Вітаю, сябры! На мы вывучылі асновы працы з логамі на FortiAnalyzer. Сёння мы пойдзем далей і разгледзім асноўныя аспекты працы са справаздачамі: што сабой уяўляюць справаздачы, з чаго яны складаюцца, якім чынам можна рэдагаваць існуючыя і ствараць новыя справаздачы. Як звычайна, спачатку крыху тэорыі, а пасля папрацуем са справаздачамі на практыцы. Пад катом прадстаўлена тэарэтычная частка ўрока, а таксама відэаўрок, які ўключае ў сябе як тэорыю, так і практыку.
Асноўная мэта справаздач - аб'яднаць вялікія аб'ёмы дадзеных, якія змяшчаюцца ў логах, і на аснове наяўных налад прадставіць усю атрыманую інфармацыю ў чытэльным выглядзе: у выглядзе графікаў, табліц, дыяграм. На малюнку ніжэй прыведзены спіс прадусталяваных справаздач для прылад FortiGate (у ім змясціліся не ўсе справаздачы, але, думаю, ужо з гэтага спісу відаць, што нават "са скрынкі" можна пабудаваць мноства цікавых і карысных справаздач).
Але справаздачы толькі прадстаўляюць запытаную інфармацыю ў чытэльным выглядзе — яны не змяшчаюць ніякіх рэкамендацый па далейшых дзеяннях з выяўленымі праблемамі.
Галоўныя складнікі справаздач - гэта чарты. Кожная справаздача складаецца з аднаго ці некалькіх чартаў. Чарты вызначаюць, якую інфармацыю неабходна атрымаць з логаў, і ў якім фармаце яе ўявіць. За атрыманне інфармацыі адказваюць датасеты — SELECT-запыты ў базу даных. Менавіта ў датасетах дакладна вызначаецца, адкуль і якую менавіта інфармацыю неабходна здабываць. Пасля таго, як у выніку запыту з'яўляюцца неабходныя дадзеныя, да іх ужываюцца налады фармату (ці адлюстравання). У выніку атрыманыя дадзеныя афармляюцца ў табліцы, графікі ці дыяграмы рознага тыпу.
У SELECT-запыце выкарыстоўваюцца розныя каманды, з дапамогай якіх задаюцца ўмовы да атрыманай інфармацыі. Самае важнае, што варта ўлічыць - дадзеныя каманды павінны прымяняцца ў пэўным парадку, менавіта ў такім парадку яны прыведзены далей:
FROM - адзіная з каманд, якая з'яўляецца абавязковай у SELECT-запыце. Яна паказвае на тып логаў, з якіх неабходна здабываць інфармацыю;
WHERE - з дапамогай гэтай каманды задаюцца ўмовы да логаў (напрыклад, вызначанае імя прыкладання/напады/віруса);
GROUP BY — гэтая каманда дазваляе згрупаваць інфармацыю па адным ці некалькіх слупках, якія цікавяць іх;
ORDER BY — з дапамогай гэтай каманды можна ўпарадкаваць вывад інфармацыі па радках;
LIMIT - Абмяжоўвае колькасць запісаў, якія вяртаюцца запытам.
FortiAnalyzer змяшчае прадусталяваныя шаблоны для справаздач. Шаблоны з'яўляюцца так званым макетам справаздачы — яны змяшчаюць тэкст справаздачы, яе чарты і макрасы. З дапамогай шаблонаў можна ствараць новыя справаздачы, калі ў прадусталяваных патрабуюцца мінімальныя змены. Аднак прадусталяваныя справаздачы нельга рэдагаваць і выдаляць - можна іх схіляваць, і над копіяй рабіць неабходныя змены. Таксама ёсць магчымасць ствараць уласныя шаблоны для справаздач.
Часам можна сутыкнуцца з наступнай сітуацыяй: прадусталяваная справаздача падыходзіць пад задачу, але не цалкам. Магчыма, у яго трэба дадаць якую-небудзь інфармацыю, ці, наадварот - выдаліць. У такім выпадку ёсць два варыянты: схіляваць і змяніць шаблон, ці ж сам справаздачу. Тут трэба абапірацца на некалькі фактараў.
Шаблоны з'яўляюцца макетам для справаздачы, яны ўтрымліваюць чарты і тэкст справаздачы, не больш за тое. Самі справаздачы, у сваю чаргу, апроч так званага "макета" змяшчаюць розныя параметры справаздачы: мова, шрыфт, колер тэксту, перыяд генерацыі, фільтраванне інфармацыі і гэтак далей. Таму, калі неабходна ўнесці змены толькі ў макет справаздачы, можна выкарыстоўваць шаблоны. Калі неабходная дадатковая канфігурацыя справаздачы, можна рэдагаваць саму справаздачу (а дакладней яе копію).
На аснове шаблонаў можна ствараць некалькі аднатыпных справаздач, таму калі маецца быць зрабіць мноства падобных сябар на сябра справаздач, то пераважней выкарыстоўваць шаблоны.
У тым выпадку, калі вам не адпавядаюць шаблоны і справаздачы, можна стварыць як новы шаблон, так і новую справаздачу.
Таксама на FortiAnalyzer існуе магчымасць наладзіць перасылку справаздач асобным адміністратарам на электронную пошту ці іх выгрузку на вонкавыя сервера. Робіцца гэта з дапамогай механізма Output Profile. У кожным адміністрацыйным дамене настройваюцца асобныя Output Profiles. Пры канфігурацыі Output Profile вызначаюцца наступныя параметры:
- Фарматы якія адсылаюцца справаздач - PDF, HTML, XML або CSV;
- Месца, куды будуць дасылацца справаздачы. Гэта можа быць электронная пошта адміністратара (для гэтага неабходна прывязаць FortiAnalyzer да паштовага сервера, гэта мы разглядалі на мінулым уроку). Таксама гэта можа быць вонкавы файлавы сервер - FTP, SFTP, SCP;
- Можна паказаць, што рабіць з лакальнымі справаздачамі, якія засталіся на прыладзе пасля перасылкі - пакінуць іх ці выдаліць.
Пры неабходнасці ёсць магчымасць паскорыць генерацыю справаздач. Разгледзім два спосабы:
Пры стварэнні справаздачы FortiAnalyzer будуе чарты з папярэдне скампіляваных дадзеных кэша SQL, вядомых як hcache. Калі дадзеныя hcache не створаны пры запуску справаздачы, сістэма павінна спачатку стварыць hcache, а затым пабудаваць справаздачу. Гэта павялічвае час фармавання справаздачы. Аднак калі новыя логі для справаздачы не атрыманы, пры паўторнай генерацыі справаздачы час яго генерацыі значна паменшыцца, паколькі дадзеныя hcache ужо скампіляваныя.
Каб павысіць прадукцыйнасць генерацыі справаздач, можна ўключыць аўтаматычнае стварэнне hcache у наладах справаздачы. У гэтым выпадку hcache аўтаматычна абнаўляецца пры паступленні новых логаў. Прыклад наладкі прыведзены на малюнку ніжэй.
Гэты працэс выкарыстоўвае вялікую колькасць сістэмных рэсурсаў (асабліва для справаздач, якія патрабуюць працяглага часу для зборкі дадзеных), таму пасля ўключэння неабходна назіраць за станам FortiAnalyzer: ці моцна ўзрасла нагрузка, ці прысутнічае крытычнае спажыванне сістэмных рэсурсаў. У выпадку, калі FortiAnalyzer не спраўляецца з нагрузкай, гэты працэс лепш адключыць.
Таксама варта адзначыць, што аўтаматычнае абнаўленне дадзеных hcache па змаўчанні актываванае для запланаваных справаздач.
Другі спосаб паскорыць генерацыю справаздач - групоўка:
Калі адны і тыя ж (ці падобныя) справаздачы генеруюцца для розных прылад FortiGate (ці іншых прылад Fortinet), можна значна паскорыць працэс іх генерацыі шляхам групоўкі. Групоўка справаздач можа паменшыць колькасць табліц hcache і паскорыць час аўтаматычнага кэшавання, з прычыны чаго паскорыць генерацыю справаздач.
У прыкладзе, прыведзеным на малюнку ніжэй, справаздачы, у назове якіх утрымоўваецца радок Security_Report, групуюцца па параметры Device ID.
У відэаўроку прадстаўлены тэарэтычны матэрыял, разгледжаны вышэй, а таксама разглядаюцца практычныя аспекты працы са справаздачамі - ад стварэння ўласных датасетаў і чартаў, шаблонаў і справаздач да налады перасылкі справаздач адміністратарам. Прыемнага прагляду!
На наступным уроку мы разгледзім розныя аспекты адміністравання FortiAnalyzer, а таксама схему яго ліцэнзавання. Каб не прапусціць яго, падпісвайцеся на наш .
Таксама можаце сачыць за абнаўленнямі на наступных рэсурсах:
Крыніца: habr.com