Hej venner! På vi lærte det grundlæggende i at arbejde med logfiler på FortiAnalyzer. I dag vil vi gå videre og se på hovedaspekterne ved at arbejde med rapporter: hvad rapporter er, hvad består de af, hvordan du kan redigere eksisterende rapporter og oprette nye. Som sædvanlig først lidt teori, og derefter vil vi arbejde med rapporter i praksis. Under snittet præsenteres den teoretiske del af lektionen, samt en videolektion, der indeholder både teori og praksis.
Hovedformålet med rapporterne er at kombinere store mængder data indeholdt i loggene og, baseret på de tilgængelige indstillinger, præsentere al modtaget information i en læsbar form: i form af grafer, tabeller, diagrammer. Nedenstående figur viser en liste over forudinstallerede rapporter til FortiGate-enheder (ikke alle rapporter passer ind i den, men jeg tror, at denne liste allerede viser, at selv ud af boksen kan du bygge en masse interessante og nyttige rapporter).
Men rapporterne præsenterer kun de efterspurgte oplysninger på en læsbar måde - de indeholder ingen anbefalinger til yderligere handling med de fundne problemer.
Hovedkomponenterne i rapporter er diagrammer. Hver rapport består af et eller flere diagrammer. Diagrammer bestemmer, hvilke oplysninger der skal udtrækkes fra loggene, og i hvilket format de skal præsenteres. Datasæt er ansvarlige for at udtrække information - VÆLG forespørgsler til databasen. Det er i datasæt, at det præcist bestemmes, hvorfra og hvilken slags information der skal udvindes. Efter at de påkrævede data vises som et resultat af anmodningen, anvendes format- (eller visnings)indstillingerne på dem. Som følge heraf er de opnåede data opstillet i tabeller, grafer eller diagrammer af forskellige typer.
SELECT-forespørgslen bruger forskellige kommandoer, der sætter betingelser for, hvilke oplysninger der skal hentes. Det vigtigste at overveje er, at disse kommandoer skal anvendes i en bestemt rækkefølge, i den rækkefølge er de anført nedenfor:
FROM er den eneste kommando, der kræves i en SELECT-forespørgsel. Det angiver typen af logfiler, hvorfra information skal udtrækkes;
WHERE - ved hjælp af denne kommando indstilles betingelserne for logfilerne (for eksempel et specifikt navn på applikationen / angreb / virus);
GROUP BY - denne kommando giver dig mulighed for at gruppere information efter en eller flere kolonner af interesse;
ORDER BY - ved at bruge denne kommando kan du bestille output af information efter linje;
LIMIT - Begrænser antallet af poster, der returneres af forespørgslen.
FortiAnalyzer indeholder foruddefinerede rapportskabeloner. Skabeloner er det såkaldte rapportlayout - de indeholder teksten til rapporten, dens diagrammer og makroer. Ved hjælp af skabeloner kan du oprette nye rapporter, hvis der kræves minimale ændringer af de foruddefinerede. Forinstallerede rapporter kan dog ikke redigeres eller slettes - du kan klone dem og foretage de nødvendige ændringer på kopien. Det er også muligt at lave dine egne rapportskabeloner.
Nogle gange kan du støde på følgende situation: en foruddefineret rapport passer til opgaven, men ikke helt. Måske skal du tilføje nogle oplysninger til det, eller omvendt fjerne det. I dette tilfælde er der to muligheder: klone og ændre skabelonen eller selve rapporten. Her skal du stole på flere faktorer.
Skabeloner er et layout til en rapport, de indeholder diagrammer og rapporttekst, intet mere. Selve rapporterne indeholder til gengæld, udover det såkaldte “layout”, forskellige rapportparametre: sprog, skrifttype, tekstfarve, genereringsperiode, informationsfiltrering og så videre. Derfor, hvis du kun skal lave ændringer i rapportlayoutet, kan du bruge skabeloner. Hvis der er behov for yderligere rapportkonfiguration, kan du redigere selve rapporten (mere præcist, en kopi af den).
Ud fra skabeloner kan du lave flere rapporter af samme type, så hvis du skal lave mange rapporter, der ligner hinanden, så er det at foretrække at bruge skabeloner.
I tilfælde af at de forudinstallerede skabeloner og rapporter ikke passer til dig, kan du oprette både en ny skabelon og en ny rapport.
Også på FortiAnalyzer er det muligt at konfigurere afsendelse af rapporter til individuelle administratorer via e-mail eller uploade dem til eksterne servere. Dette gøres ved hjælp af Output Profile-mekanismen. Separate outputprofiler er konfigureret i hvert administrativt domæne. Når du konfigurerer en outputprofil, er følgende parametre defineret:
- Formater af sendte rapporter - PDF, HTML, XML eller CSV;
- Det sted, hvor rapporterne vil blive sendt. Dette kan være en administrators e-mail (for dette skal du binde FortiAnalyzer til en mailserver, det dækkede vi i sidste lektion). Det kan også være en ekstern filserver - FTP, SFTP, SCP;
- Du kan vælge, om du vil beholde eller slette lokale rapporter, der er tilbage på enheden efter overførslen.
Om nødvendigt er det muligt at fremskynde genereringen af rapporter. Lad os overveje to måder:
Når du genererer en rapport, bygger FortiAnalyzer diagrammer ud fra prækompilerede SQL-cachedata kendt som hcache. Hvis hcache-dataene ikke oprettes, når rapporten køres, skal systemet først oprette hcachen og derefter bygge rapporten. Dette øger rapportgenereringstiden. Men hvis der ikke modtages nye logfiler for en rapport, når rapporten gengenereres, vil tiden til at generere den blive væsentligt reduceret, da hcache-dataene allerede er blevet kompileret.
For at forbedre ydeevnen af rapportgenerering kan du aktivere automatisk hcachegenerering i rapportindstillingerne. I dette tilfælde opdateres hcache automatisk, når der kommer nye logfiler. Et eksempel på indstilling er vist i figuren nedenfor.
Denne proces bruger en stor mængde systemressourcer (især for rapporter, der kræver lang tid at indsamle data), så efter at have slået den til, skal du overvåge status for FortiAnalyzer: om belastningen er steget væsentligt, om der er en kritisk forbrug af systemressourcer. Hvis FortiAnalyzer ikke kan klare belastningen, er det bedre at deaktivere denne proces.
Det skal også bemærkes, at automatisk opdatering af hcache-data er aktiveret som standard for planlagte rapporter.
Den anden måde at fremskynde rapportgenerering er gruppering:
Hvis de samme (eller lignende) rapporter genereres for forskellige FortiGate (eller andre Fortinet) enheder, kan du i høj grad fremskynde genereringsprocessen ved at gruppere dem. Gruppering af rapporter kan reducere antallet af hcache-tabeller og fremskynde automatisk cachelagring, hvilket resulterer i hurtigere rapportgenerering.
I eksemplet vist i figuren nedenfor er rapporter, der indeholder strengen Security_Report i deres navne, grupperet efter parameteren Device ID.
Videotutorialen præsenterer det teoretiske materiale, der er diskuteret ovenfor, samt de praktiske aspekter ved at arbejde med rapporter - fra oprettelse af dine egne datasæt og diagrammer, skabeloner og rapporter til opsætning af afsendelse af rapporter til administratorer. Nyd at se!
I den næste lektion vil vi se på forskellige aspekter af FortiAnalyzer-administration, såvel som dets licensordning. For ikke at gå glip af det, abonner på vores .
Du kan også følge opdateringerne om følgende ressourcer:
Kilde: www.habr.com