4.FortiAnalyzer 入門 v6.4。 レポートの操作

皆さん、こんにちは！ の上 最後の授業 FortiAnalyzer でログを操作する基本を学びました。 今日はさらに進んで、レポートの操作の主な側面、つまりレポートとは何か、レポートの構成要素、既存のレポートを編集して新しいレポートを作成する方法について見ていきます。 いつものように、最初に少し理論を説明してから、実際にレポートを操作していきます。 カットの下には、レッスンの理論的な部分と、理論と実践の両方を含むビデオ レッスンが表示されます。

レポートの主な目的は、ログに含まれる大量のデータを結合し、利用可能な設定に基づいて、受信したすべての情報を読みやすい形式 (グラフ、表、チャートの形式) で表示することです。 以下の図は、FortiGate デバイスのプリインストールされたレポートのリストを示しています (すべてのレポートがこのリストに収まるわけではありませんが、このリストは、すぐに使用しても多くの興味深い便利なレポートを作成できることをすでに示していると思います)。

しかし、レポートは要求された情報を読みやすい方法で提示するだけであり、見つかった問題に対するさらなるアクションに関する推奨事項は含まれていません。

レポートの主なコンポーネントはグラフです。 各レポートは XNUMX つ以上のグラフで構成されます。 グラフは、ログからどのような情報を抽出する必要があるか、またそれをどのような形式で表示する必要があるかを決定します。 データセットは情報の抽出、つまりデータベースへの SELECT クエリを担当します。 どこからどのような種類の情報を抽出する必要があるかは、データセット内で正確に決定されます。 要求の結果として必要なデータが表示されると、そのデータに形式 (または表示) 設定が適用されます。 その結果、得られたデータはさまざまな種類の表、グラフ、チャートとして作成されます。

SELECT クエリは、取得する情報の条件を設定するさまざまなコマンドを使用します。 考慮すべき最も重要なことは、これらのコマンドは特定の順序 (以下にリストされている順序) で適用する必要があるということです。
FROM は、SELECT クエリで必要な唯一のコマンドです。 これは、情報を抽出する必要があるログのタイプを示します。
WHERE - このコマンドを使用すると、ログの条件が設定されます (たとえば、アプリケーション/攻撃/ウイルスの特定の名前)。
GROUP BY - このコマンドを使用すると、関心のある XNUMX つ以上の列ごとに情報をグループ化できます。
ORDER BY - このコマンドを使用すると、情報の出力を行ごとに並べ替えることができます。
LIMIT - クエリによって返されるレコードの数を制限します。

FortiAnalyzer には、事前定義されたレポート テンプレートが含まれています。 テンプレートはいわゆるレポート レイアウトであり、レポートのテキスト、グラフ、マクロが含まれています。 事前定義されたレポートに最小限の変更が必要な場合は、テンプレートを使用して新しいレポートを作成できます。 ただし、プリインストールされたレポートは編集または削除できません。レポートのクローンを作成し、そのコピーに必要な変更を加えることができます。 独自のレポート テンプレートを作成することもできます。

場合によっては、事前定義されたレポートがタスクに適合しているものの、完全には適合していないという状況に遭遇することがあります。 おそらく、情報を追加するか、逆に情報を削除する必要があります。 この場合、テンプレートを複製して変更するか、レポート自体を変更するかの XNUMX つのオプションがあります。 ここでは、いくつかの要因に依存する必要があります。

テンプレートはレポートのレイアウトであり、そこにはグラフとレポート テキストが含まれますが、それ以上のものはありません。 レポート自体には、いわゆる「レイアウト」に加えて、言語、フォント、テキストの色、生成期間、情報フィルタリングなどのさまざまなレポート パラメータが含まれています。 したがって、レポートのレイアウトを変更するだけの場合は、テンプレートを使用できます。 追加のレポート構成が必要な場合は、レポート自体 (より正確にはそのコピー) を編集できます。

テンプレートに基づいて同じタイプのレポートを複数作成できるため、類似したレポートを多数作成する必要がある場合は、テンプレートを使用することをお勧めします。
プリインストールされたテンプレートとレポートが合わない場合は、新しいテンプレートと新しいレポートの両方を作成できます。

また、FortiAnalyzer では、レポートを各管理者に電子メールで送信したり、外部サーバーにアップロードしたりするように設定できます。 これは、出力プロファイル メカニズムを使用して行われます。 個別の出力プロファイルが各管理ドメインに設定されます。 出力プロファイルを構成する場合、次のパラメータが定義されます。

• 送信されるレポートの形式 - PDF、HTML、XML、または CSV。
• レポートが送信される場所。 これは管理者の電子メールにすることができます (このためには、FortiAnalyzer をメール サーバーにバインドする必要があります。これについては前回のレッスンで説明しました)。 外部ファイル サーバー (FTP、SFTP、SCP) にすることもできます。
• 転送後にデバイスに残るローカル レポートを保持するか削除するかを選択できます。

必要に応じて、レポートの生成を高速化することができます。 XNUMX つの方法を考えてみましょう。
レポートを生成するとき、FortiAnalyzer は hcache と呼ばれるプリコンパイルされた SQL キャッシュ データからグラフを構築します。 レポートの実行時に hcache データが作成されない場合、システムはまず hcache を作成してからレポートを構築する必要があります。 これにより、レポートの生成時間が増加します。 ただし、レポートの新しいログを受信しない場合、レポートを再生成するときに、hcache データがすでにコンパイルされているため、生成にかかる時間が大幅に短縮されます。

レポート生成のパフォーマンスを向上させるために、レポート設定で hcache の自動生成を有効にすることができます。 この場合、hcache は新しいログが到着すると自動的に更新されます。 設定例を下図に示します。

このプロセスは大量のシステム リソースを使用するため (特にデータの収集に長時間を必要とするレポートの場合)、このプロセスをオンにした後、FortiAnalyzer のステータスを監視する必要があります。負荷が大幅に増加したかどうか、重大な問題が発生していないかどうかなどです。システムリソースの消費。 FortiAnalyzer が負荷に対応できない場合は、このプロセスを無効にすることをお勧めします。

また、スケジュールされたレポートでは、hcache データの自動更新がデフォルトで有効になっていることに注意してください。

レポート生成を高速化する XNUMX 番目の方法は、グループ化です。
異なる FortiGate (または他の Fortinet) デバイスに対して同じ (または類似した) レポートが生成されている場合、それらをグループ化することで生成プロセスを大幅に高速化できます。 レポートをグループ化すると、hcache テーブルの数が減り、自動キャッシュ時間が短縮され、レポートの生成が高速化されます。
次の図に示す例では、名前に文字列 Security_Report が含まれるレポートがデバイス ID パラメータによってグループ化されています。

このビデオ チュートリアルでは、上で説明した理論的な内容に加え、独自のデータセット、グラフ、テンプレート、レポートの作成から管理者へのレポートの送信設定まで、レポートの操作に関する実践的な側面も紹介します。 見るのを楽しむ！

次のレッスンでは、FortiAnalyzer の管理とそのライセンス スキームのさまざまな側面を見ていきます。 見逃さないように、購読してください Youtubeチャンネル.

次のリソースの更新情報をフォローすることもできます。

Facebookのグループ
Yandex Zen
当サイト
Телеграмканал

出所： habr.com