Здраво пријатели! На ги научивме основите за работа со логови на FortiAnalyzer. Денес ќе одиме понатаму и ќе ги разгледаме главните аспекти на работата со извештаи: кои се извештаите, од што се состојат, како можете да ги уредувате постоечките извештаи и да креирате нови. Како и обично, прво малку теорија, а потоа ќе работиме со извештаи во пракса. Под резот е претставен теоретскиот дел од часот, како и видео лекција која вклучува и теорија и пракса.
Главната цел на извештаите е да комбинираат големи количини на податоци содржани во дневниците и, врз основа на достапните поставки, да ги претстават сите добиени информации во читлива форма: во форма на графикони, табели, графикони. Сликата подолу покажува листа на претходно инсталирани извештаи за уредите FortiGate (не сите извештаи се вклопуваат во неа, но мислам дека оваа листа веќе покажува дека дури и надвор од кутијата можете да изградите многу интересни и корисни извештаи).
Но, извештаите само на читлив начин ги прикажуваат бараните информации - не содржат никакви препораки за понатамошно постапување со пронајдените проблеми.
Главните компоненти на извештаите се графиконите. Секој извештај се состои од еден или повеќе графикони. Табелите одредуваат кои информации треба да се извлечат од дневниците и во каков формат треба да бидат претставени. Збирките на податоци се одговорни за извлекување информации - ИЗБЕРЕТЕ прашања во базата на податоци. Во збирките на податоци точно се одредува од каде и какви информации треба да се извлечат. Откако ќе се појават потребните податоци како резултат на барањето, на нив се применуваат поставките за формат (или приказ). Како резултат на тоа, добиените податоци се составуваат во табели, графикони или графикони од различни видови.
Барањето SELECT користи различни команди кои поставуваат услови за преземање на информациите. Најважното нешто што треба да се земе предвид е дека овие команди мора да се применат по одреден редослед, по тој редослед тие се наведени подолу:
FROM е единствената команда што е потребна во барањето SELECT. Го означува типот на дневници од кои треба да се извлечат информациите;
КАДЕ - користејќи ја оваа команда, се поставуваат условите за дневниците (на пример, одредено име на апликацијата / нападот / вирусот);
GROUP BY - оваа команда ви овозможува да групирате информации по една или повеќе колони од интерес;
ORDER BY - користејќи ја оваа команда, можете да нарачате излез на информации по линија;
LIMIT - Го ограничува бројот на записи вратени од барањето.
FortiAnalyzer содржи претходно дефинирани шаблони за извештаи. Шаблоните се таканаречен распоред на извештајот - тие го содржат текстот на извештајот, неговите графикони и макроа. Користејќи шаблони, можете да креирате нови извештаи доколку се потребни минимални промени на претходно дефинираните. Сепак, претходно инсталираните извештаи не можат да се уредуваат или бришат - можете да ги клонирате и да ги направите потребните промени на копијата. Исто така, можно е да креирате сопствени шаблони за извештаи.
Понекогаш може да наидете на следнава ситуација: однапред дефиниран извештај одговара на задачата, но не целосно. Можеби треба да додадете некои информации во него или, обратно, да ги отстраните. Во овој случај, постојат две опции: клонирање и промена на шаблонот или самиот извештај. Тука треба да се потпрете на неколку фактори.
Шаблоните се распоред за извештај, тие содржат графикони и текст на извештајот, ништо повеќе. Самите извештаи, пак, покрај таканаречениот „распоред“, содржат различни параметри на извештајот: јазик, фонт, боја на текстот, период на генерирање, филтрирање информации итн. Затоа, ако треба само да направите промени во изгледот на извештајот, можете да користите шаблони. Доколку е потребна дополнителна конфигурација на извештајот, можете да го уредите самиот извештај (поточно, копија од него).
Врз основа на шаблони, можете да креирате неколку извештаи од ист тип, па ако треба да направите многу извештаи слични еден на друг, тогаш подобро е да користите шаблони.
Во случај претходно инсталираните шаблони и извештаи да не ви одговараат, можете да креирате и нов образец и нов извештај.
Исто така, на FortiAnalyzer, можно е да се конфигурира испраќање извештаи до поединечни администратори преку е-пошта или нивно поставување на надворешни сервери. Ова е направено со помош на механизмот Output Profile. Посебни излезни профили се конфигурирани во секој административен домен. При конфигурирање на излезен профил, дефинирани се следните параметри:
- Формати на испратени извештаи - PDF, HTML, XML или CSV;
- Локацијата каде што ќе се испраќаат извештаите. Ова може да биде е-пошта на администратор (за ова, треба да го поврзете FortiAnalyzer со сервер за пошта, ова го опфативме во последната лекција). Може да биде и надворешен сервер за датотеки - FTP, SFTP, SCP;
- Можете да изберете дали да ги задржите или избришете локалните извештаи што ќе останат на уредот по префрлањето.
Доколку е потребно, можно е да се забрза генерирањето извештаи. Да разгледаме два начина:
Кога генерира извештај, FortiAnalyzer гради графикони од претходно компајлирани податоци за кешот SQL познати како hcache. Ако податоците за hcache не се креираат кога извештајот се извршува, системот мора прво да го креира hcache-от, а потоа да го изгради извештајот. Ова го зголемува времето за генерирање извештаи. Меѓутоа, ако не се добијат нови дневници за извештај, кога извештајот ќе се регенерира, времето за негово генерирање ќе биде значително намалено, бидејќи податоците за hcache се веќе составени.
За да ги подобрите перформансите на генерирањето извештаи, можете да овозможите автоматско генерирање hcache во поставките за извештајот. Во овој случај, hcache автоматски се ажурира кога ќе пристигнат нови дневници. Пример за поставување е прикажан на сликата подолу.
Овој процес користи голема количина на системски ресурси (особено за извештаи за кои е потребно долго време за собирање податоци), па откако ќе го вклучите, треба да го следите статусот на FortiAnalyzer: дали оптоварувањето е значително зголемено, дали има критично потрошувачка на системски ресурси. Во случај FortiAnalyzer да не може да се справи со оптоварувањето, подобро е да го оневозможите овој процес.
Исто така, треба да се забележи дека автоматското ажурирање на податоците за hcache е стандардно овозможено за закажани извештаи.
Вториот начин да се забрза генерирањето извештаи е групирање:
Ако се генерираат исти (или слични) извештаи за различни уреди на FortiGate (или други Fortinet), може значително да го забрзате процесот на генерирање со нивно групирање. Групирањето извештаи може да го намали бројот на табели за hcache и да го забрза времето на автоматско кеширање, што резултира со побрзо генерирање извештаи.
Во примерот прикажан на сликата подолу, извештаите што ја содржат низата Security_Report во нивните имиња се групирани според параметарот Device ID.
Видео туторијалот го прикажува теоретскиот материјал дискутиран погоре, како и практичните аспекти на работата со извештаи - од создавање на сопствени збирки на податоци и графикони, шаблони и извештаи до поставување на испраќање извештаи до администраторите. Уживајте во гледањето!
Во следната лекција, ќе разгледаме различни аспекти на администрацијата на FortiAnalyzer, како и неговата шема за лиценцирање. За да не го пропуштите, претплатете се на нашата .
Можете исто така да ги следите ажурирањата на следните ресурси:
Извор: www.habr.com