Вітаю, друзі! на ми вивчили основи роботи з логами FortiAnalyzer. Сьогодні ми підемо далі і розглянемо основні аспекти роботи зі звітами: що таке звіти, з чого вони складаються, яким чином можна редагувати існуючі та створювати нові звіти. Як завжди, спочатку трохи теорії, а потім попрацюємо зі звітами на практиці. Під катом представлена теоретична частина уроку, а також відеоурок, що включає як теорію, так і практику.
Основна мета звітів - об'єднати великі обсяги даних, що містяться в логах, і на основі наявних налаштувань подати всю отриману інформацію в читальному вигляді: у вигляді графіків, таблиць, діаграм. На малюнку нижче наведено список попередньо встановлених звітів для пристроїв FortiGate (у ньому помістилися не всі звіти, але, думаю, вже з цього списку видно, що навіть "з коробки" можна побудувати безліч цікавих та корисних звітів).
Але звіти лише надають запитану інформацію в читальному вигляді — вони не містять жодних рекомендацій щодо подальших дій із виявленими проблемами.
Головні складові звітів – це чарти. Кожен звіт складається з одного або кількох чартів. Чарти визначають, яку інформацію необхідно витягти з логів, та у якому форматі її подати. За отримання інформації відповідають датасети - SELECT-запити в базу даних. Саме в датасетах точно визначається, звідки та яку саме інформацію потрібно витягувати. Після того, як в результаті запиту з'являються необхідні дані, до них використовуються параметри формату (або відображення). В результаті отримані дані оформляються в таблиці, графіки чи діаграми різного типу.
У SELECT-запиті використовуються різні команди, за допомогою яких задаються умови до інформації, що витягується. Найважливіше, що варто врахувати — ці команди повинні застосовуватися в певному порядку, саме в такому порядку вони наведені далі:
FROM - єдина з команд, яка є обов'язковою у SELECT-запиті. Вона свідчить про тип логів, у тому числі необхідно витягувати інформацію;
WHERE – за допомогою цієї команди задаються умови до логів (наприклад, певне ім'я програми/атаки/вірусу);
GROUP BY — ця команда дозволяє згрупувати інформацію по одному або декільком стовпцям, що цікавлять;
ORDER BY - за допомогою цієї команди можна впорядкувати виведення інформації по рядках;
LIMIT — Обмежує кількість записів, що повертаються запитом.
FortiAnalyzer містить встановлені шаблони звітів. Шаблони є так званим макетом звіту – вони містять текст звіту, його чарти та макроси. За допомогою шаблонів можна створювати нові звіти, якщо встановлені необхідні мінімальні зміни. Проте попередньо встановлені звіти не можна редагувати та видаляти — можна їх схилювати, і над копією робити необхідні зміни. Також можна створювати власні шаблони для звітів.
Іноді можна зіткнутися з наступною ситуацією: встановлений звіт підходить під завдання, але не повністю. Можливо, до нього потрібно додати якусь інформацію, або, навпаки, видалити. У такому разі є два варіанти: схилювати і змінити шаблон, або сам звіт. Тут слід спиратися на кілька факторів.
Шаблони є макетом для звіту, вони містять чарти та текст звіту, не більше. Самі звіти, у свою чергу, крім так званого "макету" містять різні параметри звіту: мова, шрифт, колір тексту, період генерації, фільтрація інформації тощо. Тому, якщо потрібно внести зміни лише до макету звіту, можна використовувати шаблони. Якщо потрібна додаткова конфігурація звіту, можна редагувати звіт (а точніше його копію).
На основі шаблонів можна створювати кілька однотипних звітів, тому якщо потрібно зробити безліч схожих один на одного звітів, краще використовувати шаблони.
У випадку, якщо встановлені шаблони та звіти вам не підходять, можна створити новий шаблон і новий звіт.
Також на FortiAnalyzer існує можливість налаштувати пересилання звітів окремим адміністраторам на електронну пошту або їхнє вивантаження на зовнішні сервери. Робиться це за допомогою механізму Output Profile. У кожному адміністративному домені налаштовуються окремі Output Profiles. При конфігурації Output Profile визначаються такі параметри:
- Формати звітів, що надсилаються - PDF, HTML, XML або CSV;
- Місце, куди надсилатимуться звіти. Це може бути електронна пошта адміністратора (для цього необхідно прив'язати FortiAnalyzer до поштового сервера, що ми розглядали на минулому уроці). Також це може бути зовнішній файловий сервер FTP, SFTP, SCP;
- Можна вказати, що робити з локальними звітами, які залишилися на пристрої після надсилання, — залишити їх або видалити.
За потреби є можливість прискорити створення звітів. Розглянемо два способи:
При створенні звіту FortiAnalyzer будує чарти із попередньо скомпільованих даних кешу SQL, відомих як hcache. Якщо дані hcache не створені під час запуску звіту, система повинна спочатку створити hcache, а потім побудувати звіт. Це збільшує час формування звіту. Однак, якщо нові логі для звіту не отримані, при повторній генерації звіту час його генерації значно зменшиться, оскільки дані hcache вже скомпільовані.
Щоб підвищити продуктивність генерації звітів, можна увімкнути автоматичне створення hcache у налаштуваннях звіту. У цьому випадку hcache автоматично оновлюється під час надходження нових логів. Приклад налаштування наведено на малюнку нижче.
Цей процес використовує велику кількість системних ресурсів (особливо для звітів, які вимагають тривалого часу для збору даних), тому після включення необхідно спостерігати за станом FortiAnalyzer: чи сильно збільшилося навантаження, чи є критичне споживання системних ресурсів. Якщо FortiAnalyzer не справляється з навантаженням, цей процес краще відключити.
Також слід зазначити, що автоматичне оновлення даних hcache за промовчанням активоване для запланованих звітів.
Другий спосіб прискорити генерацію звітів – угруповання:
Якщо одні й самі (або схожі) звіти генеруються для різних пристроїв FortiGate (або інших пристроїв Fortinet), можна значно прискорити процес їхньої генерації шляхом угруповання. Угруповання звітів може зменшити кількість таблиць hcache та прискорити час автоматичного кешування, внаслідок чого прискорити генерацію звітів.
У прикладі, наведеному на малюнку нижче, звіти, в назві яких міститься рядок Security_Report, групуються за параметром Device ID.
У відеоуроці представлений теоретичний матеріал, розглянутий вище, а також розглядаються практичні аспекти роботи зі звітами – від створення власних датасетів та чартів, шаблонів та звітів до налаштування пересилання звітів адміністраторам. Приємного перегляду!
На наступному уроці ми розглянемо різні аспекти адміністрування FortiAnalyzer та схему його ліцензування. Щоб не пропустити його, підписуйтесь на наш .
Також ви можете стежити за оновленнями на наступних ресурсах:
Джерело: habr.com