Γεια σας φίλοι! Επί μάθαμε τα βασικά της εργασίας με αρχεία καταγραφής στο FortiAnalyzer. Σήμερα θα προχωρήσουμε περαιτέρω και θα εξετάσουμε τις κύριες πτυχές της εργασίας με αναφορές: τι είναι οι αναφορές, από τι αποτελούνται, πώς μπορείτε να επεξεργαστείτε υπάρχουσες αναφορές και να δημιουργήσετε νέες. Ως συνήθως, πρώτα λίγη θεωρία και μετά θα δουλέψουμε με αναφορές στην πράξη. Κάτω από την περικοπή παρουσιάζεται το θεωρητικό μέρος του μαθήματος, καθώς και ένα βίντεο μάθημα που περιλαμβάνει θεωρία και πράξη.
Ο κύριος σκοπός των αναφορών είναι να συνδυάζουν μεγάλες ποσότητες δεδομένων που περιέχονται στα αρχεία καταγραφής και, με βάση τις διαθέσιμες ρυθμίσεις, να παρουσιάζουν όλες τις πληροφορίες που λαμβάνονται σε αναγνώσιμη μορφή: με τη μορφή γραφημάτων, πινάκων, γραφημάτων. Το παρακάτω σχήμα δείχνει μια λίστα με προεγκατεστημένες αναφορές για συσκευές FortiGate (δεν ταιριάζουν όλες οι αναφορές, αλλά νομίζω ότι αυτή η λίστα δείχνει ήδη ότι μπορείτε να δημιουργήσετε πολλές ενδιαφέρουσες και χρήσιμες αναφορές, ακόμη και εκτός συσκευασίας).
Ωστόσο, οι αναφορές παρουσιάζουν μόνο τις ζητούμενες πληροφορίες με ευανάγνωστο τρόπο - δεν περιέχουν συστάσεις για περαιτέρω δράση με τα προβλήματα που εντοπίστηκαν.
Τα κύρια συστατικά των αναφορών είναι τα γραφήματα. Κάθε αναφορά αποτελείται από ένα ή περισσότερα γραφήματα. Τα γραφήματα καθορίζουν ποιες πληροφορίες πρέπει να εξαχθούν από τα αρχεία καταγραφής και σε ποια μορφή πρέπει να παρουσιάζονται. Τα σύνολα δεδομένων είναι υπεύθυνα για την εξαγωγή πληροφοριών - SELECT ερωτήματα στη βάση δεδομένων. Στα σύνολα δεδομένων καθορίζεται επακριβώς από πού και τι είδους πληροφορίες πρέπει να εξαχθούν. Αφού εμφανιστούν τα απαιτούμενα δεδομένα ως αποτέλεσμα του αιτήματος, εφαρμόζονται σε αυτά οι ρυθμίσεις μορφής (ή εμφάνισης). Ως αποτέλεσμα, τα δεδομένα που λαμβάνονται συντάσσονται σε πίνακες, γραφήματα ή διαγράμματα διαφόρων τύπων.
Το ερώτημα SELECT χρησιμοποιεί διάφορες εντολές που ορίζουν συνθήκες για την ανάκτηση των πληροφοριών. Το πιο σημαντικό πράγμα που πρέπει να λάβετε υπόψη είναι ότι αυτές οι εντολές πρέπει να εφαρμόζονται με συγκεκριμένη σειρά, με αυτή τη σειρά που αναφέρονται παρακάτω:
FROM είναι η μόνη εντολή που απαιτείται σε ένα ερώτημα SELECT. Υποδεικνύει τον τύπο των αρχείων καταγραφής από τα οποία πρέπει να εξαχθούν πληροφορίες.
WHERE - χρησιμοποιώντας αυτήν την εντολή, ορίζονται οι συνθήκες για τα αρχεία καταγραφής (για παράδειγμα, ένα συγκεκριμένο όνομα της εφαρμογής / επίθεσης / ιού).
GROUP BY - αυτή η εντολή σας επιτρέπει να ομαδοποιήσετε πληροφορίες κατά μία ή περισσότερες στήλες ενδιαφέροντος.
ORDER BY - χρησιμοποιώντας αυτήν την εντολή, μπορείτε να παραγγείλετε την έξοδο των πληροφοριών ανά γραμμή.
LIMIT - Περιορίζει τον αριθμό των εγγραφών που επιστρέφονται από το ερώτημα.
Το FortiAnalyzer περιέχει προκαθορισμένα πρότυπα αναφορών. Τα πρότυπα είναι η λεγόμενη διάταξη αναφοράς — περιέχουν το κείμενο της αναφοράς, τα γραφήματα και τις μακροεντολές της. Χρησιμοποιώντας πρότυπα, μπορείτε να δημιουργήσετε νέες αναφορές εάν απαιτούνται ελάχιστες αλλαγές στις προκαθορισμένες. Ωστόσο, οι προεγκατεστημένες αναφορές δεν μπορούν να επεξεργαστούν ή να διαγραφούν - μπορείτε να τις κλωνοποιήσετε και να κάνετε τις απαραίτητες αλλαγές στο αντίγραφο. Είναι επίσης δυνατό να δημιουργήσετε τα δικά σας πρότυπα αναφοράς.
Μερικές φορές μπορεί να αντιμετωπίσετε την ακόλουθη κατάσταση: μια προκαθορισμένη αναφορά ταιριάζει στην εργασία, αλλά όχι πλήρως. Ίσως χρειαστεί να προσθέσετε κάποιες πληροφορίες σε αυτό ή, αντίθετα, να τις αφαιρέσετε. Σε αυτήν την περίπτωση, υπάρχουν δύο επιλογές: κλωνοποίηση και αλλαγή του προτύπου ή της ίδιας της αναφοράς. Εδώ πρέπει να βασιστείτε σε πολλούς παράγοντες.
Τα πρότυπα είναι μια διάταξη για μια αναφορά, περιέχουν γραφήματα και κείμενο αναφοράς, τίποτα περισσότερο. Οι ίδιες οι αναφορές, με τη σειρά τους, εκτός από τη λεγόμενη «διάταξη», περιέχουν διάφορες παραμέτρους αναφοράς: γλώσσα, γραμματοσειρά, χρώμα κειμένου, περίοδος δημιουργίας, φιλτράρισμα πληροφοριών κ.λπ. Επομένως, εάν χρειάζεται μόνο να κάνετε αλλαγές στη διάταξη της αναφοράς, μπορείτε να χρησιμοποιήσετε πρότυπα. Εάν απαιτείται πρόσθετη διαμόρφωση αναφοράς, μπορείτε να επεξεργαστείτε την ίδια την αναφορά (ακριβέστερα, ένα αντίγραφό της).
Με βάση τα πρότυπα, μπορείτε να δημιουργήσετε πολλές αναφορές του ίδιου τύπου, επομένως εάν πρέπει να κάνετε πολλές αναφορές παρόμοιες μεταξύ τους, τότε είναι προτιμότερο να χρησιμοποιείτε πρότυπα.
Σε περίπτωση που τα προεγκατεστημένα πρότυπα και αναφορές δεν σας ταιριάζουν, μπορείτε να δημιουργήσετε ένα νέο πρότυπο και μια νέα αναφορά.
Επίσης στο FortiAnalyzer, είναι δυνατή η διαμόρφωση της αποστολής αναφορών σε μεμονωμένους διαχειριστές μέσω e-mail ή η μεταφόρτωσή τους σε εξωτερικούς διακομιστές. Αυτό γίνεται χρησιμοποιώντας τον μηχανισμό Output Profile. Σε κάθε τομέα διαχείρισης διαμορφώνονται ξεχωριστά προφίλ εξόδου. Κατά τη διαμόρφωση ενός προφίλ εξόδου, ορίζονται οι ακόλουθες παράμετροι:
- Μορφές απεσταλμένων αναφορών - PDF, HTML, XML ή CSV.
- Η τοποθεσία όπου θα σταλούν οι αναφορές. Αυτό μπορεί να είναι το email ενός διαχειριστή (για αυτό, πρέπει να συνδέσετε το FortiAnalyzer σε έναν διακομιστή αλληλογραφίας, το καλύψαμε στο τελευταίο μάθημα). Μπορεί επίσης να είναι εξωτερικός διακομιστής αρχείων - FTP, SFTP, SCP.
- Μπορείτε να επιλέξετε αν θα διατηρήσετε ή θα διαγράψετε τοπικές αναφορές που παραμένουν στη συσκευή μετά τη μεταφορά.
Εάν είναι απαραίτητο, είναι δυνατό να επιταχυνθεί η δημιουργία αναφορών. Ας εξετάσουμε δύο τρόπους:
Κατά τη δημιουργία μιας αναφοράς, το FortiAnalyzer δημιουργεί γραφήματα από προμεταγλωττισμένα δεδομένα κρυφής μνήμης SQL γνωστά ως hcache. Εάν τα δεδομένα hcache δεν δημιουργούνται κατά την εκτέλεση της αναφοράς, το σύστημα πρέπει πρώτα να δημιουργήσει την hcache και στη συνέχεια να δημιουργήσει την αναφορά. Αυτό αυξάνει τον χρόνο δημιουργίας αναφοράς. Ωστόσο, εάν δεν ληφθούν νέα αρχεία καταγραφής για μια αναφορά, όταν η αναφορά αναδημιουργηθεί, ο χρόνος δημιουργίας της θα μειωθεί σημαντικά, καθώς τα δεδομένα hcache έχουν ήδη μεταγλωττιστεί.
Για να βελτιώσετε την απόδοση της δημιουργίας αναφορών, μπορείτε να ενεργοποιήσετε την αυτόματη δημιουργία hcache στις ρυθμίσεις αναφοράς. Σε αυτήν την περίπτωση, η hcache ενημερώνεται αυτόματα όταν φτάνουν νέα αρχεία καταγραφής. Ένα παράδειγμα ρύθμισης φαίνεται στο παρακάτω σχήμα.
Αυτή η διαδικασία χρησιμοποιεί μεγάλο αριθμό πόρων συστήματος (ειδικά για αναφορές που απαιτούν μεγάλο χρονικό διάστημα για τη συλλογή δεδομένων), επομένως, αφού την ενεργοποιήσετε, πρέπει να παρακολουθείτε την κατάσταση του FortiAnalyzer: εάν το φορτίο έχει αυξηθεί σημαντικά, εάν υπάρχει κρίσιμο κατανάλωση πόρων του συστήματος. Σε περίπτωση που το FortiAnalyzer δεν μπορεί να αντιμετωπίσει το φορτίο, είναι προτιμότερο να απενεργοποιήσετε αυτήν τη διαδικασία.
Θα πρέπει επίσης να σημειωθεί ότι η αυτόματη ενημέρωση των δεδομένων hcache είναι ενεργοποιημένη από προεπιλογή για προγραμματισμένες αναφορές.
Ο δεύτερος τρόπος για να επιταχυνθεί η δημιουργία αναφορών είναι η ομαδοποίηση:
Εάν δημιουργούνται οι ίδιες (ή παρόμοιες) αναφορές για διαφορετικές συσκευές FortiGate (ή άλλες Fortinet), μπορείτε να επιταχύνετε πολύ τη διαδικασία δημιουργίας ομαδοποιώντας τις. Η ομαδοποίηση αναφορών μπορεί να μειώσει τον αριθμό των πινάκων hcache και να επιταχύνει τους χρόνους αυτόματης αποθήκευσης στην προσωρινή μνήμη, με αποτέλεσμα την ταχύτερη δημιουργία αναφορών.
Στο παράδειγμα που φαίνεται στην παρακάτω εικόνα, οι αναφορές που περιέχουν τη συμβολοσειρά Security_Report στα ονόματά τους ομαδοποιούνται με την παράμετρο Device ID.
Το εκπαιδευτικό βίντεο παρουσιάζει το θεωρητικό υλικό που συζητήθηκε παραπάνω και επίσης συζητά τις πρακτικές πτυχές της εργασίας με αναφορές - από τη δημιουργία των δικών σας συνόλων δεδομένων και γραφημάτων, προτύπων και αναφορών έως τη ρύθμιση της αποστολής αναφορών στους διαχειριστές. Απολαύστε την παρακολούθηση!
Στο επόμενο μάθημα, θα εξετάσουμε διάφορες πτυχές της διαχείρισης του FortiAnalyzer, καθώς και του σχήματος αδειοδότησης του. Για να μην το χάσετε, εγγραφείτε στο δικό μας .
Μπορείτε επίσης να ακολουθήσετε τις ενημερώσεις σχετικά με τους ακόλουθους πόρους:
Πηγή: www.habr.com