3. Parti Yazılımlar

Fortinet Log Viewer

 

Bu gün sizlerle paylaşacağım bilgiler tamimiyle ÇözümPark’ a özel Fortigate Firewall için yazdığım LogViewer programının tanıtımı ile ilgili olacak. Çoğu firma Fortigate logolanması için gereken Forti Analayzer cihazını maliyet gerekçesiyle almak istemez. Fakat bizim firewall loglarını takip etmemiz ve kayıt altında tutmamız gerekir.

 

 

Bunun için genellikle kiwi syslog programının kurulu olduğu server üzerine Fortigate ‘den yapılan ayarlamalar ile log ‘lar gönderilebilir.

 

 

Bu konu ile ilgili makaleye linkten ulaşabilirsiniz.

 

 

Syslog server’ dan gelen logları okumak ve bu şekilde bir sonuca ulaşmak neredeyse imkânsızdır.

 

 

 

” 2012-04-17 13:35:11    Local7.Notice    192.168.1.2
date=2012-04-17,time=13:41:48,devname=yasamfortigate,device_id=FG100C3G11600390,
log_id=0021000002,type=traffic,subtype=allowed,pri=notice,status=accept,vd=”root”,
dir_disp=org,tran_disp=snat,src=192.168.1.34,srcname=192.168.1.34,src_port=4589,dst=
209.85.148.138,dstname=209.85.148.138,dst_country=”United States”,dst_port=443,tran_ip=
N/A,tran_port=0,tran_sip=88.247.139.243,tran_sport=5989,service=HTTPS,proto=6,app_type=
N/A,duration=72,rule=17,policyid=17,identidx=0,sent=4558,rcvd=57336,shaper_drop_sent=0
,shaper_drop_rcvd=0,perip_drop=0,shaper_sent_name=”N/A”,shaper_rcvd_name=”N/A”,perip_name=
“N/A”,sent_pkt=53,rcvd_pkt=51,vpn=”N/A”,vpn_type=UNKNOWN(65535),vpn_tunnel=
“N/A”,src_int=”switch”,dst_int=”wan1″,SN=493842,app=
“N/A”,app_cat=”N/A”,user=”N/A”,group=”N/A”,carrier_ep=”N/A”,profilegroup=”N/A” “

 

Gördüğünüz gibi tek bir log o kadar karışık ki çözümlemek gerçekten uzmanlık ister.

 

Şimdi bu logları daha okunur bir hale getirmek için yazmış olduğum Forti LogViewer programını kurulumuna geçiyoruz. Program Servis ve Viewer olarak iki bölümden oluşmaktadır.

 

 

Kurulum dosyalarına buradan ulaşabilirsiniz.

 

 

Setup dosyasının kurulumunda dikkat etmeniz gereken tek nokta kurulum dizinini değiştirirseniz,

 

InstallService.bat içerisindeki ” installutil “C:\Program Files\FortiLog\FortiLogService.exe”

 

Dizinini mevcut dizine göre değiştirmelisiniz.

 

 

Sonrasında kurulum dizinine giderek InstallService.bat dosyasını çalıştırarak Fortigate Loglarını SQL’e yazacak servisi kurmuş oluyoruz. Ayrıca servis ile ilgili loglarıda “FortiEventLog” Kısmından takip edebilirsiniz.

 

 

 

image001

 

image002

 

Servis kurulumu gerçekleştikten sonra sıra SQL üzerine veri tabanı kurulumuna geldi.

 

Programı kurduğunuz dizinde bulunan “DBScript” klasöründeki “FORTI_LOG.sql” script ‘ini

 

Sql Management Studio ile açıyoruz ve çalıştırıp Veri tabanını oluşturuyoruz.

 

 

 

image003

 

Veri tabanı oluşturma işlemi başarılı olduktan sonra tekrar servislere dönüp “FotiLog” servisini çalıştırıyoruz. Servis başaralı bir şekilde çalıştığında register ‘da SQL server bağlantısı için bir key değeri

Oluşturur. İlk olarak bunu kontrol etmemiz gerekir.

 

 

 

image004

 

“ConnStr” “Initial Catalog=FORTI_LOG;Data Source=localhost;Integrated Security=sspi;”

Sql server’ a localhost olarak bağlanacak şekilde ayarlanmıştır. Kendinize göre bu bağlantı ayarını değiştirebilirsiniz. Bağlantı ayarlarında değişiklik yaparsanız servisi restart etmeniz gerekir…!

 

 forti1

 

image005

 

Görüldüğü gibi artık Loglar Sql server’ a düşmeye başladı.

Şimdi logları görüntüleyecek olan FortiNetViewer programımızın ayarlarını yapalım.

 

 

 

image006

 

Programın kayıtsız sürümünde Logları sorgulayabilirsiniz , Fakat detaylı şekilde bir inceleme yapamazsınız.

 

 

 

image007

 

Kayıtsız sürümde alacağınız loglar bu şekilde olacaktır. Burada kullanıcının ip adresine göre sorgulama yapabilirsiniz.

Kayıtlı sürümde yazdığınız sorguları kaydedip sonrasında tekrar bu sorguyu hızlıca çalıştırabilirsiniz.

 

 

 

image008

 

Detaylı soru yazarak Raporunuzu genişletebilirsiniz.

Select Top 100 ID ,ClientIP,(Logdate +’ ‘+ Logtime) As LogTime,hostname,status,type,subtype,dst,dst_port,service from Tbl_FortiLogs where hostname != ‘NULL’ Order By ID DESC

 

 

 

image009

 


Log Details kısmından girilen web url seçerek sağ tıkladığınızda “web browser” ile kullanıcının girmeye çalıştığı web sitesini görüntüleyebilirsiniz.

 

 

 

image010

 

Logları çektikten sonra istediğiniz alana görede filtreleme yapabilirsiniz.

 

 

 

image011

 

NOT : Sorgularınızı yazarken mutlaka koşullu sorgu yazın. Fortinet çok fazla log gönderdiği için koşulsuz sorguda bütün kayıtları çekmeye çalışacağı için programın kilitlenmesine sebep olur..!

 

 

Bir sonraki makalemizde görüşmek üzere.

İlgili Makaleler

Bir Yorum

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu