Groetnis, freonen! Op Wy learden de basis fan wurkjen mei logs op FortiAnalyzer. Hjoed sille wy fierder gean en sjogge nei de wichtichste aspekten fan it wurkjen mei rapporten: wat rapporten binne, wêrút besteane se, hoe't jo besteande rapporten kinne bewurkje en nije rapporten meitsje. Lykas gewoanlik earst in bytsje teory, en dan wurkje wy mei rapporten yn de praktyk. Under de besuniging is it teoretyske diel fan 'e les, lykas in fideo-les, dy't sawol teory as praktyk omfettet.
It haaddoel fan 'e rapporten is om grutte hoemannichten gegevens te kombinearjen yn' e logs en, basearre op 'e besteande ynstellingen, alle ynformaasje te presintearjen dy't ûntfongen is yn in lêsbere foarm: yn' e foarm fan grafiken, tabellen, diagrammen. De figuer hjirûnder lit in list mei foarôf ynstallearre rapporten foar FortiGate-apparaten sjen (net alle rapporten passe deryn, mar ik tink dat dizze list al sjen lit dat sels "út 'e doaze" kinne jo in protte nijsgjirrige en brûkbere rapporten bouwe).
Mar de rapporten jouwe allinich de frege ynformaasje yn in lêsbere foarm - se jouwe gjin oanbefellings oer wat te dwaan mei de fûn problemen.
De haadkomponinten fan rapporten binne diagrammen. Elk rapport bestiet út ien of mear diagrammen. Charts bepale hokker ynformaasje moat wurde ekstrahearre út de logs en yn hokker formaat it moat wurde presintearre. Datasets binne ferantwurdlik foar it ekstrahearjen fan ynformaasje - SELECT-fragen yn 'e databank. Yn de datasets wurdt krekt bepaald wêr en hokker ynformaasje helle wurde moat. Sadree't de fereaske gegevens ferskine as gefolch fan 'e query, wurde de opmaak (of werjefte) ynstellings derop tapast. As resultaat wurde de krigen gegevens presintearre yn tabellen, grafiken of diagrammen fan ferskate soarten.
In SELECT-query brûkt ferskate kommando's om betingsten yn te stellen foar de te heljen ynformaasje. It wichtichste ding om te beskôgjen is dat dizze kommando's moatte wurde brûkt yn in bepaalde folchoarder, yn dizze folchoarder wurde se hjirûnder jûn:
FROM is it ienige kommando dat nedich is yn in SELECT-fraach. It jout it type logs oan dêr't ynformaasje út helle wurde moat;
WHERE - mei dit kommando wurde betingsten oanjûn foar de logs (bygelyks in spesifike namme fan 'e applikaasje/oanfal/firus);
GROUP BY - dit kommando lit jo ynformaasje groepearje op ien of mear kolommen fan belang;
ORDER BY - mei dit kommando kinne jo de útfier fan ynformaasje bestelle troch rigels;
LIMIT - Beheint it oantal records weromjûn troch de query.
FortiAnalyzer komt mei foarôf definieare rapportaazjesjabloanen. Sjabloanen binne de saneamde rapportyndieling - se befetsje de tekst fan it rapport, har diagrammen en makro's. Mei sjabloanen kinne jo nije rapporten oanmeitsje as minimale wizigingen nedich binne foar de foarôf definieare. Foarynstallearre rapporten kinne lykwols net bewurke of wiske wurde - jo kinne se klone en de nedige wizigingen oanmeitsje oan 'e kopy. It is ek mooglik om jo eigen sjabloanen foar rapporten te meitsjen.
Soms kinne jo de folgjende situaasje tsjinkomme: in foarôf definieare rapport past by de taak, mar net folslein. Miskien moat der wat ynformaasje oan tafoege wurde, of oarsom, fuorthelle wurde. Yn dit gefal binne d'r twa opsjes: clone en feroarje it sjabloan, of it rapport sels. Hjir moatte jo fertrouwe op ferskate faktoaren.
Sjabloanen binne in opmaak foar in rapport, se befetsje charts en rapport tekst, neat mear. De rapporten sels befetsje op har beurt, neist de saneamde "yndieling" ferskate rapportparameters: taal, lettertype, tekstkleur, generaasjeperioade, ynformaasjefiltering, ensfh. Dêrom, as jo allinich wizigingen moatte meitsje oan 'e rapportyndieling, kinne jo sjabloanen brûke. As ekstra rapportkonfiguraasje nedich is, kinne jo it rapport sels bewurkje (of leaver, in kopy derfan).
Op grûn fan sjabloanen kinne jo ferskate rapporten fan itselde type oanmeitsje, dus as jo in protte rapporten meitsje moatte dy't op elkoar lykje, is it better om sjabloanen te brûken.
As de foarôf definieare sjabloanen en rapporten net by jo passe, kinne jo sawol in nij sjabloan as in nij rapport oanmeitsje.
It is ek mooglik om FortiAnalyzer te konfigurearjen om rapporten te stjoeren nei yndividuele behearders fia e-post of op te laden nei eksterne servers. Dit wurdt dien mei it útfierprofylmeganisme. Separate útfierprofilen wurde konfigureare yn elk bestjoerlik domein. By it konfigurearjen fan it útfierprofyl wurde de folgjende parameters definiearre:
- Ferstjoerde rapportformaten - PDF, HTML, XML of CSV;
- De lokaasje wêr't rapporten ferstjoerd wurde. Dit kin de e-post fan de behearder wêze (dêrfoar moatte jo FortiAnalyzer keppelje oan de e-posttsjinner, wy hawwe dit yn 'e lêste les behannele). It kin ek in eksterne triemtsjinner wêze - FTP, SFTP, SCP;
- Jo kinne opjaan wat jo moatte dwaan mei lokale rapporten dy't nei oerdracht op it apparaat bliuwe - litte se of wiskje.
As it nedich is, is it mooglik om rapportgeneraasje te rapperjen. Litte wy twa manieren beskôgje:
By it oanmeitsjen fan in rapport bout FortiAnalyzer diagrammen út foar kompilearre SQL-cachegegevens bekend as hcache. As de hcache-gegevens net oanmakke wurde as jo it rapport útfiere, moat it systeem earst de hcache oanmeitsje en dan it rapport bouwe. Dit fergruttet de tiid dy't it nimt om in rapport te generearjen. As nije logs foar it rapport lykwols net wurde ûntfongen, sil by it opnij generearjen fan it rapport de generaasjetiid signifikant fermindere wurde, om't de hcache-gegevens al gearstald binne.
Om de prestaasjes fan rapportgeneraasje te ferbetterjen, kinne jo automatyske oanmeitsjen fan hcache ynskeakelje yn 'e rapportynstellingen. Yn dit gefal wurdt hcache automatysk bywurke as nije logs oankomme. In foarbyld ynstelling wurdt werjûn yn de figuer hjirûnder.
Dit proses brûkt in grutte hoemannichte systeemboarnen (benammen foar rapporten dy't in lange tiid nedich binne om gegevens te sammeljen), dus nei it ynskeakeljen is it needsaaklik om de status fan FortiAnalyzer te kontrolearjen: oft de lading signifikant tanommen is, oft der in kritysk konsumpsje is fan systeem boarnen. As FortiAnalyzer de lading net kin omgean, is it better om dit proses út te skeakeljen.
It moat ek opmurken wurde dat automatyske hcache-gegevensferfarsking standert ynskeakele is foar plande rapporten.
De twadde manier om rapportgeneraasje te rapperjen is groepearjen:
As deselde (of ferlykbere) rapporten wurde oanmakke foar ferskate FortiGate-apparaten (of oare Fortinet-apparaten), kinne jo it proses fan it generearjen fan se signifikant fersnelle troch se te groepearjen. Groepearjen fan rapporten kinne it oantal hcache-tabellen ferminderje en automatyske cachingtiden fersnelle, wat resulteart yn rapper rapportgeneraasje.
Yn it foarbyld werjûn yn de ûndersteande figuer, rapporten waans titel befettet de tekenrige Security_Report wurde groepearre troch de Device ID parameter.
De fideo-tutorial presintearret it hjirboppe besprutsen teoretyske materiaal, en besprekt ek praktyske aspekten fan it wurkjen mei rapporten - fan it meitsjen fan jo eigen datasets en diagrammen, sjabloanen en rapporten oant it ynstellen fan it ferstjoeren fan rapporten nei behearders. Genietsje fan it sjen!
Yn 'e folgjende les sille wy ferskate aspekten fan FortiAnalyzer-administraasje sjen, lykas it fergunningskema. Om foar te kommen dat it misse, abonnearje op ús .
Jo kinne ek de updates folgje oer de folgjende boarnen:
Boarne: www.habr.com