Здравейте приятели! На научихме основите на работа с регистрационни файлове на FortiAnalyzer. Днес ще отидем по-далеч и ще разгледаме основните аспекти на работата с отчети: какво представляват отчетите, от какво се състоят, как можете да редактирате съществуващи отчети и да създавате нови. Както обикновено, първо малко теория, а след това ще работим с доклади на практика. Под изрезката е представена теоретичната част от урока, както и видео урок, който включва както теория, така и практика.
Основната цел на отчетите е да комбинират големи количества данни, съдържащи се в регистрационните файлове, и въз основа на наличните настройки да представят цялата получена информация в четима форма: под формата на графики, таблици, диаграми. Фигурата по-долу показва списък с предварително инсталирани отчети за устройства FortiGate (не всички отчети се побират в него, но мисля, че този списък вече показва, че дори и извън кутията можете да създадете много интересни и полезни отчети).
Но докладите само представят исканата информация по четим начин - те не съдържат никакви препоръки за по-нататъшни действия с откритите проблеми.
Основните компоненти на отчетите са диаграми. Всеки отчет се състои от една или повече диаграми. Диаграмите определят каква информация трябва да бъде извлечена от регистрационните файлове и в какъв формат трябва да бъде представена. Наборите от данни отговарят за извличането на информация - SELECT заявки към базата данни. Именно в масивите от данни е точно определено откъде и каква информация трябва да бъде извлечена. След като в резултат на заявката се появят необходимите данни, към тях се прилагат настройките за формат (или показване). В резултат на това получените данни се оформят в таблици, графики или диаграми от различен тип.
Заявката SELECT използва различни команди, които задават условия за информацията, която трябва да бъде извлечена. Най-важното нещо, което трябва да имате предвид е, че тези команди трябва да се прилагат в определен ред, в този ред те са изброени по-долу:
FROM е единствената команда, която се изисква в заявка SELECT. Показва вида на регистрационните файлове, от които трябва да се извлече информация;
WHERE - чрез тази команда се задават условията за регистрационните файлове (например конкретно име на приложението / атака / вирус);
ГРУПИРАНЕ ПО - тази команда ви позволява да групирате информация по една или повече колони от интерес;
ORDER BY - с помощта на тази команда можете да подредите извеждането на информация по ред;
LIMIT - Ограничава броя на записите, върнати от заявката.
FortiAnalyzer съдържа предварително дефинирани шаблони за отчети. Шаблоните са така нареченото оформление на отчета — те съдържат текста на отчета, неговите диаграми и макроси. Използвайки шаблони, можете да създавате нови отчети, ако са необходими минимални промени в предварително дефинираните. Предварително инсталираните отчети обаче не могат да се редактират или изтриват - можете да ги клонирате и да направите необходимите промени в копието. Също така е възможно да създадете свои собствени шаблони за отчети.
Понякога може да срещнете следната ситуация: предварително дефиниран отчет отговаря на задачата, но не напълно. Може би трябва да добавите някаква информация към него или, обратно, да го премахнете. В този случай има две опции: клониране и промяна на шаблона или самия отчет. Тук трябва да разчитате на няколко фактора.
Шаблоните са оформление за отчет, те съдържат диаграми и текст на отчета, нищо повече. Самите отчети от своя страна, в допълнение към така нареченото „оформление“, съдържат различни параметри на отчета: език, шрифт, цвят на текста, период на генериране, филтриране на информация и др. Следователно, ако трябва само да направите промени в оформлението на отчета, можете да използвате шаблони. Ако е необходима допълнителна конфигурация на отчета, можете да редактирате самия отчет (по-точно копие от него).
Въз основа на шаблони можете да създадете няколко отчета от един и същи тип, така че ако трябва да направите много отчети, подобни един на друг, тогава е за предпочитане да използвате шаблони.
В случай, че предварително инсталираните шаблони и отчети не ви подхождат, можете да създадете както нов шаблон, така и нов отчет.
Също така във FortiAnalyzer е възможно да се конфигурира изпращане на отчети до отделни администратори по имейл или качването им на външни сървъри. Това става с помощта на механизма Output Profile. Във всеки административен домейн се конфигурират отделни изходни профили. При конфигуриране на изходен профил се дефинират следните параметри:
- Формати на изпращаните отчети - PDF, HTML, XML или CSV;
- Мястото, където ще се изпращат отчетите. Това може да бъде имейл на администратор (за целта трябва да свържете FortiAnalyzer към пощенски сървър, разгледахме това в последния урок). Може да бъде и външен файлов сървър - FTP, SFTP, SCP;
- Можете да изберете дали да запазите или изтриете локалните отчети, които са останали на устройството след прехвърлянето.
При необходимост е възможно да се ускори генерирането на отчети. Нека разгледаме два начина:
Когато генерира отчет, FortiAnalyzer изгражда диаграми от предварително компилирани SQL кеш данни, известни като hcache. Ако hcache данните не са създадени при изпълнение на отчета, системата първо трябва да създаде hcache и след това да изгради отчета. Това увеличава времето за генериране на отчета. Въпреки това, ако не бъдат получени нови регистрационни файлове за отчет, когато отчетът се генерира отново, времето за генерирането му ще бъде значително намалено, тъй като hcache данните вече са компилирани.
За да подобрите производителността на генерирането на отчет, можете да активирате автоматично генериране на hcache в настройките на отчета. В този случай hcache се актуализира автоматично, когато пристигнат нови регистрационни файлове. Пример за настройка е показан на фигурата по-долу.
Този процес използва голямо количество системни ресурси (особено за отчети, които изискват дълго време за събиране на данни), така че след като го включите, трябва да наблюдавате състоянието на FortiAnalyzer: дали натоварването се е увеличило значително, дали има критична консумация на системни ресурси. В случай, че FortiAnalyzer не може да се справи с натоварването, по-добре е да деактивирате този процес.
Трябва също да се отбележи, че автоматичното актуализиране на hcache данните е активирано по подразбиране за планирани отчети.
Вторият начин за ускоряване на генерирането на отчет е групирането:
Ако едни и същи (или подобни) отчети се генерират за различни устройства на FortiGate (или други Fortinet), можете значително да ускорите процеса на генериране, като ги групирате. Групирането на отчети може да намали броя на hcache таблиците и да ускори времето за автоматично кеширане, което води до по-бързо генериране на отчети.
В примера, показан на фигурата по-долу, отчетите, които съдържат низа Security_Report в имената си, са групирани по параметъра Device ID.
Видео урокът представя теоретичния материал, разгледан по-горе, и също така обсъжда практическите аспекти на работата с отчети - от създаването на собствени набори от данни и диаграми, шаблони и отчети до настройката за изпращане на отчети до администратори. Приятно гледане!
В следващия урок ще разгледаме различни аспекти на администрирането на FortiAnalyzer, както и схемата му за лицензиране. За да не го пропуснете, абонирайте се за нашия .
Можете също да следите актуализациите на следните ресурси:
Източник: www.habr.com