Pozdrav prijatelji! Na naučili smo osnove rada sa zapisnicima na FortiAnalyzeru. Danas ćemo ići dalje i pogledati glavne aspekte rada s izvješćima: što su izvješća, od čega se sastoje, kako možete uređivati postojeća izvješća i stvarati nova. Kao i obično, prvo malo teorije, a zatim ćemo raditi s izvješćima u praksi. Ispod presjeka je prikazan teorijski dio lekcije, kao i video lekcija koja uključuje teoriju i praksu.
Glavna svrha izvješća je objediniti velike količine podataka sadržanih u zapisnicima i na temelju dostupnih postavki prikazati sve primljene informacije u čitljivom obliku: u obliku grafikona, tablica, dijagrama. Slika u nastavku prikazuje popis unaprijed instaliranih izvješća za FortiGate uređaje (ne staju sva izvješća u njega, ali mislim da ovaj popis već pokazuje da čak i izvan okvira možete izgraditi mnogo zanimljivih i korisnih izvješća).
No izvješća samo prikazuju tražene informacije na čitljiv način – ne sadrže nikakve preporuke za daljnje postupanje s pronađenim problemima.
Glavne komponente izvješća su grafikoni. Svako izvješće sastoji se od jednog ili više grafikona. Grafikoni određuju koje informacije treba izdvojiti iz dnevnika iu kojem formatu trebaju biti prikazane. Skupovi podataka odgovorni su za izdvajanje informacija - SELECT upite prema bazi podataka. Upravo je u skupovima podataka točno određeno odakle i kakve informacije treba izvući. Nakon što se traženi podaci pojave kao rezultat zahtjeva, na njih se primjenjuju postavke formata (ili prikaza). Kao rezultat toga, dobiveni podaci se prikazuju u tablicama, grafikonima ili dijagramima različitih vrsta.
Upit SELECT koristi različite naredbe koje postavljaju uvjete za dohvaćanje informacija. Najvažnija stvar koju treba uzeti u obzir je da se ove naredbe moraju primijeniti određenim redoslijedom, tim redoslijedom su navedene u nastavku:
FROM je jedina naredba koja je potrebna u SELECT upitu. Označava vrstu dnevnika iz kojih se informacije moraju izvući;
WHERE - pomoću ove naredbe postavljaju se uvjeti za zapisnike (na primjer, određeni naziv aplikacije / napada / virusa);
GROUP BY - ova naredba vam omogućuje grupiranje informacija prema jednom ili više stupaca od interesa;
ORDER BY - pomoću ove naredbe možete naručiti izlaz informacija po liniji;
LIMIT - Ograničava broj zapisa koje vraća upit.
FortiAnalyzer sadrži unaprijed definirane predloške izvješća. Predlošci su takozvani izgled izvješća — sadrže tekst izvješća, njegove grafikone i makronaredbe. Korištenjem predložaka možete izraditi nova izvješća ako su potrebne minimalne izmjene unaprijed definiranih. Međutim, unaprijed instalirana izvješća nije moguće uređivati niti brisati - možete ih klonirati i izvršiti potrebne izmjene na kopiji. Također je moguće izraditi vlastite predloške izvješća.
Ponekad se možete susresti sa sljedećom situacijom: unaprijed definirano izvješće odgovara zadatku, ali ne u potpunosti. Možda ćete mu morati dodati neke informacije ili, obrnuto, ukloniti ga. U tom slučaju postoje dvije mogućnosti: klonirati i promijeniti predložak ili samo izvješće. Ovdje se morate osloniti na nekoliko čimbenika.
Predlošci su izgled za izvješće, sadrže grafikone i tekst izvješća, ništa više. Sama izvješća, pak, osim tzv. "izgleda", sadrže različite parametre izvješća: jezik, font, boju teksta, razdoblje generiranja, filtriranje informacija i tako dalje. Stoga, ako samo trebate promijeniti izgled izvješća, možete koristiti predloške. Ukoliko je potrebna dodatna konfiguracija izvješća, možete urediti samo izvješće (točnije njegovu kopiju).
Na temelju predložaka možete izraditi nekoliko izvještaja iste vrste, pa ako morate izraditi mnogo izvještaja sličnih jedan drugome, onda je poželjno koristiti predloške.
U slučaju da vam unaprijed instalirani predlošci i izvješća ne odgovaraju, možete izraditi i novi predložak i novo izvješće.
Također na FortiAnalyzeru moguće je konfigurirati slanje izvješća pojedinačnim administratorima e-poštom ili njihovo učitavanje na vanjske poslužitelje. To se radi pomoću mehanizma izlaznog profila. Odvojeni izlazni profili konfigurirani su u svakoj administrativnoj domeni. Prilikom konfiguriranja izlaznog profila definiraju se sljedeći parametri:
- Formati poslanih izvješća - PDF, HTML, XML ili CSV;
- Mjesto na koje će se izvješća slati. To može biti e-pošta administratora (za ovo morate povezati FortiAnalyzer s poslužiteljem e-pošte, o tome smo govorili u prošloj lekciji). Može biti i vanjski poslužitelj datoteka - FTP, SFTP, SCP;
- Možete odabrati želite li zadržati ili izbrisati lokalna izvješća koja su ostala na uređaju nakon prijenosa.
Po potrebi moguće je ubrzati generiranje izvješća. Razmotrimo dva načina:
Prilikom generiranja izvješća, FortiAnalyzer gradi grafikone iz unaprijed kompajliranih podataka SQL predmemorije poznatih kao hcache. Ako se hcache podaci ne kreiraju kada se izvješće pokrene, sustav prvo mora stvoriti hcache, a zatim sastaviti izvješće. Time se produžuje vrijeme generiranja izvješća. Međutim, ako novi dnevnici za izvješće nisu primljeni, kada se izvješće ponovno generira, vrijeme za njegovo generiranje značajno će se smanjiti, budući da su hcache podaci već sastavljeni.
Kako biste poboljšali izvedbu generiranja izvješća, možete omogućiti automatsko generiranje hcache memorije u postavkama izvješća. U ovom slučaju, hcache se automatski ažurira kada stignu novi dnevnici. Primjer podešavanja prikazan je na slici ispod.
Ovaj proces koristi veliku količinu resursa sustava (osobito za izvješća koja zahtijevaju dugo vremena za prikupljanje podataka), pa nakon uključivanja morate pratiti status FortiAnalyzera: je li opterećenje značajno poraslo, postoji li kritična potrošnja resursa sustava. U slučaju da se FortiAnalyzer ne može nositi s opterećenjem, bolje je onemogućiti ovaj proces.
Također treba napomenuti da je automatsko ažuriranje hcache podataka omogućeno prema zadanim postavkama za zakazana izvješća.
Drugi način da se ubrza generiranje izvješća je grupiranje:
Ako se ista (ili slična) izvješća generiraju za različite FortiGate (ili druge Fortinet) uređaje, možete znatno ubrzati proces generiranja njihovim grupiranjem. Grupiranje izvješća može smanjiti broj hcache tablica i ubrzati vrijeme automatskog spremanja u predmemoriju, što rezultira bržim generiranjem izvješća.
U primjeru prikazanom na donjoj slici, izvješća koja u nazivu sadrže niz Security_Report grupirana su prema parametru ID uređaja.
Video vodič predstavlja teorijski materijal o kojem je gore bilo riječi, kao i praktične aspekte rada s izvješćima - od stvaranja vlastitih skupova podataka i grafikona, predložaka i izvješća do postavljanja slanja izvješća administratorima. Uživajte u gledanju!
U sljedećoj lekciji pogledat ćemo različite aspekte administracije FortiAnalyzera, kao i njegovu shemu licenciranja. Kako ga ne biste propustili, pretplatite se na naš .
Također možete pratiti ažuriranja na sljedećim resursima:
Izvor: www.habr.com