Hello barátok! Tovább megtanultuk a naplókkal való munka alapjait a FortiAnalyzeren. Ma tovább megyünk, és megvizsgáljuk a jelentésekkel való munka fő szempontjait: mik a jelentések, miből állnak, hogyan szerkesztheti a meglévő jelentéseket és hogyan hozhat létre újakat. Szokás szerint először egy kis elmélet, majd a gyakorlatban dolgozunk a jelentésekkel. A vágás alatt bemutatásra kerül az óra elméleti része, valamint egy videóóra, amely elméletet és gyakorlatot egyaránt tartalmaz.
A riportok fő célja, hogy a naplókban található nagy mennyiségű adatot egyesítsék, és a rendelkezésre álló beállítások alapján minden kapott információt olvasható formában mutassanak be: grafikonok, táblázatok, diagramok formájában. Az alábbi ábrán a FortiGate eszközök előre telepített riportjainak listája látható (nem minden jelentés fér bele, de szerintem ebből a listából már látszik, hogy már a dobozból is sok érdekes és hasznos jelentést lehet készíteni).
De a jelentések csak a kért információkat közölnek olvashatóan – nem tartalmaznak javaslatot a talált problémákkal kapcsolatos további intézkedésekre.
A jelentések fő összetevői a diagramok. Minden jelentés egy vagy több diagramból áll. A diagramok határozzák meg, hogy milyen információkat kell kinyerni a naplókból, és milyen formátumban kell azokat bemutatni. Az adatkészletek felelősek az információk kinyeréséért - SELECT lekérdezések az adatbázisba. Az adatkészletekben van pontosan meghatározva, hogy honnan és milyen információkat kell kinyerni. Miután a kérés eredményeként a szükséges adatok megjelennek, a formátum (vagy megjelenítési) beállítások alkalmazásra kerülnek rájuk. Ennek eredményeként a kapott adatokat különböző típusú táblázatokba, grafikonokba vagy diagramokba foglalják.
A SELECT lekérdezés különféle parancsokat használ, amelyek beállítják a lekérendő információk feltételeit. A legfontosabb dolog, amit figyelembe kell venni, hogy ezeket a parancsokat meghatározott sorrendben kell alkalmazni, ebben a sorrendben az alábbiakban találhatók:
A FROM az egyetlen parancs, amely szükséges a SELECT lekérdezéshez. Jelzi a naplók típusát, amelyekből információkat kell kinyerni;
WHERE - ezzel a paranccsal beállítják a naplók feltételeit (például az alkalmazás / támadás / vírus konkrét neve);
GROUP BY - ez a parancs lehetővé teszi az információk csoportosítását egy vagy több érdekes oszlop szerint;
ORDER BY - ezzel a paranccsal soronként rendezheti az információ kimenetét;
LIMIT – Korlátozza a lekérdezés által visszaadott rekordok számát.
A FortiAnalyzer előre meghatározott jelentéssablonokat tartalmaz. A sablonok az úgynevezett jelentés-elrendezés – a jelentés szövegét, diagramjait és makróit tartalmazzák. A sablonok segítségével új jelentéseket hozhat létre, ha minimális változtatásra van szükség az előre meghatározottakon. Az előre telepített jelentések azonban nem szerkeszthetők vagy törölhetők – klónozhatja őket, és elvégezheti a szükséges módosításokat a másolaton. Lehetőség van saját jelentéssablonok létrehozására is.
Néha a következő helyzettel találkozhat: egy előre meghatározott jelentés megfelel a feladatnak, de nem teljesen. Talán hozzá kell adnia néhány információt, vagy fordítva, el kell távolítania. Ebben az esetben két lehetőség van: klónozni és módosítani a sablont, vagy magát a jelentést. Itt több tényezőre kell támaszkodnia.
A sablonok egy jelentés elrendezését jelentik, diagramokat és jelentésszöveget tartalmaznak, semmi mást. Maguk a riportok pedig az úgynevezett „elrendezésen” kívül különféle jelentésparamétereket tartalmaznak: nyelv, betűtípus, szövegszín, generálási időszak, információszűrés stb. Ezért, ha csak a jelentés elrendezését kell módosítania, használhat sablonokat. Ha további jelentéskonfigurációra van szükség, szerkesztheti magát a jelentést (pontosabban annak másolatát).
A sablonok alapján több azonos típusú riport is készíthető, így ha sok egymáshoz hasonló jelentést kell készítenie, akkor célszerű sablonokat használni.
Abban az esetben, ha az előre telepített sablonok és jelentések nem felelnek meg Önnek, létrehozhat új sablont és új jelentést is.
A FortiAnalyzeren is lehetőség van a jelentések e-mailben történő elküldésére vagy külső szerverekre történő feltöltésére. Ez az Output Profile mechanizmus segítségével történik. Minden adminisztrációs tartományban külön kimeneti profilok vannak beállítva. Kimeneti profil konfigurálásakor a következő paramétereket kell megadni:
- Az elküldött jelentések formátumai - PDF, HTML, XML vagy CSV;
- Az a hely, ahová a jelentéseket küldik. Ez lehet egy rendszergazda e-mailje (ehhez a FortiAnalyzer-t egy levelezőszerverhez kell kötni, erről az utolsó leckében írtunk). Külső fájlszerver is lehet - FTP, SFTP, SCP;
- Kiválaszthatja, hogy az átvitel után az eszközön maradt helyi jelentéseket megtartja vagy törölje.
Szükség esetén lehetőség van a jelentések generálásának felgyorsítására. Tekintsünk két módot:
Jelentés generálásakor a FortiAnalyzer a hcache néven ismert, előre lefordított SQL-gyorsítótár-adatokból diagramokat készít. Ha a hcache adatok nem jönnek létre a jelentés futtatásakor, akkor a rendszernek először létre kell hoznia a hcache-t, majd létre kell hoznia a jelentést. Ez megnöveli a jelentéskészítési időt. Ha azonban egy jelentéshez nem érkeznek új naplók, akkor a jelentés újragenerálásakor a generálás ideje jelentősen lecsökken, mivel a hcache adatok már össze vannak állítva.
A jelentéskészítés teljesítményének javítása érdekében engedélyezheti az automatikus hcache generálást a jelentésbeállításokban. Ebben az esetben a hcache automatikusan frissül, amikor új naplók érkeznek. A beállítás példája az alábbi ábrán látható.
Ez a folyamat nagy mennyiségű rendszererőforrást használ fel (különösen a hosszú adatgyűjtési időt igénylő riportoknál), ezért bekapcsolása után figyelni kell a FortiAnalyzer állapotát: nem nőtt-e jelentősen a terhelés, van-e kritikus rendszer erőforrások felhasználása. Abban az esetben, ha a FortiAnalyzer nem tud megbirkózni a terheléssel, jobb, ha letiltja ezt a folyamatot.
Azt is meg kell jegyezni, hogy a hcache adatok automatikus frissítése alapértelmezés szerint engedélyezve van az ütemezett jelentéseknél.
A jelentéskészítés felgyorsításának második módja a csoportosítás:
Ha ugyanazokat (vagy hasonló) jelentéseket generálják különböző FortiGate (vagy más Fortinet) eszközökhöz, nagyban felgyorsíthatja a generálási folyamatot, ha csoportosítja őket. A jelentések csoportosítása csökkentheti a hcache táblák számát és felgyorsíthatja az automatikus gyorsítótárazási időt, ami gyorsabb jelentéskészítést eredményez.
Az alábbi ábrán látható példában a Security_Report karakterláncot tartalmazó jelentések az Eszközazonosító paraméter szerint vannak csoportosítva.
Az oktatóvideó bemutatja a fent tárgyalt elméleti anyagot, valamint a jelentésekkel való munka gyakorlati szempontjait – a saját adatkészletek és diagramok, sablonok és jelentések létrehozásától a jelentések rendszergazdáknak történő elküldéséig. Jó szórakozást!
A következő leckében a FortiAnalyzer adminisztrációjának különböző aspektusait, valamint az engedélyezési rendszerét tekintjük át. Hogy ne maradjon le, iratkozzon fel oldalunkra .
A frissítéseket a következő forrásokon is követheti:
Forrás: will.com