Ciao amici! SU abbiamo appreso le basi per lavorare con i log su FortiAnalyzer. Oggi andremo oltre e esamineremo gli aspetti principali del lavoro con i report: cosa sono i report, in cosa consistono, come è possibile modificare i report esistenti e crearne di nuovi. Come al solito, prima un po' di teoria e poi lavoreremo con i rapporti nella pratica. Sotto il taglio viene presentata la parte teorica della lezione, oltre a una video lezione che include sia teoria che pratica.
Lo scopo principale dei report è quello di combinare grandi quantità di dati contenuti nei log e, in base alle impostazioni disponibili, presentare tutte le informazioni ricevute in forma leggibile: sotto forma di grafici, tabelle, diagrammi. La figura seguente mostra un elenco di report preinstallati per i dispositivi FortiGate (non tutti i report ci stanno, ma penso che questo elenco mostri già che anche fuori dagli schemi è possibile creare molti report interessanti e utili).
Ma i rapporti presentano solo le informazioni richieste in modo leggibile - non contengono alcuna raccomandazione per ulteriori azioni con i problemi riscontrati.
I componenti principali dei report sono i grafici. Ogni report è costituito da uno o più grafici. I grafici determinano quali informazioni devono essere estratte dai registri e in quale formato devono essere presentate. I set di dati sono responsabili dell'estrazione delle informazioni: query SELECT al database. È nei set di dati che viene determinato con precisione da dove e che tipo di informazioni devono essere estratte. Dopo che i dati richiesti vengono visualizzati come risultato della richiesta, vengono applicate le impostazioni di formato (o visualizzazione). Di conseguenza, i dati ottenuti vengono elaborati in tabelle, grafici o diagrammi di vario tipo.
La query SELECT utilizza vari comandi che impostano le condizioni per il recupero delle informazioni. La cosa più importante da considerare è che questi comandi devono essere applicati in un ordine specifico, in tale ordine sono elencati di seguito:
FROM è l'unico comando richiesto in una query SELECT. Indica il tipo di log da cui devono essere estratte le informazioni;
WHERE - utilizzando questo comando, vengono impostate le condizioni per i log (ad esempio, un nome specifico dell'applicazione / attacco / virus);
GROUP BY - questo comando permette di raggruppare le informazioni per una o più colonne di interesse;
ORDER BY - utilizzando questo comando, è possibile ordinare l'output delle informazioni per riga;
LIMIT - Limita il numero di record restituiti dalla query.
FortiAnalyzer contiene modelli di report predefiniti. I modelli sono il cosiddetto layout del report: contengono il testo del report, i suoi grafici e le macro. Utilizzando i modelli, puoi creare nuovi report se sono necessarie modifiche minime a quelli predefiniti. Tuttavia, i report preinstallati non possono essere modificati o eliminati: puoi clonarli e apportare le modifiche necessarie alla copia. È anche possibile creare i propri modelli di rapporto.
A volte potresti incontrare la seguente situazione: un rapporto predefinito si adatta all'attività, ma non completamente. Forse è necessario aggiungere alcune informazioni o, al contrario, rimuoverle. In questo caso, ci sono due opzioni: clonare e modificare il modello o il report stesso. Qui devi fare affidamento su diversi fattori.
I modelli sono un layout per un report, contengono grafici e testo del report, niente di più. I report stessi, a loro volta, oltre al cosiddetto “layout”, contengono vari parametri del report: lingua, font, colore del testo, periodo di generazione, filtraggio delle informazioni e così via. Pertanto, se è necessario solo apportare modifiche al layout del report, è possibile utilizzare i modelli. Se è necessaria un'ulteriore configurazione del report, è possibile modificare il report stesso (più precisamente, una sua copia).
Sulla base dei modelli, puoi creare diversi report dello stesso tipo, quindi se devi creare molti report simili tra loro, è preferibile utilizzare i modelli.
Nel caso in cui i modelli e i report preinstallati non siano adatti a te, puoi creare sia un nuovo modello che un nuovo report.
Sempre su FortiAnalyzer è possibile configurare l'invio di report ai singoli amministratori via e-mail o il loro caricamento su server esterni. Questo viene fatto utilizzando il meccanismo del profilo di output. In ogni dominio amministrativo sono configurati profili di output separati. Quando si configura un profilo di output, vengono definiti i seguenti parametri:
- Formati dei report inviati: PDF, HTML, XML o CSV;
- La posizione in cui verranno inviati i rapporti. Questa può essere l'e-mail di un amministratore (per questo, è necessario associare FortiAnalyzer a un server di posta, ne abbiamo parlato nell'ultima lezione). Può anche essere un file server esterno - FTP, SFTP, SCP;
- Puoi scegliere se conservare o eliminare i rapporti locali che rimangono sul dispositivo dopo il trasferimento.
Se necessario, è possibile velocizzare la generazione dei report. Consideriamo due modi:
Durante la generazione di un report, FortiAnalyzer crea grafici dai dati della cache SQL precompilati noti come hcache. Se i dati hcache non vengono creati durante l'esecuzione del report, il sistema deve prima creare hcache e quindi creare il report. Ciò aumenta il tempo di generazione del rapporto. Tuttavia, se non vengono ricevuti nuovi log per un report, quando il report viene rigenerato, il tempo per generarlo sarà notevolmente ridotto, poiché i dati hcache sono già stati compilati.
Per migliorare le prestazioni della generazione dei report, puoi abilitare la generazione automatica di hcache nelle impostazioni dei report. In questo caso, hcache viene aggiornato automaticamente quando arrivano nuovi log. Un esempio di impostazione è mostrato nella figura sottostante.
Questo processo utilizza una grande quantità di risorse di sistema (soprattutto per i report che richiedono molto tempo per raccogliere i dati), quindi dopo averlo attivato, è necessario monitorare lo stato di FortiAnalyzer: se il carico è aumentato in modo significativo, se è presente un errore critico consumo di risorse di sistema. Nel caso in cui FortiAnalyzer non riesca a far fronte al carico, è meglio disabilitare questo processo.
Si noti inoltre che l'aggiornamento automatico dei dati hcache è abilitato di default per i report pianificati.
Il secondo modo per velocizzare la generazione dei report è il raggruppamento:
Se vengono generati gli stessi report (o simili) per diversi dispositivi FortiGate (o altri Fortinet), puoi velocizzare notevolmente il processo di generazione raggruppandoli. Il raggruppamento dei report può ridurre il numero di tabelle hcache e accelerare i tempi di memorizzazione automatica nella cache, con conseguente generazione più rapida dei report.
Nell'esempio mostrato nella figura seguente, i report che contengono la stringa Security_Report nei loro nomi sono raggruppati in base al parametro Device ID.
Il tutorial video presenta il materiale teorico discusso in precedenza, nonché gli aspetti pratici dell'utilizzo dei report, dalla creazione di set di dati e grafici, modelli e report personalizzati all'impostazione dell'invio di report agli amministratori. Divertiti a guardare!
Nella prossima lezione, esamineremo vari aspetti dell'amministrazione di FortiAnalyzer, nonché il suo schema di licenza. Per non perderlo, iscriviti al ns .
Puoi anche seguire gli aggiornamenti sulle seguenti risorse:
Fonte: habr.com