Hei venner! På vi lærte det grunnleggende om å jobbe med logger på FortiAnalyzer. I dag skal vi gå videre og se på hovedaspektene ved å jobbe med rapporter: hva rapporter er, hva består de av, hvordan du kan redigere eksisterende rapporter og lage nye. Som vanlig først litt teori, så skal vi jobbe med rapporter i praksis. Under kuttet presenteres den teoretiske delen av timen, samt en videotime som inkluderer både teori og praksis.
Hovedformålet med rapportene er å kombinere store mengder data i loggene og, basert på de tilgjengelige innstillingene, presentere all informasjon som mottas i en lesbar form: i form av grafer, tabeller, diagrammer. Figuren nedenfor viser en liste over forhåndsinstallerte rapporter for FortiGate-enheter (ikke alle rapporter passer inn i den, men jeg tror denne listen allerede viser at selv ut av boksen kan du bygge mange interessante og nyttige rapporter).
Men rapportene presenterer kun den etterspurte informasjonen på en lesbar måte – de inneholder ingen anbefalinger for videre tiltak med problemene som er funnet.
Hovedkomponentene i rapportene er diagrammer. Hver rapport består av ett eller flere diagrammer. Diagrammer bestemmer hvilken informasjon som skal trekkes ut fra loggene og i hvilket format den skal presenteres. Datasett er ansvarlige for å trekke ut informasjon - SELECT-spørringer til databasen. Det er i datasett det er nøyaktig bestemt hvor og hva slags informasjon som skal hentes ut. Etter at de nødvendige dataene vises som et resultat av forespørselen, blir format- (eller visnings)innstillingene brukt på dem. Som et resultat blir de innhentede dataene trukket opp i tabeller, grafer eller diagrammer av ulike typer.
SELECT-spørringen bruker ulike kommandoer som setter betingelser for informasjonen som skal hentes. Det viktigste å vurdere er at disse kommandoene må brukes i en bestemt rekkefølge, i den rekkefølgen er de oppført nedenfor:
FROM er den eneste kommandoen som kreves i en SELECT-spørring. Den angir typen logger som informasjon må hentes ut fra;
WHERE - ved å bruke denne kommandoen settes betingelsene for loggene (for eksempel et spesifikt navn på applikasjonen / angrepet / viruset);
GROUP BY - denne kommandoen lar deg gruppere informasjon etter en eller flere kolonner av interesse;
ORDER BY - ved å bruke denne kommandoen kan du bestille utdata av informasjon etter linje;
LIMIT – Begrenser antall poster som returneres av spørringen.
FortiAnalyzer inneholder forhåndsdefinerte rapportmaler. Maler er det såkalte rapportoppsettet – de inneholder teksten til rapporten, dens diagrammer og makroer. Ved å bruke maler kan du opprette nye rapporter hvis det kreves minimale endringer i de forhåndsdefinerte. Forhåndsinstallerte rapporter kan imidlertid ikke redigeres eller slettes - du kan klone dem og gjøre de nødvendige endringene på kopien. Det er også mulig å lage egne rapportmaler.
Noen ganger kan du støte på følgende situasjon: en forhåndsdefinert rapport passer til oppgaven, men ikke helt. Kanskje du må legge til litt informasjon til den, eller omvendt fjerne den. I dette tilfellet er det to alternativer: klone og endre malen, eller selve rapporten. Her må du stole på flere faktorer.
Maler er et oppsett for en rapport, de inneholder diagrammer og rapporttekst, ikke noe mer. Selve rapportene inneholder på sin side, i tillegg til den såkalte «layouten», ulike rapportparametere: språk, font, tekstfarge, generasjonsperiode, informasjonsfiltrering og så videre. Derfor, hvis du bare trenger å gjøre endringer i rapportoppsettet, kan du bruke maler. Hvis ytterligere rapportkonfigurasjon er nødvendig, kan du redigere selve rapporten (mer presist, en kopi av den).
Basert på maler kan du lage flere rapporter av samme type, så hvis du må lage mange rapporter som ligner på hverandre, så er det å foretrekke å bruke maler.
I tilfelle de forhåndsinstallerte malene og rapportene ikke passer deg, kan du lage både en ny mal og en ny rapport.
Også på FortiAnalyzer er det mulig å konfigurere sending av rapporter til individuelle administratorer via e-post eller laste dem opp til eksterne servere. Dette gjøres ved å bruke Output Profile-mekanismen. Separate utdataprofiler er konfigurert i hvert administrative domene. Når du konfigurerer en utgangsprofil, er følgende parametere definert:
- Formater for sendte rapporter - PDF, HTML, XML eller CSV;
- Stedet hvor rapportene skal sendes. Dette kan være en administrators e-post (for dette må du binde FortiAnalyzer til en e-postserver, vi dekket dette i forrige leksjon). Det kan også være en ekstern filserver - FTP, SFTP, SCP;
- Du kan velge om du vil beholde eller slette lokale rapporter som er igjen på enheten etter overføringen.
Om nødvendig er det mulig å fremskynde genereringen av rapporter. La oss vurdere to måter:
Når du genererer en rapport, bygger FortiAnalyzer diagrammer fra forhåndskompilerte SQL-bufferdata kjent som hcache. Hvis hcache-dataene ikke opprettes når rapporten kjøres, må systemet først opprette hcachen og deretter bygge rapporten. Dette øker rapportgenereringstiden. Men hvis nye logger for en rapport ikke mottas, når rapporten er regenerert, vil tiden for å generere den bli betydelig redusert, siden hcache-dataene allerede er kompilert.
For å forbedre ytelsen til rapportgenerering kan du aktivere automatisk hcache-generering i rapportinnstillingene. I dette tilfellet oppdateres hcache automatisk når nye logger kommer. Et eksempel på innstilling er vist i figuren nedenfor.
Denne prosessen bruker en stor mengde systemressurser (spesielt for rapporter som krever lang tid å samle inn data), så etter å ha slått den på, må du overvåke statusen til FortiAnalyzer: om belastningen har økt betydelig, om det er en kritisk forbruk av systemressurser. I tilfelle FortiAnalyzer ikke kan takle belastningen, er det bedre å deaktivere denne prosessen.
Det bør også bemerkes at automatisk oppdatering av hcache-data er aktivert som standard for planlagte rapporter.
Den andre måten å få raskere rapportgenerering på er gruppering:
Hvis de samme (eller lignende) rapportene genereres for forskjellige FortiGate (eller andre Fortinet)-enheter, kan du øke hastigheten på genereringsprosessen ved å gruppere dem. Gruppering av rapporter kan redusere antall hcache-tabeller og øke hastigheten på automatisk bufring, noe som resulterer i raskere rapportgenerering.
I eksemplet vist i figuren nedenfor, er rapporter som inneholder strengen Security_Report i navn, gruppert etter Enhets-ID-parameteren.
Videoopplæringen presenterer det teoretiske materialet diskutert ovenfor, samt de praktiske sidene ved å jobbe med rapporter – fra å lage egne datasett og diagrammer, maler og rapporter til å sette opp sending av rapporter til administratorer. Nyt å se!
I neste leksjon vil vi se på ulike aspekter ved FortiAnalyzer-administrasjonen, samt lisensordningen. For ikke å gå glipp av det, abonner på vår .
Du kan også følge oppdateringene på følgende ressurser:
Kilde: www.habr.com