我的防火墙还能做什么？自定义报告!

在配置防火墙后, 启用安全策略和配置文件后, 您可以坐下来并专注于其他任务, 知道您的网络是安全的。在不经常检查日志和搜索异常的情况下保持这种平静的好方法是使用计划报告将您的网络中发生的所有事情都张贴在上面。

请查看视频, 然后逐步执行以配置您自己的自定义报表。

为方便起见, 已为您设置了几个预定义的报告;当帕洛阿尔托网络防火墙打开并投入网络时, 这些开始创建可用的报告数据。如果某些报表不有用, 可以使用自定义报表禁用并替换它们。

当您开始创建自定义报表时, 您的第一个选项之一是要用于报表的数据库。您会发现有两组可供选择, 摘要和详细内容, 每个都包含类似类型的日志。 

摘要数据库是优化的数据库, 它每隔15分钟、每小时、每天和每周收集日志文件中的汇总数据, 从而可以快速创建报告。详细日志允许您抓取日志文件以搜索非常特定的数据, 但需要更长的时间才能生成。

例如, 摘要数据库和详细的 URL 数据库之间的区别在于, 摘要库可以报告访问了哪些类别和域x次, 而详细日志可以报告从特定源访问的确切 url.  

对于大多数报告, 我们建议使用摘要数据库。

选择数据库以创建报表后, 启用计划并设置时间安排。未计划的报表只能手动运行, 但允许更小的时间段, 而定期报表 (生成和存储报表) 可以配置为自动电子邮件每日、每周或每月的报告。

如果您想查看一些示例报告, 可以从预定义的报表中加载报表模板, 然后可以自定义这些报告。从加载顶部应用程序模板开始: 

选定的列和数据库将自动从模板中加载, 您只需更改名称和时间框架即可。

如果单击 "立即运行" 按钮, 将生成一个示例报告。

如果您返回到报表设置, 则可以通过添加 "威胁" 列, 将 "排序依据" 更改为威胁并按天 gouping 数据, 向报表中添加更多详细信息。

如果再次单击 "立即运行" 按钮, 报表将具有完全不同的外观: 报告每个应用程序检测到的威胁, 数据按日分组, 并从大多数威胁排序到最少。

还可以使用 "查询生成器" 进一步调整报表。如果要从报表中筛选出 DNS 和端口映射程序, 可以为不等于 DNS 和端口映射程序的应用程序创建筛选器。

该报告现在将不再包含这些应用程序。

如果继续操作并单击 "确定" 并提交, 则报表将添加到每天晚上运行并在 "自定义报表查看器" 中可用的计划报告作业中:

在创建了这些报告中的几个之后, 您可以继续并将它们添加到报表组中。 

然后, 可以将报表组添加到电子邮件计划程序中, 以便自动将其邮寄给您和您的同事。

如果您以前没有创建过电子邮件服务器配置文件, 它应该看起来有点像这样:

您可以发送测试电子邮件, 以确保您的配置在提交和等待第一个报表出现之前按预期工作。

我希望你找到这篇文章很有用。请在下面留下评论或查看本系列的其他情节.

问候，

汤姆