Fastvue Reporter for Sophos UTM and XG

 

Fastvue Reporter for Sophos UTM and XG

 

敏感的Web报表

Sophos Reporter的网络报告中没有广告站点、跟踪像素、CDN和社交分享小部件。

 

人力资源和经理报告

管理互联网使用是人力资源和经理的工作，而不是IT（这有点令人毛骨悚然）。

Fastvue Sophos Reporter为人力资源和部门经理提供自助式网络报告。

 

简单有效

没有时间成为日志文件分析专家并创建自定义报告吗？没问题。我们来帮您完成。

 

不信任防火墙的Internet使用报告

Fastvue Site Clean使防火墙中的日志数据反映真实的互联网使用活动。它可以删除图像、脚本、字体、广告和其他背景流量，这样您就可以向合适的人发送有意义的互联网使用报告和警报。

 

现代Web上的报告问题

Sophos UTM等网络网关生成的互联网报告不区分人们有意访问的网站和幕后自动访问的网站。

 

Fastvue Site Clean（正在申请专利）更深入地挖掘并查看网络浏览日志文件数据的所有特征，以提供真实网络活动的更准确图片。

 

Sophos UTM报告令人惊叹

生成通过Sophos UTM的用户、站点、应用程序、类别或任何网络流量的概览报告或详细活动报告。

 

Sophos Reporter的全面过滤界面和无缝的活动目录集成使您轻松获得所需的报告。

 

• 用户报告
• 安全组报告
• 部门报告
• 网站报告
• 子网报告
• 政策报告
• 生产力报告
• +Sophos UTM Web Filter日志中的任何内容的报告

 

 

实时在线仪表板

Sophos Reporter从Sophos UTM收集系统日志消息，以显示实时带宽、用户生产力和网络保护仪表板。

只需将鼠标悬停在任何看起来有趣的地方，即可运行详细的报告并找到问题的核心。

 

慢速网络？

检查带宽仪表板，查看支配网络带宽的站点、应用程序、用户、类别和文件。

 

暴躁的用户？

实时查看UTM阻止的生产站点和允许的非生产站点。在通话开始之前修正您的政策！

 

困惑的

不确定您的UTM为什么阻止或允许某些流量？使用“Web保护”仪表板深入了解您的Web策略，并查看它们正在执行的操作。

 

轻松安排报表

停止浪费时间为其他人手动运行报告。每天、每周或每月自动生成自定义报告。

每周向部门经理发送部门活动报告。每天向网络管理员发送子网报告，或向人力资源经理发送不可接受的浏览报告。

 

 

 

警报

Sophos Reporter的实时警报系统会在您需要了解的信息时立即通知您。

Sophos Reporter可以在发生恶意软件、大量文件下载、不可接受的浏览或不受欢迎的应用程序等事件时，自动通过电子邮件发送详细信息。

 

 

生产力评估

Sophos UTM的URL过滤在对网站进行分类方面做得很好，Sophos Reporter使您可以非常轻松地将这些类别指定为“不可接受”、“非生产性”、“可接受”或“生产性”。

 

这使您能够简单地监视非生产性流量，而不必阻止它，查找通过防火墙的网站，以及意外被阻止的生产性网站。

 

 

即使syslog关闭，也不要错过报告数据。

在系统日志流中断或需要重新启动系统日志接收器之前，从Sophos UTM监控系统日志数据非常有用。当发生这种情况时，您的报告数据就会出现空白！

 

Fastvue Sophos Reporter还通过监控Sophos UTM的远程日志归档位置来填补Syslog流中的任何空白，从而为您解决这一问题。

 

您还可以使用此文件夹从UTM导入历史日志数据，以调查以前的事件。

 

 

所有Sophos UTM的合并报告

在组织网络中运行多个Sophos UTM？没问题。只需在Sophos Reporter中将每个UTM添加为一个源，即可将所有信息整理成一个统一、易于使用的报告解决方案。

 

 

客户怎么说？

 

“对我来说，最棒的一点是，一旦我设置了报告以及它们的去向，我就完全不用管了。部门经理可以分析报告，运行更详细的报告，并采取行动，而我根本不需要作为网络管理员。Site Clean让经理们更容易理解（您向如何会计经理解释CDN是什么？）。Sophos UTM和Fastvue Sophos Reporter的合作让我对UTM产生了兴趣。”

–Andrew Reynolds（frasca.com）

 

“Fastvue的报告能力明显优于Sophos工厂的报告能力。当我们的演示结束时，我真的对人们冲浪等情况一无所知。与支持人员一起工作是一件非常愉快的事，因为他们愿意超越极限，让客户完全满意！”

-Scott Bentske，FEC自动化系统

 

“自互联网问世以来，网站清理可能是最有用的网络使用分析和报告工具！这是网络报告中真正的尤里卡时刻。”

-Nathaniel Gill，福克兰岛政府

 

“根据我UTM的开箱报告，akamaihd.net是我们的顶级网站，并对巨大的带宽消耗负责。我决定阻止它，但发现它破坏了一半的互联网！我从未意识到这么多合法网站将其用于其内容。Fastvue Sophos Reporter给了我所需的洞察力，只阻止特定的源域，而不是整个CDN！”

-Martin Johns

 

比较选项

 

 

开箱即用报告

• 专为UTM管理员设计
• UTM和网络性能报告
• 有关网络使用的基本信息（顶级用户、域和类别）

 

 

iView设备

• 专为UTM管理员设计
• UTM和网络性能报告
• 有关网络使用的基本信息（顶级用户、域和类别）
• 整理来自多个UTM的数据
• 方便访问生成每个报告的日志记录

 

 

Sophos的Fastvue Reporter

• 专为关心员工互联网使用情况的其他人设计
• 也适用于UTM管理员
• 超越简单的日志聚合，提供有关web使用、生产力和UTM政策的合理有用信息
• 整理来自多个UTM的数据
• 除了实时系统日志数据之外，还导入历史日志数据
• 提供有用的活动报告，而不是杂乱的日志搜索，以查看完整的法医细节。

 

Fastvue Sophos Reporter的功能

• 用户报告
• 安全组报告
• 部门报告
• 网站报告
• 子网报告
• 政策报告
• 生产力报告
• 报告任何记录的项目
• 简单的报告安排
• 私人报告共享
• 收件箱中可完全自定义的Web活动警报
• 实时带宽仪表板
• 实时生产力仪表板
• 实时Web保护/防火墙仪表板
• 允许的不良站点报告
• 封锁生产现场报告
• 轻松调查非生产用户
• 轻松调查非生产性网站
• 大型下载警报
• 恶意软件和威胁警报
• 无缝Active Directory集成
• 完整的按时间顺序排列的Web活动报告
• 人力资源自助报告
• 为经理分发报告
• 向员工发送生产力报告
• 警告和处理网站警报
• 可定制的数据保留策略
• 导出到CSV
• 简单的安装和设置

 

Fastvue Reporter for Sophos–安装和设置

 

新安装

Sophos Reporter通过使用Sophos UTM的实时和存档Web过滤日志数据来工作。Sophos Reporter的实时仪表盘和警报依赖于从Sophos UTM发送到Sophos Reporter的Syslog数据。

 

可以从日志文件夹存档导入历史数据。

 

 

1.下载并安装

下载Sophos Reporter并安装在符合我们建议的网络大小要求的计算机（或虚拟机）上。

注意：Fastvue Reporter是一个资源密集型应用程序，旨在尽可能快地导入数据和运行报告。我们不建议在提供关键网络服务的服务器（如域控制器、DNS服务器或DFS服务器）上安装Fastvue Reporter。我们建议在专用VM（虚拟机）上安装，以便可以适当地扩展资源。

 

支持的操作系统

Fastvue Reporter专为运行Windows Server 2008 R2、Server 2012 R2或更高版本的64位Windows Server操作系统而设计。

 

Fastvue Reporter安装程序将自动安装和配置所需的先决条件，包括.Net 4.6和IIS（Web服务器和应用程序服务器角色）。它还将在自己的自我管理目录中安装OpenJDK和Elasticsearch。

 

安装时，系统会要求您选择要安装的网站。如果您安装在具有现有网站的服务器上，我们建议您在IIS中创建一个新网站并安装到该网站。您还可以选择安装到现有网站的子文件夹中（例如Default Web Site\Fastvue）。

 

RAM/CPU要求

网络大小	推荐的服务器规格
少于500用户	4 CPUs/Cores, 6 GB RAM
500 – 1000用户	4 CPUs/Cores, 8 GB RAM
1000 – 3000用户	8 CPUs/Cores, 12 GB RAM
3000 – 5000用户	8 CPUs/Cores, 16 GB RAM
5000+用户	16 CPUs/Cores, 24 GB RAM

*建议使用虚拟环境，以便您可以根据需要扩展资源。

 

数据存储要求

在安装过程中，系统会询问您希望数据位置位于何处。每天存储的数据量会因Sophos UTM的流量而有所不同。

 

Fastvue Reporter中的默认数据保留策略是90天或90%的驱动器空间，以先到者为准。如果90%的驱动器剩余空间少于20 GB，则如果数据路径与操作系统位于同一驱动器上，则保留策略将调整为至少允许20 GB用于操作系统文件。

 

可以在设置|数据存储中调整这些数据保留设置。

 

我们不建议安装到网络驱动器，因为延迟问题会影响我们非常频繁的读写操作的稳定性。要获得最佳性能，请使用本地SSD驱动器。

 

不要安装到映射的网络驱动器，或使用映射的网络磁盘作为Fastvue Reporter的数据路径，因为分配的驱动器号将不存在于系统上下文中，仅存在于用户上下文中。如果必须使用网络驱动器，请指定UNC路径，例如\\servername或ip\fastvue，但要记住上面提到的性能问题，您必须为Fastvue Server的本地系统账户配置“完全”权限。

 

收集数据一两天后，请检查“设置”|“数据存储”|“设置”中的大小估计值，以确定是否需要调整数据保留策略或服务器的磁盘空间。随着数据的导入，这些估计变得更加准确。

 

安装Fastvue Reporter

要安装Fastvue Sophos Reporter：

• 在满足上述建议的计算机上双击下载的安装exe
• 继续执行安装向导以安装软件。安装向导将要求您：

• 安装文件夹（默认为C:\Program Files\Fastvue\Sophos Reporter）。此文件夹中仅安装应用程序文件。它不需要太多磁盘空间。
• 网站和虚拟目录（默认为“默认网站”）。如果您的服务器上安装了其他网站，最好将Fastvue Sophos Reporter安装到虚拟目录，如“Fastvue”或“sophosreports”。然后您可以访问网站http://yourserver/fastvue例如，它不会干扰服务器上的任何其他站点。
• 数据位置（默认为C:\ProgramData\Fastvue\SophosReporter）。这是存储所有导入数据、配置和报告文件的位置。指定具有足够磁盘空间的位置。

 

2.配置Syslog

 

Sophos UTM（SG）：

确保Sophos UTM已启用Web过滤功能并应用于您的网络，至少有一个类别设置为阻止或警告。然后转到Web管理|日志记录和报告|日志设置|远程Syslog，并使用以下设置将Fastvue服务器添加为Syslog服务器：

• 服务器=Fastvue Reporter Server IP（如有必要，添加新的主机对象）
• 端口=在预定义的SYSLOG协议中拖动。如果Fastvue机器上已经安装了syslog应用程序，则使用自定义端口，如50514。

 

然后选中远程Syslog日志选择部分中的“Web筛选”复选框，然后单击应用。

 

Sophos XG防火墙：

在XG防火墙上，确保应用了“Web策略”并选中了“日志流量”复选框的防火墙规则。

 

然后转到Configure | System Services | Log，将Fastvue服务器添加为syslog服务器

 

设置：

• 服务器=Fastvue Reporter Server IP
• 端口=Fastvue机器上任何未使用的端口（514为默认值）
• 设施=守护程序
• 严重性=信息
• 格式=设备标准格式。

 

然后向下滚动并选中以下日志事件旁边Fastvue Syslog服务器的复选框，然后单击应用：

• 防火墙|防火墙规则
• 防火墙|SSL VPN隧道
• IPS |异常
• IPS |签名
• 防病毒|检查所有事件
• 内容过滤|检查所有事件
• 事件|身份验证事件
• 高级威胁防护|ATP事件
• 沙尘暴|沙尘暴事件

 

 

3.添加源

在Sophos Reporter 2.0中添加Sophos UTM作为源代码。这可以在安装后显示的起始页上完成，也可以在设置|源代码|添加源代码中完成。

 

导入第一个记录可能需要10-20秒。您可以查看在“设置|源”中导入的记录和日期。记录开始导入后，您可以转到“仪表板”选项卡查看网络流量。

 

 

4.享受！

现在您可以测试Sophos Reporter 2.0的许多功能。

 

升级现有安装

 

 

1.备份Sophos Reporter的数据和设置

如果要升级现有安装，建议先备份现有设置和数据。这就像制作Sophos Reporter数据位置的完整副本一样简单，如设置|数据存储|设置中所示（默认为C:\ProgramData\Fastvue\Sophos Reporter）。

提示：压缩备份，尤其是data.fvfs文件夹，因为这可能非常大。

 

 

2.备份自定义IIS设置（如果适用）

如果您已使用IIS保护Sophos Reporter网站或直接在IIS中应用任何其他自定义设置，则还应备份该网站。网站目录中的配置文件（通常位于c:\inetpub\wwwroot\下）。安装程序还将尝试为您备份和还原此文件，但这是一个好主意，以防安装出现问题。

 

 

3.升级/安装

备份当前环境后，只需在现有安装的顶部运行新安装程序即可升级。安装程序将拾取您的现有设置，因此只需在整个向导中单击“下一步”，而不进行任何更改。安装完成后，浏览到该站点并按ctrl+F5（Mac上为cmd+R）清除浏览器缓存。

 

如果从2.0版升级到3.0版，您的现有数据将迁移到我们的新数据库格式（Elasticsearch）。不幸的是，这个新数据库所需的磁盘空间是以前版本的两倍，因此如果可用磁盘空间允许，您的数据保留“大小”策略将自动增加。您将收到更改通知，并可以选择确认或更改设置。

 

 

数据迁移可能需要一些时间，具体取决于需要迁移的历史数据量。此过程将在后台进行，您可以在设置|数据存储中查看其进度。

 

我们不建议安装到网络驱动器，因为延迟问题会影响我们非常频繁的读写操作的稳定性。要获得最佳性能，请使用本地SSD驱动器。

 

不要安装到映射的网络驱动器，或使用映射的网络磁盘作为Fastvue Reporter的数据路径，因为分配的驱动器号将不存在于系统上下文中，仅存在于用户上下文中。如果必须使用网络驱动器，请指定UNC路径，例如\\servername或ip\fastvue，但要记住上面提到的性能问题，您必须为Fastvue Server的本地系统账户配置“完全”权限。

 

随着数据迁移，您仍然可以正常使用Fastvue Reporter查看仪表板、警报并运行有关新数据或已迁移数据的报告。

 

 

4.享受！

导入第一个记录可能需要10-20秒。您可以在“设置|源”中查看记录计数。记录开始导入后，您可以转到Dashboard选项卡查看实时网络流量。

现在您可以测试Sophos Reporter的许多功能。