Selamlar arkadaşlar! Açık FortiAnalyzer'da günlüklerle çalışmanın temellerini öğrendik. Bugün daha da ileri giderek raporlarla çalışmanın ana yönlerine bakacağız: raporlar nelerdir, nelerden oluşurlar, mevcut raporları nasıl düzenleyebilirsiniz ve yeni raporlar oluşturabilirsiniz. Her zamanki gibi önce biraz teori, sonra pratikte raporlarla çalışacağız. Kesimin altında dersin teorik kısmının yanı sıra hem teori hem de pratiği içeren bir video dersi bulunmaktadır.
Raporların temel amacı, günlüklerde bulunan büyük miktarda veriyi birleştirmek ve mevcut ayarlara dayanarak alınan tüm bilgileri okunabilir bir biçimde sunmaktır: grafikler, tablolar, çizelgeler biçiminde. Aşağıdaki şekil, FortiGate cihazları için önceden yüklenmiş raporların bir listesini göstermektedir (tüm raporlar buna uymaz, ancak bu listenin zaten "kutudan çıktığı haliyle" bile birçok ilginç ve yararlı rapor oluşturabileceğinizi gösterdiğini düşünüyorum).
Ancak raporlar yalnızca istenen bilgileri okunabilir bir biçimde sunuyor; bulunan sorunlarla ilgili bundan sonra ne yapılacağına dair herhangi bir öneri sunmuyor.
Raporların ana bileşenleri grafiklerdir. Her rapor bir veya daha fazla grafikten oluşur. Grafikler, günlüklerden hangi bilgilerin çıkarılması gerektiğini ve bunların hangi formatta sunulması gerektiğini belirler. Veri kümeleri, bilgilerin (SELECT sorgularının veritabanına) çıkarılmasından sorumludur. Veri setlerinde nereden ve hangi bilgilerin çıkarılması gerektiği kesin olarak belirlenir. Sorgu sonucunda gerekli veriler göründüğünde, format (veya görüntüleme) ayarları ona uygulanır. Sonuç olarak elde edilen veriler çeşitli türlerde tablolar, grafikler veya diyagramlar halinde sunulur.
Bir SELECT sorgusu, alınacak bilgilerin koşullarını ayarlamak için çeşitli komutlar kullanır. Dikkat edilmesi gereken en önemli husus bu komutların belirli bir sıra ile kullanılması gerektiğidir, bu sıraya göre aşağıda verilmiştir:
FROM, SELECT sorgusunda gerekli olan tek komuttur. Bilginin çıkarılması gereken günlüklerin türünü belirtir;
WHERE - bu komut kullanılarak günlükler için koşullar belirtilir (örneğin, uygulamanın/saldırının/virüsün belirli bir adı);
GROUP BY - bu komut, bilgileri bir veya daha fazla ilgi sütununa göre gruplandırmanıza olanak tanır;
ORDER BY - bu komutu kullanarak bilgilerin çıktısını satırlara göre sıralayabilirsiniz;
LIMIT — Sorgunun döndürdüğü kayıt sayısını sınırlar.
FortiAnalyzer önceden tanımlanmış raporlama şablonlarıyla birlikte gelir. Şablonlar rapor düzeni olarak adlandırılır; raporun metnini, grafiklerini ve makrolarını içerirler. Önceden tanımlanmış olanlarda çok az değişiklik yapılması gerekiyorsa, şablonları kullanarak yeni raporlar oluşturabilirsiniz. Ancak önceden yüklenmiş raporlar düzenlenemez veya silinemez; bunları kopyalayabilir ve kopyada gerekli değişiklikleri yapabilirsiniz. Raporlar için kendi şablonlarınızı oluşturmanız da mümkündür.
Bazen şu durumla karşılaşabilirsiniz: Önceden tanımlanmış bir rapor göreve uygundur ancak tam olarak uymaz. Belki de bazı bilgilerin eklenmesi veya tam tersine kaldırılması gerekiyor. Bu durumda iki seçenek vardır: şablonu veya raporun kendisini kopyalayıp değiştirin. Burada birkaç faktöre güvenmeniz gerekiyor.
Şablonlar bir raporun düzenidir; grafikler ve rapor metni içerirler, başka bir şey değil. Raporların kendisi de sözde "düzen"e ek olarak çeşitli rapor parametreleri içerir: dil, yazı tipi, metin rengi, oluşturma dönemi, bilgi filtreleme vb. Bu nedenle yalnızca rapor düzeninde değişiklik yapmanız gerekiyorsa şablonları kullanabilirsiniz. Ek rapor yapılandırmasına ihtiyaç duyulursa raporun kendisini (veya daha doğrusu bir kopyasını) düzenleyebilirsiniz.
Şablonları temel alarak aynı türde birden fazla rapor oluşturabilirsiniz, dolayısıyla birbirine benzer çok sayıda rapor oluşturmanız gerekiyorsa şablonların kullanılması tercih edilir.
Eğer önceden tanımlı şablon ve raporlar size uymuyorsa hem yeni şablon hem de yeni rapor oluşturabilirsiniz.
Ayrıca FortiAnalyzer'ı, raporları bireysel yöneticilere e-posta yoluyla gönderecek veya harici sunuculara yükleyecek şekilde yapılandırmak da mümkündür. Bu, Çıkış Profili mekanizması kullanılarak yapılır. Her yönetim etki alanında ayrı Çıkış Profilleri yapılandırılır. Çıkış Profilini yapılandırırken aşağıdaki parametreler tanımlanır:
- Gönderilen rapor formatları - PDF, HTML, XML veya CSV;
- Raporların gönderileceği yer. Bu yöneticinin e-postası olabilir (bunun için FortiAnalyzer'ı posta sunucusuna bağlamanız gerekir, bunu son derste ele aldık). Aynı zamanda harici bir dosya sunucusu da olabilir - FTP, SFTP, SCP;
- Aktarımdan sonra cihazda kalan yerel raporlarla ne yapacağınızı belirtebilirsiniz; bunları bırakın veya silin.
Gerektiğinde rapor oluşturmayı hızlandırmak mümkündür. İki yolu ele alalım:
Bir rapor oluştururken FortiAnalyzer, hcache olarak bilinen önceden derlenmiş SQL önbellek verilerinden grafikler oluşturur. Raporu çalıştırdığınızda hcache verileri oluşturulmamışsa, sistemin önce hcache'yi oluşturması ve ardından raporu oluşturması gerekir. Bu, rapor oluşturmak için gereken süreyi artırır. Ancak rapor için yeni günlükler alınmazsa, rapor yeniden oluşturulurken, hcache verileri zaten derlenmiş olduğundan rapor oluşturma süresi önemli ölçüde kısalacaktır.
Rapor oluşturma performansını artırmak için rapor ayarlarında otomatik hcache oluşturmayı etkinleştirebilirsiniz. Bu durumda yeni loglar geldiğinde hcache otomatik olarak güncellenir. Aşağıdaki şekilde örnek bir ayar gösterilmektedir.
Bu işlem büyük miktarda sistem kaynağı kullanır (özellikle veri toplamak için uzun süre gerektiren raporlar için), bu nedenle etkinleştirdikten sonra FortiAnalyzer'ın durumunu izlemek gerekir: yükün önemli ölçüde artıp artmadığı, kritik düzeyde veri tüketimi olup olmadığı. sistem kaynakları. FortiAnalyzer yükle baş edemiyorsa bu işlemi devre dışı bırakmak daha iyidir.
Ayrıca, planlanmış raporlar için otomatik hcache veri yenilemesinin varsayılan olarak etkinleştirildiğine de dikkat edilmelidir.
Rapor oluşturmayı hızlandırmanın ikinci yolu gruplandırmaktır:
Farklı FortiGate cihazları (veya diğer Fortinet cihazları) için aynı (veya benzer) raporlar oluşturulmuşsa, bunları gruplandırarak oluşturma sürecini önemli ölçüde hızlandırabilirsiniz. Raporların gruplandırılması, hcache tablolarının sayısını azaltabilir ve otomatik önbelleğe alma sürelerini hızlandırarak daha hızlı rapor oluşturulmasını sağlayabilir.
Aşağıdaki şekilde gösterilen örnekte başlığı Security_Report dizesini içeren raporlar Device ID parametresine göre gruplandırılmıştır.
Video eğitimi yukarıda tartışılan teorik materyali sunmakta ve ayrıca kendi veri kümelerinizi ve grafiklerinizi, şablonlarınızı ve raporlarınızı oluşturmaktan yöneticilere rapor göndermeyi ayarlamaya kadar raporlarla çalışmanın pratik yönlerini tartışmaktadır. İzlemenin tadını çıkarın!
Bir sonraki derste FortiAnalyzer yönetiminin çeşitli yönlerine ve lisanslama şemasına bakacağız. Kaçırmamak için abone olun .
Güncellemeleri aşağıdaki kaynaklardan da takip edebilirsiniz:
Kaynak: habr.com