Firewall-Reporting – Report Generator

Unter Report Generator können Sie eine Berichtsvorlage auswählen, Filter festlegen, einen Report erstellen und die Vorlage mit Ihren Filter- und Anzeigeeinstellungen speichern.

Anmerkung Erstellte Berichte, die Sie in Sophos Central anzeigen können, unterstützen bis zu 10.000 Datensätze pro Bericht. Geplante Exporte unterstützen bis zu 100.000 Datensätze pro Bericht.

Der Tab „Report Generator“ umfasst die folgenden Bereiche:

  • Filter
  • Diagramm
  • Tabelle

Filter

Unter Filter können Sie die Firewall, Berichtsvorlage sowie den Zeitrahmen auswählen. Sie können auch Abfragen angeben.

Unter Vorlagen für Berichte können Sie eine der folgenden Berichtsvorlagen auswählen:

  • ATP: Bedrohungen, ausgehend von bestimmten IP-Adressen, die von Advanced Threat Protection erkannt wurden.
  • Antivirus: Malware oder verdächtige Elemente, die blockiert wurden.
  • Bandbreitennutzung: Umfang der Internetnutzung bestimmter Anwendungen.
  • Firewall: Anzahl der Verbindungen zwischen bestimmten IP-Adressen.
  • IPS: Versuchte Angriffe, einschließlich Quelle und Ziel.
  • Log Viewer & Suche: Protokolleinträge, die von der Firewall in nicht aggregierter Form generiert wurden.
  • Sandstorm-Ereignisse: Dateien und E-Mails, die verdächtige Anhänge enthalten, die an Sandstorm gesendet wurden.
  • Geo-Aktivität der Bedrohung: Bedrohungen aus bestimmten Ländern, die blockiert wurden.
  • Bedrohungen & Ereignisse blockiert: alle Typen von Bedrohungen und Ereignissen, nach Quell- oder Zielland, die blockiert wurden.
  • VPN-Nutzung: Umfang der Nutzung bestimmter VPN-Verbindungen.
  • Internetnutzung: Besuche auf bestimmten Websites, einschließlich der Information, ob Verbindungen zugelassen oder blockiert wurden.

Der Bericht Log Viewer & Suche enthält kein Diagramm, sondern nur eine Tabelle.

Unter Zeitrahmen können Sie durch das Auswählen einer der Optionen den Zeitraum festlegen, für den Informationen angezeigt werden. Wenn Sie Benutzerdefiniert auswählen, können Sie die Datumsauswahlfelder verwenden, um die Zeitpunkte zu bestimmen, zwischen denen die angezeigten Informationen liegen sollen.

Einschränkung Wenn Sie keine Firewall-Reporting-Lizenz haben, können Sie keinen Zeitraum angeben, der vor mehr als sieben Tagen beginnt.

Unter Anfrage können Sie Werte eingeben, nach denen der Bericht gefiltert werden soll:

  1. Wählen Sie im Textfeld den Namen der Spalte aus, nach der Sie filtern möchten, oder geben Sie ihn ein.

    Es wird ein weiteres Textfeld angezeigt, in das Sie die Werte eingeben können, nach denen Sie filtern möchten.

  2. Um den zum Vergleich verwendeten Operator zu ändern, klicken Sie auf das Gleichheitszeichen neben dem Spaltennamen, um eine Dropdown-Liste anzuzeigen:

    Operator

    Angezeigte Zeilen

    =

    Zeilen, in denen der Spaltenwert dem Wert entspricht, nach dem gefiltert werden soll

    Bei dem Wert wird zwischen Groß- und Kleinschreibung unterschieden.

    Beispiele:

    Um alle Zeilen anzuzeigen, in denen die Domäne einer bestimmten Domäne entspricht, geben Sie Folgendes ein:

    DOMAIN = www.bing.com

    Um alle Zeilen anzuzeigen, in denen die IP-Adresse mit einer bestimmten Adresse übereinstimmt, geben Sie Folgendes ein:

    Source IP = 10.8.9.191

    !=

    Zeilen, in denen der Spaltenwert nicht dem Wert entspricht, nach dem gefiltert werden soll

    Bei dem Wert wird zwischen Groß- und Kleinschreibung unterschieden.

    <

    Zeilen, in denen der Spaltenwert kleiner ist als der Wert, nach dem gefiltert werden soll (bezieht sich ausschließlich auf numerische Werte)

    <=

    Zeilen, in denen der Spaltenwert kleiner oder gleich dem Wert ist, nach dem gefiltert werden soll (bezieht sich ausschließlich auf numerische Werte)

    >

    Zeilen, in denen der Spaltenwert größer ist als der Wert, nach dem gefiltert werden soll (bezieht sich ausschließlich auf numerische Werte)

    >=

    Zeilen, in denen der Spaltenwert größer ist als der Wert, nach dem gefiltert werden soll, oder diesem entspricht (bezieht sich nur auf numerische Werte)

    IN

    Zeilen, in denen der Spaltenwert einem beliebigen Wert einer kommagetrennten Liste von Werten entspricht, nach dem gefiltert werden soll

    Bei den Werten wird zwischen Groß- und Kleinschreibung unterschieden.

    Beispiel:

    Um alle Zeilen anzuzeigen, in denen die Ziel-IP-Adresse mit einem beliebigen Wert in einer IP- Adressliste übereinstimmt, geben Sie Folgendes ein:

    Destination IP IN 13.107.21.200,204.79.197.200

    ~

    Zeilen, in denen der Spaltenwert einem Platzhalterwert entspricht, nach dem gefiltert werden soll. Der Platzhalter ist ein Sternchen: *

    Bei dem Ausdruck wird nicht zwischen Groß- und Kleinschreibung unterschieden.

    Beispiele:

    Um alle Zeilen anzuzeigen, in denen eine URL eine bestimmte Zeichenfolge umfasst, geben Sie Folgendes ein:

    URL ~ *amazon*

    Um alle Zeilen anzuzeigen, in denen die Quell-IP-Adresse mit einer beliebigen Adresse in einem Subnetz übereinstimmt, geben Sie Folgendes ein:

    Source IP ~ 13.225.78.*

    !~

    Zeilen, in denen der Spaltenwert nicht einem Platzhalterwert entspricht, nach dem gefiltert werden soll. Der Platzhalter ist ein Sternchen: *

    Bei dem Ausdruck wird nicht zwischen Groß- und Kleinschreibung unterschieden.

  3. Wiederholen Sie diesen Vorgang, wenn Sie weitere Filter hinzufügen möchten. Eine Zeile wird nur angezeigt, wenn sie die Bedingungen aller Filter erfüllt.
  4. Um einen Filter zu entfernen, klicken Sie neben dem Filter auf die Schaltfläche zum Löschen: Schaltfläche Löschen.

Klicken Sie auf Erstellen, um den ausgewählten Bericht mit den von Ihnen angegebenen Filtern anzuzeigen.

Wenn der ausgewählte Zeitraum länger als 30 Tage ist, kann es einige Zeit dauern, bis die Daten abgerufen wurden. Wenn es länger als ein paar Sekunden dauert, wird eine Meldung angezeigt:

  • Um zu warten, bis der Bericht angezeigt wird, klicken Sie auf OK. Der Bericht wird der Warteschlange hinzugefügt. Wenn er fertig ist, wird es automatisch auf dem Tab Report Generator angezeigt.

    Wenn Sie sich später entscheiden, nicht mehr zu warten, können Sie auf Einen anderen Bericht erstellen klicken. So können Sie, einen anderen Bericht anzeigen, während Sie warten. Wenn der erste Bericht jedoch fertig ist, müssen Sie zum Tab Warteschlange wechseln, um diesen zu sehen.

  • Klicken Sie auf Abbrechen, um die Berichterstellung zu beenden.

Um einen Exportzeitplan für Berichte einzurichten, klicken Sie auf Planen. Sie können bis zu 100 Berichte auswählen.

Anmerkung Sie können auch einen Export generieren, indem Sie auf PDF, CSV oder HTML klicken. Sie können Ihre exportierten Berichte von Geplante Exporteherunterladen.
  • Geben Sie einen Name der Vorlage ein.
  • Wählen Sie den Zeitraum der Daten aus, die Sie einbeziehen möchten.
  • Konfigurieren Sie die Einstellungen für die Exportfrequenz.
  • Wählen Sie das Exportformat. Sie können den Bericht in den folgenden Formaten exportieren: PDF, CSV oder HTML.

    Ein PDF-Export umfasst maximal fünfzehn Spalten.

  • Wählen Sie die Methode der Export-Benachrichtigung/Zustellung aus.

    Wir empfehlen, einen Link per E-Mail zu senden, wenn der Bericht personenbezogene Daten enthält.

    Der Bericht wird an Ihre Sophos Central E-Mail-Adresse gesendet, wie unter Kontoinformationen angegeben.

    Sie müssen Ihre Anmeldeinformationen für Sophos Central eingeben, um Berichte über einen Link aufrufen zu können.

  • Sie können den Bericht an andere Sophos Central-Administratoren senden.
  • Klicken Sie auf Speichern.

    Sie können Ihre exportierten Berichte von Geplante Exporteherunterladen.

Klicken Sie auf Vorlage speichern, um die ausgewählte Berichtsvorlage mit einem der von Ihnen angewendeten Filter oder Anzeigeeinstellungen zu speichern, inklusive:

  • Abfragefilter
  • Diagrammtyp
  • Diagrammachsen
  • Tabellensortierung
  • Tabellenspalten

Dadurch fällt die erneute Auswahl aller Einstellungen weg. Die Reportvorlage wird auf dem Tab Gespeicherte Vorlagen gespeichert. Die Daten werden jedoch nicht mit der Vorlage gespeichert.

Sie können die Exportplanung für diese Berichtsvorlage auch aktivieren/deaktivieren.

Diagramm

Sie können im Diagrammbereich einen der folgenden Diagrammtypen auswählen, indem Sie auf eine der Schaltflächen oben rechts klicken:

  • Balken
  • Horizontaler Balken
  • Torte
  • Linie
  • Stapel

So wählen Sie aus, welche Informationen auf jeder Achse angezeigt werden:

  1. Klicken Sie oben rechts auf die Schaltfläche mit Schraubendreher und Schraubenschlüssel: Schaltfläche mit Schraubendreher und Schraubenschlüssel.
  2. Klicken Sie im oberen Feld auf den Pfeil, und wählen Sie aus, welche Informationen auf der X-Achse angezeigt werden sollen.
  3. Klicken Sie im nächsten Feld auf den Pfeil, und wählen Sie aus, welche Informationen auf der Y-Achse angezeigt werden sollen.
  4. Wenn ein Linien- oder Stapeldiagramm angezeigt wird, klicken Sie im unteren Feld auf den Pfeil, und wählen Sie aus, welche Informationen auf der Z-Achse angezeigt werden.

Wenn Sie einen anderen Diagrammtyp auswählen, werden die Standardinformationen für jede Achse angezeigt, selbst wenn Sie sie zuvor geändert haben.

Wenn Sie den Mauszeiger über das Diagramm bewegen, werden die Datenwerte neben dem Zeiger angezeigt.

Tabelle

Wenn die Tabelle zum ersten Mal angezeigt wird, wird im Tabellenbereich ein Standardspaltensatz verwendet. Sie können auswählen, welche Spalten angezeigt werden sollen, indem Sie auf die Schaltfläche zur Spaltenauswahl oben rechts in dem Bereich klicken: Schaltfläche Spaltenauswahl.

Die Zeilen werden zusammengefasst, um doppelte Zeilen zu entfernen. Zum Beispiel zeigt die Firewall-Berichtstabelle standardmäßig die Anzahl der Treffer für eine bestimmte Regel-ID, Quell-IP, Ziel-IP und Land an. Dies wird durch eine Zeile dargestellt:

FIREWALLREGEL-ID

QUELL-IP

ZIEL­IP

QUELLLAND

TREFFER

0

1.1.1.1

255.255.255.255

Australien

3

Wenn Sie jedoch eine weitere Spalte hinzufügen, bei der sich die Daten in jeder Zeile unterscheiden (beispielsweise der Benutzer), wird für jeden Treffer eine Zeile angezeigt, wobei jede Zeile dieselbe Regel-ID, Quell-IP, Ziel-IP und Land hat:

FIREWALLREGEL-ID

BENUTZER

QUELL-IP

ZIEL­IP

QUELLLAND

TREFFER

0

John Smith

1.1.1.1

255.255.255.255

Australien

1

0

Paul Jones

1.1.1.1

255.255.255.255

Australien

1

0

George Harris

1.1.1.1

255.255.255.255

Australien

1

Zusammenfassend lässt sich sagen, dass die angezeigten Informationen umso detaillierter sind, je mehr Spalten Sie hinzufügen.

Wenn die Datumsspalte angezeigt wird, werden doppelte Zeilen nach Datum und Uhrzeit wie folgt gruppiert:

Zeitrahmen

Zeilengruppierung

Weniger als oder gleich 1 Stunde

Zeilen, in denen Datum und Uhrzeit der nächsten Minute entsprechen

Mehr als 1 Stunde, aber weniger als oder gleich 48 Stunden

Zeilen, in denen Datum und Uhrzeit der nächsten Stunde entsprechen

Mehr als 48 Stunden

Zeilen, in denen Datum und Uhrzeit dem nächsten Tag entsprechen

Einige Spalten enthalten Werte, die Links sind. Wenn Sie auf einen dieser Links klicken, wird dem Feld Anfrage im Filterbereich ein Wert für diesen Filter hinzugefügt. Mit diesem können Sie den Bericht filtern. Wenn Sie beispielsweise in der Tabelle oben auf Australien klicken, wird ein Filter hinzugefügt: Quellland = Australien. Sie können dies für andere Werte wiederholen, um den Filter spezifischer zu gestalten. Für den Bericht Bedrohungen & Ereignisse blockiert führen solche Hyperlinks auch zu einem der anderen Berichte.

Für den Bericht Log Viewer & Suche können Sie mit den Schaltflächen oben rechts zwischen der Tabellenansicht, die eine begrenzte Anzahl von Spalten anzeigt, und der RAW-Ansicht, die alle Spalten anzeigt, wechseln.