Hei ystävät! Päällä opimme FortiAnalyzerin lokien kanssa työskentelyn perusteet. Tänään menemme pidemmälle ja tarkastelemme raporttien kanssa työskentelyn päänäkökohtia: mitä raportit ovat, mistä ne koostuvat, kuinka voit muokata olemassa olevia raportteja ja luoda uusia. Kuten tavallista, ensin vähän teoriaa ja sitten työstetään raportteja käytännössä. Leikkauksen alla esitetään oppitunnin teoreettinen osa sekä videotunti, joka sisältää sekä teorian että käytännön.
Raporttien päätarkoituksena on yhdistää suuria määriä lokien sisältämää tietoa ja esittää käytettävissä olevien asetusten perusteella kaikki vastaanotettu tieto luettavassa muodossa: kaavioina, taulukoina, kaavioina. Alla olevassa kuvassa on luettelo esiasennetuista raporteista FortiGate-laitteille (kaikki raportit eivät mahdu siihen, mutta mielestäni tämä luettelo osoittaa jo, että jopa alusta alkaen voit rakentaa paljon mielenkiintoisia ja hyödyllisiä raportteja).
Raportit kuitenkin esittävät vain pyydetyt tiedot luettavalla tavalla - ne eivät sisällä suosituksia jatkotoimenpiteistä havaittujen ongelmien kanssa.
Raporttien pääkomponentit ovat kaavioita. Jokainen raportti koostuu yhdestä tai useammasta kaaviosta. Kaaviot määrittelevät, mitä tietoa lokeista tulee poimia ja missä muodossa ne tulee esittää. Tietojoukot vastaavat tiedon poimimisesta - SELECT-kyselyt tietokantaan. Aineistoissa määritellään tarkasti, mistä ja millaista tietoa pitää poimia. Kun vaaditut tiedot tulevat näkyviin pyynnön seurauksena, niihin sovelletaan muoto- (tai näyttö-) asetuksia. Tuloksena saadut tiedot laaditaan erityyppisiksi taulukoiksi, kaavioiksi tai kaavioiksi.
SELECT-kysely käyttää erilaisia komentoja, jotka asettavat ehdot haettavaksi tiedolle. Tärkein huomioitava asia on, että nämä komennot on käytettävä tietyssä järjestyksessä, tässä järjestyksessä ne on lueteltu alla:
FROM on ainoa komento, joka vaaditaan SELECT-kyselyssä. Se osoittaa lokien tyypin, joista tiedot on poimittava;
WHERE - käyttämällä tätä komentoa lokien ehdot asetetaan (esimerkiksi sovelluksen / hyökkäyksen / viruksen tietty nimi);
GROUP BY - tämän komennon avulla voit ryhmitellä tiedot yhden tai useamman kiinnostavan sarakkeen mukaan;
ORDER BY - tällä komennolla voit järjestää tiedon tulostuksen rivikohtaisesti;
RAJA - Rajoittaa kyselyn palauttamien tietueiden määrää.
FortiAnalyzer sisältää ennalta määritettyjä raporttimalleja. Mallit ovat ns. raportin asettelu – ne sisältävät raportin tekstin, sen kaaviot ja makrot. Mallien avulla voit luoda uusia raportteja, jos vaaditaan vain vähän muutoksia ennalta määritettyihin. Esiasennettuja raportteja ei kuitenkaan voi muokata tai poistaa – voit kloonata ne ja tehdä tarvittavat muutokset kopioon. On myös mahdollista luoda omia raporttimalleja.
Joskus saatat kohdata seuraavan tilanteen: ennalta määritetty raportti sopii tehtävään, mutta ei täysin. Ehkä sinun täytyy lisätä siihen tietoja tai päinvastoin poistaa se. Tässä tapauksessa on kaksi vaihtoehtoa: kloonaa ja muuta mallia tai itse raporttia. Tässä sinun täytyy luottaa useisiin tekijöihin.
Mallit ovat raportin asettelua, ne sisältävät kaavioita ja raporttitekstiä, ei mitään muuta. Itse raportit puolestaan sisältävät ns. "layoutin" lisäksi erilaisia raporttiparametreja: kielen, fontin, tekstin värin, generointijakson, tiedon suodatuksen ja niin edelleen. Siksi, jos sinun tarvitsee tehdä muutoksia vain raportin asetteluun, voit käyttää malleja. Jos raportin lisämäärityksiä tarvitaan, voit muokata itse raporttia (tarkemmin sanottuna kopiota siitä).
Malleihin perustuen voit luoda useita samantyyppisiä raportteja, joten jos joudut tekemään paljon keskenään samankaltaisia raportteja, kannattaa käyttää malleja.
Jos esiasennetut mallit ja raportit eivät sovi sinulle, voit luoda sekä uuden mallin että uuden raportin.
Myös FortiAnalyzerissa on mahdollista konfiguroida raporttien lähettäminen yksittäisille ylläpitäjille sähköpostitse tai lähettää ne ulkoisille palvelimille. Tämä tehdään Output Profile -mekanismilla. Jokaiselle järjestelmänvalvojan toimialueelle määritetään erilliset lähtöprofiilit. Kun määrität lähtöprofiilia, määritetään seuraavat parametrit:
- Lähetettyjen raporttien muodot - PDF, HTML, XML tai CSV;
- Paikka, johon raportit lähetetään. Tämä voi olla järjestelmänvalvojan sähköposti (tätä varten sinun on liitettävä FortiAnalyzer sähköpostipalvelimeen, käsittelimme tätä viimeisellä oppitunnilla). Se voi olla myös ulkoinen tiedostopalvelin - FTP, SFTP, SCP;
- Voit valita, säilytetäänkö vai poistetaanko laitteeseen siirron jälkeen jääneet paikallisraportit.
Tarvittaessa on mahdollista nopeuttaa raporttien luomista. Harkitse kahta tapaa:
Raporttia luodessaan FortiAnalyzer rakentaa kaavioita esikäännetyistä SQL-välimuistitiedoista, jotka tunnetaan nimellä hcache. Jos hcache-tietoja ei luoda raporttia ajettaessa, järjestelmän on ensin luotava hcache ja sitten rakennettava raportti. Tämä pidentää raportin luontiaikaa. Jos raporttia varten ei kuitenkaan vastaanoteta uusia lokeja, kun raportti luodaan uudelleen, sen luomiseen kuluva aika lyhenee huomattavasti, koska hcache-tiedot on jo koottu.
Voit parantaa raporttien luomisen tehokkuutta ottamalla käyttöön automaattisen hcache-luonnin raporttiasetuksissa. Tässä tapauksessa hcache päivitetään automaattisesti uusien lokien saapuessa. Esimerkki asetuksesta on alla olevassa kuvassa.
Tämä prosessi käyttää paljon järjestelmäresursseja (etenkin raporteissa, jotka vaativat pitkän tiedon keräämisen), joten sen käynnistämisen jälkeen sinun on seurattava FortiAnalyzerin tilaa: onko kuormitus lisääntynyt merkittävästi, onko olemassa kriittistä järjestelmäresurssien kulutus. Jos FortiAnalyzer ei kestä kuormaa, on parempi poistaa tämä prosessi käytöstä.
On myös huomattava, että hcache-tietojen automaattinen päivitys on oletusarvoisesti käytössä ajoitetuissa raporteissa.
Toinen tapa nopeuttaa raporttien luomista on ryhmittely:
Jos samoja (tai vastaavia) raportteja luodaan eri FortiGate- (tai muille Fortinet-) laitteille, voit nopeuttaa luontiprosessia huomattavasti ryhmittelemällä ne. Raporttien ryhmittely voi vähentää hcache-taulukoiden määrää ja nopeuttaa automaattista välimuistia, mikä johtaa nopeampaan raporttien luomiseen.
Alla olevan kuvan esimerkissä raportit, jotka sisältävät merkkijonon Security_Report, on ryhmitelty Device ID -parametrin mukaan.
Opetusvideo esittelee edellä käsitellyn teoreettisen materiaalin sekä raporttien kanssa työskentelyn käytännön näkökohdat - omien tietojoukkojen ja kaavioiden, mallien ja raporttien luomisesta raporttien lähettämiseen järjestelmänvalvojille. Nauti katsomisesta!
Seuraavalla oppitunnilla tarkastelemme FortiAnalyzerin hallinnon eri puolia sekä sen lisenssijärjestelmää. Tilaa kanavamme, jotta et missaa sitä .
Voit myös seurata päivityksiä seuraavissa resursseissa:
Lähde: will.com