レポートの生成方法

日々発生するイベントの傾向を確認することを目的とした、レポートの生成方法を示します。

PDFレポート

事前に定義されたPDFレポートの確認と、PDFレポートをカスタマイズする方法を示します。

PDFレポートは前日の状況を示すものであり、現在発生しているイベントは含まれないことにご注意ください。

事前定義されたPDFレポート

デフォルトで存在するPDFレポートの確認方法です。

a)「Monitor」 → PDFレポート下のb)「レポート」 → c)「PDFサマリーレポート」の[+]をクリック
→ d)「Predefined」をクリック → e)レポートを見たい日付(本例では2022/2/13)をクリックします。

以下のようなレポートが出力されます。


上記のレポートは(著者のデモ環境の都合上、設定変更できないため)英語で出力されていますが、下記の設定で日本語での出力もできます。

a)「Device」→b)「セットアップ」→c)「管理」→d)歯車をクリックし、e)「表示言語」でJapaneseを選択してください。

PDFレポートの出力項目の変更

事前定義されたPDFレポートではなく、日々確認したい情報を組み込んだPDFレポートを独自に作ることができます。

a)「Monitor」 → b)「PDFサマリーの管理」 → c)「追加」をクリックします。

a)名前に「test001(任意)」を入力します。
b)脅威レポート、トラフィックレポートなどをクリックして表示されるプルダウンから、日々確認したい項目を選択します。
一つのレポートに表示できるのは最大18個までです。
それ以上必要な場合は、もう一つ別のレポートを生成してください。

変更後のPDFレポートの確認

独自に生成したPDFレポートも、Predefinedレポートと同様の場所で確認できます。

(前日までの情報となりますので、即時出力はされません。作成した次の日以降に確認してください。)

a)「Monitor」 → PDFレポート下のb)「レポート」 → c)「PDFサマリーレポート」の[+]をクリック
→ d)作成した「test001」をクリック → e)レポートを見たい日付をクリックします。

カスタムレポート

カスタムレポートを使って、事前に用意されているデータベースから必要な情報だけを抽出して、独自のレポートを生成することができます。

カスタムレポートは、ざっくりとは以下の3ステップで作成します。

  1. レポートの元となるデータベースを選択
  2. レポートの期間を指定
  3. レポートに出力したい項目を選択

a)「Monitor」 → b)「カスタムレポートの管理」 → c)「追加」をクリックします。

カスタムレポートの初期画面です。

以降、「a) データベース」と「b) 期間」について、少し解説します。

[参考]データベース

データベースは、サマリーデータベースと詳細ログの2つに分類されます。

サマリーデータベース

ファイアウォールは、 Traffic, Threat, URLおよびApplication Statisticsに関する詳細なログを15分間隔で集約します。
それがサマリーデータベースです。

サマリーデータベースでは、重複したセッションはグループ化され、リピートカウンタで増分され、一部の属性(または列)はサマリーに含まれません (レポートに生成されるときの応答時間を短縮するため) 。

詳細ログ (低速)

詳細ログは、ログエントリに関連するすべての属性(または列)の完全なリストです。

詳細ログに基づくレポートは実行に時間がかかり、CPUリソースも多く使うので、詳細ログにしかない項目が必要でない限りは推奨されません。

[参考]期間

レポートの期間は、「スケジュール設定」の有効/無効によって選択できるものが変化します。

スケジュール設定を有効にすることで、毎晩(2:00AM頃)にレポート生成が自動的に開始されます。

そのため、前日までのデータを取り扱うモードになるので、過去15分~24時間を指定することはできません。

カスタムレポートの設定

例として、重大度がMedium以上/アクションがAlert設定のみの昨日のレポートを、毎日生成することにします。

名前にa)「Threat_gt_medium_and_alert (任意)」と入力します。

b)データベースは、サマリーデータベースからThreatを選択します。

c)スケジュール設定を有効にし、期間は”昨日”を選択します。

d)レポートに出力したい列(項目)を選択します。本例では以下を選択しています。

  • Threat/Content Name
  • Subtype
  • Severity
  • Threat Category
  • Application
  • Destination address
  • Destination User
  • Source address
  • Source user
  • Risk of App
  • Count

e)クエリビルダーで「(severity geq medium) and (action eq alert)」を指定します。

f)ソート基準を「Count」、「トップ 50」を選択しています。

g)スケジュール設定を有効にしていますが、「今すぐ実行」もできます。

「今すぐ実行」をクリックして出力された結果です。

上図の「PDFにエクスポート」をクリックすることで、以下のようなPDFとして出力することができます。

~略~

カスタムレポートの確認

「スケジュール設定」を有効にしたものに限定されますが、過去のレポートをGUIから確認することができます。

(前日までの情報となりますので、設定後すぐにはGUIで確認できません。作成した次の日以降に確認してください。)

カスタムレポートが生成されていれば、a)「Monitor」 →b)「レポート」 で、c)のあたりに「カスタムレポート」が追加されます。
(著者が利用しているデモ環境の都合上、下記のスクリーンショットでは表示されておりませんが。)

レポートの日次メール送信設定

PDFレポートやカスタムレポートを、毎日メール送信することができます。

電子メールサーバプロファイルは、ログ出力設定時に利用した以下の設定を使うことにします。

[参考] 「Device」タブ → 「サーバプロファイル」の下の「電子メール」をクリックすることで定義済みプロファイル一覧が表示されます。

a)「Monitor」 → b)「レポートグループ」 → c)「追加」をクリックします。

a)名前に「Report-Group-001(任意)」を入力 →メール送信したいレポートを選択して→ b)「追加>>」をクリックすると、c)のようになります。
d)「OK」ボタンを押します。

a)「Monitor」 → b)「電子メールスケジューラ」 → c)「追加」をクリックします。

a)名前に「email-schedule-report(任意)」を入力 → b)で作成済みレポートグループ「Report-Group-001」を選択
→ c)で作成済み電子メールプロファイル「Email_Server」を選択 → d)繰り返しで「毎日(任意)」を選択
→ e)「OK」ボタンを押します。

「コミット」を実施します。

これで、レポートが毎日メールで送られてきます。

コメント欄 質問や感想、追加してほしい記事のリクエストをお待ちしてます!

タイトルとURLをコピーしました