Cześć przyjaciele! NA nauczyliśmy się podstaw pracy z dziennikami w FortiAnalyzer. Dzisiaj pójdziemy dalej i przyjrzymy się głównym aspektom pracy z raportami: czym są raporty, z czego się składają, jak można edytować istniejące raporty i tworzyć nowe. Jak zwykle najpierw trochę teorii, a potem zajmiemy się raportami w praktyce. Pod wycięciem prezentowana jest teoretyczna część lekcji, a także lekcja wideo, która obejmuje zarówno teorię, jak i praktykę.
Głównym celem raportów jest połączenie dużej ilości danych zawartych w logach i na podstawie dostępnych ustawień przedstawienie wszystkich otrzymanych informacji w czytelnej formie: w postaci wykresów, tabel, wykresów. Poniższy rysunek przedstawia listę wstępnie zainstalowanych raportów dla urządzeń FortiGate (nie wszystkie raporty się w niej mieszczą, ale myślę, że ta lista już pokazuje, że nawet po wyjęciu z pudełka można zbudować wiele ciekawych i przydatnych raportów).
Ale raporty przedstawiają tylko żądane informacje w czytelny sposób - nie zawierają żadnych zaleceń co do dalszego postępowania ze stwierdzonymi problemami.
Głównymi składnikami raportów są wykresy. Każdy raport składa się z co najmniej jednego wykresu. Wykresy określają, jakie informacje powinny być wydobywane z logów iw jakim formacie powinny być prezentowane. Za wydobywanie informacji odpowiadają zbiory danych – zapytania SELECT do bazy danych. To właśnie w zbiorach danych jest precyzyjnie określone, skąd i jakiego rodzaju informacje należy wydobyć. Po pojawieniu się wymaganych danych w wyniku żądania, ustawienia formatu (lub wyświetlania) są do nich stosowane. W efekcie uzyskane dane zestawione są w tabelach, wykresach czy wykresach różnego typu.
Zapytanie SELECT wykorzystuje różne polecenia, które określają warunki pobierania informacji. Najważniejszą rzeczą do rozważenia jest to, że te polecenia muszą być stosowane w określonej kolejności, w tej kolejności są one wymienione poniżej:
FROM jest jedynym poleceniem wymaganym w zapytaniu SELECT. Wskazuje typ dzienników, z których należy wyodrębnić informacje;
GDZIE – za pomocą tego polecenia ustawiane są warunki dla logów (np. określona nazwa aplikacji / ataku / wirusa);
GROUP BY - to polecenie umożliwia grupowanie informacji według jednej lub kilku interesujących kolumn;
ORDER BY - za pomocą tego polecenia możesz uporządkować wyjście informacji według linii;
LIMIT — ogranicza liczbę rekordów zwracanych przez zapytanie.
FortiAnalyzer zawiera predefiniowane szablony raportów. Szablony to tzw. układ raportu — zawierają tekst raportu, jego wykresy oraz makra. Korzystając z szablonów, możesz tworzyć nowe raporty, jeśli wymagane są minimalne zmiany w stosunku do wstępnie zdefiniowanych. Jednak preinstalowanych raportów nie można edytować ani usuwać - można je sklonować i wprowadzić niezbędne zmiany na kopii. Możliwe jest również tworzenie własnych szablonów raportów.
Czasami możesz spotkać się z następującą sytuacją: predefiniowany raport pasuje do zadania, ale nie do końca. Być może musisz dodać do niego jakieś informacje lub odwrotnie, usunąć je. W tym przypadku są dwie opcje: sklonuj i zmień szablon lub sam raport. Tutaj musisz polegać na kilku czynnikach.
Szablony to układ raportu, zawierają wykresy i tekst raportu, nic więcej. Same raporty z kolei oprócz tzw. „układu” zawierają różne parametry raportu: język, czcionkę, kolor tekstu, okres generowania, filtrowanie informacji i tak dalej. Dlatego jeśli potrzebujesz tylko wprowadzić zmiany w układzie raportu, możesz użyć szablonów. Jeśli potrzebna jest dodatkowa konfiguracja raportu, możesz edytować sam raport (a dokładniej jego kopię).
W oparciu o szablony można utworzyć kilka raportów tego samego typu, więc jeśli trzeba wykonać wiele podobnych do siebie raportów, lepiej jest skorzystać z szablonów.
W przypadku, gdy preinstalowane szablony i raporty Ci nie odpowiadają, możesz utworzyć zarówno nowy szablon, jak i nowy raport.
Również w FortiAnalyzer istnieje możliwość skonfigurowania wysyłania raportów do poszczególnych administratorów pocztą e-mail lub przesyłania ich na zewnętrzne serwery. Odbywa się to za pomocą mechanizmu profilu wyjściowego. W każdej domenie administracyjnej konfigurowane są oddzielne profile wyjściowe. Podczas konfigurowania profilu wyjściowego definiowane są następujące parametry:
- Formaty wysyłanych raportów - PDF, HTML, XML lub CSV;
- Lokalizacja, do której będą wysyłane raporty. Może to być adres e-mail administratora (w tym celu należy powiązać FortiAnalyzer z serwerem pocztowym, omówiliśmy to w ostatniej lekcji). Może to być również zewnętrzny serwer plików - FTP, SFTP, SCP;
- Możesz wybrać, czy chcesz zachować, czy usunąć lokalne raporty pozostawione na urządzeniu po przesłaniu.
W razie potrzeby istnieje możliwość przyspieszenia generowania raportów. Rozważmy dwa sposoby:
Podczas generowania raportu FortiAnalyzer tworzy wykresy na podstawie prekompilowanych danych z pamięci podręcznej SQL, znanych jako hcache. Jeśli dane hcache nie zostaną utworzone podczas uruchamiania raportu, system musi najpierw utworzyć hcache, a następnie zbudować raport. Wydłuża to czas generowania raportu. Jeśli jednak nowe logi do raportu nie zostaną odebrane, podczas ponownego generowania raportu czas jego wygenerowania zostanie znacznie skrócony, ponieważ dane hcache zostały już skompilowane.
Aby poprawić wydajność generowania raportów, możesz włączyć automatyczne generowanie hcache w ustawieniach raportów. W takim przypadku hcache jest automatycznie aktualizowany po nadejściu nowych dzienników. Przykładowe ustawienie pokazano na poniższym rysunku.
Proces ten zużywa dużą ilość zasobów systemowych (zwłaszcza w przypadku raportów, które wymagają długiego czasu na zebranie danych), dlatego po jego włączeniu należy monitorować stan FortiAnalyzer: czy znacznie wzrosło obciążenie, czy wystąpiła krytyczna zużycie zasobów systemowych. W przypadku, gdy FortiAnalyzer nie radzi sobie z obciążeniem, lepiej wyłączyć ten proces.
Należy również zauważyć, że automatyczne aktualizowanie danych hcache jest domyślnie włączone dla zaplanowanych raportów.
Drugim sposobem na przyspieszenie generowania raportów jest grupowanie:
Jeśli te same (lub podobne) raporty są generowane dla różnych urządzeń FortiGate (lub innych urządzeń Fortinet), możesz znacznie przyspieszyć proces generowania, grupując je. Grupowanie raportów może zmniejszyć liczbę tabel hcache i przyspieszyć czas automatycznego buforowania, co skutkuje szybszym generowaniem raportów.
W przykładzie pokazanym na poniższym rysunku raporty zawierające w nazwie ciąg Security_Report są pogrupowane według parametru Identyfikator urządzenia.
Samouczek wideo przedstawia omówiony powyżej materiał teoretyczny, a także praktyczne aspekty pracy z raportami – od tworzenia własnych zestawów danych i wykresów, szablonów i raportów, po konfigurację wysyłania raportów do administratorów. Miłego oglądania!
W następnej lekcji przyjrzymy się różnym aspektom administrowania FortiAnalyzer, a także jego schematowi licencjonowania. Aby go nie przegapić, zapisz się do naszego .
Możesz także śledzić aktualizacje w następujących zasobach:
Źródło: www.habr.com