Halo teman teman! Pada kami mempelajari dasar-dasar bekerja dengan log di FortiAnalyzer. Hari ini kita akan melangkah lebih jauh dan melihat aspek utama bekerja dengan laporan: apa itu laporan, terdiri dari apa, bagaimana Anda dapat mengedit laporan yang ada dan membuat yang baru. Seperti biasa, pertama sedikit teori, lalu kami akan mengerjakan laporan dalam praktik. Di bawah potongan, bagian teoretis dari pelajaran disajikan, serta pelajaran video yang mencakup teori dan praktik.
Tujuan utama laporan adalah untuk menggabungkan sejumlah besar data yang terkandung dalam log dan, berdasarkan pengaturan yang tersedia, menyajikan semua informasi yang diterima dalam bentuk yang dapat dibaca: dalam bentuk grafik, tabel, bagan. Gambar di bawah menunjukkan daftar laporan pra-instal untuk perangkat FortiGate (tidak semua laporan cocok di dalamnya, tapi menurut saya daftar ini sudah menunjukkan bahwa bahkan di luar kotak Anda dapat membuat banyak laporan yang menarik dan berguna).
Tetapi laporan tersebut hanya menyajikan informasi yang diminta dengan cara yang dapat dibaca - laporan tersebut tidak berisi rekomendasi untuk tindakan lebih lanjut terkait masalah yang ditemukan.
Komponen utama laporan adalah grafik. Setiap laporan terdiri dari satu atau lebih grafik. Bagan menentukan informasi apa yang harus diekstraksi dari log dan dalam format apa informasi itu harus disajikan. Kumpulan data bertanggung jawab untuk mengekstraksi informasi - kueri SELECT ke database. Dalam kumpulan data ditentukan dengan tepat dari mana dan jenis informasi apa yang perlu diekstraksi. Setelah data yang diperlukan muncul sebagai hasil permintaan, pengaturan format (atau tampilan) diterapkan padanya. Akibatnya, data yang diperoleh disusun dalam tabel, grafik atau bagan dari berbagai jenis.
Kueri SELECT menggunakan berbagai perintah yang menetapkan kondisi agar informasi dapat diambil. Hal yang paling penting untuk dipertimbangkan adalah bahwa perintah-perintah ini harus diterapkan dalam urutan tertentu, dalam urutan itu tercantum di bawah ini:
DARI adalah satu-satunya perintah yang diperlukan dalam kueri SELECT. Ini menunjukkan jenis log dari mana informasi harus diekstraksi;
DI MANA - menggunakan perintah ini, kondisi log ditetapkan (misalnya, nama spesifik aplikasi / serangan / virus);
GROUP BY - perintah ini memungkinkan Anda untuk mengelompokkan informasi menurut satu atau lebih kolom minat;
ORDER BY - menggunakan perintah ini, Anda dapat mengurutkan keluaran informasi per baris;
LIMIT - Membatasi jumlah rekaman yang dikembalikan oleh kueri.
FortiAnalyzer berisi templat laporan yang telah ditentukan sebelumnya. Templat adalah apa yang disebut tata letak laporan β berisi teks laporan, bagan, dan makronya. Dengan menggunakan template, Anda dapat membuat laporan baru jika diperlukan sedikit perubahan pada laporan yang telah ditentukan sebelumnya. Namun, laporan pra-instal tidak dapat diedit atau dihapus - Anda dapat menggandakannya dan membuat perubahan yang diperlukan pada salinannya. Dimungkinkan juga untuk membuat template laporan Anda sendiri.
Kadang-kadang Anda mungkin mengalami situasi berikut: laporan yang telah ditetapkan sesuai dengan tugas, tetapi tidak sepenuhnya. Mungkin Anda perlu menambahkan beberapa informasi ke dalamnya, atau sebaliknya, menghapusnya. Dalam hal ini, ada dua opsi: klon dan ubah template, atau laporan itu sendiri. Di sini Anda perlu mengandalkan beberapa faktor.
Templat adalah tata letak untuk laporan, berisi bagan dan teks laporan, tidak lebih. Laporan itu sendiri, pada gilirannya, selain yang disebut "tata letak", berisi berbagai parameter laporan: bahasa, font, warna teks, periode pembuatan, pemfilteran informasi, dan sebagainya. Oleh karena itu, jika Anda hanya perlu melakukan perubahan pada tata letak laporan, Anda dapat menggunakan template. Jika diperlukan konfigurasi laporan tambahan, Anda dapat mengedit laporan itu sendiri (lebih tepatnya, salinannya).
Berdasarkan template, Anda dapat membuat beberapa laporan dengan jenis yang sama, jadi jika Anda harus membuat banyak laporan yang mirip satu sama lain, lebih baik menggunakan template.
Jika template dan laporan pra-instal tidak cocok untuk Anda, Anda dapat membuat template baru dan laporan baru.
Juga di FortiAnalyzer, dimungkinkan untuk mengonfigurasi pengiriman laporan ke administrator individu melalui email atau mengunggahnya ke server eksternal. Ini dilakukan dengan menggunakan mekanisme Profil Keluaran. Profil Output Terpisah dikonfigurasi di setiap domain administratif. Saat mengonfigurasi Profil Keluaran, parameter berikut ditentukan:
- Format laporan terkirim - PDF, HTML, XML atau CSV;
- Lokasi di mana laporan akan dikirim. Ini bisa berupa email administrator (untuk ini, Anda perlu mengikat FortiAnalyzer ke server email, kami membahasnya di pelajaran terakhir). Itu juga bisa menjadi server file eksternal - FTP, SFTP, SCP;
- Anda dapat memilih untuk menyimpan atau menghapus laporan lokal yang tertinggal di perangkat setelah transfer.
Jika perlu, dimungkinkan untuk mempercepat pembuatan laporan. Mari pertimbangkan dua cara:
Saat membuat laporan, FortiAnalyzer membuat bagan dari data cache SQL yang telah dikompilasi yang dikenal sebagai hcache. Jika data hcache tidak dibuat saat laporan dijalankan, sistem harus terlebih dahulu membuat hcache lalu membuat laporan. Ini meningkatkan waktu pembuatan laporan. Namun, jika log baru untuk laporan tidak diterima, saat laporan dibuat ulang, waktu pembuatannya akan berkurang secara signifikan, karena data hcache telah dikompilasi.
Untuk meningkatkan performa pembuatan laporan, Anda dapat mengaktifkan pembuatan hcache otomatis di pengaturan laporan. Dalam hal ini, hcache diperbarui secara otomatis saat log baru tiba. Contoh pengaturan ditunjukkan pada gambar di bawah ini.
Proses ini menggunakan sumber daya sistem yang besar (terutama untuk laporan yang membutuhkan waktu lama untuk mengumpulkan data), jadi setelah menyalakannya, Anda perlu memantau status FortiAnalyzer: apakah beban meningkat secara signifikan, apakah ada yang kritis konsumsi sumber daya sistem. Jika FortiAnalyzer tidak dapat mengatasi beban, lebih baik nonaktifkan proses ini.
Perlu juga dicatat bahwa pembaruan otomatis data hcache diaktifkan secara default untuk laporan terjadwal.
Cara kedua untuk mempercepat pembuatan laporan adalah pengelompokan:
Jika laporan yang sama (atau serupa) dibuat untuk perangkat FortiGate (atau Fortinet lain) yang berbeda, Anda dapat sangat mempercepat proses pembuatan dengan mengelompokkannya. Mengelompokkan laporan dapat mengurangi jumlah tabel hcache dan mempercepat waktu caching otomatis, menghasilkan pembuatan laporan yang lebih cepat.
Pada contoh yang ditampilkan pada gambar di bawah, laporan yang berisi string Security_Report dalam namanya dikelompokkan berdasarkan parameter Device ID.
Video tutorial menyajikan materi teoretis yang dibahas di atas, serta aspek praktis bekerja dengan laporan - mulai dari membuat kumpulan data dan bagan, templat, dan laporan Anda sendiri hingga menyiapkan pengiriman laporan ke administrator. Selamat menonton!
Pada pelajaran selanjutnya, kita akan melihat berbagai aspek administrasi FortiAnalyzer, serta skema perizinannya. Agar tidak ketinggalan, berlangganan kami .
Anda juga dapat mengikuti pembaruan pada sumber daya berikut:
Sumber: www.habr.com