Bonjour les amis! Sur nous avons appris les bases du travail avec les journaux sur FortiAnalyzer. Aujourd'hui, nous allons aller plus loin et examiner les principaux aspects du travail avec les rapports : ce que sont les rapports, en quoi ils consistent, comment vous pouvez modifier les rapports existants et en créer de nouveaux. Comme d'habitude, d'abord un peu de théorie, puis nous travaillerons avec des rapports en pratique. Sous la coupe, la partie théorique de la leçon est présentée, ainsi qu'une leçon vidéo qui comprend à la fois la théorie et la pratique.
L'objectif principal des rapports est de combiner de grandes quantités de données contenues dans les journaux et, en fonction des paramètres disponibles, de présenter toutes les informations reçues sous une forme lisible : sous forme de graphiques, de tableaux, de graphiques. La figure ci-dessous montre une liste de rapports préinstallés pour les appareils FortiGate (tous les rapports n'y rentrent pas, mais je pense que cette liste montre déjà que même hors de la boîte, vous pouvez créer de nombreux rapports intéressants et utiles).
Mais les rapports ne présentent que les informations demandées de manière lisible - ils ne contiennent aucune recommandation d'action ultérieure concernant les problèmes constatés.
Les principaux composants des rapports sont les graphiques. Chaque rapport se compose d'un ou plusieurs graphiques. Les graphiques déterminent quelles informations doivent être extraites des journaux et dans quel format elles doivent être présentées. Les ensembles de données sont responsables de l'extraction des informations - requêtes SELECT vers la base de données. C'est dans les ensembles de données que l'on détermine avec précision d'où et quel type d'information doit être extrait. Une fois que les données requises apparaissent à la suite de la demande, les paramètres de format (ou d'affichage) leur sont appliqués. De ce fait, les données obtenues sont consignées dans des tableaux, des graphiques ou des tableaux de divers types.
La requête SELECT utilise diverses commandes qui définissent les conditions pour que les informations soient récupérées. La chose la plus importante à considérer est que ces commandes doivent être appliquées dans un ordre spécifique, dans cet ordre elles sont listées ci-dessous :
FROM est la seule commande requise dans une requête SELECT. Il indique le type de journaux dont les informations doivent être extraites ;
WHERE - en utilisant cette commande, les conditions pour les journaux sont définies (par exemple, un nom spécifique de l'application / attaque / virus);
GROUP BY - cette commande vous permet de regrouper les informations par une ou plusieurs colonnes d'intérêt ;
ORDER BY - en utilisant cette commande, vous pouvez ordonner la sortie des informations par ligne ;
LIMIT - Limite le nombre d'enregistrements renvoyés par la requête.
FortiAnalyzer contient des modèles de rapport prédéfinis. Les modèles sont ce que l'on appelle la mise en page du rapport - ils contiennent le texte du rapport, ses graphiques et ses macros. À l'aide de modèles, vous pouvez créer de nouveaux rapports si des modifications minimes sont nécessaires aux rapports prédéfinis. Cependant, les rapports préinstallés ne peuvent pas être modifiés ou supprimés - vous pouvez les cloner et apporter les modifications nécessaires sur la copie. Il est également possible de créer vos propres modèles de rapport.
Parfois, vous pouvez rencontrer la situation suivante : un rapport prédéfini correspond à la tâche, mais pas complètement. Peut-être avez-vous besoin d'y ajouter des informations ou, au contraire, de les supprimer. Dans ce cas, il existe deux options : cloner et modifier le modèle, ou le rapport lui-même. Ici, vous devez compter sur plusieurs facteurs.
Les modèles sont une mise en page pour un rapport, ils contiennent des graphiques et du texte de rapport, rien de plus. Les rapports eux-mêmes, à leur tour, en plus de ce que l'on appelle la "mise en page", contiennent divers paramètres de rapport : langue, police, couleur du texte, période de génération, filtrage des informations, etc. Par conséquent, si vous devez uniquement apporter des modifications à la mise en page du rapport, vous pouvez utiliser des modèles. Si une configuration de rapport supplémentaire est nécessaire, vous pouvez modifier le rapport lui-même (plus précisément, une copie de celui-ci).
Sur la base de modèles, vous pouvez créer plusieurs rapports du même type, donc si vous devez faire beaucoup de rapports similaires les uns aux autres, il est préférable d'utiliser des modèles.
Dans le cas où les modèles et rapports préinstallés ne vous conviennent pas, vous pouvez créer à la fois un nouveau modèle et un nouveau rapport.
Toujours sur FortiAnalyzer, il est possible de configurer l'envoi de rapports aux administrateurs individuels par e-mail ou de les télécharger sur des serveurs externes. Cela se fait à l'aide du mécanisme de profil de sortie. Des profils de sortie distincts sont configurés dans chaque domaine administratif. Lors de la configuration d'un profil de sortie, les paramètres suivants sont définis :
- Formats des rapports envoyés - PDF, HTML, XML ou CSV ;
- L'emplacement où les rapports seront envoyés. Il peut s'agir de l'e-mail d'un administrateur (pour cela, vous devez lier FortiAnalyzer à un serveur de messagerie, nous en avons parlé dans la dernière leçon). Il peut également s'agir d'un serveur de fichiers externe - FTP, SFTP, SCP ;
- Vous pouvez choisir de conserver ou de supprimer les rapports locaux qui restent sur l'appareil après le transfert.
Si nécessaire, il est possible d'accélérer la génération des rapports. Considérons deux façons :
Lors de la génération d'un rapport, FortiAnalyzer construit des graphiques à partir de données de cache SQL précompilées appelées hcache. Si les données hcache ne sont pas créées lors de l'exécution du rapport, le système doit d'abord créer le hcache, puis générer le rapport. Cela augmente le temps de génération du rapport. Cependant, si de nouveaux journaux pour un rapport ne sont pas reçus, lorsque le rapport est régénéré, le temps nécessaire pour le générer sera considérablement réduit, car les données hcache ont déjà été compilées.
Pour améliorer les performances de la génération de rapports, vous pouvez activer la génération automatique de hcache dans les paramètres de rapport. Dans ce cas, hcache est automatiquement mis à jour lorsque de nouveaux journaux arrivent. Un exemple de réglage est illustré dans la figure ci-dessous.
Ce processus utilise une grande quantité de ressources système (en particulier pour les rapports qui nécessitent beaucoup de temps pour collecter des données), donc après l'avoir activé, vous devez surveiller l'état de FortiAnalyzer : si la charge a augmenté de manière significative, s'il y a un problème critique consommation de ressources système. Dans le cas où FortiAnalyzer ne peut pas faire face à la charge, il est préférable de désactiver ce processus.
Il convient également de noter que la mise à jour automatique des données hcache est activée par défaut pour les rapports planifiés.
La deuxième façon d'accélérer la génération de rapports consiste à regrouper :
Si des rapports identiques (ou similaires) sont générés pour différents appareils FortiGate (ou d'autres Fortinet), vous pouvez considérablement accélérer le processus de génération en les regroupant. Le regroupement des rapports peut réduire le nombre de tables hcache et accélérer les temps de mise en cache automatique, ce qui accélère la génération des rapports.
Dans l'exemple illustré dans la figure ci-dessous, les rapports contenant la chaîne Security_Report dans leurs noms sont regroupés par le paramètre Device ID.
Le didacticiel vidéo présente le matériel théorique discuté ci-dessus, ainsi que les aspects pratiques de l'utilisation des rapports - de la création de vos propres jeux de données et graphiques, modèles et rapports à la configuration de l'envoi de rapports aux administrateurs. Profitez de regarder!
Dans la prochaine leçon, nous examinerons divers aspects de l'administration de FortiAnalyzer, ainsi que son système de licence. Pour ne rien manquer, abonnez-vous à notre .
Vous pouvez également suivre les mises à jour sur les ressources suivantes :
Source: habr.com