Zdravo prijatelji! On naučili smo osnove rada sa logovima na FortiAnalyzeru. Danas ćemo ići dalje i pogledati glavne aspekte rada sa izvještajima: šta su izvještaji, od čega se sastoje, kako možete uređivati postojeće izvještaje i kreirati nove. Kao i obično, prvo malo teorije, a onda ćemo raditi s izvještajima u praksi. Ispod reza je predstavljen teorijski dio lekcije, kao i video lekcija koja uključuje teoriju i praksu.
Osnovna svrha izvještaja je kombinirati velike količine podataka sadržanih u logovima i, na osnovu dostupnih postavki, prikazati sve primljene informacije u čitljivom obliku: u obliku grafikona, tabela, grafikona. Na slici ispod je prikazana lista unapred instaliranih izveštaja za FortiGate uređaje (ne uklapaju se svi izveštaji u nju, ali mislim da ova lista već pokazuje da čak i van kutije možete napraviti mnogo zanimljivih i korisnih izveštaja).
Ali izvještaji samo na čitljiv način predstavljaju tražene informacije – ne sadrže nikakve preporuke za dalje postupanje u vezi s pronađenim problemima.
Glavne komponente izvještaja su grafikoni. Svaki izvještaj se sastoji od jednog ili više grafikona. Grafikoni određuju koje informacije treba izdvojiti iz dnevnika i u kojem formatu ih treba prikazati. Skupovi podataka su odgovorni za izdvajanje informacija - SELECT upiti bazi podataka. U skupovima podataka se precizno određuje odakle i kakve informacije treba izvući. Nakon što se traženi podaci pojave kao rezultat zahtjeva, na njih se primjenjuju postavke formata (ili prikaza). Kao rezultat, dobijeni podaci se sastavljaju u tabele, grafikone ili grafikone različitih tipova.
Upit SELECT koristi različite naredbe koje postavljaju uvjete za informacije koje treba dohvatiti. Najvažnija stvar koju treba uzeti u obzir je da se ove naredbe moraju primijeniti određenim redoslijedom, tim redoslijedom su navedene u nastavku:
FROM je jedina naredba koja je potrebna u SELECT upitu. Označava tip dnevnika iz kojeg se informacije moraju izdvojiti;
GDJE - pomoću ove naredbe postavljaju se uslovi za logove (na primjer, određeni naziv aplikacije / napada / virusa);
GROUP BY - ova komanda vam omogućava grupisanje informacija po jednoj ili više kolona od interesa;
ORDER BY - pomoću ove naredbe možete naručiti izlaz informacija po redu;
LIMIT - Ograničava broj zapisa koje vraća upit.
FortiAnalyzer sadrži unapred definisane šablone izveštaja. Šabloni su takozvani izgled izvještaja — oni sadrže tekst izvještaja, njegove grafikone i makroe. Koristeći šablone, možete kreirati nove izvještaje ako su potrebne minimalne promjene unaprijed definiranih. Međutim, unaprijed instalirani izvještaji se ne mogu uređivati ili brisati - možete ih klonirati i napraviti potrebne izmjene na kopiji. Također je moguće kreirati vlastite predloške izvještaja.
Ponekad možete naići na sljedeću situaciju: unaprijed definirani izvještaj odgovara zadatku, ali ne u potpunosti. Možda mu trebate dodati neke informacije ili je, obrnuto, ukloniti. U ovom slučaju postoje dvije opcije: kloniranje i promjena predloška ili samog izvještaja. Ovdje se morate osloniti na nekoliko faktora.
Šabloni su izgled izvještaja, sadrže grafikone i tekst izvještaja, ništa više. Sami izvještaji, zauzvrat, pored takozvanog „layouta“, sadrže različite parametre izvještaja: jezik, font, boju teksta, period generiranja, filtriranje informacija i tako dalje. Stoga, ako trebate samo promijeniti izgled izvještaja, možete koristiti predloške. Ako je potrebna dodatna konfiguracija izvještaja, možete urediti sam izvještaj (tačnije, njegovu kopiju).
Na osnovu predložaka možete kreirati nekoliko izvještaja istog tipa, pa ako morate napraviti mnogo izvještaja sličnih jedni drugima, bolje je koristiti šablone.
U slučaju da vam unaprijed instalirani predlošci i izvještaji ne odgovaraju, možete kreirati i novi predložak i novi izvještaj.
Takođe na FortiAnalyzeru, moguće je konfigurisati slanje izveštaja pojedinačnim administratorima putem e-pošte ili njihovo postavljanje na eksterne servere. Ovo se radi pomoću mehanizma Output Profile. Odvojeni izlazni profili su konfigurisani u svakoj administrativnoj domeni. Prilikom konfiguriranja izlaznog profila, definirani su sljedeći parametri:
- Formati poslatih izvještaja - PDF, HTML, XML ili CSV;
- Lokacija na koju će se izvještaji slati. Ovo može biti administratorska e-pošta (za ovo morate da povežete FortiAnalyzer sa serverom pošte, o tome smo govorili u prošloj lekciji). Može biti i eksterni server datoteka - FTP, SFTP, SCP;
- Možete odabrati želite li zadržati ili izbrisati lokalne izvještaje koji su ostali na uređaju nakon prijenosa.
Po potrebi je moguće ubrzati generiranje izvještaja. Razmotrimo dva načina:
Prilikom generiranja izvještaja, FortiAnalyzer gradi grafikone od prethodno kompajliranih podataka SQL keš memorije poznatih kao hcache. Ako se hcache podaci ne kreiraju kada se izvještaj pokrene, sistem prvo mora kreirati hcache, a zatim izraditi izvještaj. Ovo povećava vrijeme generiranja izvještaja. Međutim, ako se ne prime novi zapisnici za izveštaj, kada se izveštaj ponovo generiše, vreme za njegovo generisanje će se značajno smanjiti, pošto su hcache podaci već sastavljeni.
Da biste poboljšali performanse generisanja izvještaja, možete omogućiti automatsko generiranje hcache memorije u postavkama izvještaja. U ovom slučaju, hcache se automatski ažurira kada stignu novi zapisnici. Primjer podešavanja prikazan je na donjoj slici.
Ovaj proces koristi veliku količinu sistemskih resursa (posebno za izvještaje za koje je potrebno dugo vremena za prikupljanje podataka), tako da nakon uključivanja morate pratiti status FortiAnalyzer-a: da li se opterećenje značajno povećalo, da li postoji kritično potrošnja sistemskih resursa. U slučaju da se FortiAnalyzer ne može nositi s opterećenjem, bolje je onemogućiti ovaj proces.
Takođe treba napomenuti da je automatsko ažuriranje hcache podataka podrazumevano omogućeno za zakazane izveštaje.
Drugi način da se ubrza generiranje izvještaja je grupiranje:
Ako se isti (ili slični) izvještaji generišu za različite FortiGate (ili druge Fortinet) uređaje, možete znatno ubrzati proces generiranja tako što ćete ih grupirati. Grupisanje izvještaja može smanjiti broj hcache tabela i ubrzati vrijeme automatskog keširanja, što rezultira bržim generiranjem izvještaja.
U primjeru prikazanom na donjoj slici, izvještaji koji sadrže niz Security_Report u svojim nazivima su grupisani prema parametru ID uređaja.
Video tutorijal predstavlja teoretski materijal o kojem smo gore govorili, kao i praktične aspekte rada sa izvještajima - od kreiranja vlastitih skupova podataka i grafikona, šablona i izvještaja do postavljanja slanja izvještaja administratorima. Uživajte u gledanju!
U sljedećoj lekciji ćemo pogledati različite aspekte administracije FortiAnalyzer-a, kao i njegovu šemu licenciranja. Kako ga ne biste propustili, pretplatite se na naš .
Također možete pratiti ažuriranja na sljedećim resursima:
izvor: www.habr.com