Ola amigos! Activado aprendemos os conceptos básicos de traballar con rexistros en FortiAnalyzer. Hoxe imos máis alá e analizaremos os principais aspectos do traballo cos informes: que son os informes, en que consisten, como pode editar os informes existentes e crear outros novos. Como é habitual, primeiro un pouco de teoría, e despois traballaremos con informes na práctica. Baixo o corte preséntase a parte teórica da lección, así como unha videolección que inclúe tanto a teoría como a práctica.
O obxectivo principal dos informes é combinar grandes cantidades de datos contidos nos rexistros e, en función das configuracións dispoñibles, presentar toda a información recibida de forma lexible: en forma de gráficos, táboas, gráficos. A seguinte figura mostra unha lista de informes preinstalados para os dispositivos FortiGate (non todos os informes caben nela, pero creo que esta lista xa amosa que, incluso fóra da caixa, podes crear moitos informes interesantes e útiles).
Pero os informes só presentan a información solicitada de forma lexible: non conteñen ningunha recomendación para seguir actuando cos problemas atopados.
Os principais compoñentes dos informes son os gráficos. Cada informe consta dun ou máis gráficos. Os gráficos determinan que información se debe extraer dos rexistros e en que formato debe presentarse. Os conxuntos de datos encárganse de extraer información - SELECT consultas á base de datos. É nos conxuntos de datos onde se determina con precisión de onde e que tipo de información hai que extraer. Despois de que os datos necesarios aparezan como resultado da solicitude, aplícanselles a configuración de formato (ou visualización). Como resultado, os datos obtidos son elaborados en táboas, gráficos ou cadros de diversa índole.
A consulta SELECT usa varios comandos que establecen as condicións para que a información se recupere. O máis importante a ter en conta é que estes comandos deben aplicarse nunha orde específica, por esa orde están listados a continuación:
FROM é o único comando que se require nunha consulta SELECT. Indica o tipo de rexistros dos que se debe extraer a información;
ONDE: usando este comando, establécense as condicións para os rexistros (por exemplo, un nome específico da aplicación / ataque / virus);
GROUP BY: este comando permítelle agrupar a información por unha ou máis columnas de interese;
ORDER BY - usando este comando, pode ordenar a saída da información por liña;
LIMIT - Limita o número de rexistros devoltos pola consulta.
FortiAnalyzer contén modelos de informes predefinidos. Os modelos son o chamado deseño de informe: conteñen o texto do informe, os seus gráficos e macros. Usando modelos, pode crear novos informes se son necesarios cambios mínimos nos predefinidos. Non obstante, os informes preinstalados non se poden editar nin eliminar; pode clonalos e facer os cambios necesarios na copia. Tamén é posible crear os seus propios modelos de informes.
Ás veces podes atoparte coa seguinte situación: un informe predefinido encaixa na tarefa, pero non completamente. Quizais necesites engadirlle algunha información ou, pola contra, eliminala. Neste caso, hai dúas opcións: clonar e cambiar o modelo, ou o propio informe. Aquí cómpre confiar en varios factores.
Os modelos son un deseño para un informe, conteñen gráficos e texto do informe, nada máis. Os propios informes, á súa vez, ademais do denominado “diseño”, conteñen varios parámetros do informe: idioma, tipo de letra, cor do texto, período de xeración, filtrado de información, etc. Polo tanto, se só precisa facer cambios no deseño do informe, pode utilizar modelos. Se se precisa unha configuración adicional do informe, pode editar o propio informe (máis precisamente, unha copia do mesmo).
A partir de modelos, podes crear varios informes do mesmo tipo, polo que se tes que facer moitos informes similares entre si, é preferible utilizar modelos.
Se os modelos e informes preinstalados non che convén, podes crear un novo modelo e un novo informe.
Tamén en FortiAnalyzer, é posible configurar o envío de informes a administradores individuais por correo electrónico ou cargalos a servidores externos. Isto faise mediante o mecanismo do perfil de saída. Os perfís de saída están configurados en cada dominio administrativo. Ao configurar un perfil de saída, defínense os seguintes parámetros:
- Formatos dos informes enviados: PDF, HTML, XML ou CSV;
- Lugar onde se enviarán os informes. Este pode ser o correo electrónico dun administrador (para iso, cómpre vincular FortiAnalyzer a un servidor de correo, comentamos isto na última lección). Tamén pode ser un servidor de ficheiros externo: FTP, SFTP, SCP;
- Podes escoller se queres conservar ou eliminar os informes locais que quedan no dispositivo despois da transferencia.
Se é necesario, é posible acelerar a xeración de informes. Consideremos dúas formas:
Ao xerar un informe, FortiAnalyzer crea gráficos a partir de datos de caché SQL precompilados coñecidos como hcache. Se os datos hcache non se crean cando se executa o informe, o sistema debe primeiro crear o hcache e despois crear o informe. Isto aumenta o tempo de xeración de informes. Non obstante, se non se reciben novos rexistros para un informe, cando o informe se rexenere, o tempo para xeralo reducirase significativamente, xa que os datos da hcache xa foron compilados.
Para mellorar o rendemento da xeración de informes, pode activar a xeración automática de hcache na configuración do informe. Neste caso, hcache actualízase automaticamente cando chegan novos rexistros. Na seguinte figura móstrase un exemplo de configuración.
Este proceso usa unha gran cantidade de recursos do sistema (especialmente para informes que requiren moito tempo para recoller datos), polo que despois de acendelo, cómpre supervisar o estado de FortiAnalyzer: se a carga aumentou significativamente, se hai un problema crítico. consumo de recursos do sistema. No caso de que FortiAnalyzer non poida soportar a carga, é mellor desactivar este proceso.
Tamén hai que ter en conta que a actualización automática dos datos da hcache está activada por defecto para os informes programados.
A segunda forma de acelerar a xeración de informes é agrupar:
Se se xeran os mesmos informes (ou similares) para diferentes dispositivos FortiGate (ou outros Fortinet), podes acelerar moito o proceso de xeración agrupándoos. A agrupación de informes pode reducir o número de táboas hcache e acelerar os tempos de almacenamento automático en caché, o que resulta nunha xeración de informes máis rápida.
No exemplo que se mostra na figura seguinte, os informes que conteñen a cadea Security_Report nos seus nomes agrúpanse polo parámetro Device ID.
O vídeo titorial presenta o material teórico comentado anteriormente e tamén se analizan os aspectos prácticos de traballar con informes, desde a creación dos seus propios conxuntos de datos e gráficos, modelos e informes ata configurar o envío de informes aos administradores. Disfruta vendo!
Na seguinte lección, analizaremos varios aspectos da administración de FortiAnalyzer, así como o seu esquema de licenzas. Para non perdértelo, subscríbete ao noso .
Tamén podes seguir as actualizacións dos seguintes recursos:
Fonte: www.habr.com