Hallo vrienden! Op we leerden de basisprincipes van het werken met logs op FortiAnalyzer. Vandaag gaan we verder en bekijken we de belangrijkste aspecten van het werken met rapporten: wat rapporten zijn, waaruit ze bestaan, hoe u bestaande rapporten kunt bewerken en nieuwe kunt maken. Zoals gewoonlijk eerst een beetje theorie, daarna gaan we aan de slag met rapportages in de praktijk. Onder de kap wordt het theoretische deel van de les gepresenteerd, evenals een videoles die zowel theorie als praktijk omvat.
Het belangrijkste doel van de rapporten is om grote hoeveelheden gegevens in de logboeken te combineren en, op basis van de beschikbare instellingen, alle ontvangen informatie in een leesbare vorm te presenteren: in de vorm van grafieken, tabellen, grafieken. Onderstaande figuur toont een lijst met vooraf geïnstalleerde rapporten voor FortiGate-apparaten (niet alle rapporten passen erin, maar ik denk dat deze lijst al laat zien dat je zelfs out of the box heel veel interessante en nuttige rapporten kunt bouwen).
Maar de rapporten geven alleen de gevraagde informatie op een leesbare manier weer - ze bevatten geen aanbevelingen voor verdere actie met de gevonden problemen.
De belangrijkste onderdelen van rapporten zijn grafieken. Elk rapport bestaat uit een of meer grafieken. Grafieken bepalen welke informatie uit de logboeken moet worden gehaald en in welk formaat deze moet worden gepresenteerd. Datasets zijn verantwoordelijk voor het extraheren van informatie - SELECT-query's naar de database. Juist in datasets wordt precies bepaald waar en wat voor informatie er uit gehaald moet worden. Nadat de vereiste gegevens verschijnen als resultaat van het verzoek, worden de formaat- (of weergave-) instellingen erop toegepast. Als gevolg hiervan worden de verkregen gegevens opgesteld in tabellen, grafieken of grafieken van verschillende typen.
De SELECT-query gebruikt verschillende opdrachten die voorwaarden stellen aan de op te halen informatie. Het belangrijkste om te overwegen is dat deze commando's in een specifieke volgorde moeten worden toegepast, in die volgorde worden ze hieronder vermeld:
FROM is de enige opdracht die vereist is in een SELECT-query. Het geeft het type logbestanden aan waaruit informatie moet worden gehaald;
WAAR - met deze opdracht worden de voorwaarden voor de logboeken ingesteld (bijvoorbeeld een specifieke naam van de applicatie / aanval / virus);
GROUP BY - met deze opdracht kunt u informatie groeperen op een of meer interessante kolommen;
ORDER BY - met deze opdracht kunt u de uitvoer van informatie per regel ordenen;
LIMIT - Beperkt het aantal records dat door de query wordt geretourneerd.
FortiAnalyzer bevat vooraf gedefinieerde rapportsjablonen. Sjablonen zijn de zogenaamde rapportlay-out — ze bevatten de tekst van het rapport, de bijbehorende grafieken en macro's. Met behulp van sjablonen kunt u nieuwe rapporten maken als minimale wijzigingen aan de vooraf gedefinieerde rapporten nodig zijn. Vooraf geïnstalleerde rapporten kunnen echter niet worden bewerkt of verwijderd - u kunt ze klonen en de nodige wijzigingen aanbrengen in de kopie. Het is ook mogelijk om uw eigen rapportsjablonen te maken.
Soms kunt u de volgende situatie tegenkomen: een vooraf gedefinieerd rapport past bij de taak, maar niet helemaal. Misschien moet u er wat informatie aan toevoegen of juist verwijderen. In dit geval zijn er twee opties: de sjabloon klonen en wijzigen, of het rapport zelf. Hier moet u op verschillende factoren vertrouwen.
Sjablonen zijn een lay-out voor een rapport, ze bevatten grafieken en rapporttekst, meer niet. De rapporten zelf bevatten op hun beurt, naast de zogenaamde "lay-out", verschillende rapportparameters: taal, lettertype, tekstkleur, generatieperiode, informatiefiltering, enzovoort. Als u dus alleen wijzigingen in de rapportlay-out hoeft aan te brengen, kunt u sjablonen gebruiken. Als aanvullende rapportconfiguratie nodig is, kunt u het rapport zelf bewerken (preciezer: een kopie ervan).
Op basis van sjablonen kunt u meerdere rapporten van hetzelfde type maken, dus als u veel rapporten moet maken die op elkaar lijken, verdient het de voorkeur om sjablonen te gebruiken.
In het geval dat de vooraf geïnstalleerde sjablonen en rapporten u niet bevallen, kunt u zowel een nieuw sjabloon als een nieuw rapport maken.
Ook op FortiAnalyzer is het mogelijk om het verzenden van rapporten naar individuele beheerders per e-mail of uploaden naar externe servers te configureren. Dit gebeurt met behulp van het Output Profile-mechanisme. In elk administratief domein worden afzonderlijke uitvoerprofielen geconfigureerd. Bij het configureren van een uitvoerprofiel worden de volgende parameters gedefinieerd:
- Formaten van verzonden rapporten - PDF, HTML, XML of CSV;
- De locatie waar de rapporten naartoe worden gestuurd. Dit kan het e-mailadres van een beheerder zijn (hiervoor moet u FortiAnalyzer binden aan een mailserver, dit hebben we in de vorige les behandeld). Het kan ook een externe bestandsserver zijn - FTP, SFTP, SCP;
- U kunt kiezen of u lokale rapporten die na de overdracht op het apparaat zijn achtergebleven, wilt behouden of verwijderen.
Indien nodig is het mogelijk om het genereren van rapporten te versnellen. Laten we twee manieren bekijken:
Bij het genereren van een rapport maakt FortiAnalyzer grafieken van vooraf gecompileerde SQL-cachegegevens, ook wel hcache genoemd. Als de hcache-gegevens niet worden gemaakt wanneer het rapport wordt uitgevoerd, moet het systeem eerst de hcache maken en vervolgens het rapport samenstellen. Dit verhoogt de tijd voor het genereren van rapporten. Als er echter geen nieuwe logboeken voor een rapport worden ontvangen en het rapport opnieuw wordt gegenereerd, wordt de tijd om het te genereren aanzienlijk verkort, aangezien de hcache-gegevens al zijn gecompileerd.
Om de prestaties van het genereren van rapporten te verbeteren, kunt u het automatisch genereren van hcaches inschakelen in de rapportinstellingen. In dit geval wordt hcache automatisch bijgewerkt wanneer er nieuwe logboeken binnenkomen. Een voorbeeld van een instelling wordt weergegeven in de onderstaande afbeelding.
Dit proces gebruikt een grote hoeveelheid systeembronnen (vooral voor rapporten die veel tijd nodig hebben om gegevens te verzamelen), dus na het inschakelen moet u de status van FortiAnalyzer controleren: of de belasting aanzienlijk is toegenomen, of er een kritieke verbruik van systeembronnen. Als FortiAnalyzer de belasting niet aankan, is het beter om dit proces uit te schakelen.
Er moet ook worden opgemerkt dat het automatisch bijwerken van hcache-gegevens standaard is ingeschakeld voor geplande rapporten.
De tweede manier om het genereren van rapporten te versnellen, is groeperen:
Als dezelfde (of vergelijkbare) rapporten worden gegenereerd voor verschillende FortiGate- (of andere Fortinet-)apparaten, kunt u het generatieproces aanzienlijk versnellen door ze te groeperen. Het groeperen van rapporten kan het aantal hcache-tabellen verminderen en de automatische cachingtijden versnellen, wat resulteert in een snellere rapportgeneratie.
In het voorbeeld in de onderstaande afbeelding worden rapporten met de tekenreeks Security_Report in hun naam gegroepeerd op basis van de Device ID-parameter.
De video-tutorial presenteert het hierboven besproken theoretische materiaal en bespreekt ook de praktische aspecten van het werken met rapporten - van het maken van uw eigen datasets en grafieken, sjablonen en rapporten tot het instellen van het verzenden van rapporten naar beheerders. Veel kijkplezier!
In de volgende les zullen we verschillende aspecten van de administratie van FortiAnalyzer bekijken, evenals het licentieschema. Abonneer u op onze om het niet te missen .
U kunt de updates ook volgen op de volgende bronnen:
Bron: www.habr.com