Saluton, amikoj! On ni lernis la bazojn pri laboro kun protokoloj sur FortiAnalyzer. Hodiaŭ ni iros plu kaj rigardos la ĉefajn aspektojn de laboro kun raportoj: kio raportoj estas, el kio ili konsistas, kiel vi povas redakti ekzistantajn raportojn kaj krei novajn. Kiel kutime, unue iom da teorio, kaj poste ni laboros kun raportoj en la praktiko. Sub la tranĉo, la teoria parto de la leciono estas prezentita, same kiel videoleciono kiu inkluzivas kaj teorion kaj praktikon.
La ĉefa celo de la raportoj estas kombini grandajn kvantojn da datumoj enhavitaj en la protokoloj kaj, surbaze de la disponeblaj agordoj, prezenti ĉiujn ricevitajn informojn en legebla formo: en formo de grafikaĵoj, tabeloj, diagramoj. La suba figuro montras liston de antaŭinstalitaj raportoj por FortiGate-aparatoj (ne ĉiuj raportoj taŭgas en ĝi, sed mi pensas, ke ĉi tiu listo jam montras, ke eĉ el la skatolo vi povas konstrui multajn interesajn kaj utilajn raportojn).
Sed la raportoj prezentas nur la petitajn informojn en legebla maniero - ili ne enhavas rekomendojn por plua agado kun la trovitaj problemoj.
La ĉefaj komponantoj de raportoj estas diagramoj. Ĉiu raporto konsistas el unu aŭ pluraj diagramoj. Furorlisto determinas kiajn informojn oni devas ĉerpi el la protokoloj kaj en kia formato ĝi devas esti prezentita. Datumaroj respondecas pri eltiro de informoj - SELECT demandojn al la datumbazo. Ĝuste en datumaroj ĝi estas precize determinita de kie kaj kiaj informoj devas esti eltiritaj. Post kiam la postulataj datumoj aperas kiel rezulto de la peto, la formato (aŭ ekrano) agordoj estas aplikataj al ili. Kiel rezulto, la datumoj akiritaj estas desegnitaj en tabeloj, grafikaĵoj aŭ grafikaĵoj de diversaj specoj.
La SELECT-demando uzas diversajn komandojn, kiuj starigas kondiĉojn por la informoj por esti prenitaj. La plej grava afero por konsideri estas, ke ĉi tiuj komandoj devas esti aplikataj en specifa ordo, en tiu ordo ili estas listigitaj sube:
FROM estas la sola komando bezonata en SELECT-demando. Ĝi indikas la tipon de protokoloj el kiuj informoj devas esti eltiritaj;
KIE - uzante ĉi tiun komandon, la kondiĉoj por la protokoloj estas fiksitaj (ekzemple, specifa nomo de la aplikaĵo / atako / viruso);
GROUP BY - ĉi tiu komando permesas grupigi informojn laŭ unu aŭ pluraj interesaj kolumnoj;
ORDER BY - uzante ĉi tiun komandon, vi povas ordigi la eligon de informoj laŭ linio;
LIMIT - Limigas la nombron da registroj redonitaj de la demando.
FortiAnalyzer enhavas antaŭdifinitajn raportŝablonojn. Ŝablonoj estas la tiel nomata raporta aranĝo — ili enhavas la tekston de la raporto, ĝiajn diagramojn kaj makroojn. Uzante ŝablonojn, vi povas krei novajn raportojn se necesas minimumaj ŝanĝoj al la antaŭdifinitaj. Tamen antaŭinstalitaj raportoj ne povas esti redaktitaj aŭ forigitaj - vi povas kloni ilin kaj fari la necesajn ŝanĝojn sur la kopio. Eblas ankaŭ krei viajn proprajn raportŝablonojn.
Kelkfoje vi povas renkonti la jenan situacion: antaŭdifinita raporto konvenas al la tasko, sed ne tute. Eble vi devas aldoni iun informon al ĝi, aŭ, male, forigi ĝin. En ĉi tiu kazo, estas du opcioj: kloni kaj ŝanĝi la ŝablonon, aŭ la raporton mem. Ĉi tie vi devas fidi plurajn faktorojn.
Ŝablonoj estas aranĝo por raporto, ili enhavas diagramojn kaj raporttekston, nenio pli. La raportoj mem, siavice, krom la tiel nomata "aranĝo", enhavas diversajn raportajn parametrojn: lingvo, tiparo, tekstokoloro, generada periodo, informa filtrado ktp. Tial, se vi nur bezonas ŝanĝi la raportan aranĝon, vi povas uzi ŝablonojn. Se necesas plia raportagordo, vi povas redakti la raporton mem (pli precize kopion de ĝi).
Surbaze de ŝablonoj, vi povas krei plurajn samtipajn raportojn, do se vi devas fari multajn raportojn similajn unu al la alia, tiam estas preferinde uzi ŝablonojn.
En la okazo, ke la antaŭinstalitaj ŝablonoj kaj raportoj ne konvenas al vi, vi povas krei kaj novan ŝablonon kaj novan raporton.
Ankaŭ ĉe FortiAnalyzer, eblas agordi sendi raportojn al individuaj administrantoj per retpoŝto aŭ alŝuti ilin al eksteraj serviloj. Ĉi tio estas farita per la mekanismo de Eligo Profilo. Apartaj Eligo-Profiloj estas agorditaj en ĉiu administra domajno. Dum agordado de Eligo-Profilo, la sekvaj parametroj estas difinitaj:
- Formatoj de senditaj raportoj - PDF, HTML, XML aŭ CSV;
- La loko kie la raportoj estos senditaj. Ĉi tio povas esti retpoŝto de administranto (por tio, vi devas ligi FortiAnalyzer al poŝtservilo, ni pritraktis tion en la lasta leciono). Ĝi ankaŭ povas esti ekstera dosierservilo - FTP, SFTP, SCP;
- Vi povas elekti ĉu konservi aŭ forigi lokajn raportojn, kiuj restas sur la aparato post la translokigo.
Se necese, eblas akceli la generadon de raportoj. Ni konsideru du manierojn:
Generante raporton, FortiAnalyzer konstruas diagramojn de antaŭkompilitaj SQL-kaŝmemordatenoj konataj kiel hcache. Se la hcache-datumoj ne estas kreitaj kiam la raporto estas rulita, la sistemo unue devas krei la hcache kaj poste konstrui la raporton. Ĉi tio pliigas la tempon de generado de raportoj. Tamen, se novaj protokoloj por raporto ne estas ricevitaj, kiam la raporto estas regenerita, la tempo por generi ĝin estos signife reduktita, ĉar la hcache-datumoj jam estis kompilitaj.
Por plibonigi la agadon de generado de raportoj, vi povas ebligi aŭtomatan generadon de hcache en la raportaj agordoj. En ĉi tiu kazo, hcache estas aŭtomate ĝisdatigita kiam novaj protokoloj alvenas. Ekzemplo de agordo estas montrita en la suba figuro.
Ĉi tiu procezo uzas grandan kvanton da sistemaj rimedoj (precipe por raportoj, kiuj postulas longan tempon por kolekti datumojn), do post ŝalti ĝin, vi devas kontroli la staton de FortiAnalyzer: ĉu la ŝarĝo signife pliiĝis, ĉu estas kritika. konsumo de sistemaj rimedoj. Se FortiAnalyzer ne povas elteni la ŝarĝon, estas pli bone malŝalti ĉi tiun procezon.
Oni devas ankaŭ rimarki, ke aŭtomata ĝisdatigo de hcache-datumoj estas ebligita defaŭlte por planitaj raportoj.
La dua maniero por akceli generadon de raportoj estas grupigo:
Se la samaj (aŭ similaj) raportoj estas generitaj por malsamaj FortiGate (aŭ aliaj Fortinet) aparatoj, vi povas multe akceli la generan procezon grupigante ilin. Grupigaj raportoj povas redukti la nombron da hcache-tabeloj kaj akceli aŭtomatajn kaŝmemortempojn, rezultigante pli rapidan generadon de raportoj.
En la ekzemplo montrita en la suba figuro, raportoj, kiuj enhavas la ĉenon Security_Report en siaj nomoj, estas grupigitaj per la parametro Device ID.
La videolernilo prezentas la teorian materialon diskutitan supre, same kiel la praktikajn aspektojn de laboro kun raportoj - de kreado de viaj propraj datumaroj kaj diagramoj, ŝablonoj kaj raportoj ĝis agordo de sendo de raportoj al administrantoj. Ĝuu rigardante!
En la sekva leciono, ni rigardos diversajn aspektojn de FortiAnalyzer-administrado, same kiel ĝian licencadskemon. Por ne maltrafi ĝin, abonu nian .
Vi ankaŭ povas sekvi la ĝisdatigojn pri la jenaj rimedoj:
fonto: www.habr.com