Dobrý den, přátelé! Na jsme se naučili základy práce s logy na FortiAnalyzeru. Dnes půjdeme dále a podíváme se na hlavní aspekty práce s reporty: co jsou reporty, z čeho se skládají, jak můžete upravovat stávající reporty a vytvářet nové. Jako obvykle nejprve trocha teorie a pak budeme pracovat s reporty v praxi. Pod střihem je prezentována teoretická část lekce a také video lekce, která zahrnuje teorii i praxi.
Hlavním účelem reportů je kombinovat velké množství dat obsažených v logech a na základě dostupného nastavení prezentovat všechny přijaté informace v čitelné podobě: ve formě grafů, tabulek, tabulek. Níže uvedený obrázek ukazuje seznam předinstalovaných reportů pro zařízení FortiGate (ne všechny reporty se do něj vejdou, ale myslím, že tento seznam již ukazuje, že i po vybalení z krabice můžete vytvořit spoustu zajímavých a užitečných reportů).
Zprávy ale pouze čtivě prezentují požadované informace - neobsahují žádná doporučení pro další postup s nalezenými problémy.
Hlavní součástí reportů jsou grafy. Každá sestava se skládá z jednoho nebo více grafů. Grafy určují, jaké informace by měly být extrahovány z protokolů a v jakém formátu by měly být prezentovány. Datasety jsou zodpovědné za extrakci informací - SELECT dotazy do databáze. Právě v datasetech je přesně určeno, odkud a jaké informace je třeba extrahovat. Poté, co se požadovaná data objeví jako výsledek požadavku, použije se na ně nastavení formátu (nebo zobrazení). Výsledkem je, že získaná data jsou zpracována do tabulek, grafů nebo tabulek různých typů.
Dotaz SELECT používá různé příkazy, které nastavují podmínky pro informace, které mají být načteny. Nejdůležitější věcí, kterou je třeba zvážit, je, že tyto příkazy musí být použity v určitém pořadí, v tomto pořadí jsou uvedeny níže:
FROM je jediný příkaz, který je vyžadován v dotazu SELECT. Označuje typ protokolů, ze kterých je třeba extrahovat informace;
KDE - pomocí tohoto příkazu se nastavují podmínky pro protokoly (například konkrétní název aplikace / útoku / viru);
GROUP BY - tento příkaz umožňuje seskupovat informace podle jednoho nebo více sloupců zájmu;
ORDER BY - pomocí tohoto příkazu můžete seřadit výstup informací po řádcích;
LIMIT – Omezuje počet záznamů vrácených dotazem.
FortiAnalyzer obsahuje předdefinované šablony reportů. Šablony jsou tzv. rozložení sestavy — obsahují text sestavy, její grafy a makra. Pomocí šablon můžete vytvářet nové sestavy, pokud jsou vyžadovány minimální změny v předdefinovaných sestavách. Předinstalované sestavy však nelze upravovat ani mazat – můžete je naklonovat a provést na kopii potřebné změny. Je také možné vytvořit vlastní šablony zpráv.
Někdy se můžete setkat s následující situací: předdefinovaná sestava odpovídá úkolu, ale ne zcela. Možná k tomu budete muset přidat nějaké informace, nebo je naopak odstranit. V tomto případě existují dvě možnosti: klonování a změna šablony nebo samotná sestava. Zde se musíte spolehnout na několik faktorů.
Šablony jsou rozložením pro sestavu, obsahují grafy a text sestavy, nic víc. Samotné sestavy zase kromě tzv. „rozvržení“ obsahují různé parametry sestavy: jazyk, písmo, barvu textu, periodu generování, filtrování informací a tak dále. Pokud tedy potřebujete provést změny pouze v rozložení sestavy, můžete použít šablony. Pokud je potřeba další konfigurace sestavy, můžete upravit samotnou sestavu (přesněji řečeno její kopii).
Na základě šablon můžete vytvořit několik zpráv stejného typu, takže pokud musíte vytvořit mnoho navzájem podobných zpráv, pak je vhodnější použít šablony.
V případě, že vám předinstalované šablony a sestavy nevyhovují, můžete vytvořit novou šablonu i novou sestavu.
Také na FortiAnalyzeru je možné nakonfigurovat zasílání reportů jednotlivým administrátorům e-mailem nebo jejich nahrávání na externí servery. To se provádí pomocí mechanismu výstupního profilu. V každé administrativní doméně jsou konfigurovány samostatné výstupní profily. Při konfiguraci výstupního profilu jsou definovány následující parametry:
- Formáty zasílaných reportů - PDF, HTML, XML nebo CSV;
- Místo, kam se budou zprávy odesílat. Může to být e-mail administrátora (k tomu musíte FortiAnalyzer svázat s poštovním serverem, o tom jsme hovořili v minulé lekci). Může to být i externí souborový server - FTP, SFTP, SCP;
- Můžete si vybrat, zda chcete zachovat nebo odstranit místní přehledy, které po přenosu v zařízení zůstanou.
V případě potřeby je možné urychlit generování reportů. Zvažme dva způsoby:
Při generování sestavy vytváří FortiAnalyzer grafy z předkompilovaných dat SQL cache známých jako hcache. Pokud nejsou data hcache vytvořena při spuštění sestavy, systém musí nejprve vytvořit hcache a poté sestavu sestavit. Tím se prodlouží doba generování sestavy. Pokud však nejsou přijaty nové protokoly pro sestavu, při regeneraci sestavy se výrazně zkrátí čas na její vygenerování, protože data hcache již byla zkompilována.
Chcete-li zlepšit výkon generování sestav, můžete v nastavení sestav povolit automatické generování hcache. V tomto případě se hcache automaticky aktualizuje, když dorazí nové protokoly. Příklad nastavení je na obrázku níže.
Tento proces využívá velké množství systémových prostředků (zejména u sestav, které vyžadují dlouhý čas na sběr dat), takže po jeho zapnutí je třeba sledovat stav FortiAnalyzer: zda se výrazně zvýšila zátěž, zda došlo k kritickému spotřeba systémových prostředků. V případě, že FortiAnalyzer nezvládne zátěž, je lepší tento proces zakázat.
Je třeba také poznamenat, že automatická aktualizace dat hcache je ve výchozím nastavení povolena pro naplánované sestavy.
Druhým způsobem, jak urychlit generování sestav, je seskupování:
Pokud se stejné (nebo podobné) zprávy generují pro různá zařízení FortiGate (nebo jiná Fortinet), můžete proces generování značně urychlit jejich seskupením. Seskupování sestav může snížit počet tabulek hcache a zrychlit časy automatického ukládání do mezipaměti, což vede k rychlejšímu generování sestav.
V příkladu na obrázku níže jsou sestavy, které ve svých názvech obsahují řetězec Security_Report, seskupeny podle parametru ID zařízení.
Video tutoriál představuje teoretický materiál diskutovaný výše a také praktické aspekty práce s reporty – od vytváření vlastních datových sad a grafů, šablon a reportů až po nastavení zasílání reportů administrátorům. Užijte si sledování!
V další lekci se podíváme na různé aspekty administrace FortiAnalyzeru a také na jeho licenční schéma. Abyste to nepropásli, přihlaste se k odběru našeho .
Můžete také sledovat aktualizace následujících zdrojů:
Zdroj: www.habr.com