分布、共享和导出报告

在配置报告时，您在关于消耗信息的方式和人员方面有很多选择。您可以将报告访问限制在一个用户或一个用户组内。您可以限制包含敏感信息的报告区段，使得只有特定用户才能查看这些区段。您可以控制报告分布给用户的方式，即以电子邮件发送还是保存在某些目录内。如果您将把报告信息导出到外部数据库，那么您可以指定某些与数据导出相关的属性。

参看以下部分了解更多信息：

• 关于报告拥有者
• 管理报告共享
• 授予用户报告共享权限
• 限制报告区段
• 将扫描数据导出到外部数据库
• 配置数据仓库设置

关于报告拥有者

当报告生成后，只有全局管理员和指定的报告拥有者可以在报告页面查看报告。您亦可以拥有一份保存在报告拥有者目录的报告。查看 将报告保存在报告拥有者目录中。

如果您是全局管理员，那么您可以将报告所有权分配给用户列表中的一位用户。

如果您不是全局管理员，您将自动变为报告拥有者。

将报告保存在报告拥有者目录中

当本应用程序生成一份报告时，程序会把报告保存在安全控制台主机的报告目录中：

[installation_directory]/nsc/reports/[user_name]/

您亦可以配置本应用程序将一份报告副本保存在报告拥有者的用户目录中。 这是报告文件夹的子目录，使用报告拥有者的用户名。

1. 点击创建报告面板的配置高级设置…。 
2. 点击报告文件存储。

报告文件存储

3. 在目录字段 $(install_dir)/nsc/reports/$(user) 输入报告拥有者的名称。用报告拥有者的名称代替 (user)。

您可以使用字符串字面值、变量或其组合创建一个目录路径。

可用变量包括：

• $(date)：报告创建的日期；格式为年/月/日
• $(time)：报告创建的时间；格式为小时/分钟/秒
• $(user)：报告拥有者的用户名
• $(report_name)：报告名称，创建于创建报告面板的一般部分

在您创建路径并运行报告后，本应用程序会创建您在输出页面指定的报告拥有者的用户目录和子目录路径。在此子目录内是带有十六进制标识符的另一个目录，内含报告副本。

例如，如果您指定路径为 windows_scans/$(date)，则您可以通过此路径访问新创建的报告：

reports/[report_owner]/windows_scans/$(date)/[hex_number]/[report_file_name]

可考虑设计一种有益于分类和组织报告的路径命名约定。如果您保存许多报告的副本，则此方法将尤其有用。

共享报告的另一种选项是通过电子邮件分布报告。点击左导航栏的分布链接，进入分布页面。参看 管理报告共享。

管理报告共享

每一份报告都有一位指定拥有者。当全局管理员创建一份报告时，他/她可以选择一位报告拥有者。当任何其他用户创建报告时，他/她便自动成为新报告的拥有者。

在控制台网页界面，报告和此报告的任何生成实例均只对此报告拥有者或全局管理员可见。但报告拥有者亦可能有能力通过电子邮件或分布的 URL 与其他个人共享报告实例。这样，报告拥有者的能力将会扩展以向目标利益相关者群体提供重要的安全相关更新。例如，一位报告拥有者可能希望内部 IT 部门的成员查看关于某特定服务器集的漏洞数据，以便其优先排序和验证修复任务。

注意: 授予报告共享权限即表示，原来无访问权的个人将有可能查看资产数据。

管理报告共享对管理员来说涉及两个程序：

• 配置本应用程序以将点击分布的报告 URL 链接的用户重新定向正确的端口
• 授予用户报告共享权限

注意: 如果一位报告拥有者创建了一份报告访问列表并复制了报告，那么副本将不会保留原始报告的访问列表。拥有者需要对副本报告创建一份新访问列表。

被授予报告共享权限的报告拥有者即可以创建一份接收者报告访问列表并配置报告共享设置。

配置 URL 重新定向

在默认情况下，共享报告的 URL 会被定向至安全控制台。您必须向 oem.xml 配置文件添加一个元素才能重新定向点击分布报告 URL 链接的用户至正确的端口。

reportLinkURL 元素包括了一个称为 altURL 的属性，使用它您可以指定重新定向目的地。

若要指定一个重新定向的 URL：

1. 打开位于 [product_installation-directory]/nsc/conf 的 oem.xml 文件。如果文件不存在，那么您可以创建此文件。请参见品牌建设指南，您可以向技术支持部门索要此文件。

注意: 如果您要创建 oem.xml 文件，请确保在起始处指定标签、在结尾指定标签。

2. 添加或编辑报告子元素以加入 reportLinkURL 元素，设置 altURL 属性到正确的目的地，以下为示例：

<reports>

<reportEmail>

<reportSender>account@exampleinc.com</reportSender>

<reportSubject>${report-name}

</reportSubject>

<reportMessage type="link">Your report (${report-name}) was generated on ${report-date}: ${report-url}

</reportMessage>

<reportMessage type="file">Your report (${report-name}) was generated on ${report-date}.See attached files.

</reportMessage>

<reportMessage type="zip">Your (${report-name}) was generated on ${report-date}.See attached zip file.

</reportMessage>

</reportEmail>

<reportLinkURL altURL="base_url.net/directory_path${variable}?loginRedir="/>

</reports>

3. 保存并关闭 oem.xml 文件。
4. 重启本应用程序。

授予用户报告共享权限

全局管理员自动拥有共享报告的权限。他们也可以将此权限分配给其他用户或角色。

按以下步骤可分配权限至新用户。

1. 进入管理页面，点击用户旁的创建链接。

（可选）进入用户页面，点击新用户。

2. 根据需要配置新用户账户。
3. 在用户配置面板点击角色链接。
4. 在角色页面从下拉列表中选择自定义角色。
5. 选择权限添加用户到报告。

根据需要选择任何其他权限。

6. 在完成配置账户设置后，点击保存。

按以下步骤可分配权限至现有用户：

1. 进入管理页面，点击用户旁的管理链接。

（可选）进入用户页面，点击一个所列账户的编辑图标。

2. 在用户配置面板点击角色链接。
3. 在角色页面从下拉列表中选择自定义角色。
4. 选择标记为添加用户到报告的复选框。

根据需要选择任何其他权限。

注意:  您也可以通过使用户成为全局管理员而授予此权限。

5. 在完成配置账户设置后，点击保存。

创建报告访问列表

如果您是全局管理员，或如果您已被授权共享报告的权限，则您可以在配置报告时创建一份用户访问列表。这些用户将只可以查看此报告。而无法对其编辑或复制。

使用网页型界面创建一份报告访问列表

按以下步骤可使用网页型界面创建一份报告访问列表：

1. 点击创建报告面板的配置高级设置…。 
2. 点击访问。

如果您是全局管理员或拥有超级用户权限，则您可以选择一位报告拥有者。否则您将自动成为报告拥有者。

报告访问

3. 点击添加用户，为报告访问列表选择用户。

将出现一份用户账户列表。

4. 选择每一位所需用户的复选框，或选择顶行的复选框以选择所有用户。
5. 点击完成。

所选择用户将出现在报告访问列表。

注意: 添加用户到报告访问列表即表示，原来无访问权的个人将有可能查看资产数据。

6. 在完成配置报告，包括共享报告的设置后，点击运行报告。

使用网页型界面配置报告共享设置

注意: 您必须配置 URL 重新定向后才能分布 URL。

您可以通过使用电子邮件发送报告与访问列表共享此报告，或分布一个 URL 用于查看报告。

按以下步骤可共享报告：

1. 点击创建报告面板的配置高级设置…。 
2. 点击分布。

报告分布

3. 输入发送者的电子邮件地址和 SMTP 转发服务器。如，电子邮件发送者地址：j_smith@example.com 和 SMTP 转发服务器：mail.server.com。

您可以出于几种原因要求一个 SMTP 转发服务器。例如，一个防火墙可能阻止本应用程序访问您网络的邮件服务器。如果您保持 SMTP 转发服务器字段空白，则本应用程序会搜索一个合适的邮件服务器用于发送报告。如果无可用的 SMTP，那么安全控制台不会发送电子邮件，并将在日志文件中报告出现错误。

4. 选择将报告发送给报告拥有者的复选框。
5. 选择将报告发送给报告访问列表用户的复选框。
6. 选择以这些形式发送报告的方法：URL、文件或Zip 压缩文件。
7. （可选）选择将报告发送给未列于访问列表用户的复选框。



额外报告接收者

8. （可选）选择将报告发送给可访问报告内资产的所有用户的复选框。

添加用户到报告访问列表即表示，原来无访问权的个人将有可能查看资产数据。

9. 在其他接收者字段输入接收者的电子邮件地址。

注意: 您无法将 URL 分布给一个未列于报告访问列表的用户。

10. 选择以这些形式发送报告的方法：文件或 Zip 压缩文件。
11. 在完成配置报告，包括共享报告的设置后，点击运行报告。

创建报告访问列表并使用 API 配置报告共享设置

注意: 此主题介绍与创建报告访问列表和配置报告共享相关的 API 元素。若需关于使用 1.1 版本 API 和 1.2 版本扩展 API，请参看 API 指南，您可以帮助网站的支持页面下载。

用于创建访问列表的元素为 ReportSave API 的一部分，属于 1.1 版本 API：

• 通过 ReportConfig 的子元素 Users ，您可以指定希望添加至报告访问列表的用户的 ID。

在每行均输入电子邮件接收者的地址。

• 通过 ReportConfig 的子元素 Delivery，您可以使用 sendToAclAs 属性以指定如何向所选择的用户分布报告。

可能的值包括 file、zip 或 url。

若要创建报告访问列表：

注意: 使用属于 1.2 版本扩展 API 的 MultiTenantUserListing API 以获取用户列表及其 ID。

1. 登录安全控制台。

若需关于访问 API 和示例 LoginRequest 的一般信息，请参看 API 指南中的 API 概览，您可以从帮助网站的支持页面下载。

2. 使用 ReportSave API 指定您想添加至报告访问列表的用户 ID 和报告分布的方式，如以下 XML 示例：

3. 如果您没有其他需执行的任务，则登出程序。

若需了解 LogoutRequest 示例，请参看 API 指南。

若需关于 ReportSave API 的其他详细信息，请参看 API 指南。

限制报告区段

每一份报告均基于一份模板，无论是与产品一同配送的预设模板还是由您企业中的用户创建的自定义模板。一份模板由一个或多个区段组成。每一个区段包括一个信息子集，允许您以特定方法查看扫描数据。

您企业中的安全政策可能需要控制哪些用户可查看特定报告区段，或哪些用户可创建带有特定区段的报告。例如，如果您的公司是经核准的扫描供应商 (ASV)，那么您可能只想指定一组用户能够创建带有捕捉支付卡行业 (PCI) 相关扫描数据区段的报告。您可以使用 API 发现报告中的哪些区段是被限制的（参看 API 指南中的 SiloProfileConfig 部分。）

限制报告区段有两种方法：

• 在 API 中设置限制

注意: 只有全局管理员可以执行这些程序。

• 授予用户访问受限制区段的权利。

在 API 中设置报告区段限制

子元素 RestrictedReportSections 属于新筒仓的 SiloProfileCreate API 和现有筒仓的 SiloProfileUpdate API。它包含子元素 RestrictedReportSection，而其值字符串即是您想限制的报告区段名称。

在以下例子中，基准对比报告区段将受到限制。

1. 登录本应用程序。

若需关于访问 API 和示例 LoginRequest 的一般信息，请参看 1.1 版本 API 指南中的 API 概览，您可以从帮助网站的支持页面下载。

2. 确认您想限制的报告区段。本
   SiloProfileUpdateRequest 的 XML 示例包括 RestrictedReportSections
   元素。

3. 如果您没有其他需执行的任务，则登出程序。

注意: 使用 SiloProfileConfig API 可以验证受限制的报告区段。参看 API 指南。

若需了解 LogoutRequest 示例，请参看 API 指南。

现在基准对比已被限制。对于拥有权限生成带有受限制区段报告的用户来说，有如下可能：

• 他们在创建自定义报告模板时，可看到基准对比是可以纳入的一个区段。
• 他们可以生成包括基准对比区段的报告。

对于没有权限生成带有受限制区段报告的用户来说，此限制说明如下问题：

• 这些用户在创建自定义报告模板时，将无法看到基准对比是可以纳入的一个区段。
• 如果这些用户尝试生成包括基准对比区段的报告，那么将显示一条他们没有权限执行此操作的错误消息。

若需了解关于 SiloProfile API 的额外详细信息，请参看 API 指南。

准许用户生成受限制报告

全局管理员自动拥有生成受限制报告的权限。他们也可以将此权限分配给其他用户。

若要分配权限给新用户：

1. 进入管理页面，点击用户旁的创建链接。

（可选）进入用户页面，点击新用户。

2. 根据需要配置新用户账户。
3. 点击用户配置的角色面板。

控制台将显示角色页面。

4. 从下拉列表中选择自定义角色。
5. 选择标记为生成受限制报告的复选框。
6. 根据需要选择任何其他权限。
7. 在完成配置账户设置后，点击保存。

注意: 您也可以通过使用户成为全局管理员而授予此权限。

按以下步骤可分配权限至现有用户。

1. 进入管理页面，点击用户旁的管理链接。

或者

2. （可选）进入用户页面，点击一个所列账户的编辑图标。
3. 在用户配置面板点击角色链接。

控制台将显示角色页面。

4. 从下拉列表中选择自定义角色。
5. 选择标记为生成受限制报告的复选框。
6. 根据需要选择任何其他权限。
7. 在完成配置账户设置后，点击保存。

将扫描数据导出到外部数据库

如果您选择数据库导出作为报告格式，那么报告配置—输出页面会含有专为向数据库转移扫描数据的字段。

您必须设置 JDBC 合规数据库后才能在这些字段输入信息。在 Oracle、MySQL 或 Microsoft SQL Server 中，使用管理权限创建称为 nexpose 的数据库。

1. 当您在创建报告面板选择数据库导出模板时会出现数据库配置部分，进入此部分。
2. 输入数据库服务器的 IP 地址和端口。
3. 输入数据库服务器的 IP 地址。
4. 如果您想指定除默认外的一个端口，则输入一个服务器端口。
5. 输入数据库的名称。
6. 输入登录此数据库所用的管理用户 ID 和密码。
7. 在本应用程序完成扫描后，检查数据库，确保扫描数据已填满表格。

配置数据仓库设置

注意: 当前此仓库功能只支持 PostgreSQL 数据库。

您可以配置仓库设置以保存扫描数据，或将其导出到 PostgreSQL 数据库。您可以使用此功能获取更丰富的扫描数据集，与您自己的内部报告系统整合。

注意: 根据可导出的数据库容量，入库进程可能需要很长时间才完成。

这是一项逐步扩展的功能的技术预览。

若要配置数据仓库设置：

1. 点击管理页面数据仓库旁的管理。
2. 在数据库页面输入数据库服务器设置。
3. 进入预定页面，选择启用数据导出的复选框。

您也可以随时禁用此功能。

4. 选择启动自动导出的日期和时间。
5. 选择重复导出的间隔。
6. 点击保存。