大家好! 在 我们学习了在 FortiAnalyzer 上使用日志的基础知识。 今天,我们将进一步探讨使用报表的主要方面:什么是报表,它们由什么组成,如何编辑现有报表和创建新报表。 像往常一样,首先是一些理论,然后我们将在实践中处理报告。 在剪辑下,介绍了课程的理论部分,以及包括理论和实践的视频课程。
报告的主要目的是结合日志中包含的大量数据,并根据可用设置,以可读的形式呈现所有收到的信息:以图形、表格、图表的形式。 下图显示了 FortiGate 设备的预装报告列表(并非所有报告都适合它,但我认为这个列表已经表明即使开箱即用,您也可以构建很多有趣且有用的报告)。
但这些报告仅以可读的方式提供了所要求的信息——它们不包含对所发现问题采取进一步行动的任何建议。
报告的主要组成部分是图表。 每份报告由一个或多个图表组成。 图表确定应从日志中提取哪些信息以及应以何种格式呈现这些信息。 数据集负责提取信息 - 对数据库进行 SELECT 查询。 正是在数据集中,才能精确地确定需要从何处提取何种信息。 在所需数据作为请求的结果出现后,格式(或显示)设置将应用于它们。 结果,将获得的数据绘制成各种类型的表格、图形或图表。
SELECT 查询使用各种命令为要检索的信息设置条件。 需要考虑的最重要的事情是这些命令必须以特定顺序应用,下面列出了它们的顺序:
FROM 是 SELECT 查询中唯一需要的命令。 它指示必须从中提取信息的日志类型;
WHERE - 使用此命令,设置日志的条件(例如,应用程序/攻击/病毒的特定名称);
GROUP BY - 此命令允许您按一个或多个感兴趣的列对信息进行分组;
ORDER BY——使用这个命令,可以按行对信息的输出进行排序;
LIMIT - 限制查询返回的记录数。
FortiAnalyzer 包含预定义的报告模板。 模板就是所谓的报告布局——它们包含报告的文本、图表和宏。 如果需要对预定义的报告进行最少的更改,您可以使用模板创建新报告。 但是,无法编辑或删除预安装的报告 - 您可以克隆它们并在副本上进行必要的更改。 也可以创建您自己的报告模板。
有时您可能会遇到以下情况:预定义的报告适合任务,但不完全适合。 也许您需要向其中添加一些信息,或者相反,将其删除。 在这种情况下,有两种选择:克隆和更改模板,或报告本身。 在这里你需要依赖几个因素。
模板是报告的布局,它们包含图表和报告文本,仅此而已。 反过来,报告本身除了所谓的“布局”外,还包含各种报告参数:语言、字体、文本颜色、生成周期、信息过滤等。 因此,如果您只需要对报表布局进行更改,则可以使用模板。 如果需要额外的报告配置,您可以编辑报告本身(更准确地说,是报告的副本)。
基于模板,您可以创建多个相同类型的报告,因此如果您必须制作很多彼此相似的报告,那么最好使用模板。
如果预装的模板和报告不适合您,您可以创建新模板和新报告。
同样在 FortiAnalyzer 上,可以配置通过电子邮件将报告发送给各个管理员或将它们上传到外部服务器。 这是使用输出配置文件机制完成的。 在每个管理域中配置单独的输出配置文件。 配置输出配置文件时,定义了以下参数:
- 发送报告的格式 - PDF、HTML、XML 或 CSV;
- 将发送报告的位置。 这可以是管理员的电子邮件(为此,您需要将 FortiAnalyzer 绑定到邮件服务器,我们在上一课中介绍过)。 它也可以是一个外部文件服务器——FTP、SFTP、SCP;
- 您可以选择是保留还是删除传输后留在设备上的本地报告。
如有必要,可以加快报告的生成速度。 让我们考虑两种方式:
生成报告时,FortiAnalyzer 从称为 hcache 的预编译 SQL 缓存数据构建图表。 如果报表运行时没有创建hcache数据,系统必须先创建hcache,然后再构建报表。 这会增加报告生成时间。 但是,如果未收到报告的新日志,则重新生成报告时,生成报告的时间将大大减少,因为 hcache 数据已经编译。
要提高报告生成的性能,您可以在报告设置中启用自动 hcache 生成。 在这种情况下,hcache 会在新日志到达时自动更新。 设置示例如下图所示。
该进程占用大量系统资源(尤其是需要长时间采集数据的报表),因此开启后需要监控FortiAnalyzer的状态:负载是否明显增加,是否有临界系统资源的消耗。 如果 FortiAnalyzer 无法处理负载,最好禁用此过程。
还应该注意的是,默认情况下,计划报告会启用 hcache 数据的自动更新。
加快报告生成速度的第二种方法是分组:
如果为不同的 FortiGate(或其他 Fortinet)设备生成相同(或相似)的报告,您可以通过对它们进行分组来大大加快生成过程。 分组报告可以减少 hcache 表的数量并加快自动缓存时间,从而加快报告生成速度。
在下图所示的示例中,名称中包含字符串 Security_Report 的报告按设备 ID 参数分组。
视频教程介绍了上面讨论的理论材料,以及使用报告的实际方面 - 从创建您自己的数据集和图表、模板和报告到设置向管理员发送报告。 喜欢看!
在下一课中,我们将研究 FortiAnalyzer 管理的各个方面,以及它的许可方案。 为了不错过,请订阅我们的 .
您还可以关注以下资源的更新:
来源: habr.com