Здраво пријатељи! на научили смо основе рада са евиденцијама на ФортиАнализер-у. Данас ћемо ићи даље и погледати главне аспекте рада са извештајима: шта су извештаји, од чега се састоје, како можете уређивати постојеће извештаје и креирати нове. Као и обично, прво мало теорије, а онда ћемо радити са извештајима у пракси. Испод реза је представљен теоријски део часа, као и видео час који обухвата и теорију и праксу.
Основна сврха извештаја је да комбинују велике количине података садржаних у евиденцији и, на основу доступних подешавања, представе све примљене информације у читљивом облику: у облику графикона, табела, графикона. На слици испод је приказана листа унапред инсталираних извештаја за ФортиГате уређаје (не уклапају се сви извештаји у њу, али мислим да ова листа већ показује да чак и ван кутије можете направити много занимљивих и корисних извештаја).
Али извештаји представљају само тражене информације на читљив начин - не садрже никакве препоруке за даље поступање са пронађеним проблемима.
Главне компоненте извештаја су графикони. Сваки извештај се састоји од једног или више графикона. Графикони одређују које информације треба издвојити из евиденције и у ком формату треба да буду представљене. Скупови података су одговорни за издвајање информација – СЕЛЕЦТ упити бази података. У скуповима података се прецизно одређује одакле и какве информације треба извући. Након што се тражени подаци појаве као резултат захтева, подешавања формата (или приказа) се примењују на њих. Као резултат, добијени подаци се састављају у табеле, графиконе или графиконе различитих типова.
СЕЛЕЦТ упит користи различите команде које постављају услове за преузимање информација. Најважнија ствар коју треба узети у обзир је да се ове команде морају применити одређеним редоследом, тим редоследом су наведене у наставку:
ФРОМ је једина команда која је потребна у СЕЛЕЦТ упиту. Указује на врсту евиденције из којих се информације морају издвојити;
ВХЕРЕ - помоћу ове команде се постављају услови за евиденцију (на пример, одређено име апликације / напада / вируса);
ГРОУП БИ - ова команда вам омогућава да групишете информације по једној или више колона од интереса;
ОРДЕР БИ - помоћу ове наредбе можете наручити излаз информација по редовима;
ЛИМИТ – Ограничава број записа које враћа упит.
ФортиАнализер садржи унапред дефинисане шаблоне извештаја. Шаблони су такозвани изглед извештаја — они садрже текст извештаја, његове графиконе и макрое. Користећи шаблоне, можете креирати нове извештаје ако су потребне минималне промене унапред дефинисаних. Међутим, унапред инсталирани извештаји се не могу мењати или брисати – можете их клонирати и извршити потребне измене на копији. Такође је могуће креирати сопствене шаблоне извештаја.
Понекад можете наићи на следећу ситуацију: унапред дефинисани извештај одговара задатку, али не у потпуности. Можда му треба додати неке информације или, обрнуто, уклонити. У овом случају постоје две опције: клонирајте и промените шаблон, или сам извештај. Овде се морате ослонити на неколико фактора.
Шаблони су изглед извештаја, садрже графиконе и текст извештаја, ништа више. Сами извештаји, заузврат, поред такозваног „изгледа“, садрже различите параметре извештаја: језик, фонт, боју текста, период генерисања, филтрирање информација и тако даље. Стога, ако само треба да промените изглед извештаја, можете користити шаблоне. Ако је потребна додатна конфигурација извештаја, можете уредити сам извештај (тачније, његову копију).
На основу шаблона можете креирати неколико извештаја истог типа, тако да ако морате да направите много извештаја сличних једни другима, онда је пожељно користити шаблоне.
У случају да вам унапред инсталирани шаблони и извештаји не одговарају, можете креирати и нови шаблон и нови извештај.
Такође на ФортиАнализер-у, могуће је конфигурисати слање извештаја појединачним администраторима путем е-поште или њихово постављање на спољне сервере. Ово се ради помоћу механизма Оутпут Профиле. Одвојени излазни профили су конфигурисани у сваком административном домену. Када конфигуришете излазни профил, дефинисани су следећи параметри:
- Формати послатих извештаја - ПДФ, ХТМЛ, КСМЛ или ЦСВ;
- Локација где ће се извештаји слати. Ово може бити администраторска е-пошта (за ово морате да повежете ФортиАнализер са сервером поште, о томе смо говорили у прошлој лекцији). Може бити и екстерни сервер датотека - ФТП, СФТП, СЦП;
- Можете изабрати да ли ћете задржати или избрисати локалне извештаје који су остали на уређају након преноса.
По потреби је могуће убрзати генерисање извештаја. Хајде да размотримо два начина:
Приликом генерисања извештаја, ФортиАнализер гради графиконе од унапред компајлираних података СКЛ кеш меморије познатих као хцацхе. Ако се хцацхе подаци не креирају када се извештај покрене, систем прво мора да креира хцацхе, а затим да направи извештај. Ово повећава време генерисања извештаја. Међутим, ако се не добију нови дневники за извештај, када се извештај поново генерише, време за његово генерисање ће бити значајно смањено, пошто су хцацхе подаци већ састављени.
Да бисте побољшали перформансе генерисања извештаја, можете омогућити аутоматско генерисање хцацхе меморије у подешавањима извештаја. У овом случају, хцацхе се аутоматски ажурира када стигну нови дневники. Пример подешавања је приказан на слици испод.
Овај процес користи велику количину системских ресурса (посебно за извештаје за које је потребно дуго времена за прикупљање података), тако да након укључивања морате да пратите статус ФортиАнализер-а: да ли се оптерећење значајно повећало, да ли постоји критичан потрошња системских ресурса. У случају да ФортиАнализер не може да се носи са оптерећењем, боље је да онемогућите овај процес.
Такође треба напоменути да је аутоматско ажурирање хцацхе података подразумевано омогућено за заказане извештаје.
Други начин да се убрза генерисање извештаја је груписање:
Ако се исти (или слични) извештаји генеришу за различите ФортиГате (или друге Фортинет) уређаје, можете знатно убрзати процес генерисања тако што ћете их груписати. Груписање извештаја може смањити број хцацхе табела и убрзати време аутоматског кеширања, што резултира бржим генерисањем извештаја.
У примеру приказаном на слици испод, извештаји који у својим називима садрже стринг Сецурити_Репорт су груписани према параметру ИД уређаја.
Видео туторијал представља теоријски материјал о коме је горе дискутовано, као и практичне аспекте рада са извештајима – од креирања сопствених скупова података и графикона, шаблона и извештаја до подешавања слања извештаја администраторима. Уживају гледајући!
У следећој лекцији ћемо погледати различите аспекте администрације ФортиАнализер-а, као и његову шему лиценцирања. Да га не бисте пропустили, претплатите се на наш .
Такође можете пратити ажурирања на следећим ресурсима:
Извор: ввв.хабр.цом