大家好! 在 我們學習了在 FortiAnalyzer 上使用日誌的基礎知識。 今天,我們將進一步探討使用報表的主要方面:什麼是報表,它們由什麼組成,如何編輯現有報表和創建新報表。 像往常一樣,首先是一些理論,然後我們將在實踐中處理報告。 在剪輯下,介紹了課程的理論部分,以及包括理論和實踐的視頻課程。
報告的主要目的是結合日誌中包含的大量數據,並根據可用設置,以可讀的形式呈現所有收到的信息:以圖形、表格、圖表的形式。 下圖顯示了 FortiGate 設備的預裝報告列表(並非所有報告都適合它,但我認為這個列表已經表明即使開箱即用,您也可以構建很多有趣且有用的報告)。
但這些報告僅以可讀的方式提供了所要求的信息——它們不包含對所發現問題採取進一步行動的任何建議。
報告的主要組成部分是圖表。 每份報告由一個或多個圖表組成。 圖表確定應從日誌中提取哪些信息以及應以何種格式呈現這些信息。 數據集負責提取信息 - 對數據庫進行 SELECT 查詢。 正是在數據集中,才能精確地確定需要從何處提取何種信息。 在所需數據作為請求的結果出現後,格式(或顯示)設置將應用於它們。 結果,將獲得的數據繪製成各種類型的表格、圖形或圖表。
SELECT 查詢使用各種命令為要檢索的信息設置條件。 需要考慮的最重要的事情是這些命令必須以特定順序應用,下面列出了它們的順序:
FROM 是 SELECT 查詢中唯一需要的命令。 它指示必須從中提取信息的日誌類型;
WHERE - 使用此命令,設置日誌的條件(例如,應用程序/攻擊/病毒的特定名稱);
GROUP BY - 此命令允許您按一個或多個感興趣的列對信息進行分組;
ORDER BY——使用這個命令,可以按行對信息的輸出進行排序;
LIMIT - 限制查詢返回的記錄數。
FortiAnalyzer 包含預定義的報告模板。 模板就是所謂的報告佈局——它們包含報告的文本、圖表和宏。 如果需要對預定義的報告進行最少的更改,您可以使用模板創建新報告。 但是,無法編輯或刪除預安裝的報告 - 您可以克隆它們並在副本上進行必要的更改。 也可以創建您自己的報告模板。
有時您可能會遇到以下情況:預定義的報告適合任務,但不完全適合。 也許您需要向其中添加一些信息,或者相反,將其刪除。 在這種情況下,有兩種選擇:克隆和更改模板,或報告本身。 在這裡你需要依賴幾個因素。
模板是報告的佈局,它們包含圖表和報告文本,僅此而已。 反過來,報告本身除了所謂的“佈局”外,還包含各種報告參數:語言、字體、文本顏色、生成周期、信息過濾等。 因此,如果您只需要對報表佈局進行更改,則可以使用模板。 如果需要額外的報告配置,您可以編輯報告本身(更準確地說,是報告的副本)。
基於模板,您可以創建多個相同類型的報告,因此如果您必須製作很多彼此相似的報告,那麼最好使用模板。
如果預裝的模板和報告不適合您,您可以創建新模板和新報告。
同樣在 FortiAnalyzer 上,可以配置通過電子郵件將報告發送給各個管理員或將它們上傳到外部服務器。 這是使用輸出配置文件機製完成的。 在每個管理域中配置單獨的輸出配置文件。 配置輸出配置文件時,定義了以下參數:
- 發送報告的格式 - PDF、HTML、XML 或 CSV;
- 將發送報告的位置。 這可以是管理員的電子郵件(為此,您需要將 FortiAnalyzer 綁定到郵件服務器,我們在上一課中介紹過)。 它也可以是一個外部文件服務器——FTP、SFTP、SCP;
- 您可以選擇是保留還是刪除傳輸後留在設備上的本地報告。
如有必要,可以加快報告的生成速度。 讓我們考慮兩種方式:
生成報告時,FortiAnalyzer 從稱為 hcache 的預編譯 SQL 緩存數據構建圖表。 如果報表運行時沒有創建hcache數據,系統必須先創建hcache,然後再構建報表。 這會增加報告生成時間。 但是,如果未收到報告的新日誌,則重新生成報告時,生成報告的時間將大大減少,因為 hcache 數據已經編譯。
要提高報告生成的性能,您可以在報告設置中啟用自動 hcache 生成。 在這種情況下,hcache 會在新日誌到達時自動更新。 設置示例如下圖所示。
該進程佔用大量系統資源(尤其是需要長時間收集數據的報表),因此開啟後需要監控FortiAnalyzer的狀態:負載是否明顯增加,是否有臨界系統資源的消耗。 如果 FortiAnalyzer 無法處理負載,最好禁用此過程。
還應該注意的是,默認情況下,計劃報告會啟用 hcache 數據的自動更新。
加快報告生成速度的第二種方法是分組:
如果為不同的 FortiGate(或其他 Fortinet)設備生成相同(或相似)的報告,您可以通過對它們進行分組來大大加快生成過程。 分組報告可以減少 hcache 表的數量並加快自動緩存時間,從而加快報告生成速度。
在下圖所示的示例中,名稱中包含字符串 Security_Report 的報告按設備 ID 參數分組。
視頻教程介紹了上面討論的理論材料,以及使用報告的實際方面 - 從創建您自己的數據集和圖表、模板和報告到設置向管理員發送報告。 喜歡看!
在下一課中,我們將研究 FortiAnalyzer 管理的各個方面,以及它的許可方案。 為了不錯過,請訂閱我們的 .
您還可以關注以下資源的更新:
來源: www.habr.com