: one primary  unit with up to three secondary units. All units 
in the cluster must be of the same FortiAnalyzer series. All units are visible on the network.
All units must run in the same operation mode: Analyzer or Collector. 

When devices with different licenses are used to create an HA cluster, the license that allows 
for the smallest number of managed devices is used.

Configuring HA options

To configure HA options go to System Settings > HA and configure FortiAnalyzer units to create an HA cluster or change 

cluster configuration.
In System Settings > HA, use the Cluster Settings pane to create or change HA configuration, and use the Cluster Status 
pane to monitor HA status.
To configure a cluster, set the Operation Mode of the primary unit to High Availability. Then add the IP addresses and 
serial numbers of each secondary unit to the primary unit peer list. The IP address and serial number of the primary unit 

FortiAnalyzer 6.4.4 Administration Guide 284

Fortinet Technologies Inc.
High Availability

and all secondary units must be added to each secondary unit's HA configuration. The primary unit and all secondary 
units must have the same Group Name, Group ID and Password.
You can connect to the primary unit GUI to work with FortiAnalyzer. Using configuration synchronization, you can 
configure and work with the cluster in the same way as you work with a standalone FortiAnalyzer unit.

Configure the following settings:

Cluster Status  

  Operation Mode Select High Availability to configure the FortiAnalyzer unit for HA.

Select Standalone to stop operating in HA mode.

  Preferred Role Select the preferred role when  this unit first joins the HA cluster.

If the preferred role is Primary, then this unit becomes the primary unit if it is 
configured first in a new HA cluster. If there is an existing primary unit, then this 
unit becomes a secondary unit.
The default is Secondary so that the unit can synchronize with the primary unit. A 
secondary unit cannot become a primary unit until it is synchronized with the 
current primary unit.

Cluster Virtual IP

  Interface The interface the FortiAnalyzer HA unit uses to provide redundancy.

  IP Address The IP address for which the FortiAnalyzer HA unit is to provide redundancy.

Cluster Settings

  Peer IP Type the IP address of another FortiAnalyzer unit in the cluster.

  Peer SN Type the serial number of the FortiAnalyzer unit corresponding to the entered IP 
address.

  Group Name Type a group name that uniquely identifies the FortiAnalyzer HA cluster. All units 

in a cluster must have the same Group Name, Group ID and Password.

FortiAnalyzer 6.4.4 Administration Guide 285

Fortinet Technologies Inc.
 High Availability

  Group ID Type a group ID from 1 to 255 that uniquely identifies the FortiAnalyzer 
HA cluster.

  Password A password for the HA cluster. All members of the HA cluster must have the same 
password.

  Heart Beat Interval The time the primary unit waits between sending heartbeat packets, in seconds. 

The heartbeat interval is also the amount of time that secondary units waits before 
expecting to receive a heartbeat packet from the primary unit.

  Priority The priority or seniority of the secondary unit in the cluster.

  Log Data Sync This option is on by default. It provides real-time log synchronization among 

cluster members.

Log synchronization

To ensure logs are synchronized among all HA units, FortiAnalyzer HA synchronizes logs in two states: initial logs 
synchronization and real-time log synchronization.

Initial Logs Sync

When you add a unit to an HA cluster, the primary unit synchronizes its logs with the new unit. After initial sync is 
complete, the secondary unit automatically reboots. After the reboot, the secondary unit rebuilds its log database with 
the synchronized logs.
You can see the status in the Cluster Status pane Initial Logs Sync column.

Log Data Sync

After the initial log synchronization, the HA cluster goes into real-time log synchronization state.
Log Data Sync is turned on by default for all units in the HA cluster.
When Log Data Sync is turned on in the primary unit, the primary unit forwards logs in real-time to all secondary units. 
This ensures that the logs in the primary and secondary units are synchronized.
Log Data Sync is turned on by default in secondary units so that if the primary unit fails, the secondary unit selected to be 
the new primary unit will continue to synchronize logs with secondary units.
If you want to use a FortiAnalyzer unit as a standby unit (not as a secondary unit), then you don't need real-time log 
synchronization so you can turn off Log Data Sync.

Configuration synchronization

Configuration synchronization provides redundancy and load balancing among the cluster units. A FortiAnalyzer HA 
cluster synchronizes the configuration of the following modules to all cluster units:
 l Device Manager
 l Incidents & Events

FortiAnalyzer 6.4.4 Administration Guide 286

Fortinet Technologies Inc.
High Availability

 l Reports
 l Most System Settings
FortiAnalyzer HA synchronizes most System Settings in the HA cluster. The following table shows which System Setting 
configurations are synchronized:

System Setting Configuration synchronized

Dashboard > System Information Only Administrative Domain is synchronized. All other settings in the 

System Information widget are not synchronized.

All ADOMs Yes

Storage Info Yes

Network No

HA No

Admin Yes

Certificates > Local Certificates No

Certificates > CA Certificates Yes

Certificates > CRL Yes

Log Forwarding Yes

Fetcher Management Yes

Event Log No

Task Monitor Yes

Advanced > SNMP Yes

Advanced > Mail Server Yes

Advanced > Syslog Server Yes

Advanced > Meta Fields Yes

Advanced > Device Log Settings Yes

Advanced > File Management Yes

Advanced > Advanced Settings Yes

Monitoring HA status

In System Settings > HA,  the Cluster Status pane shows the HA status. This  pane displays information about the role of 

each cluster unit, the HA status of the cluster, and the HA configuration of the cluster.

You can use the CLI command diagnose ha status to display the same HA status 
information.

FortiAnalyzer 6.4.4 Administration Guide 287

Fortinet Technologies Inc.
 High Availability

The Cluster Status pane displays the following information:

Role Role of each cluster member.

Serial Number Serial number of each cluster member.

IP IP address of each cluster members including the host.

Host Name Host name of the HA cluster.

Uptime/Downtime Uptime or downtime of each cluster member.

Initial Logs Sync Status of the initial logs synchronization.

Configuration Sync Status of synchronizing configuration data.

Message Status or error messages, if any.

If the primary unit fails

If the primary  unit becomes unavailable, another unit in the cluster is selected as the primary unit using the following 
rules:
 l All cluster units are assigned a priority from 80 – 120. The default priority is 100. If the primary unit becomes 
unavailable, an available unit with the highest priority is selected as the new primary unit. For example, a unit with a 
priority of 110 is selected over a unit with a priority of 100.
 l If multiple units have the same priority, the unit whose primary IP address has the greatest value is selected as the 
new primary unit. For example, 123.45.67.123 is selected over 123.45.67.124.
 l If a new unit with a higher priority or a greater value IP address joins the cluster, the new unit does not replace (or 
preempt) the current primary unit.

Load balancing

Because FortiAnalyzer HA synchronizes logs among HA units, the HA cluster can balance the load and improve overall 
responsiveness. Load balancing enhances the following modules:
 l Reports
 l FortiView
When generating multiple reports, the loads are distributed to all HA cluster units in a round-robin fashion. When a report 
is generated, the report is synchronized with other units so that the report is visible on all HA units.
Similarly, for FortiView, cluster units share some of the load when these modules generate output for their widgets.

Upgrading the FortiAnalyzer firmware for an operating cluster

You can upgrade the firmware of an operating FortiAnalyzer cluster in the same way as upgrading the firmware of a 
standalone FortiAnalyzer unit.

FortiAnalyzer 6.4.4 Administration Guide 288

Fortinet Technologies Inc.
High Availability

Upgrade the secondary units first. Upgrade the primary unit last, after all secondary units have been upgraded and have 
synchronized with the primary unit. When you upgrade the primary unit, one of the secondary units is automatically 
selected to be the primary unit following the rules you set up in If the primary unit fails on page 288. This allows the 
HA cluster to continue operating through the upgrade process with primary and secondary units.
During the upgrade, you might see messages about firmware version mismatch. This is to be expected. When the 
upgrade is completed and all cluster members are at the same firmware version, you should not see this message.

To upgrade FortiAnalyzer HA cluster firmware:

 1. Log into each secondary unit and upgrade the firmware.
See the FortiAnalyzer Release Notes and FortiAnalyzer Upgrade Guide in the Fortinet Document Library for more 
information.
 2. Wait for the upgrades to complete and check that the secondary units have joined the HA cluster as secondary 
units.
 3. Ensure that logs are synchronized with the primary unit.
 4. Upgrade the primary unit.
When the primary unit is upgraded, it automatically becomes a secondary unit and one of the secondary units is 
automatically selected to be the primary unit following the rules you set up in If the primary unit fails on page 288. 
This allows the HA cluster to continue operating through the upgrade process with primary and secondary units.

If firmware versions between cluster members do not match, configuration synchronization is 
disabled. Other synchronization operations continue to function.

You might not be able to connect to the FortiAnalyzer GUI until the upgrade synchronization 
process is complete. During the upgrade, using SSH or telnet to connect to the CLI might be 
slow. If necessary, use the console to connect to the CLI.

FortiAnalyzer 6.4.4 Administration Guide 289

Fortinet Technologies Inc.
Collectors and Analyzers

This topic describes how to configure two FortiAnalyzer units as the Analyzer and Collector and make them work 
together. In the scenario shown in the diagram below, Company A has a remote branch network with a FortiGate unit 
and a FortiAnalyzer 400E in Collector mode. In its head office, Company A has another FortiGate unit and a 
FortiAnalyzer 3000D in Analyzer mode. The Collector forwards the logs of the FortiGate unit in the remote branch to the 
Analyzer in the head office for data analysis and reports generation. The Collector is also used for log archival.

For related concepts, see Two operation modes on page 20 and Analyzer–Collector collaboration on page 22. You need 
to complete the initial setup for your FortiAnalyzer units first. See Initial setup on page 17.

Configuring the Collector

To configure the Collector:

 1. Ensure the FortiAnalyzer Operation Mode is Collector. See Configuring the operation mode on page 193.
 2. Check and configure the storage policy for the Collector. See  Log storage information on page 64.

For the Collector, you should allocate most of the disk space for Archive logs. You should 
keep the Archive logs long enough to meet the regulatory requirements of your 
organization. After this initial configuration, you can monitor the storage usage and adjust it 
as you go.

FortiAnalyzer 6.4.4 Administration Guide 290

Fortinet Technologies Inc.
Collectors and Analyzers

Following is a storage configuration example of the Collector.

 3. Set up log forwarding to enable the Collector to forward the logs to the Analyzer. See Log Forwarding on page 223. 
In particular,   
 l Set Remote Server Type to FortiAnalyzer.
 l Set Server IP to the IP address of the Analyzer that this Collector will forward logs to.
 l Click Select Device and select the FortiGate device that the Collector will forward logs for.

Configuring the Analyzer

To configure the Analyzer:

 1. Ensure the FortiAnalyzer Operation Mode is Analyzer. See Configuring the operation mode on page 193
 2. Check and configure the storage policy for the Analyzer. See Log storage information on page 64.

For the Analyzer you should allocate most of the disk space for Analytics logs. You may 
want to keep the Analytics logs for 30–90 days. After this initial configuration, you can 
monitor the storage usage and adjust it as you go.

Following is a storage configuration example of the Analyzer.

FortiAnalyzer 6.4.4 Administration Guide 291

Fortinet Technologies Inc.
Collectors and Analyzers

 3. Make sure that the aggregation service is enabled on the Analyzer. If not, use this CLI command to enable it:
config system log-forward-service
set accept-aggregation enable
end
 4. Add the FortiGate device of the remote office that the Collector will forward logs for. See Authorizing devices on 
page 27.
Once the FortiGate of the remote office is added, the Analyzer starts receiving its logs from the Collector.

Fetching logs from the Collector to the Analyzer

At times, you might want to fetch logs from the Collector to the Analyzer. The Collector will perform the role of the fetch 
server, and the Analyzer will perform the role of fetch client. For information about how to conduct log fetching, see 
Fetcher Management on page 229.

FortiAnalyzer 6.4.4 Administration Guide 292

Fortinet Technologies Inc.
Appendix A - Supported RFC Notes

This section identifies the request for comment (RFC) notes supported by FortiAnalyzer.

RFC 2548

Description:

Microsoft Vendor-specific RADIUS Attributes

Category:

Informational

Webpage:

http://tools.ietf.org/html/rfc2548

RFC 2665

Description:

Ethernet-like MIB parts that apply to FortiAnalyzer units.

Category:

Standards Track

Webpage:

http://tools.ietf.org/html/rfc2665

RFC 1918

Description:

Address Allocation for Private Internets.

Category:

Best Current Practice

Webpage:

http://tools.ietf.org/html/rfc1918

FortiAnalyzer 6.4.4 Administration Guide 293

Fortinet Technologies Inc.
Appendix A - Supported RFC Notes

RFC 1213

Description:

MIB II parts that apply to FortiAnalyzer units.

Category:

FortiAnalyzer (SNMP)

Webpage:

http://tools.ietf.org/html/rfc1213

FortiAnalyzer 6.4.4 Administration Guide 294

Fortinet Technologies Inc.
Copyright© 2021 Fortinet, Inc. All rights reserved. Fortinet®, FortiGate®, FortiCare® and FortiGuard®, and certain other marks are registered trademarks of Fortinet, Inc., in the
U.S. and other jurisdictions, and other Fortinet names herein may also be registered and/or common law trademarks of Fortinet. All other product or company names may be
trademarks of their respective owners. Performance and other metrics contained herein were attained in internal lab tests under ideal conditions, and actual performance and
other results may vary. Network variables, different network environments and other conditions may affect performance results. Nothing herein represents any binding
commitment by Fortinet, and Fortinet disclaims all warranties, whether express or implied, except to the extent Fortinet enters a binding written contract, signed by Fortinet’s
General Counsel, with a purchaser that expressly warrants that the identified product will perform according to certain expressly-identified performance metrics and, in such
event, only the specific performance metrics expressly identified in such binding written contract shall be binding on Fortinet. For absolute clarity, any such warranty will be
limited to performance in the same ideal conditions as in Fortinet’s internal lab tests. In no event does Fortinet make any commitment related to future deliverables, features or
development, and circumstances may change such that any forward-looking statements herein are not accurate. Fortinet disclaims in full any covenants, representations, and
guarantees pursuant hereto, whether express or implied. Fortinet reserves the right to change, modify, transfer, or otherwise revise this publication without notice, and the most
current version of the publication shall be applicable.