Hallo Freunde! An Wir haben die Grundlagen der Arbeit mit Protokollen auf FortiAnalyzer gelernt. Heute gehen wir weiter und betrachten die Hauptaspekte der Arbeit mit Berichten: Was sind Berichte, woraus bestehen sie, wie können Sie vorhandene Berichte bearbeiten und neue erstellen? Wie üblich zunächst ein wenig Theorie, dann werden wir mit Berichten in der Praxis arbeiten. Unter dem Schnitt wird der theoretische Teil der Lektion vorgestellt, sowie eine Videolektion, die sowohl Theorie als auch Praxis beinhaltet.
Der Hauptzweck der Berichte besteht darin, große Datenmengen in den Protokollen zu kombinieren und basierend auf den verfügbaren Einstellungen alle erhaltenen Informationen in lesbarer Form darzustellen: in Form von Grafiken, Tabellen, Diagrammen. Die folgende Abbildung zeigt eine Liste der vorinstallierten Berichte für FortiGate-Geräte (nicht alle Berichte passen hinein, aber ich denke, diese Liste zeigt bereits, dass man auch sofort nach dem Auspacken viele interessante und nützliche Berichte erstellen kann).
Die Berichte stellen jedoch lediglich die angeforderten Informationen in lesbarer Form dar – sie enthalten keine Empfehlungen für das weitere Vorgehen bei den festgestellten Problemen.
Die Hauptbestandteile von Berichten sind Diagramme. Jeder Bericht besteht aus einem oder mehreren Diagrammen. Diagramme bestimmen, welche Informationen aus den Protokollen extrahiert und in welchem Format sie dargestellt werden sollen. Datensätze sind für das Extrahieren von Informationen verantwortlich – SELECT-Abfragen an die Datenbank. In Datensätzen wird genau bestimmt, wo und welche Informationen extrahiert werden müssen. Nachdem die erforderlichen Daten als Ergebnis der Anfrage angezeigt werden, werden die Format- (oder Anzeige-)Einstellungen auf sie angewendet. Als Ergebnis werden die gewonnenen Daten in Tabellen, Grafiken oder Diagrammen unterschiedlicher Art aufbereitet.
Die SELECT-Abfrage verwendet verschiedene Befehle, die Bedingungen für die abzurufenden Informationen festlegen. Das Wichtigste, was es zu beachten gilt, ist, dass diese Befehle in einer bestimmten Reihenfolge angewendet werden müssen. In dieser Reihenfolge sind sie unten aufgeführt:
FROM ist der einzige Befehl, der in einer SELECT-Abfrage erforderlich ist. Es gibt die Art der Protokolle an, aus denen Informationen extrahiert werden müssen.
WHERE – Mit diesem Befehl werden die Bedingungen für die Protokolle festgelegt (z. B. ein bestimmter Name der Anwendung/des Angriffs/des Virus);
GROUP BY – Mit diesem Befehl können Sie Informationen nach einer oder mehreren relevanten Spalten gruppieren.
ORDER BY – Mit diesem Befehl können Sie die Ausgabe von Informationen zeilenweise ordnen;
LIMIT – Begrenzt die Anzahl der von der Abfrage zurückgegebenen Datensätze.
FortiAnalyzer enthält vordefinierte Berichtsvorlagen. Vorlagen sind das sogenannte Berichtslayout – sie enthalten den Text des Berichts, seine Diagramme und Makros. Mithilfe von Vorlagen können Sie neue Berichte erstellen, wenn nur minimale Änderungen an den vordefinierten Berichten erforderlich sind. Vorinstallierte Berichte können jedoch nicht bearbeitet oder gelöscht werden – Sie können sie klonen und die erforderlichen Änderungen an der Kopie vornehmen. Es ist auch möglich, eigene Berichtsvorlagen zu erstellen.
Manchmal kann es zu folgender Situation kommen: Ein vordefinierter Bericht passt zur Aufgabe, aber nicht vollständig. Möglicherweise müssen Sie Informationen hinzufügen oder umgekehrt entfernen. In diesem Fall gibt es zwei Möglichkeiten: Klonen und Ändern der Vorlage oder des Berichts selbst. Hier müssen Sie sich auf mehrere Faktoren verlassen.
Vorlagen sind ein Layout für einen Bericht, sie enthalten Diagramme und Berichtstext, mehr nicht. Die Berichte selbst enthalten wiederum neben dem sogenannten „Layout“ verschiedene Berichtsparameter: Sprache, Schriftart, Textfarbe, Erstellungszeitraum, Informationsfilterung usw. Wenn Sie also nur Änderungen am Berichtslayout vornehmen müssen, können Sie Vorlagen verwenden. Wenn eine zusätzliche Berichtskonfiguration erforderlich ist, können Sie den Bericht selbst bearbeiten (genauer gesagt eine Kopie davon).
Basierend auf Vorlagen können Sie mehrere Berichte desselben Typs erstellen. Wenn Sie also viele ähnliche Berichte erstellen müssen, ist die Verwendung von Vorlagen vorzuziehen.
Für den Fall, dass Ihnen die vorinstallierten Vorlagen und Berichte nicht zusagen, können Sie sowohl eine neue Vorlage als auch einen neuen Bericht erstellen.
Auch bei FortiAnalyzer ist es möglich, das Versenden von Berichten an einzelne Administratoren per E-Mail oder das Hochladen auf externe Server zu konfigurieren. Dies erfolgt mithilfe des Ausgabeprofilmechanismus. In jeder Verwaltungsdomäne werden separate Ausgabeprofile konfiguriert. Beim Konfigurieren eines Ausgabeprofils werden die folgenden Parameter definiert:
- Formate der gesendeten Berichte – PDF, HTML, XML oder CSV;
- Der Ort, an den die Berichte gesendet werden. Dies kann die E-Mail eines Administrators sein (dazu müssen Sie FortiAnalyzer an einen Mailserver binden, wir haben dies in der letzten Lektion behandelt). Es kann sich auch um einen externen Dateiserver handeln – FTP, SFTP, SCP;
- Sie können wählen, ob lokale Berichte, die nach der Übertragung auf dem Gerät verbleiben, beibehalten oder gelöscht werden sollen.
Bei Bedarf besteht die Möglichkeit, die Erstellung von Berichten zu beschleunigen. Betrachten wir zwei Möglichkeiten:
Beim Generieren eines Berichts erstellt FortiAnalyzer Diagramme aus vorkompilierten SQL-Cache-Daten, die als hcache bezeichnet werden. Wenn die hcache-Daten beim Ausführen des Berichts nicht erstellt werden, muss das System zuerst den hcache erstellen und dann den Bericht erstellen. Dadurch erhöht sich die Berichtserstellungszeit. Wenn jedoch bei der Neugenerierung des Berichts keine neuen Protokolle für einen Bericht empfangen werden, wird die Zeit für die Generierung des Berichts erheblich verkürzt, da die hcache-Daten bereits kompiliert wurden.
Um die Leistung der Berichtserstellung zu verbessern, können Sie in den Berichtseinstellungen die automatische hcache-Generierung aktivieren. In diesem Fall wird hcache automatisch aktualisiert, wenn neue Protokolle eintreffen. Ein Beispiel für die Einstellung ist in der folgenden Abbildung dargestellt.
Dieser Prozess beansprucht eine große Menge an Systemressourcen (insbesondere für Berichte, deren Datenerfassung lange dauert). Daher müssen Sie nach dem Einschalten den Status von FortiAnalyzer überwachen: ob die Last erheblich zugenommen hat, ob ein kritischer Zustand vorliegt Verbrauch von Systemressourcen. Falls FortiAnalyzer der Belastung nicht gewachsen ist, ist es besser, diesen Prozess zu deaktivieren.
Es ist außerdem zu beachten, dass die automatische Aktualisierung von Hcache-Daten für geplante Berichte standardmäßig aktiviert ist.
Die zweite Möglichkeit, die Berichtserstellung zu beschleunigen, ist die Gruppierung:
Wenn dieselben (oder ähnliche) Berichte für verschiedene FortiGate-Geräte (oder andere Fortinet-Geräte) generiert werden, können Sie den Generierungsprozess erheblich beschleunigen, indem Sie sie gruppieren. Durch das Gruppieren von Berichten kann die Anzahl der hcache-Tabellen reduziert und die Zeit für das automatische Caching verkürzt werden, was zu einer schnelleren Berichtserstellung führt.
Im Beispiel in der Abbildung unten werden Berichte, deren Namen die Zeichenfolge Security_Report enthalten, nach dem Parameter „Geräte-ID“ gruppiert.
Das Video-Tutorial präsentiert das oben besprochene theoretische Material sowie die praktischen Aspekte der Arbeit mit Berichten – von der Erstellung eigener Datensätze und Diagramme, Vorlagen und Berichte bis hin zur Einrichtung des Versands von Berichten an Administratoren. Genieße das Zusehen!
In der nächsten Lektion werden wir uns mit verschiedenen Aspekten der FortiAnalyzer-Verwaltung sowie dem Lizenzschema befassen. Um es nicht zu verpassen, abonnieren Sie unseren .
Sie können die Aktualisierungen auch auf den folgenden Ressourcen verfolgen:
Source: habr.com