ProHoster > Blogs > Administrācija > 4. FortiAnalyzer darba sākÅ”ana v6.4. Darbs ar atskaitēm

4. FortiAnalyzer darba sākÅ”ana v6.4. Darbs ar atskaitēm

4. FortiAnalyzer darba sākÅ”ana v6.4. Darbs ar atskaitēm

Sveiki draugi! Ieslēgts pēdējā nodarbÄ«ba mēs uzzinājām pamatus darbam ar žurnāliem FortiAnalyzer. Å odien mēs dosimies tālāk un apskatÄ«sim galvenos darba ar pārskatiem aspektus: kas ir pārskati, no kā tie sastāv, kā rediģēt esoÅ”os pārskatus un izveidot jaunus. Kā parasti, vispirms nedaudz teorijas, un tad strādāsim ar atskaitēm praksē. Zem griezuma tiek prezentēta nodarbÄ«bas teorētiskā daļa, kā arÄ« video nodarbÄ«ba, kas ietver gan teoriju, gan praksi.

AtskaiÅ”u galvenais mērÄ·is ir apvienot lielus datu apjomus, kas ietverti žurnālos, un, pamatojoties uz pieejamajiem iestatÄ«jumiem, visu saņemto informāciju pasniegt lasāmā veidā: grafiku, tabulu, diagrammu veidā. Zemāk redzamajā attēlā ir parādÄ«ts FortiGate ierīču iepriekÅ” instalēto atskaiÅ”u saraksts (ne visi pārskati tajā ietilpst, bet es domāju, ka Å”is saraksts jau parāda, ka pat no kastes jÅ«s varat izveidot daudz interesantu un noderÄ«gu pārskatu).

4. FortiAnalyzer darba sākÅ”ana v6.4. Darbs ar atskaitēm

Bet pārskatos tikai salasāmā veidā tiek sniegta pieprasÄ«tā informācija ā€“ tajos nav nekādu ieteikumu turpmākai rÄ«cÄ«bai ar konstatētajām problēmām.

Galvenās pārskatu sastāvdaļas ir diagrammas. Katrs pārskats sastāv no vienas vai vairākām diagrammām. Diagrammas nosaka, kāda informācija ir jāizvelk no žurnāliem un kādā formātā tā jāparāda. Datu kopas ir atbildÄ«gas par informācijas ieguvi - SELECT vaicājumi datu bāzē. TieÅ”i datu kopās ir precÄ«zi noteikts, no kurienes un kāda veida informācija ir jāizvelk. Pēc tam, kad pieprasÄ«juma rezultātā parādās nepiecieÅ”amie dati, tiem tiek piemēroti formāta (vai displeja) iestatÄ«jumi. Rezultātā iegÅ«tie dati tiek sastādÄ«ti dažāda veida tabulās, grafikos vai diagrammās.

SELECT vaicājumā tiek izmantotas dažādas komandas, kas nosaka nosacÄ«jumus izguvei informācijai. VissvarÄ«gākais, kas jāņem vērā, ir tas, ka Ŕīs komandas ir jāpiemēro noteiktā secÄ«bā, un Ŕādā secÄ«bā tās ir norādÄ«tas zemāk:
FROM ir vienīgā komanda, kas nepiecieŔama SELECT vaicājumā. Tas norāda žurnālu veidu, no kuriem jāizvelk informācija;
WHERE - izmantojot Å”o komandu, tiek iestatÄ«ti žurnālu nosacÄ«jumi (piemēram, konkrēts lietojumprogrammas / uzbrukuma / vÄ«rusa nosaukums);
GROUP BY - Ŕī komanda ļauj grupēt informāciju pēc vienas vai vairākām interesējoÅ”o kolonnām;
ORDER BY - izmantojot Å”o komandu, var sakārtot informācijas izvadi pa rindiņām;
LIMIT ā€” ierobežo vaicājuma atgriezto ierakstu skaitu.

FortiAnalyzer satur iepriekÅ” noteiktas pārskatu veidnes. Veidnes ir tā sauktais atskaites izkārtojums ā€” tās satur pārskata tekstu, tā diagrammas un makro. Izmantojot veidnes, varat izveidot jaunus pārskatus, ja iepriekÅ” noteiktajos ir jāveic minimālas izmaiņas. Taču iepriekÅ” instalētās atskaites nevar rediģēt vai dzēst ā€” tās var klonēt un kopijā veikt nepiecieÅ”amās izmaiņas. Ir iespējams arÄ« izveidot savas atskaites veidnes.

4. FortiAnalyzer darba sākÅ”ana v6.4. Darbs ar atskaitēm

Dažreiz var rasties Ŕāda situācija: iepriekÅ” definēta atskaite atbilst uzdevumam, bet ne pilnÄ«bā. VarbÅ«t jums tai jāpievieno kāda informācija vai, gluži pretēji, tā jānoņem. Å ajā gadÄ«jumā ir divas iespējas: klonēt un mainÄ«t veidni vai paÅ”u atskaiti. Å eit jums jāpaļaujas uz vairākiem faktoriem.

Veidnes ir atskaites izkārtojums, tajās ir diagrammas un atskaites teksts, nekas vairāk. PaŔās atskaitēs, savukārt, papildus tā sauktajam ā€œizkārtojumamā€ ir dažādi atskaites parametri: valoda, fonts, teksta krāsa, Ä£enerÄ“Å”anas periods, informācijas filtrÄ“Å”ana u.c. Tāpēc, ja nepiecieÅ”ams tikai veikt izmaiņas atskaites izkārtojumā, varat izmantot veidnes. Ja nepiecieÅ”ama papildu atskaites konfigurācija, varat rediģēt paÅ”u pārskatu (precÄ«zāk, tā kopiju).

Pamatojoties uz veidnēm, jūs varat izveidot vairākas viena veida atskaites, tādēļ, ja jums ir jāizveido daudzas līdzīgas atskaites, ieteicams izmantot veidnes.
GadÄ«jumā, ja iepriekÅ” instalētās veidnes un atskaites jums nav piemērotas, varat izveidot gan jaunu veidni, gan jaunu pārskatu.

4. FortiAnalyzer darba sākÅ”ana v6.4. Darbs ar atskaitēm

ArÄ« FortiAnalyzer ir iespējams konfigurēt atskaiÅ”u sÅ«tÄ«Å”anu atseviŔķiem administratoriem pa e-pastu vai augÅ”upielādēt ārējos serveros. Tas tiek darÄ«ts, izmantojot Output Profile mehānismu. Katrā administratÄ«vajā domēnā tiek konfigurēti atseviŔķi izvades profili. Konfigurējot izvades profilu, tiek definēti Ŕādi parametri:

  • NosÅ«tÄ«to atskaiÅ”u formāti - PDF, HTML, XML vai CSV;
  • Vieta, kur tiks nosÅ«tÄ«ti pārskati. Tas var bÅ«t administratora e-pasts (Å”im nolÅ«kam FortiAnalyzer ir jāsaista ar pasta serveri, mēs to apskatÄ«jām pēdējā nodarbÄ«bā). Tas var bÅ«t arÄ« ārējais failu serveris - FTP, SFTP, SCP;
  • Varat izvēlēties, vai saglabāt vai dzēst lokālos pārskatus, kas pēc pārsÅ«tÄ«Å”anas palikuÅ”i ierÄ«cē.

NepiecieÅ”amÄ«bas gadÄ«jumā ir iespējams paātrināt atskaiÅ”u Ä£enerÄ“Å”anu. Apsvērsim divus veidus:
Veidojot pārskatu, FortiAnalyzer veido diagrammas no iepriekÅ” kompilētiem SQL keÅ”atmiņas datiem, kas pazÄ«stami kā hcache. Ja atskaites palaiÅ”anas laikā hcache dati netiek izveidoti, sistēmai vispirms ir jāizveido hcache un pēc tam jāizveido atskaite. Tas palielina atskaites Ä£enerÄ“Å”anas laiku. Tomēr, ja jauni ziņojuma žurnāli netiek saņemti, kad ziņojums tiek reÄ£enerēts, laiks tās Ä£enerÄ“Å”anai tiks ievērojami samazināts, jo hcache dati jau ir apkopoti.

Lai uzlabotu pārskatu Ä£enerÄ“Å”anas veiktspēju, pārskatu iestatÄ«jumos varat iespējot automātisko hcache Ä£enerÄ“Å”anu. Å ajā gadÄ«jumā hcache tiek automātiski atjaunināts, kad tiek saņemti jauni žurnāli. IestatÄ«juma piemērs ir parādÄ«ts zemāk esoÅ”ajā attēlā.

Å is process izmanto lielu sistēmas resursu daudzumu (Ä«paÅ”i pārskatiem, kuru datu apkopoÅ”anai nepiecieÅ”ams ilgs laiks), tāpēc pēc tā ieslēgÅ”anas ir jāuzrauga FortiAnalyzer statuss: vai slodze ir ievērojami palielinājusies, vai nav kritiska sistēmas resursu patēriņŔ. Ja FortiAnalyzer nevar tikt galā ar slodzi, labāk ir atspējot Å”o procesu.

Jāņem vērā arÄ« tas, ka ieplānotajiem pārskatiem pēc noklusējuma ir iespējota hcache datu automātiska atjaunināŔana.

Otrs veids, kā paātrināt pārskatu Ä£enerÄ“Å”anu, ir grupÄ“Å”ana.
Ja vienādi (vai lÄ«dzÄ«gi) pārskati tiek Ä£enerēti dažādām FortiGate (vai citām Fortinet) ierÄ«cēm, varat ievērojami paātrināt Ä£enerÄ“Å”anas procesu, tās grupējot. Pārskatu grupÄ“Å”ana var samazināt hcache tabulu skaitu un paātrināt automātiskās keÅ”atmiņas saglabāŔanas laiku, tādējādi ātrāk Ä£enerējot pārskatus.
Tālāk esoÅ”ajā attēlā redzamajā piemērā pārskati, kuru nosaukumos ir ietverta virkne Security_Report, ir grupēti pēc parametra Device ID.

4. FortiAnalyzer darba sākÅ”ana v6.4. Darbs ar atskaitēm

Video pamācÄ«bā ir izklāstÄ«ts iepriekÅ” apspriestais teorētiskais materiāls, kā arÄ« praktiskie aspekti darbā ar atskaitēm ā€” no datu kopu un diagrammu, veidņu un atskaiÅ”u izveides lÄ«dz atskaiÅ”u nosÅ«tÄ«Å”anas administratoriem iestatÄ«Å”anai. PatÄ«kamu skatÄ«Å”anos!

Nākamajā nodarbÄ«bā aplÅ«kosim dažādus FortiAnalyzer administrÄ“Å”anas aspektus, kā arÄ« tā licencÄ“Å”anas shēmu. Lai nepalaistu garām, abonējiet mÅ«su Youtube kanāls.

Varat arī sekot līdzi Ŕo resursu atjauninājumiem:

Vkontakte kopiena
Yandex Zen
MÅ«su vietne
Telegrammas kanāls

Avots: www.habr.com

Pievieno komentāru