Salutări, prieteni! Pe Am învățat elementele de bază ale lucrului cu jurnalele pe FortiAnalyzer. Astăzi vom merge mai departe și vom analiza principalele aspecte ale lucrului cu rapoarte: ce sunt rapoartele, în ce constau, cum puteți edita rapoartele existente și cum puteți crea rapoarte noi. Ca de obicei, mai întâi puțină teorie și apoi vom lucra cu rapoarte în practică. Sub tăietură se află partea teoretică a lecției, precum și o lecție video, care include atât teorie, cât și practică.
Scopul principal al rapoartelor este de a combina cantități mari de date conținute în jurnalele și, pe baza setărilor existente, să prezinte toate informațiile primite într-o formă lizibilă: sub formă de grafice, tabele, diagrame. Figura de mai jos arată o listă de rapoarte preinstalate pentru dispozitivele FortiGate (nu toate rapoartele se încadrează în ea, dar cred că această listă arată deja că chiar și „din cutie” puteți construi multe rapoarte interesante și utile).
Dar rapoartele prezintă doar informațiile solicitate într-o formă care poate fi citită - nu oferă nicio recomandare cu privire la ce trebuie făcut în continuare cu problemele găsite.
Componentele principale ale rapoartelor sunt diagramele. Fiecare raport este format din una sau mai multe diagrame. Diagramele determină ce informații trebuie extrase din jurnale și în ce format ar trebui să fie prezentate. Seturile de date sunt responsabile pentru extragerea informațiilor - interogări SELECT în baza de date. În seturile de date se stabilește cu exactitate unde și ce informații trebuie extrase. Odată ce datele necesare apar ca rezultat al interogării, se aplică acestora setările de format (sau afișare). Ca urmare, datele obținute sunt prezentate în tabele, grafice sau diagrame de diferite tipuri.
O interogare SELECT folosește diverse comenzi pentru a seta condițiile pentru ca informațiile să fie preluate. Cel mai important lucru de luat în considerare este că aceste comenzi trebuie folosite într-o anumită ordine, în această ordine sunt date mai jos:
FROM este singura comandă care este necesară într-o interogare SELECT. Indică tipul de loguri din care trebuie extrase informații;
UNDE - folosind această comandă sunt specificate condiții pentru jurnalele (de exemplu, un nume specific aplicației/atacului/virusului);
GROUP BY - această comandă vă permite să grupați informații după una sau mai multe coloane de interes;
ORDER BY - folosind această comandă puteți ordona ieșirea informațiilor pe rând;
LIMIT — Limitează numărul de înregistrări returnate de interogare.
FortiAnalyzer vine cu șabloane de raportare predefinite. Șabloanele sunt așa-numita aspect al raportului - conțin textul raportului, diagramele și macrocomenzile acestuia. Folosind șabloane, puteți crea rapoarte noi dacă sunt necesare modificări minime la cele predefinite. Cu toate acestea, rapoartele preinstalate nu pot fi editate sau șterse - le puteți clona și face modificările necesare copiei. De asemenea, este posibil să vă creați propriile șabloane pentru rapoarte.
Uneori, puteți întâlni următoarea situație: un raport predefinit se potrivește sarcinii, dar nu complet. Poate că unele informații trebuie adăugate la acesta sau, dimpotrivă, eliminate. În acest caz, există două opțiuni: clonează și modifica șablonul sau raportul în sine. Aici trebuie să te bazezi pe mai mulți factori.
Șabloanele sunt un aspect pentru un raport, conțin diagrame și text de raport, nimic mai mult. Rapoartele în sine, la rândul lor, pe lângă așa-numitul „aspect” conțin diverși parametri ai raportului: limba, fontul, culoarea textului, perioada de generare, filtrarea informațiilor și așa mai departe. Prin urmare, dacă trebuie doar să faceți modificări la aspectul raportului, puteți utiliza șabloane. Dacă este necesară o configurare suplimentară a raportului, puteți edita raportul în sine (sau mai degrabă, o copie a acestuia).
Pe baza șabloanelor, puteți crea mai multe rapoarte de același tip, așa că dacă aveți nevoie să creați mai multe rapoarte care sunt similare între ele, este de preferat să folosiți șabloane.
Dacă șabloanele și rapoartele predefinite nu vă convin, puteți crea atât un șablon nou, cât și un nou raport.
De asemenea, este posibil să configurați FortiAnalyzer să trimită rapoarte administratorilor individuali prin e-mail sau să le încarce pe servere externe. Acest lucru se face folosind mecanismul Profil de ieșire. Profiluri de ieșire separate sunt configurate în fiecare domeniu administrativ. La configurarea Profilului de ieșire, sunt definiți următorii parametri:
- Formate de rapoarte trimise - PDF, HTML, XML sau CSV;
- Locația în care vor fi trimise rapoartele. Acesta ar putea fi e-mailul administratorului (pentru aceasta trebuie să conectați FortiAnalyzer la serverul de e-mail, am tratat acest lucru în ultima lecție). Poate fi și un server de fișiere extern - FTP, SFTP, SCP;
- Puteți specifica ce să faceți cu rapoartele locale care rămân pe dispozitiv după transfer - lăsați-le sau ștergeți-le.
Dacă este necesar, este posibilă accelerarea generării rapoartelor. Să luăm în considerare două moduri:
Atunci când creează un raport, FortiAnalyzer construiește diagrame din datele cache SQL precompilate cunoscute sub numele de hcache. Dacă datele hcache nu sunt create atunci când rulați raportul, sistemul trebuie mai întâi să creeze hcache-ul și apoi să construiască raportul. Acest lucru crește timpul necesar pentru a genera un raport. Cu toate acestea, dacă nu sunt primite noi loguri pentru raport, la regenerarea raportului, timpul de generare a acestuia va fi redus semnificativ, deoarece datele hcache au fost deja compilate.
Pentru a îmbunătăți performanța generării rapoartelor, puteți activa crearea automată a hcache-ului în setările raportului. În acest caz, hcache-ul este actualizat automat când sosesc jurnale noi. Un exemplu de setare este prezentat în figura de mai jos.
Acest proces folosește o cantitate mare de resurse de sistem (în special pentru rapoartele care necesită mult timp pentru a colecta date), astfel încât după activare este necesară monitorizarea stării FortiAnalyzer: dacă încărcarea a crescut semnificativ, dacă există un consum critic de resurse de sistem. Dacă FortiAnalyzer nu poate face față sarcinii, este mai bine să dezactivați acest proces.
De asemenea, trebuie remarcat faptul că reîmprospătarea automată a datelor hcache este activată în mod implicit pentru rapoartele programate.
A doua modalitate de a accelera generarea rapoartelor este gruparea:
Dacă aceleași rapoarte (sau similare) sunt generate pentru diferite dispozitive FortiGate (sau alte dispozitive Fortinet), puteți accelera semnificativ procesul de generare a acestora prin gruparea lor. Gruparea rapoartelor poate reduce numărul de tabele hcache și poate accelera timpul de stocare automată în cache, rezultând o generare mai rapidă a rapoartelor.
În exemplul prezentat în figura de mai jos, rapoartele al căror titlu conține șirul Security_Report sunt grupate după parametrul Device ID.
Tutorialul video prezintă materialul teoretic discutat mai sus și, de asemenea, discută aspecte practice ale lucrului cu rapoarte - de la crearea propriilor seturi de date și diagrame, șabloane și rapoarte până la configurarea trimiterii de rapoarte către administratori. Vizionare placuta!
În lecția următoare, vom analiza diferite aspecte ale administrării FortiAnalyzer, precum și schema de licențiere a acestuia. Pentru a nu-l rata, abonați-vă la site-ul nostru .
De asemenea, puteți urmări actualizările privind următoarele resurse:
Sursa: www.habr.com