¡Hola amigos! En aprendimos los conceptos básicos para trabajar con registros en FortiAnalyzer. Hoy iremos más allá y veremos los aspectos principales del trabajo con informes: qué son los informes, en qué consisten, cómo puede editar los informes existentes y crear otros nuevos. Como siempre, primero un poco de teoría, y luego trabajaremos con informes en la práctica. Debajo del corte, se presenta la parte teórica de la lección, así como una lección en video que incluye teoría y práctica.
El objetivo principal de los informes es combinar grandes cantidades de datos contenidos en los registros y, según la configuración disponible, presentar toda la información recibida en forma legible: en forma de gráficos, tablas, tablas. La siguiente figura muestra una lista de informes preinstalados para dispositivos FortiGate (no todos los informes caben en ella, pero creo que esta lista ya muestra que, incluso fuera de la caja, puede crear muchos informes interesantes y útiles).
Pero los informes solo presentan la información solicitada de manera legible; no contienen ninguna recomendación para acciones adicionales con los problemas encontrados.
Los componentes principales de los informes son los gráficos. Cada informe consta de uno o más gráficos. Los gráficos determinan qué información debe extraerse de los registros y en qué formato debe presentarse. Los conjuntos de datos son responsables de extraer información: consultas SELECT a la base de datos. Es en los conjuntos de datos donde se determina con precisión de dónde y qué tipo de información se debe extraer. Una vez que aparecen los datos requeridos como resultado de la solicitud, se les aplica la configuración de formato (o visualización). En consecuencia, los datos obtenidos se plasman en tablas, gráficos o cuadros de diversa índole.
La consulta SELECT utiliza varios comandos que establecen condiciones para que se recupere la información. Lo más importante a considerar es que estos comandos se deben aplicar en un orden específico, en ese orden se enumeran a continuación:
FROM es el único comando que se requiere en una consulta SELECT. Indica el tipo de logs de los cuales se debe extraer la información;
DONDE: con este comando, se establecen las condiciones para los registros (por ejemplo, un nombre específico de la aplicación/ataque/virus);
GROUP BY - este comando le permite agrupar información por una o más columnas de interés;
ORDENAR POR: con este comando, puede ordenar la salida de información por línea;
LIMIT: limita el número de registros devueltos por la consulta.
FortiAnalyzer contiene plantillas de informes predefinidas. Las plantillas son el llamado diseño de informe: contienen el texto del informe, sus gráficos y macros. Usando plantillas, puede crear nuevos informes si se requieren cambios mínimos a los predefinidos. Sin embargo, los informes preinstalados no se pueden editar ni eliminar; puede clonarlos y realizar los cambios necesarios en la copia. También es posible crear sus propias plantillas de informes.
A veces puede encontrarse con la siguiente situación: un informe predefinido se ajusta a la tarea, pero no completamente. Quizás necesite agregarle información o, por el contrario, eliminarla. En este caso, hay dos opciones: clonar y cambiar la plantilla, o el propio informe. Aquí debe confiar en varios factores.
Las plantillas son un diseño para un informe, contienen gráficos y texto de informe, nada más. Los propios informes, a su vez, además del llamado "diseño", contienen varios parámetros del informe: idioma, fuente, color del texto, período de generación, filtrado de información, etc. Por lo tanto, si solo necesita realizar cambios en el diseño del informe, puede utilizar plantillas. Si se necesita una configuración adicional del informe, puede editar el propio informe (más precisamente, una copia del mismo).
Basado en plantillas, puede crear varios informes del mismo tipo, por lo que si tiene que hacer muchos informes similares entre sí, entonces es preferible usar plantillas.
En el caso de que las plantillas e informes preinstalados no le convengan, puede crear tanto una nueva plantilla como un nuevo informe.
También en FortiAnalyzer, es posible configurar el envío de informes a administradores individuales por correo electrónico o cargarlos en servidores externos. Esto se hace usando el mecanismo de perfil de salida. Se configuran perfiles de salida separados en cada dominio administrativo. Al configurar un perfil de salida, se definen los siguientes parámetros:
- Formatos de informes enviados - PDF, HTML, XML o CSV;
- La ubicación donde se enviarán los informes. Este puede ser el correo electrónico de un administrador (para esto, debe vincular FortiAnalyzer a un servidor de correo, cubrimos esto en la última lección). También puede ser un servidor de archivos externo: FTP, SFTP, SCP;
- Puede elegir si desea conservar o eliminar los informes locales que quedan en el dispositivo después de la transferencia.
Si es necesario, es posible acelerar la generación de informes. Consideremos dos formas:
Al generar un informe, FortiAnalyzer crea gráficos a partir de datos de caché de SQL precompilados conocidos como hcache. Si los datos de hcache no se crean cuando se ejecuta el informe, el sistema primero debe crear hcache y luego generar el informe. Esto aumenta el tiempo de generación de informes. Sin embargo, si no se reciben nuevos registros para un informe, cuando se vuelve a generar el informe, el tiempo para generarlo se reducirá significativamente, ya que los datos de hcache ya se han compilado.
Para mejorar el rendimiento de la generación de informes, puede habilitar la generación automática de hcache en la configuración del informe. En este caso, hcache se actualiza automáticamente cuando llegan nuevos registros. En la siguiente figura se muestra un ejemplo de configuración.
Este proceso utiliza una gran cantidad de recursos del sistema (especialmente para los informes que requieren mucho tiempo para recopilar datos), por lo que después de encenderlo, debe monitorear el estado de FortiAnalyzer: si la carga ha aumentado significativamente, si hay un problema crítico consumo de recursos del sistema. En caso de que FortiAnalyzer no pueda hacer frente a la carga, es mejor desactivar este proceso.
También se debe tener en cuenta que la actualización automática de los datos de hcache está habilitada de forma predeterminada para los informes programados.
La segunda forma de acelerar la generación de informes es agrupar:
Si se generan los mismos informes (o similares) para diferentes dispositivos FortiGate (u otros Fortinet), puede acelerar considerablemente el proceso de generación agrupándolos. La agrupación de informes puede reducir la cantidad de tablas de hcache y acelerar los tiempos de almacenamiento automático en caché, lo que da como resultado una generación de informes más rápida.
En el ejemplo que se muestra en la figura a continuación, los informes que contienen la cadena Security_Report en sus nombres se agrupan por el parámetro ID del dispositivo.
El videotutorial presenta el material teórico discutido anteriormente, así como los aspectos prácticos del trabajo con informes, desde la creación de sus propios conjuntos de datos y gráficos, plantillas e informes hasta la configuración del envío de informes a los administradores. ¡Disfruto ver!
En la próxima lección, veremos varios aspectos de la administración de FortiAnalyzer, así como su esquema de licencias. Para no perdértela, suscríbete a nuestro .
También puede seguir las actualizaciones en los siguientes recursos:
Fuente: habr.com