Tere, sõbrad! Peal õppisime FortiAnalyzeris logidega töötamise põhitõdesid. Täna läheme kaugemale ja vaatame aruannetega töötamise põhiaspekte: mis on aruanded, millest need koosnevad, kuidas saate olemasolevaid aruandeid redigeerida ja uusi luua. Nagu tavaliselt, kõigepealt natuke teooriat ja seejärel töötame aruannetega praktikas. Lõike all on ära toodud tunni teoreetiline osa ning videotund, mis sisaldab nii teooriat kui praktikat.
Aruannete põhieesmärk on ühendada logides sisalduvad suured andmemahud ning olemasolevate seadistuste põhjal esitada kogu saadud info loetaval kujul: graafikute, tabelite, diagrammide kujul. Alloleval joonisel on FortiGate'i seadmete eelinstallitud aruannete loend (kõik aruanded sinna ei mahu, kuid minu arvates näitab see loend juba ära, et isegi karbist välja võttes saate koostada palju huvitavaid ja kasulikke aruandeid).
Kuid aruannetes esitatakse ainult loetav teave – need ei sisalda soovitusi leitud probleemidega edasiseks tegutsemiseks.
Aruannete põhikomponendid on diagrammid. Iga aruanne koosneb ühest või mitmest diagrammist. Diagrammid määravad kindlaks, milline teave tuleks logidest välja võtta ja millises vormingus seda esitada. Andmekogumid vastutavad teabe väljavõtmise eest – SELECT päringud andmebaasi. Just andmekogumites on täpselt määratud, kust ja millist infot on vaja ammutada. Pärast seda, kui päringu tulemusel kuvatakse nõutud andmed, rakendatakse neile vormingu (või kuvamise) sätted. Selle tulemusena koostatakse saadud andmed erinevat tüüpi tabelite, graafikute või diagrammidena.
SELECT-päring kasutab erinevaid käske, mis seavad tingimused allalaaditava teabe jaoks. Kõige olulisem on arvestada, et neid käske tuleb rakendada kindlas järjekorras, selles järjekorras on need loetletud allpool:
FROM on ainus käsk, mida SELECT päringus nõutakse. See näitab logide tüüpi, millest teavet tuleb hankida;
WHERE - selle käsu abil määratakse logide tingimused (näiteks rakenduse / rünnaku / viiruse konkreetne nimi);
GROUP BY - see käsk võimaldab rühmitada teavet ühe või mitme huvipakkuva veeru järgi;
ORDER BY - selle käsu abil saate järjestada teabe väljundi ridade kaupa;
LIMIT – piirab päringuga tagastatavate kirjete arvu.
FortiAnalyzer sisaldab eelmääratletud aruandemalle. Mallid on nn aruande paigutus — need sisaldavad aruande teksti, selle diagramme ja makrosid. Mallide abil saate luua uusi aruandeid, kui eelmääratletud aruandeid on vaja minimaalselt muuta. Eelinstallitud aruandeid ei saa aga muuta ega kustutada – saate need kloonida ja teha koopias vajalikud muudatused. Samuti on võimalik luua oma aruandemalle.
Mõnikord võib tekkida järgmine olukord: eelmääratletud aruanne sobib ülesandega, kuid mitte täielikult. Võib-olla peate sellele lisama teavet või vastupidi, eemaldama selle. Sel juhul on kaks võimalust: kloonida ja muuta malli või aruannet ennast. Siin peate tuginema mitmele tegurile.
Mallid on aruande paigutus, need sisaldavad diagramme ja aruande teksti, ei midagi muud. Aruanded ise omakorda sisaldavad lisaks nn “paigutusele” erinevaid aruande parameetreid: keel, font, teksti värv, genereerimisperiood, info filtreerimine jne. Seega, kui teil on vaja teha muudatusi ainult aruande paigutuses, saate kasutada malle. Kui on vaja täiendavat aruande konfigureerimist, saate redigeerida aruannet ennast (täpsemalt selle koopiat).
Mallide põhjal saab koostada mitu sama tüüpi aruannet, seega kui tuleb teha palju üksteisega sarnaseid aruandeid, siis eelistatakse kasutada malle.
Juhul, kui eelinstallitud mallid ja aruanded teile ei sobi, saate luua nii uue malli kui ka uue aruande.
Ka FortiAnalyzeris on võimalik konfigureerida aruannete saatmist üksikutele administraatoritele e-posti teel või üles laadida välistesse serveritesse. Seda tehakse väljundprofiili mehhanismi abil. Igas haldusdomeenis on konfigureeritud eraldi väljundprofiilid. Väljundprofiili konfigureerimisel määratletakse järgmised parameetrid.
- Saadetud aruannete vormingud - PDF, HTML, XML või CSV;
- Koht, kuhu aruanded saadetakse. See võib olla administraatori meil (selleks peate FortiAnalyzeri meiliserveriga siduma, me käsitlesime seda viimases õppetükis). See võib olla ka väline failiserver - FTP, SFTP, SCP;
- Saate valida, kas pärast teisaldamist seadmesse jäänud kohalikud aruanded alles jätta või kustutada.
Vajadusel on võimalik aruannete genereerimist kiirendada. Vaatleme kahte võimalust:
Aruande loomisel koostab FortiAnalyzer diagramme eelkompileeritud SQL-i vahemälu andmetest, mida tuntakse kui hcache. Kui aruande käivitamisel hcache andmeid ei looda, peab süsteem esmalt looma hcache ja seejärel koostama aruande. See pikendab aruande genereerimise aega. Kui aga aruande jaoks uusi logisid vastu ei võeta, väheneb aruande taasloomisel selle genereerimise aeg oluliselt, kuna hcache andmed on juba koostatud.
Aruande genereerimise toimivuse parandamiseks saate aruande seadetes lubada automaatse hcache genereerimise. Sel juhul värskendatakse hcache'i uute logide saabumisel automaatselt. Seadistamise näide on näidatud alloleval joonisel.
See protsess kasutab palju süsteemiressursse (eriti aruannete puhul, mis nõuavad pikka aega andmete kogumiseks), nii et pärast selle sisselülitamist peate jälgima FortiAnalyzeri olekut: kas koormus on oluliselt suurenenud, kas on kriitiline süsteemi ressursside tarbimine. Kui FortiAnalyzer ei saa koormusega hakkama, on parem see protsess keelata.
Samuti tuleb märkida, et ajastatud aruannete puhul on hcache andmete automaatne värskendamine vaikimisi lubatud.
Teine viis aruannete loomise kiirendamiseks on rühmitamine.
Kui samu (või sarnaseid) aruandeid genereeritakse erinevate FortiGate'i (või muude Fortineti) seadmete jaoks, saate genereerimisprotsessi oluliselt kiirendada, rühmitades need. Aruannete rühmitamine võib vähendada hcache-tabelite arvu ja kiirendada automaatset vahemällu salvestamise aega, mille tulemuseks on kiirem aruannete genereerimine.
Alloleval joonisel kujutatud näites on aruanded, mille nimed sisaldavad stringi Security_Report, rühmitatud parameetri Seadme ID järgi.
Videoõpetus tutvustab ülalpool käsitletud teoreetilist materjali ning aruannetega töötamise praktilisi aspekte – alates oma andmekogumite ja diagrammide, mallide ja aruannete loomisest kuni administraatoritele aruannete saatmise seadistamiseni. Nautige vaatamist!
Järgmises õppetükis vaatleme FortiAnalyzeri halduse erinevaid aspekte ja ka selle litsentsimisskeemi. Et sellest mitte ilma jääda, tellige meie leht .
Samuti saate jälgida järgmiste ressursside värskendusi.
Allikas: www.habr.com