سلام دوستان! بر ما اصول کار با لاگ ها را در FortiAnalyzer یاد گرفتیم. امروز ما جلوتر خواهیم رفت و جنبه های اصلی کار با گزارش ها را بررسی خواهیم کرد: گزارش ها چیست، از چه چیزی تشکیل شده است، چگونه می توانید گزارش های موجود را ویرایش کنید و گزارش های جدید ایجاد کنید. طبق معمول ابتدا کمی تئوری و سپس در عمل با گزارش کار خواهیم کرد. در زیر برش، بخش تئوری درس و همچنین یک درس ویدیویی که شامل تئوری و عملی است ارائه می شود.
هدف اصلی گزارش ها این است که حجم زیادی از داده های موجود در گزارش ها را ترکیب کرده و بر اساس تنظیمات موجود، تمام اطلاعات دریافت شده را به صورت خوانا ارائه کند: در قالب نمودارها، جداول، نمودارها. شکل زیر لیستی از گزارشهای از پیش نصب شده برای دستگاههای فورتیگیت را نشان میدهد (همه گزارشها در آن جا نمیشوند، اما فکر میکنم این فهرست از قبل نشان میدهد که حتی در خارج از جعبه میتوانید گزارشهای جالب و مفید زیادی بسازید).
اما گزارشها فقط اطلاعات درخواستی را به روشی خوانا ارائه میکنند - آنها حاوی هیچ توصیهای برای اقدام بیشتر با مشکلات یافت شده نیستند.
اجزای اصلی گزارش ها نمودارها هستند. هر گزارش از یک یا چند نمودار تشکیل شده است. نمودارها تعیین می کنند که چه اطلاعاتی باید از لاگ ها استخراج شود و در چه قالبی ارائه شود. مجموعه داده ها مسئول استخراج اطلاعات هستند - پرس و جوهای SELECT در پایگاه داده. در مجموعه داده ها است که دقیقاً مشخص می شود که از کجا و چه نوع اطلاعاتی باید استخراج شود. پس از ظاهر شدن داده های مورد نیاز در نتیجه درخواست، تنظیمات قالب (یا نمایش) روی آنها اعمال می شود. در نتیجه، دادههای بهدستآمده در جداول، نمودارها یا نمودارهایی از انواع مختلف ترسیم میشوند.
کوئری SELECT از دستورات مختلفی استفاده می کند که شرایطی را برای بازیابی اطلاعات تعیین می کند. مهمترین چیزی که باید در نظر بگیرید این است که این دستورات باید به ترتیب خاصی اعمال شوند، به ترتیبی که در زیر فهرست شده اند:
FROM تنها دستوری است که در پرس و جوی SELECT مورد نیاز است. نشان دهنده نوع گزارش هایی است که اطلاعات باید از آنها استخراج شود.
WHERE - با استفاده از این دستور، شرایط لاگ ها تنظیم می شود (به عنوان مثال، نام خاصی از برنامه / حمله / ویروس).
GROUP BY - این دستور به شما امکان می دهد اطلاعات را بر اساس یک یا چند ستون مورد علاقه گروه بندی کنید.
ORDER BY - با استفاده از این دستور می توانید خروجی اطلاعات را به خط سفارش دهید.
LIMIT - تعداد رکوردهای برگردانده شده توسط پرس و جو را محدود می کند.
FortiAnalyzer شامل الگوهای گزارش از پیش تعریف شده است. الگوها به اصطلاح طرح گزارش هستند - آنها حاوی متن گزارش، نمودارها و ماکروهای آن هستند. با استفاده از قالبها، میتوانید گزارشهای جدیدی ایجاد کنید، در صورتی که حداقل تغییرات در موارد از پیش تعریف شده لازم باشد. با این حال، گزارش های از پیش نصب شده را نمی توان ویرایش یا حذف کرد - می توانید آنها را شبیه سازی کنید و تغییرات لازم را در نسخه ایجاد کنید. همچنین این امکان وجود دارد که الگوهای گزارش خود را ایجاد کنید.
گاهی اوقات ممکن است با وضعیت زیر روبرو شوید: یک گزارش از پیش تعریف شده متناسب با کار است، اما نه به طور کامل. شاید لازم باشد اطلاعاتی را به آن اضافه کنید، یا برعکس، آن را حذف کنید. در این مورد، دو گزینه وجود دارد: کلون کردن و تغییر الگو، یا خود گزارش. در اینجا باید بر چندین عامل تکیه کنید.
الگوها طرحی برای یک گزارش هستند، آنها حاوی نمودارها و متن گزارش هستند، نه چیزی بیشتر. خود گزارش ها نیز به نوبه خود، علاوه بر به اصطلاح "طرح بندی"، حاوی پارامترهای گزارش مختلفی هستند: زبان، فونت، رنگ متن، دوره تولید، فیلتر اطلاعات و غیره. بنابراین، اگر فقط نیاز به ایجاد تغییرات در طرح گزارش دارید، می توانید از الگوها استفاده کنید. در صورت نیاز به پیکربندی گزارش اضافی، می توانید خود گزارش را ویرایش کنید (به طور دقیق تر، یک کپی از آن).
بر اساس قالب ها، می توانید چندین گزارش از یک نوع ایجاد کنید، بنابراین اگر مجبورید تعداد زیادی گزارش مشابه یکدیگر تهیه کنید، بهتر است از قالب ها استفاده کنید.
در صورتی که قالب ها و گزارش های از پیش نصب شده برای شما مناسب نباشد، می توانید هم یک قالب جدید و هم یک گزارش جدید ایجاد کنید.
همچنین در FortiAnalyzer امکان پیکربندی ارسال گزارش به مدیران فردی از طریق ایمیل یا آپلود آنها در سرورهای خارجی وجود دارد. این کار با استفاده از مکانیزم Output Profile انجام می شود. نمایه های خروجی جداگانه در هر دامنه مدیریتی پیکربندی می شوند. هنگام پیکربندی یک نمایه خروجی، پارامترهای زیر تعریف می شوند:
- فرمت های گزارش های ارسالی - PDF، HTML، XML یا CSV.
- محل ارسال گزارش ها این می تواند ایمیل یک مدیر باشد (برای این کار، شما باید FortiAnalyzer را به یک سرور ایمیل متصل کنید، ما در درس گذشته به این موضوع پرداختیم). همچنین می تواند یک سرور فایل خارجی باشد - FTP، SFTP، SCP.
- میتوانید انتخاب کنید که گزارشهای محلی که پس از انتقال در دستگاه باقی میمانند، حفظ یا حذف شوند.
در صورت لزوم می توان سرعت تولید گزارش ها را افزایش داد. بیایید دو راه را در نظر بگیریم:
هنگام تولید یک گزارش، FortiAnalyzer نمودارهایی را از داده های کش SQL از پیش کامپایل شده به نام hcache می سازد. اگر هنگام اجرای گزارش، داده های hcache ایجاد نشدند، سیستم باید ابتدا hcache را ایجاد کند و سپس گزارش را بسازد. این باعث افزایش زمان تولید گزارش می شود. با این حال، اگر گزارش های جدید برای یک گزارش دریافت نشود، زمانی که گزارش دوباره تولید می شود، زمان تولید آن به طور قابل توجهی کاهش می یابد، زیرا داده های hcache قبلاً کامپایل شده اند.
برای بهبود عملکرد تولید گزارش، می توانید تولید خودکار hcache را در تنظیمات گزارش فعال کنید. در این حالت، hcache به طور خودکار با ورود لاگ های جدید به روز می شود. نمونه ای از تنظیمات در شکل زیر نشان داده شده است.
این فرآیند از مقدار زیادی از منابع سیستم استفاده می کند (مخصوصاً برای گزارش هایی که جمع آوری داده ها به زمان طولانی نیاز دارد) ، بنابراین پس از روشن کردن آن ، باید وضعیت FortiAnalyzer را نظارت کنید: آیا بار به میزان قابل توجهی افزایش یافته است یا خیر مصرف منابع سیستم اگر FortiAnalyzer نمی تواند با بارگذاری مقابله کند، بهتر است این فرآیند را غیرفعال کنید.
همچنین لازم به ذکر است که به روز رسانی خودکار داده های hcache به طور پیش فرض برای گزارش های زمان بندی شده فعال است.
راه دوم برای تسریع در تولید گزارش، گروه بندی است:
اگر گزارشهای مشابه (یا مشابه) برای دستگاههای مختلف FortiGate (یا سایر Fortinet) تولید میشود، میتوانید با گروهبندی آنها، روند تولید را تا حد زیادی سرعت بخشید. گروهبندی گزارشها میتواند تعداد جداول hcache را کاهش دهد و زمانهای ذخیره خودکار را سرعت بخشد و در نتیجه تولید گزارش سریعتر را به همراه داشته باشد.
در مثالی که در شکل زیر نشان داده شده است، گزارش هایی که شامل رشته Security_Report در نام خود هستند با پارامتر Device ID گروه بندی می شوند.
این آموزش ویدیویی مطالب نظری مورد بحث در بالا را ارائه میکند و همچنین جنبههای عملی کار با گزارشها را مورد بحث قرار میدهد - از ایجاد مجموعه دادهها و نمودارها، الگوها و گزارشها تا تنظیم ارسال گزارشها به مدیران. از تماشاکردن لذت ببرید!
در درس بعدی، به جنبه های مختلف مدیریت FortiAnalyzer و همچنین طرح مجوز آن خواهیم پرداخت. برای اینکه آن را از دست ندهید، در ما مشترک شوید .
همچنین می توانید به روز رسانی ها را در منابع زیر دنبال کنید:
منبع: www.habr.com