[Fortinet] 포티아날라이져 리포팅 10,000 행 이상 표출하는 방법

 

안녕하세요.

방화벽 Anaylzer 에서 Report 기능을 사용할 때 최대 10,000 행까지만 Reporting 이 되며,

CLI 명령을 통해 100,000 행까지 출력가능하여 방법을 안내드립니다.

 

1.     Report 시 최대 행(Row) : 10,000

      A.     아래와 같이 설정 시 최대 10,000 Row 까지 Report 가능

        i.         Chart Library = 0 , All Report(Allow save Maximum) = 10,000

Chart Library

All Reports

 

2.     최대 행(Row)에 영향을 받는 요소

     A.     Chart Library 와 All Report 에서 두 곳에서 설정할 수 있으며,
            Chart Library 의 항목이 우선순위가 높습니다.

      i.         All Reports > Settings > Advanced Settings > Allow save maximum (1 ~ 10,000)

      ii.         Chart Library > Edit Chart > 제일하단 Show Top (0 for all results)

 

3.     Report 시 고려사항

    A.     장기간의 Log 를 Report 할 경우 가장 오래된 시간부터 Count 해서 10,000 줄을 출력합니다.

    B.      그러므로, 최근 Log 는 누락될 수 있습니다.

 

 

 

해결방법

 

A.     CLI 명령을 통해 기본 10,000 Row Reporing 되는 설정을 100,000 Rows 까지 늘릴 수 있음

B.      명령어 : URL 참조 (https://kb.fortinet.com/kb/documentLink.do?externalID=FD35229 )

config system report setting
set max-table-rows 100000 -----> Maximum number of rows that can be generated in a single table.
end

 

 

100,000 Line 변경 후 조회 방법

 

A.     일반적으로 Chart Library 에서는 “0” 으로 설정하고 All Reports 에서 “10,000” 으로 설정해서 많이 사용하실 겁니다.

B.      10만줄로 만들었을 경우에는 우선순위가 높은 Chart Library 에서 Reporting 할 Rows 를 설정해야 합니다.
         왜냐하면 Chart Library 값을 "0" 로 설정하면 CLI 로 변경한 10만 행까지 결과값이 출력되며,
         불필요한 리포팅 시간을 잡아먹는 원인이 됩니다.

C.      Chart Library 와 All Report 에 둘 다 설정했을 경우 All Report 의 설정 값은 무시

 

*. Log 조회시 시간열을 확인할 필요가 없을 경우에는 dataset쿼리문에서 timestamp 설정을 제외하여 행(Row) 을 줄일 수 있습니다.

Datasets

 

select from_dtime(dtime) as 
timestamp,vd,srcip,srcport,dstip,service,dstport,action,policyid from $log 
where vd='EXT_FW' and policyid='298'

 

 

 

 

♥읽어주셔서 감사합니다♥
티스토리 댓글과 공감♥은 로그인이 필요 없습니다.
로그인하시면 구독 가능합니다.