请注意,报告没有提供任何建议,也没有给出任何问题的迹象。管理员必须能够超越数据和图表,以了解其网络中正在发生的事情。
● 数据集:结构化查询语言(SQL)SELECT从数据库中提取特定数据的查询
● 格式:数据的显示方式(例如,饼图、条形图或表格)
SELECT语句是查询中使用的第一个单词,它是描述你想要完成的操作的声明性动词,后面是你想要从中提取信息的列。你可以提取所有条目,也可以使用子句使查询更加具体。
FortiAnalyzer报告使用的主要子句如下:
● FROM,它指定从哪个表或视图中提取数据
● WHERE,它规定了条件。所有不满足条件的行都不会显示在输出中。
● GROUP BY,收集跨多个记录的数据,并按一列或多列对结果进行分组
● ORDER BY,按特定列排序结果。如果没有给出ORDER BY,则会按照系统发现最快生成的顺序返回记录。
● LIMIT,它根据指定值限制返回的记录数量。
● OFFSET,子句通常与LIMIT一起使用,用指定的数字抵消结果。例如,如果你设置三条记录的限制和一条的偏移量,则通常返回的第一条记录将被跳过,而是返回第二、第三和第四条记录(总共三条)。
FROM是形成SELECT语句所需的唯一强制性条款。其余的子句是可选的,用于过滤或限制、聚合或组合,并控制排序。同样重要的是要注意,这些子句必须按特定顺序编码。因此,在SELECT关键字之后,语句后面必须遵循一个或多个子句,按照它们在上图显示的表格中显示的顺序排列。例如,你不能在FROM子句之前使用WHERE子句。你不必使用所有可选条款,但无论你使用哪个条款,都必须按正确的顺序排列。
有关用于FortiAnalyzer报告的SQL和数据集的更多信息,请参阅补充的FortiAnalyzer SQL和数据集课程。
SELECT * FROM $log
此查询可以理解为:“从日志表中选择所有内容”
例如,对于流量日志,请将流量日志类型与日志类型下拉列表中的此数据集相关联。此查询从流量日志类型返回所有内容。列标题名称表示所选日志类型的数据库模式中可用的内容。*符号被用作返回所有数据的一种方式。
正如你在这张幻灯片上看到的,字段的数量可能非常多。因此,克隆和编辑预定义的数据集之一可能是最好的方法,如果它们都不能完全满足你的需要。
这个数据子集填充一个图表,报告中存在一个或多个图表。
仅当启用ADOM时,特定Fortinet设备的附加报告才可用。你可以在各自的ADOM中为这些设备配置和生成报告。这些设备还具有特定于设备的图表和数据集。
第一个考虑因素是你的观众。谁会看这份报告?根据他们想要看到的内容和他们的技能水平,你可能需要添加、删除或修改图表,以便适当地传达信息。
第二个考虑是你的目的。如果你查看预定义的报告,每个报告都侧重于特定的信息。它们基于特定的数据集,并包含格式化查询的图表。因此,报告必须集中,以便有效且易于消化,这是通过有强烈的目标来实现的。
下一个考虑因素是细节水平。最佳做法是保持报告简短和简洁。它们不仅关注你对网络和用户的视图,而且较短的报告具有更少的图表和更少的要运行的查询。这有助于提高性能,因为大型报告会影响CPU和内存。
最后的考虑因素是格式。你需要知道如何格式化数据,以便以最易于消化和信息的方式显示。表格图、条形图和饼图不一定代表具有相同有效性的相同数据。根据你的查询,你可能只能使用一种类型的图表,但如果有选项,你需要选择正确的图表。考虑如何最好地直观地表示数据,以及消耗数据的受众。
除了图表格式外,你还可以通过添加分隔符、分页符、图像和重命名图表来更改报告的设计。
模板不包含任何数据。当你生成数据时,数据会添加到报告中。
你无法编辑预定义的模板,但你可以克隆它并编辑克隆以满足你的要求。你还可以从头开始创建自己的模板。
因此,你可以按原样运行预定义的报告,但至少你应该检查并在必要时调整基本默认设置。例如,如果今天是FortiAnalyzer收集日志的第一天,那么如果时间段设置为过去7天,你的报告不包含任何数据。在FortiView中,过去<n>天的处理方式与报告不同。在报告中,它不包括当天。
你可以按需运行报告,或通过启用调度将其安排到特定时间。
生成后,报告可以多种格式查看,包括HTML、PDF、XML、CSV和JSON。
微调包括最低限度的报告修改,例如:
● 添加日志消息过滤器以进一步细化报告中包含的日志数据
● 启用对现有LDAP服务器的查询,以将LDAP查询添加到报告中
● 配置报告语言、打印设置和其他设置。例如,你可以打印和自定义封面页,打印目录,打印设备列表,混淆用户,并将报告的颜色代码设置为显示在报告日历下。
对于对现有模板或报告的轻微或适度更改,你可以使用克隆。对于克隆,你将克隆报告或模板,然后编辑克隆以满足你的要求。
仅对于报告,你可以创建新报告,但以现有模板为基础。然后编辑新报告以满足你的要求。
虽然你可以直接编辑预定义报告的布局(但不是模板),但克隆和编辑预定义报告是最佳做法。如果你对报告的直接编辑不成功,这将保留默认报告。
如果需要对现有模板或报告进行重大更改(也就是说,没有接近你需求的报告),你可以从头开始创建新报告或模板。
模板和报告之间最重要的区别之一是,模板只包含你可以在报告的“布局”选项卡下找到的详细信息——它们不包括报告设置(基本配置或高级设置)。因此,在决定是在模板端还是在报告端执行自定义时,这取决于你想要保留的内容和修改的内容。
最后,没有正确的方法。你可以通过各种方法获得相同的结果。最佳实践是从效率和需求的角度来攻击它。
请注意,宏是特定于ADOM的,仅在FortiGate和FortiCarrier ADOM中受支持。
● 添加更多列
● 设置分组、排序和排序过滤器
● 设定结果限制
● 设置设备和时间范围
为了使用任何这些外部存储方法,你必须首先设置后端。这包括配置邮件服务器(仅适用于电子邮件报告)和输出配置文件。如果启用了ADOM,每个ADOM都有自己的输出配置文件。
输出配置文件指定了以下内容:
● 报告的格式,如PDF、HTML、XML和CSV
● 是通过电子邮件发送生成的报告还是上传到服务器,你可以指定一个选项,两者兼而有之,或创建多个Outlook配置文件。服务器选项包括FTP、SFTP和SCP。
● 上传到服务器后是否在本地删除报告
为了提高报告性能并减少报告生成时间,你可以在报告设置中启用自动缓存。在这种情况下,当新日志进入并生成新日志表时,hcache会自动更新。
请注意,hcache会自动为计划报告启用。如果你没有安排报告,你可能需要考虑启用hcache。这确保了报告的高效生成。但是,请注意,这个过程使用系统资源(特别是对于需要很长时间才能组装数据集的报告),因此你应该监控你的系统,以确保它能够处理它。
使用configure system report group CLl命令配置报告分组后,必须重建报告hcache表。你可以为这些特定报告重建hcache表。
你无法导出模板和数据集。但是,当你导入导出的报告时,你可以将报告的布局保存为模板。当你导出图表时,关联数据集会随之静默导出,因此当你导入导出的图表时,也会导入关联的数据集。
你可以通过报告页面上的右键单击菜单导出和导入报告。
图表库在工具栏中包含导出和导入功能。
以下是你可以附加报告的三种方式:
● 手动,从现有报告中。
● 手动,从现有事件中。
● 自动,通过自动化操作手册。
上图展示了如何从现有报告和现有事件中手动附加报告。
当你将鼠标光标悬停在计划报告上时,会打开一个通知框,显示报告名称、状态和设备类型。
你可以通过右键单击日历中的报告名称来编辑和禁用即将发布的计划报告,以及删除或下载已完成的报告。
请注意,调度实际上不是在此页面上完成的,而是在特定报告配置本身中配置的。
你还可以将报告配置为在报告高级设置窗口中使用特定颜色显示。
● 对你的报告运行诊断程序,并在报告末尾查看报告摘要。看看hcache时间,看看构建需要多长时间。
● 检查您的日志速率(如前所述),以了解日志卷。
● 检查插入率、接收率和日志插入滞后。他们可以告诉你原始日志到达FortiAnalyzer的速率(接收率)和SQL数据库索引的速率(插入速率)由sqlplugind守护进程。日志插入滞后时间告诉你数据库在处理日志时落后了多少秒。
● 在报告设置中启用自动缓存,以提高报告性能并减少报告生成时间。计划报告已经启用了自动缓存。
● 检查报告所涵盖的时间框架。这在报告本身中列出。
● 将时间范围与日志进行比较,并验证你是否拥有相关时间的日志文件
● 验证你是否有运行报告时和运行报告的设备的日志。一个常见问题是由日志被过快覆盖引起的。其结果是,报告所需的日志被覆盖,因此,一旦报告运行,就不可用。在这种情况下,解决方案是增加磁盘配额,以确保日志保留更长时间。
● 测试相关数据集,并验证它是否正在检索正确的信息。如果不是,则对SQL查询本身进行故障排除,因为它可能是包含错误的数据集。
● 检查你的报告高级设置。用户混淆等设置可能会导致报告中的用户名异常。还要验证报告所附的过滤器。你的过滤器可能正在过滤掉所需的日志。
