教程篇(6.4) 05. 报表 ❀ FortiAnalyzer ❀ Fortinet 网络安全专家 NSE 5

 在本课中，你将学习如何从日志中提取有用的信息用于分析。为此，你将了解如何在数据库中格式化、存储和组织数据，以及如何使用FortiAnalyzer报告特性查看捕获的数据以进行取证和遵从性。

 在这节课中，你将探索这张幻灯片上显示的主题。

 完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　通过展示理解报表概念的能力，你将能够使用报表更有效地从数据库中提取收集的日志数据。

 报告的目的是总结大量记录的数据。根据已配置的报表参数，FortiAnalyzer提取数据，并以图形化的方式显示，从而更容易、更快速地消化数据。报告显示的模式和趋势已经作为数据库中的几个数据点存在，但是手动定位、交叉引用和分析多个日志文件将非常困难和耗时，尤其是在你不知道正在寻找的趋势或模式的情况下。一旦配置完成，报告就会为你进行调查，并为你的网络活动提供快速而详细的分析。然后，你可以使用这些信息更好地理解你的网络或提高你的网络安全性。

　　请注意，报告不提供任何建议或给出任何问题的指示。管理员必须能够超越数据和图表，查看网络中正在发生的事情。

 FortiAnalyzer报告是一组用图表组织的数据。图表包含两个要素：

　　● 数据集是结构化查询语言(SQL)的SELECT查询，它从数据库中提取特定的数据

　　● 显示数据的格式(例如，饼图、柱状图或表格)

 为了用在SQL数据库中收集、存储和排序的特定日志数据填充图表，它依赖于数据集查询来提取该日志数据。数据集是一个特定的SQL SELECT查询，从数据库中检索数据的只读语句。

　　SELECT语句是查询中使用的第一个单词，它是描述你想要执行的操作的声明性动词。

 因此，为了从SQL数据库中提取所需的数据，你必须指定条件。为了将此标准放入SQL能够理解的语言中，你必须使用SELECT语句能够识别的子句。

　　FortiAnalyzer报告使用的主要子句如下：

　　● FROM，它指定了表格

　　● WHERE，它指定了条件。所有不满足条件的行都将从输出中删除。

　　● GROUP BY，它跨多个记录收集数据，并按一个或多个列对结果分组。

　　● ORDER BY，按行对结果排序。如果没有给出ORDER BY，则按照系统发现的最快生成的顺序返回行。

　　● LIMIT，它限制基于指定值返回的记录数量。OFFSET是与LIMIT一起使用的另一个子句，它按指定的数字偏移结果。例如，如果你放置的记录限制为3条，偏移量为1，则将跳过通常返回的第一个记录，而返回第二个、第三个和第四个记录(总共3条)。

　　FROM是构成SELECT语句所需的唯一强制子句；其余的子句是可选的，用于筛选或限制、聚合或组合和控制排序。还需要注意的是，子句必须按照特定的顺序编码。因此，在SELECT关键字之后，语句后面必须有一个或多个子句，其顺序是它们在本幻灯片所示的表中出现的顺序。例如，你不能在FROM子句前面使用WHERE子句。你不必使用所有的可选子句，但是无论你使用哪个子句都必须按照正确的顺序。

　　有关FortiAnalyzer报告中使用的SQL和数据集的更多信息，请参阅补充的FortiAnalyzer SQL和数据集课程。

 为了创建查询，你首先需要知道数据库模式中包含了什么，你需要知道可以提取哪些信息用于报告。在FortiAnalyzer中，你可以通过创建和测试以下数据集查询来获得特定日志类型的模式：

　　SELECT * FROM #log

　　例如，对于流量日志，在“日志类型”下拉列表中将“流量日志类型”与此数据集关联。该查询返回来自流量日志类型的所有内容。列标题名称表明数据库模式中对于所选日志类型有哪些可用内容。符号*用于返回所有数据。

 正如这张幻灯片上的图形所示，SQL数据库包含所有原始日志。SQL SELECT查询轮询数据库以获取特定信息。根据查询，提取存储在日志中的信息子集。

　　此数据子集用于填充图表，而报表中存在一个或多个图表。

 当ADOM被启用时，每个ADOM都有自己的报表、库和高级设置。因此，在选择报表之前，请确保你处于正确的ADOM中。

　　只有在启用ADOM时，特定Fortinet设备的其他报告才可用。你可以在它们各自的ADOM中为这些设备配置和生成报告。这些设备也有特定于设备的图表和数据集。

 在配置或创建报表之前，需要考虑一些因素，以确保报表尽可能有效。

　　首先要考虑的是你的受众。谁会看这份报告?根据他们想要看到的内容和他们的技能水平，你可能需要添加、删除或修改图表，以适当地传达信息。

　　第二个考虑因素是你的目的。如果你查看预定义的报告，每个报告都关注特定的信息。它们基于特定的数据集，并包含格式化查询的图表。因此，报告必须有重点，以便有效和易于理解，这是通过有一个强大的目的来实现的。

　　接下来要考虑的是细节级别。最好的做法是保持报告的简短和简洁。它不仅可以聚焦于您的网络和用户视图，而且更短的报表可以运行更少的图表和查询。这有助于提高性能，因为大的报表会影响CPU和内存。

　　最后要考虑的是格式。你需要知道如何格式化数据，以便以最容易理解和信息丰富的方式显示数据。一个表图。条形图。饼状图不一定代表同样有效的数据。根据你的查询，你可能只能使用一种类型的图表，但是如果有可用的选项，你需要选择正确的图表。考虑如何最好地以视觉方式表示数据，以及如何让受众消费数据。除了图表格式外，还可以通过添加分隔符、分页符、图像和重命名图表来更改报表的设计。

 知识检查

 非常好！你现在理解了报表的概念。

　　接下来，你将学习如何在FortiAnalyzer中生成报表。

 完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　通过演示报表生成的能力，你将能够以可消费的方式快速查看网络上活动的详细分析。

 FortiAnalyzer为报表提供预定义的模板。模板指定要包含在使用它的报表中的布局文本、图表和宏。默认情况下，这些预定义模板与它们各自的预定义报表相关联。例如，360度安全审查模板是预定义的360度安全审查报告使用的模板。

　　模板不包含任何数据。数据在生成报告时添加到报告中。

　　你不能编辑预定义的模板，但是你可以克隆和编辑它以满足你的需求。你还可以从头创建自己的模板。

 FortiAnalyzer还提供了预定义的报表，每个报表都与预定义的模板(布局)相关联。预定义报告已经配置了基本的默认设置。这些基本设置定义了运行报表的时间段；在什么设备上运行报表；报表是生成单个报表还是多个报表。

　　因此，你以按原样运行预定义的报告，但至少应该检查并在必要时调整基本的默认设置配置。例如，如果今天是FortiAnalyzer收集日志的第一天，那么如果时间段设置为“最近7天”，你的报表将不包含任何数据。Last <n> days在FortiView中处理与报表不同。在报表中，不包括当前日期。

　　你可以按需运行报表，也可以通过启用调度来将报表安排在特定的时间内。

　　报表生成后，支持HTML、PDF、XML、CSV等多种格式。

 如果预定义的报表非常接近于满足你的所有需求，但还不完全满足，则可以使用报表设置对报表进行微调。微调包括最小的报告修改，例如：

　　● 添加日志消息筛选器以进一步细化报表中包含的日志数据

　　● 启用对预先存在的LDAP服务器的查询，以将LDAP查询添加到报表

　　● 配置报表语言、打印设置和其他设置。例如，你可以打印和自定义封面页、打印目录、打印设备列表、模糊用户、设置报表显示在报表日历下的颜色代码。

 你刚刚了解了如何在报表设置中设置报表级别的过滤器。但是，你也可以在报表中使用的图表上设置筛选器。

　　在报表的Layout选项卡中，右键单击图表并选择chart Properties。你在这里设置的过滤器只适用于该报表中的图表。因此，它不会影响使用相同图表的任何其他报表。

 虽然预定义报表的名称旨在指示报表中包含的数据类型，但拥有报表内容的更完整视图是很有帮助的，特别是在试图确定预定义报表是否满足您的需求时。一种方法是检查报告中包含哪些图表，并在更细粒度的层面上，检查定义这些图表的数据集。

　　有几种方法可以确定在报表中使用哪些图表和数据集。一种快速的方法是查看与报表关联的模板。该模板包含报表中包含的所有图表。若要发现与图表关联的数据集，请右键单击图表并选择“克隆图表”。出现的对话框列出数据集。

　　你可以在“数据集”页上查看数据集的特定查询。

 FortiAnalyzer还提供了在日志组上运行报告的能力，因此你可以查看来自该组的日志数据，就像查看单个设备一样。

　　日志组的一个这样的用例是确定你的网络作为一个整体是如何运行的，特别是如果你有一个大型网络，在不同的位置上有多个FortiGate设备。你可以获得关于总流量使用的信息，并获得你的网络的完整图片，而不是基于多个未连接的设备接收零碎的外观。

　　你可能希望使用日志组来确定特定地理位置上的设备的性能。

 知识检查

 非常好！现在你已经了解了如何生成报告。

　　接下来，你将学习如何自定义报表。

 完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　通过演示报表定制的能力，你将能够生成特定于你的需求的报表。

 预定义报表可能无法满足组织的所有需求，即使对报表设置进行了微调。虽然FortiAnalyzer提供了从头创建新模板和报告的选项，但也提供了定制选项。

 例如，对于现有模板或报告的轻微或中度更改，可以使用克隆。对于克隆，你将克隆一个报告或模板，然后编辑克隆以满足你的需求。仅对于报表，你可以创建一个新的报表，但它基于现有的模板。然后编辑新报告以适应你的需求。

　　虽然你可以直接编辑预定义报表(但不包括模板)的布局，但最佳实践是克隆和编辑预定义报表。如果对报表的直接编辑不成功，这将保留默认报表。

　　如果需要对现有的模板或报告进行重大更改(也就是说，没有一个报告满足你的需求)，你可以从头创建一个新的报告或模板。

 你可以从“所有报表”页面中克隆报表。同样，当你只需要进行少量或适度的更改时，你应该进行克隆。例如，当你想从现有报告中借用许多元素，但不是所有元素时。在克隆的报表中，你可以编辑设置和布局。请注意，如果需要，布局选项卡提供了将布局保存为模板的选项。

　　与预定义报表不同，你可以删除克隆报表。

 你可以在“模板”页面中克隆模板。同样，当你只需要进行少量或适度的更改时，你应该进行克隆。例如，当你想从现有模板中借用许多元素，但不是所有元素时。在克隆的模板中，你只能编辑布局。

　　与预定义模板不同，你可以删除克隆模板。

  你可以在All Reports页面上从空创建一个新报告。正如这张幻灯片上的图形所示，你可以配置设置和布局。因为它是一个新的报告，设置和布局都是空白的，你必须配置它们。

　　创建布局后，可以选择将其保存为模板。然后可以将该模板用于创建的其他报表。

　　你可以删除自定义报表。

 你可以在“模板”页面创建新的模板。这张幻灯片上显示的图形显示布局选项卡是空白的。使用本页上的布局工具栏来构建布局。工具栏允许你插入现有的图表和宏，并允许你添加和格式化文本，以及添加图像和链接。

　　创建布局后，可以将其保存为一个新的自定义模板。然后可以在报表中使用该模板。

　　你可以删除自定义模板。

 模板和报表之间有着密切的联系。如前所述，你可以克隆和编辑报表和模板，也可以创建新的报表和模板。那么，如何知道采用哪种定制方法：是从模板端还是从报表端进行定制呢?

　　模板和报表之间最重要的区别之一是，模板只包括你可以在报表的Layout选项卡下找到的详细信息——它们不包括报表设置(基本配置或高级设置)。因此，在决定是在模板端执行自定义还是在报表端执行自定义时，这取决于你想要保留什么和想要修改什么。

　　最终，没有正确的方法。你可以通过不同的方法达到相同的结果。最佳实践是从效率和需求的角度着手。

在FortiAnalyzer中，宏指定从日志中提取什么数据—它们以缩写形式表示数据集查询。你可以在报表中插入宏作为数据，而不必使用图表来显示数据。FortiAnalyzer提供了预定义的宏，或者你可以创建自己的自定义宏。

　　请注意，宏是特定于ADOM的，仅在Fabric、FortiGate和FortiCarrier ADOM中支持。

 你可以将宏插入自定义模板或报表布局(预定义的或自定义的)中。

　　在本幻灯片所示的示例中，在插入的宏之前添加文本，以便为宏提供一些上下文。如你所见，在生成报告时，将根据宏中使用的查询提取日志中的数据。这里，返回的是具有最高计数的宏应用程序类别。来自数据库的服务。

 知识检查

 非常好！你现在了解了如何自定义报表。

　　接下来，你将学习如何自定义图表和数据集。

 完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　通过展示图表和数据集定制方面的能力，你将能够从特定于你的需求的数据库中提取独特的数据组合。

 在某些情况下，简单地从报表或模板中添加或删除默认图表可能无法满足你的需求：当没有针对该独特组合的预定义图表或数据集存在时，你可能需要从数据库中提取一个独特的数据组合。在这种情况下，你可以克隆和编辑图表和数据集。或者从头开始创建新的图表和数据集。

 在创建新图表时，首先需要一个数据集，该数据集将查询数据库中所需的信息。这是绝对必要的。图表所做的只是将基于文本的查询结果转换为你所选择的图形格式(表格、条形图、饼状图、直线图、区域甜甜圈图)。

　　选择数据集和图表类型后，Data Bindings部分中的信息将根据这些选择自动调整。有关特定数据集和图表类型的数据绑定选项的更多信息，请参阅FortiAnalyzer Administration Guide。

　　如果FortiAnalyzer包含一个与你想要的输出非常相似的现有图表，那么你可以克隆和修改图表，而不是创建一个全新的图表。克隆的图表被归类为自定义图表，因此请记住启用Show custom，以便它出现在图表库表中，便于查看或访问。

 创建新数据集时，需要编写一个SQL SELECT查询。有关编写查询的更多信息，请参阅FortiAnalyzer SQL和数据集课程(补充培训材料)。

　　编写查询后，请确保测试它以确保其格式良好。另外，检查测试结果，并确保它返回了你期望的数据。

　　如果FortiAnalyzer包含一个与你想要的非常相似的现有数据集，那么你可以克隆和修改数据集，而不是创建一个全新的数据集。

　　请注意，你可以在Datasets页面上单击一下，验证所有自定义数据集(包括新的和克隆的数据集)。在固件升级之后，你应该始终验证你的自定义数据集。

 构建自定义数据集和图表的一个快速方法是使用图表生成器工具。此工具位于“日志视图”中，允许你自动构建数据集和图表。根据你过滤的搜索结果。在“日志视图”中，设置过滤器以返回所需的日志。然后，在“工具”菜单中，选择“图表生成器”，以自动将搜索构建为数据集和图表。你还可以进一步微调数据集。

　　● 添加更多的列

　　● 设置组、按顺序和排序过滤器

　　● 对结果设置一个限制

　　● 设置设备和时间框架

 类似于日志视图中的图表生成器功能，你可以从FortiView导出图表。图表导出包括你在FortiView上设置的任何筛选器。

 知识检查

 知识检查

 非常好！你现在了解了如何自定义图表和数据集。

　　接下来，你将学习如何管理报表。

 完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　通过展示在报表管理方面的能力，你将能够处理、存储和更有效地控制报表和报表生成。

 你可以配置FortiAnalyzer，将生成的报表通过电子邮件发送给指定的管理员，或将生成的报表上传到syslog服务器。这允许报告存在于外部，而不是留在FortiAnalyzer的本地。

　　为了使用任何这些外部存储方法，你必须首先设置后端。这包括配置邮件服务器(仅用于电子邮件报告)和输出配置文件。如果启用了ADOM，那么每个ADOM都有自己的输出配置文件。

　　输出配置文件指定以下内容：

　　● 报表的格式，包括：PDF、HTML、XML、CSV

　　● 是否将生成的报表通过邮件发送或上传到服务器。你可以指定一个或两个选项，或创建多个outlook配置文件。服务器选项包括FTP、SFTP和SCP。

　　● 报表上传至服务器后是否在本地删除

 当生成报告时，系统从预编译的SQL硬缓存数据(称为hcache)构建图表。如果在运行报告时没有构建hcache，系统必须先创建hcache，然后再构建报告。这会增加生成报告的时间。但是，如果在报告期间没有收到新的日志，那么当你第二次运行报告时，它会快得多，因为hcache数据已经预编译过了。

　　为了提高报表性能并减少生成报表的时间，你可以在报表的设置中启用自动缓存。在这种情况下，当有新的日志进入并生成新的日志表时，hcache会自动更新。

　　注意，hcache会自动为计划报告启用。如果你没有安排报表，你可能需要考虑启用hcache。这可以确保高效地生成报告。但是，请注意，这个过程使用系统资源(特别是对于需要很长时间来组装数据集的报告)，因此你应该监视你的系统，以确保它能够处理它。

 如果相同(或类似)的报告将在许多不同的FortiGate设备上运行，那么可以通过对报告进行分组来显著地改善报告生成时间。报表分组可以减少hcache表的数量，提高自动hcache完成时间和报表完成时间。

　　使用configure system report group CLI命令配置报表分组后，必须重建报表hcache表。你可以为那些特定的报告重建hcache表。

 记住，每个ADOM都有自己的报表、库和高级设置。但是，你可以在同一个FortiAnalyzer设备或不同的FortiAnalyzer设备中导入和导出报表和图表(无论是默认的还是自定义的)到不同的ADOM中。ADOM必须是相同类型的。

　　你不能导出模板和数据集。但在导入导出报表时，可以将报表的布局保存为模板。当你导出图表时，关联的数据集将与它一起静默导出，因此当你导入导出的图表时，关联的数据集也将被导入。

　　你可以通过“报表”页面的右键菜单导出和导入报表。

　　图表库包括工具栏中的导出和导入功能。

 你可以将报表附加到事件中，以便在实时事件之外添加历史数据。以下是附加报告的两种方式：

　　● 你可以在事件创建之后手动附加报告。

　　● 报告可以自动附加，由SOAR自动化剧本。

　　这张幻灯片显示了如何从报表>生成的报表手动附加报表。

 这张幻灯片显示了如何从FortisoC / Incidents & Events > Incidents 手动附加报告。在事件分析页面上，你可以单击Reports选项卡并选择Format列来打开新的浏览器选项卡以显示报告的内容。

　　使用剧本自动将报告附加到事件需要许可证，因为SOAR自动化是一个许可证特性。

 报表日历提供了所有计划报表的概述。检查图标表示报告已经生成，而时钟图标表示报告正在等待。

　　当你将鼠标悬停在计划报表上时，将出现一个通知框，其中显示报表的名称、状态和设备类型。

　　你可以编辑和禁用即将到来的计划报表，也可以通过在日历中右键单击报表的名称来删除或下载已完成的报表。

　　请注意，调度实际上并不是在此页面上完成的，而是在特定的报表配置本身中配置的。

　　你还可以将报表配置为在报表的高级设置窗口中使用特定的颜色显示。

 知识检查

 知识检查

 非常好！你现在了解了如何管理报表。

　　接下来，你将了解有关报告故障排除的知识。

 完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　通过展示在报告故障排除方面的能力，你将能够避免、识别和解决常见的报告问题。

 如果你的网络中有大量向FortiAnalyzer发送日志的设备，并且日志量也很大，那么生成报告可能需要一些时间。如果你发现生成报告的时间太长，你可以采取以下几个步骤进行故障排除：

　　● 在报告上运行诊断，并在报告末尾查看报告摘要。查看hcache时间，看看构建它需要多长时间。

　　● 检查日志速率(如前所述)以了解日志卷

　　● 检查插入速率、接收速率和日志插入延迟。它们可以告诉你原始日志达到FortiAnalyzer的速率(接收速率)，以及sqlplugind守护进程对它们进行索引的速率(插入速率)。日志插入延迟时间告诉你数据库在处理日志时滞后了多少秒。

　　● 在报表设置中启用自动缓存，以提高报表性能并减少报表生成时间。计划报表已经启用了自动缓存。

  这张幻灯片显示了一些CLI命令，你可以使用它们来解决与报告生成时间相关的问题。

　　在开头运行# diagnose debug enable来显示输出。

 如果运行的报表为空或不包含所需的信息，会发生什么?以下是一些故障排除技巧：

　　● 检查报告所涵盖的时间范围。这在报告本身中列出。

　　● 将时间框架与日志进行比较，并验证你是否拥有有关时间的日志文件

　　● 确认你拥有从运行报表的时间到运行报表的设备的日志。一个常见的问题是日志被覆盖得太快。结果是，报表所需的日志将被覆盖，因此，一旦报表运行，这些日志将不可用。在这种情况下，解决方案是增加磁盘配额，以确保日志保留更长时间。

　　● 测试所涉及的数据集，并验证它检索的信息是否正确。如果不是，则对SQL查询本身进行故障排除，因为可能是包含错误的数据集。

　　● 检查报告的高级设置。用户混淆等设置可能导致报告中出现异常用户名。还要验证附加到报告中的过滤器。你的过滤器可能过滤掉所需的日志。

 知识检查

 恭喜你！你已经完成了这一课。

　　现在，你将回顾你在本课中涉及到的目标。

 这张幻灯片显示了你在本课中涉及的目标。通过掌握本课所涉及的目标，你学习了如何理解数据在数据库中是如何格式化、存储和组织的，以及如何使用FortiAnalyzer报告特性从日志中查看和提取有用的信息。