Hola amics! Encès vam aprendre els conceptes bàsics de treballar amb registres a FortiAnalyzer. Avui anirem més enllà i veurem els aspectes principals del treball amb informes: què són els informes, en què consisteixen, com podeu editar els informes existents i crear-ne de nous. Com és habitual, primer una mica de teoria, i després treballarem amb informes a la pràctica. Sota el tall es presenta la part teòrica de la lliçó, així com una lliçó en vídeo que inclou tant la teoria com la pràctica.
L'objectiu principal dels informes és combinar grans quantitats de dades contingudes en els registres i, en funció de la configuració disponible, presentar tota la informació rebuda de forma llegible: en forma de gràfics, taules, gràfics. La figura següent mostra una llista d'informes preinstal·lats per als dispositius FortiGate (no hi caben tots els informes, però crec que aquesta llista ja mostra que, fins i tot fora de la caixa, podeu crear molts informes interessants i útils).
Però els informes només presenten la informació sol·licitada d'una manera llegible; no contenen cap recomanació per a més accions amb els problemes trobats.
Els components principals dels informes són els gràfics. Cada informe consta d'un o més gràfics. Els gràfics determinen quina informació s'ha d'extreure dels registres i en quin format s'ha de presentar. Els conjunts de dades s'encarreguen d'extreure informació - SELECT consultes a la base de dades. És en els conjunts de dades on es determina amb precisió d'on i quin tipus d'informació s'ha d'extreure. Després que les dades necessàries apareguin com a resultat de la sol·licitud, se'ls aplica la configuració de format (o visualització). Com a resultat, les dades obtingudes s'elaboren en taules, gràfics o gràfics de diversos tipus.
La consulta SELECT utilitza diverses ordres que estableixen condicions perquè la informació es recuperi. El més important a tenir en compte és que aquestes ordres s'han d'aplicar en un ordre concret, en aquest ordre s'enumeren a continuació:
FROM és l'única ordre que es requereix en una consulta SELECT. Indica el tipus de registres dels quals s'ha d'extreure la informació;
ON: amb aquesta comanda, s'estableixen les condicions dels registres (per exemple, un nom específic de l'aplicació / atac / virus);
GROUP BY: aquesta ordre us permet agrupar la informació per una o més columnes d'interès;
ORDER BY: amb aquesta comanda, podeu ordenar la sortida de la informació per línia;
LIMIT - Limita el nombre de registres que retorna la consulta.
FortiAnalyzer conté plantilles d'informes predefinides. Les plantilles són l'anomenat disseny d'informe: contenen el text de l'informe, els seus gràfics i macros. Amb plantilles, podeu crear informes nous si calen canvis mínims als predefinits. Tanmateix, els informes preinstal·lats no es poden editar ni suprimir; podeu clonar-los i fer els canvis necessaris a la còpia. També és possible crear les vostres pròpies plantilles d'informe.
De vegades es pot trobar la situació següent: un informe predefinit s'adapta a la tasca, però no completament. Potser cal afegir-hi alguna informació o, al contrari, eliminar-la. En aquest cas, hi ha dues opcions: clonar i canviar la plantilla, o el propi informe. Aquí cal confiar en diversos factors.
Les plantilles són un disseny per a un informe, contenen gràfics i text de l'informe, res més. Els mateixos informes, al seu torn, a més de l'anomenat "disseny", contenen diversos paràmetres d'informe: idioma, tipus de lletra, color del text, període de generació, filtratge d'informació, etc. Per tant, si només necessiteu fer canvis a la disposició de l'informe, podeu utilitzar plantilles. Si cal una configuració addicional d'informe, podeu editar l'informe en si (més precisament, una còpia).
A partir de plantilles, podeu crear diversos informes del mateix tipus, de manera que si heu de fer molts informes semblants entre ells, és preferible utilitzar plantilles.
En cas que les plantilles i informes preinstal·lats no us convinguin, podeu crear tant una plantilla nova com un informe nou.
També a FortiAnalyzer, és possible configurar l'enviament d'informes a administradors individuals per correu electrònic o pujar-los a servidors externs. Això es fa mitjançant el mecanisme de perfil de sortida. Es configuren perfils de sortida separats a cada domini administratiu. Quan es configura un perfil de sortida, es defineixen els paràmetres següents:
- Formats dels informes enviats: PDF, HTML, XML o CSV;
- Lloc on s'enviaran els informes. Aquest pot ser el correu electrònic d'un administrador (per a això, heu d'enllaçar FortiAnalyzer a un servidor de correu, ho vam tractar a l'última lliçó). També pot ser un servidor de fitxers extern: FTP, SFTP, SCP;
- Podeu triar si voleu conservar o suprimir els informes locals que queden al dispositiu després de la transferència.
Si cal, és possible accelerar la generació d'informes. Considerem dues maneres:
Quan es genera un informe, FortiAnalyzer crea gràfics a partir de dades de memòria cau SQL precompilades conegudes com a hcache. Si les dades hcache no es creen quan s'executa l'informe, el sistema primer ha de crear l'hcache i després crear l'informe. Això augmenta el temps de generació d'informes. Tanmateix, si no es reben registres nous per a un informe, quan es regenera l'informe, el temps per generar-lo es reduirà significativament, ja que les dades de hcache ja s'han compilat.
Per millorar el rendiment de la generació d'informes, podeu activar la generació automàtica d'hcache a la configuració de l'informe. En aquest cas, hcache s'actualitza automàticament quan arriben nous registres. A la figura següent es mostra un exemple de configuració.
Aquest procés utilitza una gran quantitat de recursos del sistema (especialment per als informes que requereixen molt de temps per recollir dades), de manera que després d'activar-lo, cal controlar l'estat de FortiAnalyzer: si la càrrega ha augmentat significativament, si hi ha un problema crític. consum de recursos del sistema. En cas que FortiAnalyzer no pugui fer front a la càrrega, és millor desactivar aquest procés.
També cal tenir en compte que l'actualització automàtica de les dades hcache està activada per defecte per als informes programats.
La segona manera d'accelerar la generació d'informes és agrupar:
Si s'estan generant els mateixos informes (o similars) per a diferents dispositius FortiGate (o altres Fortinet), podeu accelerar molt el procés de generació agrupant-los. L'agrupació d'informes pot reduir el nombre de taules hcache i accelerar els temps d'emmagatzematge automàtic a la memòria cau, donant lloc a una generació d'informes més ràpida.
A l'exemple que es mostra a la figura següent, els informes que contenen la cadena Security_Report als seus noms s'agrupen pel paràmetre Device ID.
El vídeo tutorial presenta el material teòric comentat anteriorment, així com els aspectes pràctics de treballar amb informes, des de crear els vostres propis conjunts de dades i gràfics, plantilles i informes fins a configurar l'enviament d'informes als administradors. Gaudeix mirant!
A la lliçó següent, veurem diversos aspectes de l'administració de FortiAnalyzer, així com el seu esquema de llicències. Per no perdre'l, subscriu-te al nostre .
També podeu seguir les actualitzacions dels recursos següents:
Font: www.habr.com