Xin chào các bạn! TRÊN chúng tôi đã học những kiến thức cơ bản về cách làm việc với nhật ký trên FortiAnalyzer. Hôm nay chúng ta sẽ đi xa hơn và xem xét các khía cạnh chính khi làm việc với báo cáo: báo cáo là gì, chúng bao gồm những gì, cách bạn có thể chỉnh sửa báo cáo hiện có và tạo báo cáo mới. Như thường lệ, đầu tiên là một chút lý thuyết, sau đó chúng ta sẽ làm việc với các báo cáo trong thực tế. Dưới đây là phần lý thuyết của bài học, cũng như một bài học video bao gồm cả lý thuyết và thực hành.
Mục đích chính của các báo cáo là kết hợp một lượng lớn dữ liệu có trong nhật ký và dựa trên các cài đặt có sẵn, trình bày tất cả thông tin nhận được ở dạng có thể đọc được: dưới dạng biểu đồ, bảng, biểu đồ. Hình bên dưới hiển thị danh sách các báo cáo được cài đặt sẵn cho thiết bị FortiGate (không phải tất cả các báo cáo đều phù hợp với nó, nhưng tôi nghĩ rằng danh sách này đã cho thấy rằng ngay cả khi sử dụng hộp, bạn vẫn có thể tạo rất nhiều báo cáo thú vị và hữu ích).
Tuy nhiên, các báo cáo chỉ trình bày thông tin được yêu cầu theo cách có thể đọc được - chúng không chứa bất kỳ khuyến nghị nào về hành động tiếp theo đối với các vấn đề được tìm thấy.
Các thành phần chính của báo cáo là biểu đồ. Mỗi báo cáo bao gồm một hoặc nhiều biểu đồ. Các biểu đồ xác định thông tin nào sẽ được trích xuất từ nhật ký và thông tin đó sẽ được trình bày ở định dạng nào. Bộ dữ liệu chịu trách nhiệm trích xuất thông tin - SELECT truy vấn vào cơ sở dữ liệu. Chính trong các bộ dữ liệu, nó được xác định chính xác từ đâu và loại thông tin nào cần được trích xuất. Sau khi dữ liệu bắt buộc xuất hiện do yêu cầu, cài đặt định dạng (hoặc hiển thị) được áp dụng cho chúng. Do đó, dữ liệu thu được được trình bày dưới dạng bảng, biểu đồ hoặc biểu đồ các loại.
Truy vấn CHỌN sử dụng các lệnh khác nhau để đặt điều kiện cho thông tin được truy xuất. Điều quan trọng nhất cần xem xét là các lệnh này phải được áp dụng theo một thứ tự cụ thể, theo thứ tự đó chúng được liệt kê bên dưới:
TỪ là lệnh duy nhất được yêu cầu trong truy vấn CHỌN. Nó cho biết loại nhật ký mà thông tin phải được trích xuất;
WHERE - sử dụng lệnh này, các điều kiện cho nhật ký được đặt (ví dụ: tên cụ thể của ứng dụng / cuộc tấn công / vi rút);
GROUP BY - lệnh này cho phép bạn nhóm thông tin theo một hoặc nhiều cột quan tâm;
ĐẶT HÀNG THEO - sử dụng lệnh này, bạn có thể sắp xếp đầu ra của thông tin theo dòng;
GIỚI HẠN - Giới hạn số lượng bản ghi được trả về bởi truy vấn.
FortiAnalyzer chứa các mẫu báo cáo được xác định trước. Mẫu được gọi là bố cục báo cáo — chúng chứa văn bản của báo cáo, biểu đồ và macro của báo cáo. Sử dụng các mẫu, bạn có thể tạo các báo cáo mới nếu cần có những thay đổi tối thiểu đối với các báo cáo được xác định trước. Tuy nhiên, không thể chỉnh sửa hoặc xóa các báo cáo được cài đặt sẵn - bạn có thể sao chép chúng và thực hiện các thay đổi cần thiết trên bản sao. Cũng có thể tạo các mẫu báo cáo của riêng bạn.
Đôi khi bạn có thể gặp phải tình huống sau: báo cáo được xác định trước phù hợp với nhiệm vụ nhưng không hoàn toàn. Có lẽ bạn cần thêm một số thông tin vào nó, hoặc ngược lại, xóa nó. Trong trường hợp này, có hai tùy chọn: sao chép và thay đổi mẫu hoặc chính báo cáo đó. Ở đây bạn cần dựa vào một số yếu tố.
Các mẫu là một bố cục cho một báo cáo, chúng chứa các biểu đồ và văn bản báo cáo, không có gì khác. Ngược lại, bản thân các báo cáo, ngoài cái gọi là "bố cục", chứa nhiều tham số báo cáo khác nhau: ngôn ngữ, phông chữ, màu văn bản, thời gian tạo, lọc thông tin, v.v. Do đó, nếu bạn chỉ cần thay đổi bố cục báo cáo, bạn có thể sử dụng các mẫu. Nếu cần cấu hình báo cáo bổ sung, bạn có thể chỉnh sửa chính báo cáo đó (chính xác hơn là một bản sao của báo cáo).
Dựa trên các mẫu, bạn có thể tạo một số báo cáo cùng loại, vì vậy nếu bạn phải tạo nhiều báo cáo tương tự nhau thì nên sử dụng các mẫu.
Trong trường hợp các mẫu và báo cáo được cài đặt sẵn không phù hợp với bạn, bạn có thể tạo cả mẫu mới và báo cáo mới.
Cũng trên FortiAnalyzer, có thể định cấu hình gửi báo cáo cho từng quản trị viên bằng e-mail hoặc tải chúng lên máy chủ bên ngoài. Điều này được thực hiện bằng cách sử dụng cơ chế Hồ sơ đầu ra. Cấu hình đầu ra riêng biệt được cấu hình trong mỗi miền quản trị. Khi định cấu hình Hồ sơ đầu ra, các tham số sau được xác định:
- Định dạng báo cáo đã gửi - PDF, HTML, XML hoặc CSV;
- Vị trí mà các báo cáo sẽ được gửi. Đây có thể là email của quản trị viên (đối với điều này, bạn cần liên kết FortiAnalyzer với máy chủ thư, chúng tôi đã đề cập đến điều này trong bài học trước). Nó cũng có thể là một máy chủ tệp bên ngoài - FTP, SFTP, SCP;
- Bạn có thể chọn giữ hoặc xóa các báo cáo cục bộ còn lại trên thiết bị sau khi chuyển.
Nếu cần, có thể tăng tốc độ tạo báo cáo. Hãy xem xét hai cách:
Khi tạo một báo cáo, FortiAnalyzer sẽ xây dựng các biểu đồ từ dữ liệu bộ nhớ cache SQL được biên dịch trước, được gọi là hcache. Nếu dữ liệu hcache không được tạo khi chạy báo cáo, trước tiên hệ thống phải tạo hcache rồi mới tạo báo cáo. Điều này làm tăng thời gian tạo báo cáo. Tuy nhiên, nếu không nhận được nhật ký mới cho báo cáo, khi báo cáo được tạo lại, thời gian tạo báo cáo sẽ giảm đáng kể do dữ liệu hcache đã được biên dịch.
Để cải thiện hiệu suất tạo báo cáo, bạn có thể bật tạo hcache tự động trong cài đặt báo cáo. Trong trường hợp này, hcache được cập nhật tự động khi có nhật ký mới. Một ví dụ về cài đặt được hiển thị trong hình bên dưới.
Quá trình này sử dụng một lượng lớn tài nguyên hệ thống (đặc biệt là đối với các báo cáo cần thời gian dài để thu thập dữ liệu), vì vậy sau khi bật, bạn cần theo dõi trạng thái của FortiAnalyzer: tải có tăng đáng kể hay không, liệu có nghiêm trọng hay không. tiêu thụ tài nguyên hệ thống. Trong trường hợp FortiAnalyzer không thể đối phó với tải, tốt hơn hết bạn nên tắt quy trình này.
Cũng cần lưu ý rằng tính năng tự động cập nhật dữ liệu hcache được bật theo mặc định cho các báo cáo đã lên lịch.
Cách thứ hai để tăng tốc độ tạo báo cáo là nhóm:
Nếu các báo cáo giống nhau (hoặc tương tự) đang được tạo cho các thiết bị FortiGate (hoặc Fortinet khác) khác nhau, bạn có thể tăng tốc đáng kể quá trình tạo bằng cách nhóm chúng lại. Việc nhóm các báo cáo có thể giảm số lượng bảng hcache và tăng tốc thời gian lưu vào bộ nhớ đệm tự động, dẫn đến việc tạo báo cáo nhanh hơn.
Trong ví dụ hiển thị trong hình bên dưới, các báo cáo có chứa chuỗi Security_Report trong tên của chúng được nhóm theo tham số ID thiết bị.
Hướng dẫn bằng video trình bày tài liệu lý thuyết đã thảo luận ở trên, đồng thời thảo luận về các khía cạnh thực tế khi làm việc với báo cáo - từ việc tạo bộ dữ liệu và biểu đồ, mẫu và báo cáo của riêng bạn để thiết lập gửi báo cáo cho quản trị viên. Thích xem!
Trong bài học tiếp theo, chúng ta sẽ xem xét các khía cạnh khác nhau của việc quản lý FortiAnalyzer, cũng như sơ đồ cấp phép của nó. Để không bỏ lỡ nó, hãy đăng ký kênh của chúng tôi .
Bạn cũng có thể theo dõi các bản cập nhật trên các tài nguyên sau:
Nguồn: www.habr.com