Salom do'stlar! Yoniq FortiAnalyzer da loglar bilan ishlash asoslarini o'rgandik. Bugun biz oldinga boramiz va hisobotlar bilan ishlashning asosiy jihatlarini ko'rib chiqamiz: hisobotlar nima, ular nimadan iborat, mavjud hisobotlarni qanday tahrirlash va yangilarini yaratish mumkin. Odatdagidek, avvaliga bir oz nazariya, keyin esa amaliyotda hisobotlar bilan ishlaymiz. Kesim ostida darsning nazariy qismi, shuningdek, nazariy va amaliyotni o'z ichiga olgan video dars taqdim etiladi.
Hisobotlarning asosiy maqsadi jurnallarda mavjud bo'lgan katta hajmdagi ma'lumotlarni birlashtirish va mavjud sozlamalar asosida olingan barcha ma'lumotlarni o'qilishi mumkin bo'lgan shaklda taqdim etishdir: grafikalar, jadvallar, diagrammalar ko'rinishida. Quyidagi rasmda FortiGate qurilmalari uchun oldindan o'rnatilgan hisobotlar ro'yxati ko'rsatilgan (barcha hisobotlar unga mos kelmaydi, lekin menimcha, bu ro'yxat allaqachon qutidan tashqarida siz juda ko'p qiziqarli va foydali hisobotlarni yaratishingiz mumkinligini ko'rsatmoqda).
Ammo hisobotlar faqat so'ralgan ma'lumotlarni o'qilishi mumkin bo'lgan tarzda taqdim etadi - ularda topilgan muammolar bilan keyingi harakatlar bo'yicha tavsiyalar mavjud emas.
Hisobotlarning asosiy komponentlari diagrammalardir. Har bir hisobot bir yoki bir nechta diagrammalardan iborat. Diagrammalar jurnallardan qanday ma'lumotlarni olish kerakligini va qanday formatda taqdim etilishi kerakligini belgilaydi. Ma'lumotlar to'plami ma'lumotlarni olish uchun javobgardir - ma'lumotlar bazasiga so'rovlarni SELECT. Aynan ma'lumotlar to'plamida qaerdan va qanday ma'lumotlarni olish kerakligi aniq belgilanadi. So'rov natijasida kerakli ma'lumotlar paydo bo'lgandan so'ng, ularga format (yoki displey) sozlamalari qo'llaniladi. Natijada, olingan ma'lumotlar jadvallar, grafiklar yoki har xil turdagi diagrammalarda tuziladi.
SELECT so'rovi olinadigan ma'lumotlar uchun shartlarni o'rnatadigan turli buyruqlardan foydalanadi. Ko'rib chiqilishi kerak bo'lgan eng muhim narsa shundaki, bu buyruqlar ma'lum bir tartibda qo'llanilishi kerak, bu tartibda ular quyida keltirilgan:
FROM - bu SELECT so'rovida talab qilinadigan yagona buyruq. U ma'lumotni olish kerak bo'lgan jurnallar turini ko'rsatadi;
QAYER - ushbu buyruq yordamida jurnallar uchun shartlar o'rnatiladi (masalan, dastur / hujum / virusning ma'lum bir nomi);
GROUP BY - bu buyruq ma'lumotlarni bir yoki bir nechta qiziqish ustunlari bo'yicha guruhlash imkonini beradi;
ORDER BY - bu buyruq yordamida ma'lumotlarni chiqarishni satr bo'yicha buyurtma qilish mumkin;
LIMIT - so'rov tomonidan qaytarilgan yozuvlar sonini cheklaydi.
FortiAnalyzer oldindan belgilangan hisobot shablonlarini o'z ichiga oladi. Shablonlar hisobot tartibi deb ataladi - ular hisobot matnini, uning diagrammalarini va makrolarini o'z ichiga oladi. Shablonlardan foydalanib, oldindan belgilanganlarga minimal o'zgartirishlar kerak bo'lsa, yangi hisobotlarni yaratishingiz mumkin. Biroq, oldindan o'rnatilgan hisobotlarni tahrirlash yoki o'chirish mumkin emas - siz ularni klonlashingiz va nusxaga kerakli o'zgartirishlarni kiritishingiz mumkin. O'z hisobot shablonlarini yaratish ham mumkin.
Ba'zan siz quyidagi vaziyatga duch kelishingiz mumkin: oldindan belgilangan hisobot vazifaga mos keladi, lekin to'liq emas. Ehtimol, siz unga ba'zi ma'lumotlarni qo'shishingiz yoki aksincha, uni olib tashlashingiz kerak. Bunday holda, ikkita variant mavjud: shablonni klonlash va o'zgartirish yoki hisobotning o'zi. Bu erda siz bir nechta omillarga tayanishingiz kerak.
Shablonlar hisobot uchun tartib bo'lib, ular jadvallar va hisobot matnlarini o'z ichiga oladi, boshqa hech narsa yo'q. Hisobotlarning o'zi, o'z navbatida, "tartib" deb ataladigan narsadan tashqari, turli xil hisobot parametrlarini o'z ichiga oladi: til, shrift, matn rangi, yaratish davri, ma'lumotlarni filtrlash va boshqalar. Shuning uchun, agar siz faqat hisobot tartibiga o'zgartirish kiritishingiz kerak bo'lsa, shablonlardan foydalanishingiz mumkin. Agar qo'shimcha hisobot konfiguratsiyasi kerak bo'lsa, siz hisobotning o'zini tahrirlashingiz mumkin (aniqrog'i, uning nusxasi).
Shablonlarga asoslanib, siz bir xil turdagi bir nechta hisobotlarni yaratishingiz mumkin, shuning uchun siz bir-biriga o'xshash ko'plab hisobotlarni tayyorlashingiz kerak bo'lsa, unda shablonlardan foydalanish afzalroqdir.
Oldindan o'rnatilgan andozalar va hisobotlar sizga mos kelmasa, siz ham yangi shablon, ham yangi hisobot yaratishingiz mumkin.
Shuningdek, FortiAnalyzer-da alohida ma'murlarga hisobotlarni elektron pochta orqali yuborish yoki ularni tashqi serverlarga yuklashni sozlash mumkin. Bu Chiqish profili mexanizmi yordamida amalga oshiriladi. Har bir ma'muriy domenda alohida chiqish profillari sozlangan. Chiqish profilini sozlashda quyidagi parametrlar aniqlanadi:
- Yuborilgan hisobotlar formatlari - PDF, HTML, XML yoki CSV;
- Hisobotlar yuboriladigan joy. Bu administratorning elektron pochtasi bo'lishi mumkin (buning uchun siz FortiAnalyzerni pochta serveriga bog'lashingiz kerak, biz buni oxirgi darsda ko'rib chiqdik). U tashqi fayl serveri ham bo'lishi mumkin - FTP, SFTP, SCP;
- OΚ»tkazishdan keyin qurilmada qolgan mahalliy hisobotlarni saqlash yoki oΚ»chirishni tanlashingiz mumkin.
Agar kerak bo'lsa, hisobotlarni yaratishni tezlashtirish mumkin. Keling, ikkita usulni ko'rib chiqaylik:
Hisobotni yaratishda FortiAnalyzer hcache deb nomlanuvchi oldindan kompilyatsiya qilingan SQL kesh ma'lumotlaridan diagrammalar tuzadi. Agar hisobot ishga tushirilganda hcache ma'lumotlari yaratilmasa, tizim avval hcache-ni yaratishi va keyin hisobotni yaratishi kerak. Bu hisobot yaratish vaqtini oshiradi. Biroq, agar hisobot uchun yangi jurnallar olinmasa, hisobot qayta tiklanganda, hcache ma'lumotlari allaqachon tuzilganligi sababli uni yaratish vaqti sezilarli darajada kamayadi.
Hisobot yaratish samaradorligini oshirish uchun siz hisobot sozlamalarida avtomatik hcache yaratishni yoqishingiz mumkin. Bunday holda, yangi jurnallar kelganda hcache avtomatik ravishda yangilanadi. Sozlash misoli quyidagi rasmda ko'rsatilgan.
Ushbu jarayon katta hajmdagi tizim resurslaridan foydalanadi (ayniqsa, ma'lumotlarni to'plash uchun uzoq vaqt talab qiladigan hisobotlar uchun), shuning uchun uni yoqqaningizdan so'ng siz FortiAnalyzer holatini kuzatishingiz kerak: yuk sezilarli darajada oshdimi, tanqidiy holat bormi. tizim resurslarini iste'mol qilish. Agar FortiAnalyzer yuk bilan bardosh bera olmasa, bu jarayonni o'chirib qo'yish yaxshiroqdir.
Shuni ham ta'kidlash kerakki, hcache ma'lumotlarini avtomatik yangilash rejalashtirilgan hisobotlar uchun sukut bo'yicha yoqilgan.
Hisobotlarni yaratishni tezlashtirishning ikkinchi usuli guruhlashdir:
Agar bir xil (yoki shunga o'xshash) hisobotlar turli FortiGate (yoki boshqa Fortinet) qurilmalari uchun yaratilayotgan bo'lsa, ularni guruhlash orqali yaratish jarayonini sezilarli darajada tezlashtirishingiz mumkin. Hisobotlarni guruhlash hcache jadvallari sonini kamaytirishi va avtomatik keshlash vaqtlarini tezlashtirishi mumkin, natijada hisobot tezroq yaratiladi.
Quyidagi rasmda ko'rsatilgan misolda o'z nomlarida Security_Report qatorini o'z ichiga olgan hisobotlar Device ID parametri bo'yicha guruhlangan.
Video darslik yuqorida muhokama qilingan nazariy materialni taqdim etadi, shuningdek, hisobotlar bilan ishlashning amaliy jihatlarini - o'zingizning shaxsiy ma'lumotlar to'plamini va diagrammalaringizni, shablonlarni va hisobotlarni yaratishdan ma'murlarga hisobotlarni yuborishni sozlashgacha muhokama qiladi. Tomosha qilishdan zavqlaning!
Keyingi darsda biz FortiAnalyzer ma'muriyatining turli jihatlarini, shuningdek, uning litsenziyalash sxemasini ko'rib chiqamiz. O'tkazib yubormaslik uchun bizning kanalimizga obuna bo'ling .
Shuningdek, siz quyidagi manbalardagi yangilanishlarni kuzatishingiz mumkin:
Manba: www.habr.com