Gréiss, Frënn! Op Mir hunn d'Grondlage geléiert fir mat Logbicher op FortiAnalyzer ze schaffen. Haut gi mir méi wäit a kucken op d'Haaptaspekter vun der Aarbecht mat Berichter: wat sinn d'Rapporten, aus wat si besteet, wéi Dir existent Berichter z'änneren an nei Berichter erstellen. Wéi gewinnt, fir d'éischt e bëssen Theorie, an da wäerte mir mat Berichter an der Praxis schaffen. Ënnert dem Schnëtt ass den theoreteschen Deel vun der Lektioun, souwéi eng Video Lektioun, déi souwuel Theorie wéi Praxis enthält.
Den Haaptziel vun de Berichter ass et, grouss Quantitéiten un Daten an de Logbicher ze kombinéieren an, baséiert op existéierenden Astellungen, all d'Informatioun ze presentéieren, déi an enger liesbarer Form kritt gëtt: a Form vu Grafiken, Tabellen, Charts. D'Figur ënnendrënner weist eng Lëscht vun Pre-installéiert Rapporte fir FortiGate Apparater (net all Rapporte passt an et, mee ech mengen dës Lëscht weist schonn, datt och "aus der Këscht" Dir vill interessant an nëtzlech Rapporten bauen kann).
Awer d'Rapporte presentéieren nëmmen déi ugefrote Informatioun an enger liesbarer Form - si bidden keng Empfehlungen iwwer wat se duerno maache mat de fonnte Probleemer.
D'Haaptkomponente vu Berichter sinn Charts. All Bericht besteet aus engem oder méi Charts. Charts bestëmmen wéi eng Informatioun aus de Logbicher extrahéiert muss ginn an a wéi engem Format se soll presentéiert ginn. Datesets si verantwortlech fir d'Informatioun ze extrahieren - SELECT Ufroen an d'Datebank. Et ass an den Datesätz genee festgeluegt, wou a wéi eng Informatioun extrahéiert muss ginn. Wann déi erfuerderlech Donnéeën erschéngen als Resultat vun der Ufro, ginn d'Format (oder Affichage) Astellunge fir se ugewannt. Als Resultat ginn déi kritt Donnéeën an Tabellen, Grafiken oder Charts vu verschiddenen Typen presentéiert.
Eng SELECT Ufro benotzt verschidde Befehle fir Konditioune fir d'Informatioun ze setzen fir zréckzekommen. Déi wichtegst Saach fir ze berücksichtegen ass datt dës Befehle mussen an enger bestëmmter Uerdnung benotzt ginn, an dëser Reiefolleg gi se hei ënnen uginn:
FROM ass deen eenzege Kommando deen an enger SELECT Ufro erfuerderlech ass. Et weist d'Zort vu Logbicher un, aus deenen d'Informatioun muss extrahéiert ginn;
WHERE - mat dësem Kommando ginn d'Konditioune fir d'Logbicher uginn (zum Beispill e spezifeschen Numm vun der Applikatioun/Attack/Virus);
GROUP BY - dëst Kommando erlaabt Iech Informatiounen duerch eng oder méi Kolonnen vun Interessi ze gruppéieren;
ORDER BY - Mat dësem Kommando kënnt Dir d'Ausgab vun Informatioun no Linnen bestellen;
LIMIT - Limitéiert d'Zuel vun de Rekorder, déi vun der Ufro zréckginn.
FortiAnalyzer kënnt mat virdefinéierte Berichtschabloune. Schabloune sinn de sougenannte Bericht Layout - si enthalen den Text vum Bericht, seng Charts a Makroen. Mat Schabloune kënnt Dir nei Berichter erstellen wann minimal Ännerungen un déi virdefinéiert erfuerderlech sinn. Wéi och ëmmer, virinstalléiert Berichter kënnen net geännert oder geläscht ginn - Dir kënnt se klonen an déi néideg Ännerungen un der Kopie maachen. Et ass och méiglech Är eege Template fir Berichter ze kreéieren.
Heiansdo kënnt Dir op déi folgend Situatioun stousse: e virdefinéierte Bericht passt op d'Aufgab, awer net komplett. Vläicht muss e puer Informatioune bäigefüügt ginn, oder, ëmgekéiert, ewechgeholl ginn. An dësem Fall ginn et zwou Méiglechkeeten: Klonen an änneren d'Schabloun, oder de Bericht selwer. Hei musst Dir op e puer Faktore vertrauen.
Schablounen sinn e Layout fir e Rapport, si enthalen Charts a Rapport Text, näischt méi. D'Rapporte selwer, am Tour, zousätzlech zu der sougenannter "Layout" enthalen verschidde Rapport Parameteren: Sprooch, Schrëft, Text Faarf, Generatioun Period, Informatiounen Filteren, etc. Dofir, wann Dir nëmmen Ännerungen un de Rapportlayout maache musst, kënnt Dir Schabloune benotzen. Wann zousätzlech Berichtkonfiguratioun néideg ass, kënnt Dir de Rapport selwer änneren (oder éischter eng Kopie dovun).
Baséierend op Templates kënnt Dir e puer Berichter vum selwechten Typ erstellen, also wann Dir vill Berichter maache musst, déi ähnlech matenee sinn, ass et léiwer Templates ze benotzen.
Wann déi virdefinéiert Templates a Berichter Iech net passen, kënnt Dir souwuel eng nei Schabloun wéi och en neie Bericht erstellen.
Et ass och méiglech FortiAnalyzer ze konfiguréieren fir Berichter un eenzel Administrateuren per E-Mail ze schécken oder se op extern Server eropzelueden. Dëst gëtt mam Output Profil Mechanismus gemaach. Separat Output Profiler sinn an all administrativ Domain konfiguréiert. Wann Dir den Output Profil konfiguréiert, ginn déi folgend Parameter definéiert:
- Geschéckt Rapport Formater - PDF, HTML, XML oder CSV;
- D'Plaz wou Berichter geschéckt ginn. Dëst kéint d'E-Mail vum Administrateur sinn (fir dëst musst Dir de FortiAnalyzer mam Mailserver verbannen, mir hunn dat an der leschter Lektioun ofgedeckt). Et kann och en externen Dateiserver sinn - FTP, SFTP, SCP;
- Dir kënnt uginn wat mat lokalen Berichter ze maachen, déi nom Transfert um Apparat bleiwen - se verloossen oder se läschen.
Wann néideg, ass et méiglech Bericht Generatioun ze beschleunegen. Loosst eis zwee Weeër betruechten:
Wann Dir e Bericht erstellt, baut FortiAnalyzer Charts aus virkompiléierten SQL Cache Daten bekannt als hcache. Wann d'hcache Daten net erstallt ginn wann Dir de Bericht leeft, muss de System als éischt den hcache erstellen an dann de Bericht bauen. Dëst erhéicht d'Zäit déi et brauch fir e Bericht ze generéieren. Wéi och ëmmer, wann nei Logbicher fir de Bericht net kritt ginn, wann Dir de Bericht nei generéiert, gëtt seng Generatiounszäit wesentlech reduzéiert, well d'hcache-Donnéeën scho kompiléiert sinn.
Fir d'Rapport Generatioun Leeschtung ze verbesseren, kënnt Dir automatesch hcache Kreatioun an de Rapport Astellungen aktivéieren. An dësem Fall gëtt hcache automatesch aktualiséiert wann nei Logbicher kommen. E Beispill Astellung gëtt an der Figur hei ënnen gewisen.
Dëse Prozess benotzt eng grouss Quantitéit u Systemressourcen (besonnesch fir Berichter, déi eng laang Zäit erfuerderen fir Daten ze sammelen), sou datt nom aktivéieren ass et néideg de Status vum FortiAnalyzer ze iwwerwaachen: ob d'Laascht erheblech eropgaang ass, ob et e kriteschen Konsum vun System Ressourcen. Wann FortiAnalyzer net mat der Laascht eens kann, ass et besser dëse Prozess auszeschalten.
Et sollt och bemierkt ginn datt automatesch hcache Daten Erfrëschung als Standard fir geplangte Berichter aktivéiert ass.
Den zweete Wee fir d'Rapportgeneratioun ze beschleunegen ass Gruppéierung:
Wann déiselwecht (oder ähnlech) Berichter fir verschidde FortiGate Apparater (oder aner Fortinet Apparater) generéiert ginn, kënnt Dir de Prozess vun der Generatioun wesentlech beschleunegen andeems Dir se gruppéiert. Gruppéiere Berichter kënnen d'Zuel vun hcache Dëscher reduzéieren an automatesch Cachezäiten beschleunegen, wat zu enger méi séier Berichtgeneratioun resultéiert.
Am Beispill an der Figur hei ënnendrënner, Berichter deenen hiren Titel d'String Security_Report enthält, ginn duerch den Apparat ID Parameter gruppéiert.
De Video Tutorial stellt dat theoretescht Material vir, dat hei uewe diskutéiert gouf, an diskutéiert och praktesch Aspekter vun der Aarbecht mat Berichter - vun der Erstelle vun Ären eegene Datesätz an Charts, Templates a Berichter bis op d'Opstelle vu Berichter un d'Administrateuren. Genéisst kucken!
An der nächster Lektioun wäerte mir verschidden Aspekter vun der FortiAnalyzer Administratioun kucken, souwéi säi Lizenzschema. Fir et ze vermeiden, abonnéiert Iech op eis .
Dir kënnt och d'Aktualiséierunge vun de folgende Ressourcen verfollegen:
Source: will.com