Groete, vriende! Aan Ons het die basiese beginsels van werk met logs op FortiAnalyzer geleer. Vandag gaan ons verder en kyk na die hoofaspekte van die werk met verslae: wat verslae is, waaruit dit bestaan, hoe jy bestaande verslae kan wysig en nuwe verslae kan skep. Soos gewoonlik, eers 'n bietjie teorie, en dan werk ons met verslae in die praktyk. Onder die snit is die teoretiese deel van die les, sowel as 'n videoles, wat beide teorie en praktyk insluit.
Die hoofdoel van die verslae is om groot hoeveelhede data vervat in die logboeke te kombineer en, gebaseer op die bestaande instellings, al die inligting wat ontvang word in 'n leesbare vorm aan te bied: in die vorm van grafieke, tabelle, kaarte. Die figuur hieronder wys 'n lys van vooraf geïnstalleerde verslae vir FortiGate-toestelle (nie alle verslae pas daarin nie, maar ek dink hierdie lys wys reeds dat jy selfs "buite die boks" baie interessante en nuttige verslae kan bou).
Maar die verslae bied slegs die gevraagde inligting in 'n leesbare vorm aan - hulle gee geen aanbevelings oor wat om volgende te doen met die probleme wat gevind is nie.
Die hoofkomponente van verslae is kaarte. Elke verslag bestaan uit een of meer kaarte. Grafieke bepaal watter inligting uit die logboeke onttrek moet word en in watter formaat dit aangebied moet word. Datastelle is verantwoordelik vir die onttrekking van inligting—KIES navrae in die databasis. Dit is in die datastelle wat presies bepaal word waar en watter inligting onttrek moet word. Sodra die vereiste data verskyn as gevolg van die navraag, word die formaat (of vertoon) instellings daarop toegepas. Gevolglik word die verkryde data in tabelle, grafieke of diagramme van verskillende tipes aangebied.
'n KIES-navraag gebruik verskeie opdragte om voorwaardes te stel vir die inligting wat herwin moet word. Die belangrikste ding om in ag te neem is dat hierdie opdragte in 'n sekere volgorde gebruik moet word, in hierdie volgorde word hulle hieronder gegee:
FROM is die enigste opdrag wat in 'n SELECT-navraag vereis word. Dit dui die tipe logs aan waaruit inligting onttrek moet word;
WAAR - met hierdie opdrag word voorwaardes vir die logs gespesifiseer (byvoorbeeld 'n spesifieke naam van die toepassing/aanval/virus);
GROUP BY - hierdie opdrag laat jou toe om inligting volgens een of meer kolomme van belang te groepeer;
BESTEL DEUR - met hierdie opdrag kan u die uitvoer van inligting volgens reëls orden;
LIMIT — Beperk die aantal rekords wat deur die navraag teruggestuur word.
FortiAnalyzer kom met vooraf gedefinieerde verslagsjablone. Sjablone is die sogenaamde verslaguitleg - dit bevat die teks van die verslag, sy kaarte en makro's. Deur sjablone te gebruik, kan jy nuwe verslae skep as minimale veranderinge aan die vooraf gedefinieerde vereis word. Vooraf geïnstalleerde verslae kan egter nie geredigeer of uitgevee word nie – jy kan dit kloon en die nodige veranderinge aan die kopie aanbring. Dit is ook moontlik om jou eie sjablone vir verslae te skep.
Soms kan jy die volgende situasie teëkom: 'n voorafbepaalde verslag pas by die taak, maar nie heeltemal nie. Miskien moet inligting daarby gevoeg word, of omgekeerd, verwyder word. In hierdie geval is daar twee opsies: kloon en verander die sjabloon, of die verslag self. Hier moet jy op verskeie faktore staatmaak.
Sjablone is 'n uitleg vir 'n verslag, dit bevat grafieke en verslagteks, niks meer nie. Die verslae self bevat op hul beurt, benewens die sogenaamde "uitleg" verskeie verslagparameters: taal, lettertipe, tekskleur, generasieperiode, inligtingfiltrering, ensovoorts. As jy dus net veranderinge aan die verslaguitleg moet maak, kan jy sjablone gebruik. As bykomende verslagkonfigurasie nodig is, kan jy die verslag self wysig (of eerder 'n kopie daarvan).
Op grond van sjablone kan jy verskeie verslae van dieselfde tipe skep, so as jy baie verslae moet skep wat aan mekaar ooreenstem, is dit verkieslik om sjablone te gebruik.
As die vooraf gedefinieerde sjablone en verslae jou nie pas nie, kan jy beide 'n nuwe sjabloon en 'n nuwe verslag skep.
Dit is ook moontlik om FortiAnalyzer op te stel om verslae per e-pos aan individuele administrateurs te stuur of dit na eksterne bedieners op te laai. Dit word gedoen met behulp van die Uitsetprofielmeganisme. Afsonderlike uitvoerprofiele word in elke administratiewe domein opgestel. Wanneer die uitvoerprofiel gekonfigureer word, word die volgende parameters gedefinieer:
- Verstuurde verslagformate - PDF, HTML, XML of CSV;
- Die plek waarheen verslae gestuur sal word. Dit kan die administrateur se e-pos wees (hiervoor moet jy FortiAnalyzer aan die posbediener koppel, ons het dit in die laaste les behandel). Dit kan ook 'n eksterne lêerbediener wees - FTP, SFTP, SCP;
- Jy kan spesifiseer wat om te doen met plaaslike verslae wat ná oordrag op die toestel bly - los dit of vee dit uit.
Indien nodig, is dit moontlik om verslaggenerering te bespoedig. Kom ons kyk na twee maniere:
Wanneer 'n verslag geskep word, bou FortiAnalyzer kaarte uit vooraf saamgestelde SQL-kasdata bekend as hcache. As die hcache-data nie geskep word wanneer jy die verslag laat loop nie, moet die stelsel eers die hcache skep en dan die verslag bou. Dit verhoog die tyd wat dit neem om 'n verslag te genereer. As nuwe logs vir die verslag egter nie ontvang word nie, wanneer die verslag hergenereer word, sal sy generasietyd aansienlik verminder word, aangesien die hcache-data reeds saamgestel is.
Om die prestasie van verslaggenerering te verbeter, kan u outomatiese hcache-skepping in die verslaginstellings aktiveer. In hierdie geval word hcache outomaties opgedateer wanneer nuwe logs arriveer. 'n Voorbeeldinstelling word in die figuur hieronder getoon.
Hierdie proses gebruik 'n groot hoeveelheid stelselhulpbronne (veral vir verslae wat 'n lang tyd verg om data in te samel), dus nadat dit geaktiveer is, is dit nodig om die status van FortiAnalyzer te monitor: of die las aansienlik toegeneem het, of daar 'n kritieke verbruik van stelsel hulpbronne. As FortiAnalyzer nie die las kan hanteer nie, is dit beter om hierdie proses uit te skakel.
Daar moet ook kennis geneem word dat outomatiese hcache-dataverversing by verstek geaktiveer is vir geskeduleerde verslae.
Die tweede manier om verslaggenerering te bespoedig, is groepering:
As dieselfde (of soortgelyke) verslae vir verskillende FortiGate-toestelle (of ander Fortinet-toestelle) gegenereer word, kan jy die proses om dit te genereer aansienlik bespoedig deur hulle te groepeer. Groepering van verslae kan die aantal hcache-tabelle verminder en outomatiese kastyd bespoedig, wat lei tot vinniger verslaggenerering.
In die voorbeeld wat in die figuur hieronder getoon word, word verslae waarvan die titel die string Security_Report bevat, gegroepeer deur die Device ID parameter.
Die video-tutoriaal bied die teoretiese materiaal wat hierbo bespreek is, en bespreek ook praktiese aspekte van die werk met verslae – van die skep van jou eie datastelle en kaarte, sjablone en verslae tot die opstel van die stuur van verslae aan administrateurs. Geniet dit om te kyk!
In die volgende les gaan ons kyk na verskeie aspekte van FortiAnalyzer-administrasie, sowel as sy lisensiëringskema. Om te verhoed dat jy dit mis, teken in op ons .
U kan ook die opdaterings oor die volgende hulpbronne volg:
Bron: will.com