Kumusta Mga Kaibigan! Naka-on natutunan namin ang mga pangunahing kaalaman sa pagtatrabaho sa mga log sa FortiAnalyzer. Ngayon ay lalakad pa tayo at titingnan ang mga pangunahing aspeto ng pagtatrabaho sa mga ulat: kung ano ang mga ulat, kung ano ang binubuo ng mga ito, kung paano ka makakapag-edit ng mga kasalukuyang ulat at makakagawa ng mga bago. Gaya ng dati, unang isang maliit na teorya, at pagkatapos ay gagana kami sa mga ulat sa pagsasanay. Sa ilalim ng hiwa, ipinakita ang teoretikal na bahagi ng aralin, pati na rin ang isang aralin sa video na kinabibilangan ng parehong teorya at kasanayan.
Ang pangunahing layunin ng mga ulat ay pagsamahin ang malalaking halaga ng data na nilalaman sa mga log at, batay sa magagamit na mga setting, ipakita ang lahat ng impormasyong natanggap sa isang nababasang anyo: sa anyo ng mga graph, talahanayan, tsart. Ang figure sa ibaba ay nagpapakita ng isang listahan ng mga paunang naka-install na ulat para sa mga FortiGate device (hindi lahat ng mga ulat ay angkop dito, ngunit sa palagay ko ang listahang ito ay nagpapakita na kahit na sa labas ng kahon maaari kang bumuo ng maraming kawili-wili at kapaki-pakinabang na mga ulat).
Ngunit ang mga ulat ay nagpapakita lamang ng hiniling na impormasyon sa isang nababasang paraan - ang mga ito ay hindi naglalaman ng anumang mga rekomendasyon para sa karagdagang aksyon sa mga problemang natagpuan.
Ang mga pangunahing bahagi ng mga ulat ay mga tsart. Ang bawat ulat ay binubuo ng isa o higit pang mga chart. Tinutukoy ng mga tsart kung anong impormasyon ang dapat kunin mula sa mga log at sa anong format ito dapat ipakita. Ang mga dataset ay responsable para sa pagkuha ng impormasyon - PUMILI ng mga query sa database. Nasa mga dataset na ito ay tiyak na tinutukoy mula sa kung saan at kung anong uri ng impormasyon ang kailangang makuha. Pagkatapos lumabas ang kinakailangang data bilang resulta ng kahilingan, ilalapat sa kanila ang mga setting ng format (o display). Bilang resulta, ang mga datos na nakuha ay iginuhit sa mga talahanayan, graph o tsart ng iba't ibang uri.
Gumagamit ang SELECT query ng iba't ibang command na nagtatakda ng mga kundisyon para makuha ang impormasyon. Ang pinakamahalagang bagay na dapat isaalang-alang ay ang mga utos na ito ay dapat ilapat sa isang partikular na pagkakasunud-sunod, sa pagkakasunud-sunod na ito ay nakalista sa ibaba:
FROM ay ang tanging utos na kinakailangan sa isang SELECT query. Ipinapahiwatig nito ang uri ng mga log kung saan dapat kunin ang impormasyon;
SAAN - gamit ang utos na ito, ang mga kondisyon para sa mga log ay nakatakda (halimbawa, isang tiyak na pangalan ng application / pag-atake / virus);
GROUP BY - ang utos na ito ay nagpapahintulot sa iyo na pangkatin ang impormasyon sa pamamagitan ng isa o higit pang mga hanay ng interes;
ORDER BY - gamit ang command na ito, maaari kang mag-order ng output ng impormasyon sa pamamagitan ng linya;
LIMIT - Nililimitahan ang bilang ng mga tala na ibinalik ng query.
Naglalaman ang FortiAnalyzer ng mga paunang natukoy na template ng ulat. Ang mga template ay ang tinatawag na layout ng ulat β naglalaman ang mga ito ng teksto ng ulat, mga chart at macro nito. Gamit ang mga template, maaari kang lumikha ng mga bagong ulat kung kailangan ng kaunting pagbabago sa mga paunang natukoy. Gayunpaman, ang mga paunang na-install na ulat ay hindi maaaring i-edit o tanggalin - maaari mong i-clone ang mga ito at gawin ang mga kinakailangang pagbabago sa kopya. Posible ring lumikha ng iyong sariling mga template ng ulat.
Minsan maaari kang makatagpo ng sumusunod na sitwasyon: ang isang paunang natukoy na ulat ay akma sa gawain, ngunit hindi ganap. Marahil ay kailangan mong magdagdag ng ilang impormasyon dito, o, sa kabaligtaran, alisin ito. Sa kasong ito, mayroong dalawang pagpipilian: i-clone at baguhin ang template, o ang ulat mismo. Dito kailangan mong umasa sa ilang mga kadahilanan.
Ang mga template ay isang layout para sa isang ulat, naglalaman ang mga ito ng mga tsart at teksto ng ulat, wala nang iba pa. Ang mga ulat mismo, sa turn, bilang karagdagan sa tinatawag na "layout", ay naglalaman ng iba't ibang mga parameter ng ulat: wika, font, kulay ng teksto, yugto ng henerasyon, pag-filter ng impormasyon, at iba pa. Samakatuwid, kung kailangan mo lang gumawa ng mga pagbabago sa layout ng ulat, maaari kang gumamit ng mga template. Kung kailangan ng karagdagang configuration ng ulat, maaari mong i-edit ang ulat mismo (mas tiyak, isang kopya nito).
Batay sa mga template, maaari kang lumikha ng ilang mga ulat ng parehong uri, kaya kung kailangan mong gumawa ng maraming mga ulat na katulad ng bawat isa, mas mainam na gumamit ng mga template.
Kung sakaling hindi angkop sa iyo ang mga paunang naka-install na template at ulat, maaari kang lumikha ng parehong bagong template at bagong ulat.
Gayundin sa FortiAnalyzer, posibleng i-configure ang pagpapadala ng mga ulat sa mga indibidwal na administrator sa pamamagitan ng e-mail o pag-upload ng mga ito sa mga panlabas na server. Ginagawa ito gamit ang mekanismo ng Output Profile. Naka-configure ang Mga Hiwalay na Output Profile sa bawat administratibong domain. Kapag nag-configure ng Output Profile, tinukoy ang mga sumusunod na parameter:
- Mga format ng ipinadalang ulat - PDF, HTML, XML o CSV;
- Ang lokasyon kung saan ipapadala ang mga ulat. Ito ay maaaring email ng isang administrator (para dito, kailangan mong itali ang FortiAnalyzer sa isang mail server, tinalakay namin ito sa huling aralin). Maaari rin itong maging isang panlabas na server ng file - FTP, SFTP, SCP;
- Maaari mong piliin kung pananatilihin o tatanggalin ang mga lokal na ulat na natitira sa device pagkatapos ng paglipat.
Kung kinakailangan, posible na mapabilis ang pagbuo ng mga ulat. Isaalang-alang natin ang dalawang paraan:
Kapag bumubuo ng isang ulat, ang FortiAnalyzer ay bumubuo ng mga chart mula sa na-precompiled na data ng cache ng SQL na kilala bilang hcache. Kung hindi ginawa ang data ng hcache kapag pinapatakbo ang ulat, dapat munang gawin ng system ang hcache at pagkatapos ay buuin ang ulat. Pinapataas nito ang oras ng pagbuo ng ulat. Gayunpaman, kung ang mga bagong log para sa isang ulat ay hindi natanggap, kapag ang ulat ay muling nabuo, ang oras upang bumuo nito ay makabuluhang mababawasan, dahil ang hcache data ay naipon na.
Upang mapabuti ang pagganap ng pagbuo ng ulat, maaari mong paganahin ang awtomatikong pagbuo ng hcache sa mga setting ng ulat. Sa kasong ito, awtomatikong ina-update ang hcache kapag dumating ang mga bagong log. Ang isang halimbawa ng setting ay ipinapakita sa figure sa ibaba.
Ang prosesong ito ay gumagamit ng isang malaking halaga ng mga mapagkukunan ng system (lalo na para sa mga ulat na nangangailangan ng mahabang panahon upang mangolekta ng data), kaya pagkatapos i-on ito, kailangan mong subaybayan ang katayuan ng FortiAnalyzer: kung ang pag-load ay tumaas nang malaki, kung mayroong isang kritikal pagkonsumo ng mga mapagkukunan ng system. Kung sakaling hindi makayanan ng FortiAnalyzer ang pag-load, mas mahusay na huwag paganahin ang prosesong ito.
Dapat ding tandaan na ang awtomatikong pag-update ng data ng hcache ay pinagana bilang default para sa mga naka-iskedyul na ulat.
Ang pangalawang paraan upang mapabilis ang pagbuo ng ulat ay ang pagpapangkat:
Kung ang parehong (o katulad) na mga ulat ay nabuo para sa iba't ibang FortiGate (o iba pang Fortinet) na device, maaari mong lubos na mapabilis ang proseso ng pagbuo sa pamamagitan ng pagpapangkat sa mga ito. Maaaring bawasan ng mga ulat ng pagpapangkat ang bilang ng mga talahanayan ng hcache at pabilisin ang mga oras ng awtomatikong pag-cache, na magreresulta sa mas mabilis na pagbuo ng ulat.
Sa halimbawang ipinapakita sa figure sa ibaba, ang mga ulat na naglalaman ng string na Security_Report sa kanilang mga pangalan ay pinagsama ayon sa parameter ng Device ID.
Ang video tutorial ay nagpapakita ng teoretikal na materyal na tinalakay sa itaas, at tinatalakay din ang mga praktikal na aspeto ng pagtatrabaho sa mga ulat - mula sa paggawa ng sarili mong mga dataset at chart, template at ulat hanggang sa pagse-set up ng pagpapadala ng mga ulat sa mga administrator. Masiyahan sa panonood!
Sa susunod na aralin, titingnan natin ang iba't ibang aspeto ng pangangasiwa ng FortiAnalyzer, gayundin ang pamamaraan ng paglilisensya nito. Upang hindi ito makaligtaan, mag-subscribe sa aming .
Maaari mo ring sundin ang mga update sa mga sumusunod na mapagkukunan:
Pinagmulan: www.habr.com