Hello kawan-kawan! hidup kami mempelajari asas bekerja dengan log pada FortiAnalyzer. Hari ini kita akan pergi lebih jauh dan melihat aspek utama bekerja dengan laporan: apakah laporan, kandungannya, cara anda boleh mengedit laporan sedia ada dan membuat laporan baharu. Seperti biasa, mula-mula sedikit teori, dan kemudian kami akan bekerja dengan laporan dalam amalan. Di bawah potongan, bahagian teori pelajaran dibentangkan, serta pelajaran video yang merangkumi kedua-dua teori dan amalan.
Tujuan utama laporan adalah untuk menggabungkan sejumlah besar data yang terkandung dalam log dan, berdasarkan tetapan yang tersedia, membentangkan semua maklumat yang diterima dalam bentuk yang boleh dibaca: dalam bentuk graf, jadual, carta. Rajah di bawah menunjukkan senarai laporan pra-pasang untuk peranti FortiGate (tidak semua laporan sesuai dengannya, tetapi saya fikir senarai ini sudah menunjukkan bahawa walaupun di luar kotak anda boleh membina banyak laporan yang menarik dan berguna).
Tetapi laporan hanya membentangkan maklumat yang diminta dengan cara yang boleh dibaca - ia tidak mengandungi sebarang cadangan untuk tindakan selanjutnya dengan masalah yang ditemui.
Komponen utama laporan ialah carta. Setiap laporan terdiri daripada satu atau lebih carta. Carta menentukan maklumat yang perlu diekstrak daripada log dan dalam format apa ia harus dibentangkan. Set data bertanggungjawab untuk mengekstrak maklumat - pertanyaan PILIH ke pangkalan data. Dalam set data, ia ditentukan dengan tepat dari mana dan jenis maklumat yang perlu diekstrak. Selepas data yang diperlukan muncul sebagai hasil daripada permintaan, tetapan format (atau paparan) digunakan padanya. Hasilnya, data yang diperolehi disusun dalam jadual, graf atau carta pelbagai jenis.
Pertanyaan SELECT menggunakan pelbagai arahan yang menetapkan syarat untuk mendapatkan maklumat. Perkara yang paling penting untuk dipertimbangkan ialah arahan ini mesti digunakan dalam susunan tertentu, dalam susunan tersebut ia disenaraikan di bawah:
FROM ialah satu-satunya arahan yang diperlukan dalam pertanyaan SELECT. Ia menunjukkan jenis log dari mana maklumat mesti diekstrak;
DIMANA - menggunakan arahan ini, syarat untuk log ditetapkan (contohnya, nama khusus aplikasi / serangan / virus);
GROUP BY - arahan ini membolehkan anda mengumpulkan maklumat mengikut satu atau lebih lajur yang diminati;
ORDER BY - menggunakan arahan ini, anda boleh memesan output maklumat mengikut baris;
LIMIT - Hadkan bilangan rekod yang dikembalikan oleh pertanyaan.
FortiAnalyzer mengandungi templat laporan yang telah ditetapkan. Templat ialah reka letak laporan yang dipanggil β ia mengandungi teks laporan, carta dan makronya. Menggunakan templat, anda boleh membuat laporan baharu jika perubahan minimum diperlukan kepada yang dipratentukan. Walau bagaimanapun, laporan prapasang tidak boleh diedit atau dipadam - anda boleh mengklonkannya dan membuat perubahan yang diperlukan pada salinan. Anda juga boleh membuat templat laporan anda sendiri.
Kadangkala anda mungkin menghadapi situasi berikut: laporan yang dipratentukan sesuai dengan tugas, tetapi tidak sepenuhnya. Mungkin anda perlu menambah beberapa maklumat padanya, atau, sebaliknya, alih keluarnya. Dalam kes ini, terdapat dua pilihan: klon dan tukar templat, atau laporan itu sendiri. Di sini anda perlu bergantung pada beberapa faktor.
Templat ialah reka letak untuk laporan, ia mengandungi carta dan teks laporan, tidak lebih. Laporan itu sendiri, sebaliknya, sebagai tambahan kepada apa yang dipanggil "susun atur", mengandungi pelbagai parameter laporan: bahasa, fon, warna teks, tempoh penjanaan, penapisan maklumat, dan sebagainya. Oleh itu, jika anda hanya perlu membuat perubahan pada reka letak laporan, anda boleh menggunakan templat. Jika konfigurasi laporan tambahan diperlukan, anda boleh mengedit laporan itu sendiri (lebih tepat, salinannya).
Berdasarkan templat, anda boleh membuat beberapa laporan daripada jenis yang sama, jadi jika anda perlu membuat banyak laporan yang serupa antara satu sama lain, maka adalah lebih baik untuk menggunakan templat.
Sekiranya templat dan laporan yang diprapasang tidak sesuai dengan anda, anda boleh membuat kedua-dua templat baharu dan laporan baharu.
Juga pada FortiAnalyzer, adalah mungkin untuk mengkonfigurasi penghantaran laporan kepada pentadbir individu melalui e-mel atau memuat naiknya ke pelayan luaran. Ini dilakukan menggunakan mekanisme Profil Output. Profil Output Berasingan dikonfigurasikan dalam setiap domain pentadbiran. Apabila mengkonfigurasi Profil Output, parameter berikut ditakrifkan:
- Format laporan yang dihantar - PDF, HTML, XML atau CSV;
- Lokasi di mana laporan akan dihantar. Ini boleh menjadi e-mel pentadbir (untuk ini, anda perlu mengikat FortiAnalyzer ke pelayan mel, kami membincangkannya dalam pelajaran lepas). Ia juga boleh menjadi pelayan fail luaran - FTP, SFTP, SCP;
- Anda boleh memilih sama ada untuk menyimpan atau memadamkan laporan setempat yang ditinggalkan pada peranti selepas pemindahan.
Jika perlu, adalah mungkin untuk mempercepatkan penjanaan laporan. Mari kita pertimbangkan dua cara:
Apabila menjana laporan, FortiAnalyzer membina carta daripada data cache SQL terkumpul yang dikenali sebagai hcache. Jika data hcache tidak dibuat semasa laporan dijalankan, sistem mesti mencipta hcache dahulu dan kemudian membina laporan. Ini meningkatkan masa penjanaan laporan. Walau bagaimanapun, jika log baharu untuk laporan tidak diterima, apabila laporan dijana semula, masa untuk menjananya akan dikurangkan dengan ketara, memandangkan data hcache telah pun disusun.
Untuk meningkatkan prestasi penjanaan laporan, anda boleh mendayakan penjanaan hcache automatik dalam tetapan laporan. Dalam kes ini, hcache dikemas kini secara automatik apabila log baharu tiba. Contoh tetapan ditunjukkan dalam rajah di bawah.
Proses ini menggunakan sejumlah besar sumber sistem (terutamanya untuk laporan yang memerlukan masa yang lama untuk mengumpul data), jadi selepas menghidupkannya, anda perlu memantau status FortiAnalyzer: sama ada beban telah meningkat dengan ketara, sama ada terdapat kritikal penggunaan sumber sistem. Sekiranya FortiAnalyzer tidak dapat menampung beban, lebih baik untuk melumpuhkan proses ini.
Perlu diingatkan juga bahawa pengemaskinian automatik data hcache didayakan secara lalai untuk laporan berjadual.
Cara kedua untuk mempercepatkan penjanaan laporan ialah mengumpulkan:
Jika laporan yang sama (atau serupa) dijana untuk peranti FortiGate (atau Fortinet lain) yang berbeza, anda boleh mempercepatkan proses penjanaan dengan mengumpulkannya. Laporan pengelompokan boleh mengurangkan bilangan jadual hcache dan mempercepatkan masa penyimpanan automatik, menghasilkan penjanaan laporan yang lebih pantas.
Dalam contoh yang ditunjukkan dalam rajah di bawah, laporan yang mengandungi rentetan Security_Report dalam nama mereka dikumpulkan mengikut parameter ID Peranti.
Tutorial video membentangkan bahan teori yang dibincangkan di atas, serta aspek praktikal bekerja dengan laporan - daripada mencipta set data dan carta, templat dan laporan anda sendiri kepada menyediakan penghantaran laporan kepada pentadbir. Selamat menonton!
Dalam pelajaran seterusnya, kita akan melihat pelbagai aspek pentadbiran FortiAnalyzer, serta skim pelesenannya. Untuk tidak ketinggalan, langgan kami .
Anda juga boleh mengikuti kemas kini mengenai sumber berikut:
Sumber: www.habr.com