Pozdravljeni prijatelji! Vklopljeno spoznali smo osnove dela z dnevniki na FortiAnalyzerju. Danes bomo šli dlje in si ogledali glavne vidike dela s poročili: kaj so poročila, iz česa so sestavljena, kako lahko uredite obstoječa poročila in ustvarite nova. Kot običajno, najprej malo teorije, nato pa bomo s poročili delali v praksi. Pod rezom je predstavljen teoretični del lekcije ter video lekcija, ki vključuje tako teorijo kot prakso.
Glavni namen poročil je združiti velike količine podatkov v dnevnikih in na podlagi razpoložljivih nastavitev prikazati vse prejete informacije v berljivi obliki: v obliki grafov, tabel, grafikonov. Spodnja slika prikazuje seznam vnaprej nameščenih poročil za naprave FortiGate (vsa poročila ne sodijo vanj, vendar menim, da ta seznam že kaže, da lahko tudi izven škatle sestavite veliko zanimivih in uporabnih poročil).
A poročila zgolj berljivo predstavljajo zahtevane informacije – ne vsebujejo priporočil za nadaljnje ukrepanje ob ugotovljenih težavah.
Glavni sestavni deli poročil so grafikoni. Vsako poročilo je sestavljeno iz enega ali več grafikonov. Grafikoni določajo, katere informacije je treba izvleči iz dnevnikov in v kakšni obliki morajo biti predstavljene. Nabori podatkov so odgovorni za pridobivanje informacij - poizvedbe SELECT v bazo podatkov. V zbirkah podatkov je natančno določeno, od kod in kakšne informacije je treba črpati. Ko se zahtevani podatki prikažejo kot rezultat zahteve, se zanje uporabijo nastavitve oblike (ali prikaza). Posledično so pridobljeni podatki sestavljeni v tabelah, grafih ali diagramih različnih vrst.
Poizvedba SELECT uporablja različne ukaze, ki določajo pogoje za pridobitev informacij. Najpomembnejša stvar, ki jo morate upoštevati, je, da je treba te ukaze uporabiti v določenem vrstnem redu, v tem vrstnem redu so navedeni spodaj:
FROM je edini ukaz, ki je potreben v poizvedbi SELECT. Označuje vrsto dnevnikov, iz katerih je treba pridobiti informacije;
WHERE - s tem ukazom se nastavijo pogoji za dnevnike (na primer določeno ime aplikacije / napada / virusa);
GROUP BY - ta ukaz vam omogoča združevanje informacij po enem ali več stolpcih, ki vas zanimajo;
ORDER BY - s tem ukazom lahko naročite izpis informacij po vrstici;
OMEJITEV – omeji število zapisov, ki jih vrne poizvedba.
FortiAnalyzer vsebuje vnaprej določene predloge poročil. Predloge so tako imenovana postavitev poročila — vsebujejo besedilo poročila, njegove grafikone in makre. S predlogami lahko ustvarite nova poročila, če so potrebne minimalne spremembe vnaprej določenih. Vendar vnaprej nameščenih poročil ni mogoče urejati ali brisati – lahko jih klonirate in naredite potrebne spremembe na kopiji. Prav tako je mogoče ustvariti lastne predloge poročil.
Včasih lahko naletite na naslednjo situacijo: vnaprej določeno poročilo ustreza nalogi, vendar ne v celoti. Morda mu morate dodati nekaj informacij ali, nasprotno, odstraniti. V tem primeru sta na voljo dve možnosti: kloniranje in sprememba predloge ali samo poročilo. Tukaj se morate zanašati na več dejavnikov.
Predloge so postavitev za poročilo, vsebujejo grafikone in besedilo poročila, nič drugega. Sama poročila pa poleg tako imenovane "postavitve" vsebujejo različne parametre poročila: jezik, pisavo, barvo besedila, obdobje generiranja, filtriranje informacij itd. Če torej želite spremeniti samo postavitev poročila, lahko uporabite predloge. Če je potrebna dodatna konfiguracija poročila, lahko uredite samo poročilo (natančneje njegovo kopijo).
Na podlagi predlog lahko ustvarite več poročil iste vrste, tako da če morate narediti veliko podobnih poročil, potem je bolje uporabiti predloge.
V primeru, da vam prednameščene predloge in poročila ne ustrezajo, lahko ustvarite novo predlogo in novo poročilo.
Tudi na FortiAnalyzerju je mogoče konfigurirati pošiljanje poročil posameznim skrbnikom po e-pošti ali nalaganje na zunanje strežnike. To se izvede z uporabo mehanizma Output Profile. V vsaki upravni domeni so konfigurirani ločeni izhodni profili. Pri konfiguriranju izhodnega profila so definirani naslednji parametri:
- Formati poslanih poročil - PDF, HTML, XML ali CSV;
- Lokacija, kamor bodo poslana poročila. To je lahko administratorjeva e-pošta (za to morate FortiAnalyzer povezati s poštnim strežnikom, o tem smo govorili v prejšnji lekciji). Lahko je tudi zunanji datotečni strežnik - FTP, SFTP, SCP;
- Izberete lahko, ali želite obdržati ali izbrisati lokalna poročila, ki ostanejo v napravi po prenosu.
Po potrebi je možno pospešiti generiranje poročil. Razmislimo o dveh načinih:
Pri ustvarjanju poročila FortiAnalyzer gradi grafikone iz vnaprej prevedenih podatkov predpomnilnika SQL, znanih kot hcache. Če podatki hcache niso ustvarjeni, ko se poročilo izvaja, mora sistem najprej ustvariti hcache in nato sestaviti poročilo. S tem se podaljša čas generiranja poročila. Če pa novi dnevniki za poročilo niso prejeti, se bo ob ponovnem generiranju poročila čas za njegovo generiranje znatno zmanjšal, saj so bili podatki hcache že zbrani.
Če želite izboljšati učinkovitost generiranja poročil, lahko omogočite samodejno generiranje hcache v nastavitvah poročila. V tem primeru se hcache samodejno posodobi, ko prispejo novi dnevniki. Primer nastavitve je prikazan na spodnji sliki.
Ta postopek uporablja veliko sistemskih virov (zlasti za poročila, ki zahtevajo dolgo časa za zbiranje podatkov), zato morate po vklopu spremljati stanje FortiAnalyzerja: ali se je obremenitev znatno povečala, ali obstaja kritičen poraba sistemskih virov. Če FortiAnalyzer ne more obvladati obremenitve, je bolje, da onemogočite ta postopek.
Upoštevati je treba tudi, da je samodejno posodabljanje podatkov hcache privzeto omogočeno za načrtovana poročila.
Drugi način za pospešitev generiranja poročil je združevanje:
Če se enaka (ali podobna) poročila generirajo za različne naprave FortiGate (ali druge Fortinet), lahko močno pospešite postopek generiranja tako, da jih združite. Združevanje poročil lahko zmanjša število tabel hcache in pospeši čas samodejnega predpomnjenja, kar povzroči hitrejše ustvarjanje poročil.
V primeru, prikazanem na spodnji sliki, so poročila, ki v svojem imenu vsebujejo niz Security_Report, združena po parametru ID naprave.
Video vadnica predstavlja zgoraj obravnavano teoretično gradivo, pa tudi praktične vidike dela s poročili - od ustvarjanja lastnih naborov podatkov in grafikonov, predlog in poročil do nastavitve pošiljanja poročil skrbnikom. Uživajte ob gledanju!
V naslednji lekciji si bomo ogledali različne vidike upravljanja FortiAnalyzerja, pa tudi njegovo shemo licenciranja. Da tega ne zamudite, se naročite na našo .
Prav tako lahko spremljate posodobitve na naslednjih virih:
Vir: www.habr.com