Olá amigos! Sobre aprendemos o básico sobre como trabalhar com logs no FortiAnalyzer. Hoje iremos mais longe e veremos os principais aspectos do trabalho com relatórios: o que são relatórios, em que consistem, como você pode editar relatórios existentes e criar novos. Como de costume, primeiro um pouco de teoria e depois trabalharemos com relatórios na prática. Abaixo do corte, é apresentada a parte teórica da aula, além de uma videoaula que inclui teoria e prática.
O principal objetivo dos relatórios é combinar grandes quantidades de dados contidos nos logs e, com base nas configurações disponíveis, apresentar todas as informações recebidas de forma legível: na forma de gráficos, tabelas, gráficos. A figura abaixo mostra uma lista de relatórios pré-instalados para dispositivos FortiGate (nem todos os relatórios cabem nela, mas acho que esta lista já mostra que mesmo fora da caixa você pode criar muitos relatórios interessantes e úteis).
Mas os relatórios apresentam apenas as informações solicitadas de forma legível - não contêm nenhuma recomendação para ações futuras com os problemas encontrados.
Os principais componentes dos relatórios são gráficos. Cada relatório consiste em um ou mais gráficos. Os gráficos determinam quais informações devem ser extraídas dos logs e em que formato devem ser apresentadas. Os conjuntos de dados são responsáveis por extrair informações - consultas SELECT ao banco de dados. É nos conjuntos de dados que se determina com precisão de onde e que tipo de informação precisa ser extraída. Depois que os dados necessários aparecem como resultado da solicitação, as configurações de formato (ou exibição) são aplicadas a eles. Como resultado, os dados obtidos são elaborados em tabelas, gráficos ou tabelas de vários tipos.
A consulta SELECT usa vários comandos que definem as condições para que as informações sejam recuperadas. O mais importante a se considerar é que esses comandos devem ser aplicados em uma ordem específica, nessa ordem estão listados abaixo:
FROM é o único comando necessário em uma consulta SELECT. Indica o tipo de logs dos quais as informações devem ser extraídas;
ONDE - usando este comando, as condições para os logs são definidas (por exemplo, um nome específico do aplicativo / ataque / vírus);
GROUP BY - este comando permite agrupar informações por uma ou mais colunas de interesse;
ORDER BY - usando este comando, você pode ordenar a saída de informações por linha;
LIMIT - Limita o número de registros retornados pela consulta.
O FortiAnalyzer contém modelos de relatório predefinidos. Os modelos são chamados de layout de relatório — eles contêm o texto do relatório, seus gráficos e macros. Usando modelos, você pode criar novos relatórios se forem necessárias alterações mínimas nos predefinidos. No entanto, os relatórios pré-instalados não podem ser editados ou excluídos - você pode cloná-los e fazer as alterações necessárias na cópia. Também é possível criar seus próprios modelos de relatório.
Às vezes, você pode encontrar a seguinte situação: um relatório predefinido se encaixa na tarefa, mas não completamente. Talvez você precise adicionar algumas informações a ele ou, ao contrário, removê-lo. Nesse caso, existem duas opções: clonar e alterar o modelo ou o próprio relatório. Aqui você precisa contar com vários fatores.
Os modelos são um layout para um relatório, eles contêm gráficos e texto de relatório, nada mais. Os próprios relatórios, por sua vez, além do chamado “layout”, contêm diversos parâmetros do relatório: idioma, fonte, cor do texto, período de geração, filtragem de informações e assim por diante. Portanto, se você precisar apenas fazer alterações no layout do relatório, poderá usar modelos. Se for necessária uma configuração de relatório adicional, você pode editar o próprio relatório (mais precisamente, uma cópia dele).
Com base em modelos, você pode criar vários relatórios do mesmo tipo; portanto, se precisar fazer muitos relatórios semelhantes entre si, é preferível usar modelos.
Caso os modelos e relatórios pré-instalados não sejam adequados para você, você pode criar um novo modelo e um novo relatório.
Também no FortiAnalyzer, é possível configurar o envio de relatórios para administradores individuais por e-mail ou carregá-los em servidores externos. Isso é feito usando o mecanismo de perfil de saída. Perfis de saída separados são configurados em cada domínio administrativo. Ao configurar um perfil de saída, os seguintes parâmetros são definidos:
- Formatos dos relatórios enviados - PDF, HTML, XML ou CSV;
- O local para onde os relatórios serão enviados. Pode ser o e-mail de um administrador (para isso, você precisa vincular o FortiAnalyzer a um servidor de e-mail, abordamos isso na última lição). Também pode ser um servidor de arquivos externo - FTP, SFTP, SCP;
- Você pode optar por manter ou excluir os relatórios locais deixados no dispositivo após a transferência.
Caso necessário, é possível agilizar a geração de relatórios. Vamos considerar duas maneiras:
Ao gerar um relatório, o FortiAnalyzer cria gráficos a partir de dados de cache SQL pré-compilados, conhecidos como hcache. Se os dados do hcache não forem criados quando o relatório for executado, o sistema deverá primeiro criar o hcache e, em seguida, construir o relatório. Isso aumenta o tempo de geração do relatório. No entanto, se novos logs para um relatório não forem recebidos, quando o relatório for gerado novamente, o tempo para gerá-lo será significativamente reduzido, pois os dados do hcache já foram compilados.
Para melhorar o desempenho da geração de relatórios, você pode habilitar a geração automática de hcache nas configurações do relatório. Nesse caso, o hcache é atualizado automaticamente quando novos logs chegam. Um exemplo de configuração é mostrado na figura abaixo.
Este processo usa uma grande quantidade de recursos do sistema (especialmente para relatórios que exigem muito tempo para coletar dados); portanto, após ligá-lo, você precisa monitorar o status do FortiAnalyzer: se a carga aumentou significativamente, se há um crítico consumo de recursos do sistema. Caso o FortiAnalyzer não consiga lidar com a carga, é melhor desabilitar esse processo.
Também deve ser observado que a atualização automática dos dados hcache é habilitada por padrão para relatórios agendados.
A segunda maneira de acelerar a geração de relatórios é agrupar:
Se os mesmos relatórios (ou semelhantes) estiverem sendo gerados para diferentes dispositivos FortiGate (ou outro Fortinet), você pode acelerar bastante o processo de geração agrupando-os. O agrupamento de relatórios pode reduzir o número de tabelas hcache e acelerar os tempos de cache automático, resultando em geração de relatórios mais rápida.
No exemplo mostrado na figura abaixo, os relatórios que contêm a string Security_Report em seus nomes são agrupados pelo parâmetro Device ID.
O tutorial em vídeo apresenta o material teórico discutido acima e também discute os aspectos práticos do trabalho com relatórios - desde a criação de seus próprios conjuntos de dados e gráficos, modelos e relatórios até a configuração do envio de relatórios aos administradores. Divirta-se assistindo!
Na próxima lição, veremos vários aspectos da administração do FortiAnalyzer, bem como seu esquema de licenciamento. Para não perder, inscreva-se em nosso .
Você também pode acompanhar as atualizações nos seguintes recursos:
Fonte: habr.com