สวัสดีเพื่อน! บน เราได้เรียนรู้พื้นฐานการทำงานกับบันทึกบน FortiAnalyzer วันนี้เราจะไปเพิ่มเติมและดูประเด็นหลักของการทำงานกับรายงาน: รายงานคืออะไร ประกอบด้วยอะไรบ้าง คุณจะแก้ไขรายงานที่มีอยู่และสร้างรายงานใหม่ได้อย่างไร ตามปกติก่อนอื่นเราจะทำงานกับรายงานในทางปฏิบัติ ภายใต้การตัด นำเสนอภาคทฤษฎีของบทเรียน รวมถึงบทเรียนวิดีโอที่มีทั้งภาคทฤษฎีและภาคปฏิบัติ
วัตถุประสงค์หลักของรายงานคือการรวมข้อมูลจำนวนมากที่อยู่ในบันทึกและนำเสนอข้อมูลทั้งหมดที่ได้รับในรูปแบบที่อ่านได้: ในรูปแบบของกราฟ ตาราง แผนภูมิ ตามการตั้งค่าที่มีอยู่ รูปด้านล่างแสดงรายการรายงานที่ติดตั้งไว้ล่วงหน้าสำหรับอุปกรณ์ FortiGate (ไม่ใช่ทุกรายงานที่เข้าเกณฑ์ แต่ฉันคิดว่ารายการนี้แสดงให้เห็นแล้วว่าแม้จะแกะกล่องออกมา คุณก็สามารถสร้างรายงานที่น่าสนใจและมีประโยชน์มากมายได้)
แต่รายงานนำเสนอเฉพาะข้อมูลที่ร้องขอในลักษณะที่อ่านได้เท่านั้น - ไม่มีคำแนะนำสำหรับการดำเนินการเพิ่มเติมกับปัญหาที่พบ
องค์ประกอบหลักของรายงานคือแผนภูมิ รายงานแต่ละฉบับประกอบด้วยแผนภูมิอย่างน้อยหนึ่งรายการ แผนภูมิกำหนดว่าข้อมูลใดควรแยกออกจากบันทึกและควรนำเสนอในรูปแบบใด ชุดข้อมูลมีหน้าที่ในการแยกข้อมูล - แบบสอบถาม SELECT ไปยังฐานข้อมูล อยู่ในชุดข้อมูลที่กำหนดอย่างแม่นยำจากตำแหน่งและประเภทข้อมูลที่ต้องดึงออกมา หลังจากที่ข้อมูลที่จำเป็นปรากฏขึ้นตามผลลัพธ์ของคำขอ การตั้งค่ารูปแบบ (หรือการแสดงผล) จะถูกนำไปใช้กับข้อมูลเหล่านั้น เป็นผลให้ข้อมูลที่ได้มาถูกวาดเป็นตาราง กราฟ หรือแผนภูมิประเภทต่างๆ
แบบสอบถาม SELECT ใช้คำสั่งต่าง ๆ ที่กำหนดเงื่อนไขสำหรับการดึงข้อมูล สิ่งที่สำคัญที่สุดที่ต้องพิจารณาคือ คำสั่งเหล่านี้จะต้องนำไปใช้ในลำดับเฉพาะ ตามลำดับที่แสดงไว้ด้านล่าง:
FROM เป็นคำสั่งเดียวที่จำเป็นในแบบสอบถาม SELECT ระบุประเภทของบันทึกที่ต้องแยกข้อมูล
ที่ไหน - ใช้คำสั่งนี้ เงื่อนไขสำหรับบันทึกถูกตั้งค่า (เช่น ชื่อเฉพาะของแอปพลิเคชัน / โจมตี / ไวรัส)
GROUP BY - คำสั่งนี้อนุญาตให้คุณจัดกลุ่มข้อมูลตามคอลัมน์ที่สนใจตั้งแต่หนึ่งคอลัมน์ขึ้นไป
ORDER BY - ใช้คำสั่งนี้ คุณสามารถสั่งเอาต์พุตของข้อมูลทีละบรรทัด
LIMIT - จำกัดจำนวนระเบียนที่ส่งคืนโดยแบบสอบถาม
FortiAnalyzer มีเทมเพลตรายงานที่กำหนดไว้ล่วงหน้า เทมเพลตคือสิ่งที่เรียกว่าเค้าโครงรายงาน ซึ่งมีข้อความของรายงาน แผนภูมิ และมาโคร เมื่อใช้เทมเพลต คุณสามารถสร้างรายงานใหม่ได้หากจำเป็นต้องทำการเปลี่ยนแปลงเล็กน้อยกับรายงานที่กำหนดไว้ล่วงหน้า อย่างไรก็ตาม ไม่สามารถแก้ไขหรือลบรายงานที่ติดตั้งไว้ล่วงหน้าได้ คุณสามารถโคลนและทำการเปลี่ยนแปลงที่จำเป็นในสำเนาได้ นอกจากนี้ยังสามารถสร้างเทมเพลตรายงานของคุณเองได้อีกด้วย
บางครั้งคุณอาจพบสถานการณ์ต่อไปนี้: รายงานที่กำหนดไว้ล่วงหน้าเหมาะกับงาน แต่ไม่สมบูรณ์ บางทีคุณอาจต้องเพิ่มข้อมูลบางอย่างลงไป หรือในทางกลับกัน ลบข้อมูลนั้นออก ในกรณีนี้ มีสองตัวเลือก: โคลนและเปลี่ยนแม่แบบ หรือตัวรายงานเอง ที่นี่คุณต้องพึ่งพาปัจจัยหลายประการ
เทมเพลตเป็นเค้าโครงสำหรับรายงาน ประกอบด้วยแผนภูมิและข้อความรายงาน ไม่มีอะไรเพิ่มเติม ตัวรายงานเอง ในทางกลับกัน นอกเหนือจากสิ่งที่เรียกว่า "เลย์เอาต์" แล้ว ยังมีพารามิเตอร์ต่างๆ ของรายงาน: ภาษา แบบอักษร สีข้อความ ระยะเวลาการสร้าง การกรองข้อมูล และอื่นๆ ดังนั้น หากคุณเพียงต้องการเปลี่ยนแปลงโครงร่างรายงาน คุณสามารถใช้เทมเพลตได้ หากต้องการกำหนดค่ารายงานเพิ่มเติม คุณสามารถแก้ไขรายงานได้เอง (ให้ชัดเจนยิ่งขึ้นคือทำสำเนาของรายงาน)
ตามเทมเพลต คุณสามารถสร้างรายงานประเภทเดียวกันได้หลายฉบับ ดังนั้นหากคุณต้องสร้างรายงานจำนวนมากที่คล้ายกัน ควรใช้เทมเพลต
ในกรณีที่เทมเพลตและรายงานที่ติดตั้งล่วงหน้าไม่เหมาะกับคุณ คุณสามารถสร้างทั้งเทมเพลตใหม่และรายงานใหม่ได้
นอกจากนี้ บน FortiAnalyzer ยังสามารถกำหนดค่าการส่งรายงานไปยังผู้ดูแลระบบแต่ละคนทางอีเมลหรืออัปโหลดไปยังเซิร์ฟเวอร์ภายนอกได้ สิ่งนี้ทำได้โดยใช้กลไกโปรไฟล์เอาต์พุต มีการกำหนดค่าโปรไฟล์เอาต์พุตแยกต่างหากในแต่ละโดเมนการดูแลระบบ เมื่อกำหนดค่าโปรไฟล์เอาต์พุต จะมีการกำหนดพารามิเตอร์ต่อไปนี้:
- รูปแบบของรายงานที่ส่ง - PDF, HTML, XML หรือ CSV;
- ตำแหน่งที่จะส่งรายงาน นี่อาจเป็นอีเมลของผู้ดูแลระบบ (สำหรับสิ่งนี้ คุณต้องผูก FortiAnalyzer กับเซิร์ฟเวอร์อีเมล เราได้กล่าวถึงเรื่องนี้ในบทเรียนที่แล้ว) นอกจากนี้ยังสามารถเป็นไฟล์เซิร์ฟเวอร์ภายนอก - FTP, SFTP, SCP;
- คุณสามารถเลือกได้ว่าจะเก็บหรือลบรายงานในเครื่องที่ค้างอยู่ในอุปกรณ์หลังการถ่ายโอน
หากจำเป็น คุณสามารถเพิ่มความเร็วในการสร้างรายงานได้ ลองพิจารณาสองวิธี:
เมื่อสร้างรายงาน FortiAnalyzer จะสร้างแผนภูมิจากข้อมูลแคช SQL ที่คอมไพล์แล้วซึ่งเรียกว่า hcache หากไม่ได้สร้างข้อมูล hcache เมื่อเรียกใช้รายงาน ระบบจะต้องสร้าง hcache ก่อนแล้วจึงสร้างรายงาน สิ่งนี้จะเพิ่มเวลาในการสร้างรายงาน อย่างไรก็ตาม หากไม่ได้รับบันทึกใหม่สำหรับรายงาน เมื่อสร้างรายงานใหม่แล้ว เวลาในการสร้างรายงานจะลดลงอย่างมาก เนื่องจากข้อมูล hcache ได้ถูกคอมไพล์แล้ว
หากต้องการปรับปรุงประสิทธิภาพของการสร้างรายงาน คุณสามารถเปิดใช้งานการสร้าง hcache อัตโนมัติในการตั้งค่ารายงาน ในกรณีนี้ hcache จะอัปเดตโดยอัตโนมัติเมื่อมีบันทึกใหม่เข้ามา ตัวอย่างการตั้งค่าแสดงในรูปด้านล่าง
กระบวนการนี้ใช้ทรัพยากรระบบจำนวนมาก (โดยเฉพาะอย่างยิ่งสำหรับรายงานที่ต้องใช้เวลานานในการรวบรวมข้อมูล) ดังนั้นหลังจากเปิดใช้งาน คุณต้องตรวจสอบสถานะของ FortiAnalyzer ว่าโหลดเพิ่มขึ้นอย่างมีนัยสำคัญหรือไม่ มีวิกฤตหรือไม่ การใช้ทรัพยากรระบบ ในกรณีที่ FortiAnalyzer ไม่สามารถรับมือกับโหลดได้ จะเป็นการดีกว่าหากปิดใช้งานกระบวนการนี้
ควรสังเกตด้วยว่าการอัปเดตข้อมูล hcache อัตโนมัตินั้นเปิดใช้งานตามค่าเริ่มต้นสำหรับรายงานที่ตั้งเวลาไว้
วิธีที่สองเพื่อเพิ่มความเร็วในการสร้างรายงานคือการจัดกลุ่ม:
หากมีการสร้างรายงานเดียวกัน (หรือคล้ายกัน) สำหรับอุปกรณ์ FortiGate (หรือ Fortinet อื่นๆ) ที่แตกต่างกัน คุณสามารถเร่งกระบวนการสร้างได้อย่างมากโดยการจัดกลุ่ม การจัดกลุ่มรายงานสามารถลดจำนวนตาราง hcache และเพิ่มความเร็วในการแคชอัตโนมัติ ส่งผลให้การสร้างรายงานเร็วขึ้น
ในตัวอย่างที่แสดงในรูปด้านล่าง รายงานที่มีสตริง Security_Report ในชื่อจะถูกจัดกลุ่มตามพารามิเตอร์ Device ID
วิดีโอบทช่วยสอนนำเสนอเนื้อหาเชิงทฤษฎีที่กล่าวถึงข้างต้น ตลอดจนแง่มุมเชิงปฏิบัติของการทำงานกับรายงาน ตั้งแต่การสร้างชุดข้อมูลและแผนภูมิ เทมเพลต และรายงานของคุณเอง ไปจนถึงการตั้งค่าการส่งรายงานไปยังผู้ดูแลระบบ สนุกกับการดู!
ในบทเรียนถัดไป เราจะพิจารณาแง่มุมต่างๆ ของการดูแลระบบ FortiAnalyzer รวมถึงรูปแบบการให้สิทธิ์การใช้งาน เพื่อไม่ให้พลาดสมัครเป็นสมาชิกของเรา .
คุณยังสามารถติดตามการอัปเดตได้จากแหล่งข้อมูลต่อไปนี้:
ที่มา: will.com