Salutami amichi ! On avemu amparatu i principii di travaglià cù logs in FortiAnalyzer. Oghje andemu più in là è fighjemu l'aspettu principali di u travagliu cù i rapporti: ciò chì i rapporti sò, ciò chì sò cumposti, cumu pudete edità rapporti esistenti è creà novi. Comu solitu, prima un pocu di teoria, è dopu avemu da travaglià cù rapporti in pratica. Sottu u tagliu, a parte teorica di a lezziò hè presentata, è ancu una lezione video chì include a teoria è a pratica.
U scopu principale di i rapporti hè di cumminà una grande quantità di dati cuntenuti in i logs è, basatu nantu à i paràmetri dispunibili, prisentanu tutte l'infurmazioni ricevuti in una forma leggibile: in forma di gràfiche, tavule, charts. A figura quì sottu mostra una lista di rapporti pre-installati per i dispositi FortiGate (micca tutti i rapporti si adattanu in questu, ma pensu chì sta lista mostra digià chì ancu fora di a scatula pudete custruisce assai rapporti interessanti è utili).
Ma i rapporti presentanu solu l'infurmazioni dumandate in modu leggibile - ùn cuntenenu micca cunsiglii per più azzione cù i prublemi truvati.
I cumpunenti principali di i rapporti sò charts. Ogni rapportu hè custituitu da una o più carte. I grafici determinanu quale infurmazione deve esse estratta da i logs è in quale formatu deve esse presentata. I datasets sò rispunsevuli di l'estrazione di l'infurmazioni - SELECT queries à a basa di dati. Hè in i datasets chì hè precisamente determinatu da induve è chì tipu d'infurmazioni deve esse estratti. Dopu chì i dati richiesti appariscenu cum'è u risultatu di a dumanda, i paràmetri di furmatu (o visualizazione) sò appiicati à elli. In u risultatu, i dati ottenuti sò scritti in tavule, grafici o carte di varii tipi.
A query SELECT usa diversi cumandamenti chì stabiliscenu e cundizioni per l'infurmazioni per esse ricuperate. A cosa più impurtante per cunsiderà hè chì sti cumandamenti devenu esse appiicati in un ordine specificu, in questu ordine sò listati quì sottu:
FROM hè l'unicu cumandamentu chì hè necessariu in una query SELECT. Indica u tipu di logs da quale l'infurmazione deve esse estratta;
WHERE - utilizendu stu cumandamentu, e cundizioni per i logs sò stabiliti (per esempiu, un nome specificu di l'applicazione / attaccu / virus);
GROUP BY - stu cumandamentu permette di raggruppà l'infurmazioni per una o più colonne d'interessu;
ORDER BY - usendu stu cumandamentu, pudete urdinà a pruduzzioni di l'infurmazioni per linea;
LIMIT - Limita u numeru di records restituiti da a dumanda.
FortiAnalyzer cuntene mudelli di rapportu predefiniti. I mudelli sò u cusì chjamatu layout di rapportu - cuntenenu u testu di u rapportu, i so charts è macros. Utilizendu mudelli, pudete creà novi rapporti se i cambiamenti minimi sò necessarii à quelli predefiniti. Tuttavia, i rapporti preinstallati ùn ponu esse editati o sguassati - pudete clone è fà i cambiamenti necessarii nantu à a copia. Hè ancu pussibule di creà i vostri mudelli di rapportu.
Calchì volta vi pò scuntrà a situazione seguente: un rapportu predefinitu si adatta à u compitu, ma micca cumplettamente. Forsi avete bisognu di aghjunghje qualchì infurmazione, o, à u cuntrariu, sguassate. In questu casu, ci sò duie opzioni: clone è cambià u mudellu, o u rapportu stessu. Quì avete bisognu di cunfidenza di parechji fatturi.
I mudelli sò un layout per un rapportu, cuntenenu grafici è testu di rapportu, nunda di più. I rapporti stessi, à u turnu, in più di u cusì chjamatu "disposizione", cuntenenu diversi paràmetri di rapportu: lingua, font, culore di testu, periodu di generazione, filtrazione di l'infurmazioni, etc. Dunque, s'ellu hè solu bisognu di fà cambiamenti à u layout di u rapportu, pudete aduprà mudelli. Se a cunfigurazione di u rapportu supplementu hè necessariu, pudete edità u rapportu stessu (più precisamente, una copia di questu).
Basatu nantu à mudelli, pudete creà parechji rapporti di u stessu tipu, perchè s'ellu avete da fà assai rapporti simili à l'altri, allora hè preferibile aduprà mudelli.
In casu chì i mudelli è i rapporti preinstallati ùn vi cunvene micca, pudete creà un novu mudellu è un novu rapportu.
Ancu in FortiAnalyzer, hè pussibule cunfigurà l'inviu di rapporti à l'amministratori individuali per e-mail o carichendu à i servitori esterni. Questu hè fattu cù u mecanismu di u Profilu di Output. I Profili di Output Separati sò cunfigurati in ogni duminiu amministrativu. Quandu cunfigurà un Profilu di Output, i seguenti parametri sò definiti:
- Formati di rapporti mandati - PDF, HTML, XML o CSV;
- U locu induve i rapporti seranu mandati. Questu pò esse l'email di un amministratore (per questu, avete bisognu di ligà FortiAnalyzer à un servitore di mail, avemu cupertu questu in l'ultima lezzione). Pò esse ancu un servitore di fugliale esternu - FTP, SFTP, SCP;
- Pudete sceglie s'ellu tene o sguassà i rapporti lucali chì sò lasciati nant'à u dispusitivu dopu à u trasferimentu.
Se necessariu, hè pussibule accelerà a generazione di rapporti. Fighjemu dui modi:
Quandu genera un rapportu, FortiAnalyzer crea charts da dati di cache SQL precompilati cunnisciuti cum'è hcache. Se i dati hcache ùn sò micca creati quandu u rapportu hè in esecuzione, u sistema deve prima creà l'hcache è poi custruisce u rapportu. Questu aumenta u tempu di generazione di rapportu. In ogni casu, se i novi logs per un rapportu ùn sò micca ricevuti, quandu u rapportu hè rigeneratu, u tempu di generà serà riduciutu significativamente, postu chì a data hcache hè stata cumpilata.
Per migliurà u rendiment di generazione di rapporti, pudete attivà a generazione automatica di hcache in i paràmetri di rapportu. In questu casu, hcache hè aghjurnatu automaticamente quandu arrivanu novi logs. Un esempiu di impostazione hè mostratu in a figura sottu.
Stu prucessu usa una grande quantità di risorse di u sistema (in particulare per i rapporti chì necessitanu assai tempu per cullà e dati), cusì dopu avè attivatu, avete bisognu di monitorà u statutu di FortiAnalyzer: se a carica hè aumentata significativamente, s'ellu ci hè un criticu. u cunsumu di risorse di u sistema. In casu chì FortiAnalyzer ùn pò micca affruntà a carica, hè megliu disattivà stu prucessu.
Hè ancu esse nutatu chì l'aghjurnamentu automaticu di i dati hcache hè attivatu per automaticamente per i rapporti programati.
U sicondu modu per accelerà a generazione di rapporti hè di raggruppamentu:
Se i stessi rapporti (o simili) sò generati per diversi dispositi FortiGate (o altri Fortinet), pudete accelerà assai u prucessu di generazione raggruppendu. I rapporti di raggruppamentu ponu riduce u numeru di tavule hcache è accelerà i tempi di caching automaticu, chì risultanu in una generazione di rapporti più veloce.
In l'esempiu mostratu in a figura quì sottu, i rapporti chì cuntenenu a stringa Security_Report in i so nomi sò raggruppati da u paràmetru ID Dispositivu.
U video tutoriale presenta u materiale teoricu discutitu sopra, è ancu discute l'aspetti pratichi di travaglià cù i rapporti - da a creazione di i vostri propri datasets è charts, mudelli è rapporti à stabilisce l'invio di rapporti à l'amministratori. Prufittate di vede!
In a prossima lezione, avemu da guardà diversi aspetti di l'amministrazione di FortiAnalyzer, è ancu u so schema di licenza. Per ùn mancà, abbonate à u nostru .
Pudete ancu seguità l'aghjurnamenti nantu à e seguenti risorse:
Source: www.habr.com