Report Generator

Sie können Berichte mit Vorlagen und Filtern erstellen.

Sie können eine Berichtsvorlage auswählen, Filter festlegen, einen Report erstellen und die Vorlage mit Ihren Filter- und Anzeigeeinstellungen speichern. Zudem können Sie einen Exportzeitplan für Berichte einrichten. Sie können den Bericht in den folgenden Formaten herunterladen: PDF, CSV und HTML.

Einschränkung Sie können Vorlagen nur speichern und Reports nur exportieren und herunterladen, wenn Sie über eine Lizenz für Central Firewall Reporting Advanced verfügen.

Erstellte Berichte, die Sie in Sophos Central anzeigen können, unterstützen bis zu 10.000 Datensätze pro Bericht. Geplante Exporte unterstützen bis zu 100.000 Datensätze in einem Bericht im CSV-Format und bis zu 10.000 Datensätze im HTML- und PDF-Format.

Der Tab „Report Generator“ umfasst die folgenden Bereiche:

Filter
Diagramm
Tabelle

Filter

Gehen Sie zu Firewall-Verwaltung > Report Generator, um Ihre Filter einzurichten.

Unter Filter können Sie die Firewalls, Berichtsvorlage sowie den Zeitrahmen auswählen. Sie können auch Abfragen angeben.

Wählen Sie Ihre Firewalls aus der Dropdownliste und klicken Sie auf Anwenden.Wenn Sie die Auswahl aller Firewalls aufheben möchten, gehen Sie zur Dropdown-Liste und klicken Sie auf Alles abwählen und anschließend auf Anwenden. Sie können die Auswahl auch einzeln aufheben.

Einschränkung Sie können nur mehrere Firewalls auswählen, wenn alle lizenziert sind.

Anmerkung Sie können derzeit bis zu 100 Firewalls auswählen. Jeder Administrator kann maximal 100 geplante Berichte konfigurieren. Das bedeutet, dass Sie bis zu 100 Berichte für alle Funktionen haben können, die dieses Berichtsformat verwenden. Weitere Informationen finden Sie unter Protokolle & Berichte.

Wenn Sie mehrere Firewalls ausgewählt haben, können Sie auf den Text klicken, z. B. 3 Firewalls, um die Namen dieser Firewalls anzuzeigen.

Unter Vorlagen für Berichte können Sie eine der folgenden Berichtsvorlagen auswählen:

ATP: Bedrohungen, ausgehend von bestimmten IP-Adressen, die von ATP (Advanced Threat Protection) erkannt wurden.
Antivirus: Malware oder verdächtige Elemente, die blockiert wurden.
Bandbreitennutzung: Bandbreite, die von bestimmten Anwendungen verwendet wird.
Cloud-App-Risiken und Verwendung: Verwendete Cloud-Apps und alle mit diesen Apps verbundenen Risiken.
Firewall: Anzahl der Verbindungen zwischen bestimmten IP-Adressen.
IPS: Versuchte Angriffe, die von IPS (Intrusion Prevention System) erfasst wurden.
Log Viewer & Suche: Protokolleinträge, die von der Firewall in nicht aggregierter Form generiert wurden.
Der Bericht Log Viewer & Suche enthält kein Diagramm, sondern nur eine Tabelle.
Zero-Day-Schutz: Dateien und E-Mails, die verdächtige Anhänge enthalten, die an Sandstorm gesendet wurden.
Geo-Aktivität der Bedrohung: Blockiert Bedrohungen aus bestimmten Ländern.
Bedrohungen & Ereignisse blockiert: Alle Arten von Bedrohungen und Ereignissen, die blockiert werden.
VPN-Nutzung: Umfang der Nutzung bestimmter VPN-Verbindungen.
Internetnutzung: Besuche bestimmter Websites.

Unter Zeitrahmen können Sie durch das Auswählen einer Optionen den Zeitraum festlegen, für den Informationen angezeigt werden. Wenn Sie Benutzerdefiniert auswählen, können Sie die Zeitpunkte festlegen, zwischen denen die angezeigten Informationen liegen sollen.

Einschränkung Wenn Sie keine Firewall-Reporting-Lizenz haben, können Sie keinen Zeitraum angeben, der vor mehr als sieben Tagen beginnt.

Hinzufügen von Filtern

Um Filter hinzuzufügen, gehen Sie folgendermaßen vor:

Wählen Sie unter Abfrage den Namen der Spalte aus, nach der Sie filtern möchten, oder geben Sie ihn ein.
Geben Sie die Werte ein, nach denen Sie den Bericht filtern möchten.

Um den zum Vergleich verwendeten Operator zu ändern, klicken Sie auf das Gleichheitszeichen neben dem Spaltennamen und wählen Sie eine Option in der Dropdown-Liste aus.

Screenshot des Gleichheitszeichens, auf das Sie klicken, um die Liste der Operatoren anzuzeigen

Die folgende Tabelle zeigt eine Liste der Operatoren:


Operator	Angezeigte Zeilen
`=`	Zeilen, in denen der Spaltenwert dem Wert entspricht, nach dem gefiltert werden soll Bei dem Wert wird zwischen Groß- und Kleinschreibung unterschieden. Beispiele: Um alle Zeilen anzuzeigen, in denen die Domäne einer bestimmten Domäne entspricht, geben Sie Folgendes ein: DOMAIN = www.bing.com Um alle Zeilen anzuzeigen, in denen die IP-Adresse mit einer bestimmten Adresse übereinstimmt, geben Sie Folgendes ein: Source IP = 10.8.9.191
`!=`	Zeilen, in denen der Spaltenwert nicht dem Wert entspricht, nach dem gefiltert werden soll Bei dem Wert wird zwischen Groß- und Kleinschreibung unterschieden.
`<`	Zeilen, in denen der Spaltenwert kleiner ist als der Wert, nach dem gefiltert werden soll (bezieht sich ausschließlich auf numerische Werte)
`<=`	Zeilen, in denen der Spaltenwert kleiner oder gleich dem Wert ist, nach dem gefiltert werden soll (bezieht sich ausschließlich auf numerische Werte)
`>`	Zeilen, in denen der Spaltenwert größer ist als der Wert, nach dem gefiltert werden soll (bezieht sich ausschließlich auf numerische Werte)
`>=`	Zeilen, in denen der Spaltenwert größer ist als der Wert, nach dem gefiltert werden soll, oder diesem entspricht (bezieht sich nur auf numerische Werte)
`EIN`	Zeilen, in denen der Spaltenwert einem beliebigen Wert einer kommagetrennten Liste von Werten entspricht, nach dem gefiltert werden soll Bei den Werten wird zwischen Groß- und Kleinschreibung unterschieden. Beispiel: Um alle Zeilen anzuzeigen, in denen die Ziel-IP-Adresse mit einem beliebigen Wert in einer IP- Adressliste übereinstimmt, geben Sie Folgendes ein: Destination IP IN 13.107.21.200,204.79.197.200
`~`	Zeilen, in denen der Spaltenwert einem Platzhalterwert entspricht, nach dem gefiltert werden soll. Der Platzhalter ist ein Sternchen: * Bei dem Ausdruck wird nicht zwischen Groß- und Kleinschreibung unterschieden. Beispiele: Um alle Zeilen anzuzeigen, in denen eine URL eine bestimmte Zeichenfolge umfasst, geben Sie Folgendes ein: URL ~ amazon Um alle Zeilen anzuzeigen, in denen die Quell-IP-Adresse mit einer beliebigen Adresse in einem Subnetz übereinstimmt, geben Sie Folgendes ein: Source IP ~ 13.225.78.*
`!~`	Zeilen, in denen der Spaltenwert nicht einem Platzhalterwert entspricht, nach dem gefiltert werden soll. Der Platzhalter ist ein Sternchen: * Bei dem Ausdruck wird nicht zwischen Groß- und Kleinschreibung unterschieden.

Wiederholen Sie diesen Vorgang, wenn Sie weitere Filter hinzufügen möchten. Eine Zeile wird nur angezeigt, wenn sie die Bedingungen aller Filter erfüllt.
Um einen Filter zu entfernen, klicken Sie neben dem Filter auf die Schaltfläche zum Löschen: .
Klicken Sie auf Erstellen, um den ausgewählten Bericht mit den von Ihnen angegebenen Filtern anzuzeigen.

Wenn der ausgewählte Zeitraum länger als 30 Tage ist, kann es einige Zeit dauern, bis die Daten abgerufen wurden. Wenn es länger als ein paar Sekunden dauert, wird eine Meldung angezeigt.
1. Um zu warten, bis der Bericht angezeigt wird, klicken Sie auf OK.
  
  Der Bericht wird der Warteschlange hinzugefügt. Wenn er fertig ist, wird es automatisch auf dem Tab Report Generator angezeigt.
2. Wenn Sie sich später entscheiden, nicht mehr zu warten, können Sie auf Einen anderen Bericht erstellen klicken.
  
  Während Sie warten, können Sie einen anderen Bericht anzeigen. Wenn der erste Bericht jedoch fertig ist, müssen Sie zum Tab Warteschlange wechseln, um diesen zu sehen.
3. Klicken Sie auf Abbrechen, um die Berichterstellung zu beenden.

Diagramme

Sie können den Diagrammtyp oben rechts im entsprechenden Bereich auswählen.

Balken
Horizontaler Balken
Torte
Linie
Stapel

So wählen Sie aus, welche Informationen auf jeder Achse angezeigt werden:

Klicken Sie oben rechts auf die Schaltfläche mit Schraubendreher und Schraubenschlüssel: .
Wählen Sie im oberen Feld aus, welche Informationen auf der X-Achse angezeigt werden sollen.
Klicken Sie im nächsten Feld auf den Pfeil, und wählen Sie aus, welche Informationen auf der Y-Achse angezeigt werden sollen.
Wenn ein Linien- oder Stapeldiagramm angezeigt wird, klicken Sie im unteren Feld auf den Pfeil, und wählen Sie aus, welche Informationen auf der Z-Achse angezeigt werden.

Wenn Sie einen anderen Diagrammtyp auswählen, werden die Standardinformationen für jede Achse angezeigt, selbst wenn Sie sie zuvor geändert haben.

Wenn Sie den Mauszeiger über das Diagramm bewegen, werden die Datenwerte angezeigt.

Planung der Erstellung von Berichten

Um einen Exportzeitplan für Berichte einzurichten, verfahren Sie wie folgt:

Klicken Sie auf Planen.

Sie können bis zu 100 Berichte auswählen.

Anmerkung Sie können auch einen Export generieren, indem Sie auf PDF, CSV oder HTML klicken. Sie können Ihre exportierten Berichte von Geplante Exporteherunterladen.
Geben Sie einen Name der Vorlage ein.
Wählen Sie den Zeitraum der Daten aus, die Sie einbeziehen möchten.
Konfigurieren Sie die Einstellungen für die Exportfrequenz.
Wählen Sie das Exportformat.

Sie können den Bericht in den folgenden Formaten exportieren: PDF, CSV oder HTML.

Ein PDF-Export umfasst maximal fünfzehn Spalten.
Wählen Sie die Methode der Export-Benachrichtigung/Zustellung aus.

Wir empfehlen, einen Link per E-Mail zu senden, wenn der Bericht personenbezogene Daten enthält.

Der Bericht wird an Ihre Sophos Central E-Mail-Adresse gesendet, wie unter Kontoinformationen angegeben.

Sie müssen Ihre Anmeldeinformationen für Sophos Central eingeben, um Berichte über einen Link aufrufen zu können.

Sie können den Bericht an andere Sophos Central-Administratoren senden.
Klicken Sie auf Speichern.

Sie können Ihre exportierten Berichte von Geplante Exporteherunterladen.

Speichern einer Berichtsvorlage

Klicken Sie auf Vorlage speichern, um die ausgewählte Berichtsvorlage mit einem der von Ihnen angewendeten Filter oder Anzeigeeinstellungen zu speichern, inklusive:

Abfragefilter
Diagrammtyp
Diagrammachsen
Tabellensortierung
Tabellenspalten

Dadurch fällt die erneute Auswahl aller Einstellungen weg. Die Reportvorlage wird auf dem Tab Gespeicherte Vorlagen gespeichert. Die Daten werden nicht mit der Vorlage gespeichert.

Sie können die Exportplanung für diese Berichtsvorlage auch aktivieren/deaktivieren.

Tabellen

Wenn die Tabelle zum ersten Mal angezeigt wird, wird ein Standardspaltensatz verwendet. Sie können auswählen, welche Spalten angezeigt werden sollen, indem Sie auf die Schaltfläche zur Spaltenauswahl oben rechts im Tabellenbereich klicken: Schaltfläche „Spaltenauswahl“ .

Die Zeilen werden zusammengefasst, um doppelte Zeilen zu entfernen. Zum Beispiel zeigt die Tabelle standardmäßig die Anzahl der Treffer für eine bestimmte Regel-ID, Quell-IP, Ziel-IP und Land an. Dies wird durch eine Zeile dargestellt:


FIREWALLREGEL-ID	QUELL-IP	ZIELIP	QUELLLAND	TREFFER
0	1.1.1.1	255.255.255.255	Australien	3

Wenn Sie jedoch eine weitere Spalte hinzufügen, bei der sich die Daten in jeder Zeile unterscheiden (beispielsweise der Benutzer), wird für jeden Treffer eine Zeile angezeigt, wobei jede Zeile dieselbe Regel-ID, Quell-IP, Ziel-IP und Land hat:


BENUTZER	QUELL-IP	ZIELIP	QUELLLAND	TREFFER
John Smith	1.1.1.1	255.255.255.255	Australien	1
Paul Jones	1.1.1.1	255.255.255.255	Australien	1
George Harris	1.1.1.1	255.255.255.255	Australien	1

Je mehr Spalten Sie hinzufügen, desto detaillierter sind die angezeigten Informationen.

Wenn die Datumsspalte angezeigt wird, werden doppelte Zeilen nach Datum und Uhrzeit wie folgt gruppiert:


Zeitrahmen	Zeilengruppierung
Weniger als oder gleich 1 Stunde	Zeilen mit identischem Datum und Uhrzeit (zur nächsten Minute aufgerundet).
Mehr als 1 Stunde, aber weniger als oder gleich 48 Stunden	Zeilen mit identischem Datum und Uhrzeit (zur nächsten Stunde aufgerundet).
Mehr als 48 Stunden	Zeilen mit identischem Datum und Uhrzeit (zum nächsten Tag aufgerundet).

Einige Spalten enthalten Werte, die Links sind. Wenn Sie auf einen dieser Werte klicken, wird dem Feld Abfrage ein Filter für diesen Wert hinzugefügt. Sie können diesen im Anschluss zum Filtern des Berichts verwenden. Wenn Sie beispielsweise in der Tabelle oben auf Australien klicken, wird ein Filter hinzugefügt: Quellland = Australien. Sie können dies für andere Werte wiederholen, um den Filter spezifischer zu gestalten. Für den Bericht Bedrohungen & Ereignisse blockiert führen solche Hyperlinks auch zu einem der anderen Berichte.

Für den Bericht Log Viewer & Suche können Sie mit den Schaltflächen oben rechts zwischen der Tabellenansicht, die eine begrenzte Anzahl von Spalten anzeigt, und der RAW-Ansicht, die alle Spalten anzeigt, wechseln.