Fortinet Log Viewer
Bu gün sizlerle paylaşacağım bilgiler tamimiyle ÇözümPark’ a özel Fortigate Firewall için yazdığım LogViewer programının tanıtımı ile ilgili olacak. Çoğu firma Fortigate logolanması için gereken Forti Analayzer cihazını maliyet gerekçesiyle almak istemez. Fakat bizim firewall loglarını takip etmemiz ve kayıt altında tutmamız gerekir.
Bunun için genellikle kiwi syslog programının kurulu olduğu server üzerine Fortigate ‘den yapılan ayarlamalar ile log ‘lar gönderilebilir.
Bu konu ile ilgili makaleye linkten ulaşabilirsiniz.
Syslog server’ dan gelen logları okumak ve bu şekilde bir sonuca ulaşmak neredeyse imkânsızdır.
” 2012-04-17 13:35:11 Local7.Notice 192.168.1.2
date=2012-04-17,time=13:41:48,devname=yasamfortigate,device_id=FG100C3G11600390,
log_id=0021000002,type=traffic,subtype=allowed,pri=notice,status=accept,vd=”root”,
dir_disp=org,tran_disp=snat,src=192.168.1.34,srcname=192.168.1.34,src_port=4589,dst=
209.85.148.138,dstname=209.85.148.138,dst_country=”United States”,dst_port=443,tran_ip=
N/A,tran_port=0,tran_sip=88.247.139.243,tran_sport=5989,service=HTTPS,proto=6,app_type=
N/A,duration=72,rule=17,policyid=17,identidx=0,sent=4558,rcvd=57336,shaper_drop_sent=0
,shaper_drop_rcvd=0,perip_drop=0,shaper_sent_name=”N/A”,shaper_rcvd_name=”N/A”,perip_name=
“N/A”,sent_pkt=53,rcvd_pkt=51,vpn=”N/A”,vpn_type=UNKNOWN(65535),vpn_tunnel=
“N/A”,src_int=”switch”,dst_int=”wan1″,SN=493842,app=
“N/A”,app_cat=”N/A”,user=”N/A”,group=”N/A”,carrier_ep=”N/A”,profilegroup=”N/A” “
Gördüğünüz gibi tek bir log o kadar karışık ki çözümlemek gerçekten uzmanlık ister.
Şimdi bu logları daha okunur bir hale getirmek için yazmış olduğum Forti LogViewer programını kurulumuna geçiyoruz. Program Servis ve Viewer olarak iki bölümden oluşmaktadır.
Kurulum dosyalarına buradan ulaşabilirsiniz.
Setup dosyasının kurulumunda dikkat etmeniz gereken tek nokta kurulum dizinini değiştirirseniz,
InstallService.bat içerisindeki ” installutil “C:\Program Files\FortiLog\FortiLogService.exe” “
Dizinini mevcut dizine göre değiştirmelisiniz.
Sonrasında kurulum dizinine giderek InstallService.bat dosyasını çalıştırarak Fortigate Loglarını SQL’e yazacak servisi kurmuş oluyoruz. Ayrıca servis ile ilgili loglarıda “FortiEventLog” Kısmından takip edebilirsiniz.
Servis kurulumu gerçekleştikten sonra sıra SQL üzerine veri tabanı kurulumuna geldi.
Programı kurduğunuz dizinde bulunan “DBScript” klasöründeki “FORTI_LOG.sql” script ‘ini
Sql Management Studio ile açıyoruz ve çalıştırıp Veri tabanını oluşturuyoruz.
Veri tabanı oluşturma işlemi başarılı olduktan sonra tekrar servislere dönüp “FotiLog” servisini çalıştırıyoruz. Servis başaralı bir şekilde çalıştığında register ‘da SQL server bağlantısı için bir key değeri
Oluşturur. İlk olarak bunu kontrol etmemiz gerekir.
“ConnStr” “Initial Catalog=FORTI_LOG;Data Source=localhost;Integrated Security=sspi;”
Sql server’ a localhost olarak bağlanacak şekilde ayarlanmıştır. Kendinize göre bu bağlantı ayarını değiştirebilirsiniz. Bağlantı ayarlarında değişiklik yaparsanız servisi restart etmeniz gerekir…!
Görüldüğü gibi artık Loglar Sql server’ a düşmeye başladı.
Şimdi logları görüntüleyecek olan FortiNetViewer programımızın ayarlarını yapalım.
Programın kayıtsız sürümünde Logları sorgulayabilirsiniz , Fakat detaylı şekilde bir inceleme yapamazsınız.
Kayıtsız sürümde alacağınız loglar bu şekilde olacaktır. Burada kullanıcının ip adresine göre sorgulama yapabilirsiniz.
Kayıtlı sürümde yazdığınız sorguları kaydedip sonrasında tekrar bu sorguyu hızlıca çalıştırabilirsiniz.
Detaylı soru yazarak Raporunuzu genişletebilirsiniz.
“Select Top 100 ID ,ClientIP,(Logdate +’ ‘+ Logtime) As LogTime,hostname,status,type,subtype,dst,dst_port,service from Tbl_FortiLogs where hostname != ‘NULL’ Order By ID DESC“
Log Details kısmından girilen web url seçerek sağ tıkladığınızda “web browser” ile kullanıcının girmeye çalıştığı web sitesini görüntüleyebilirsiniz.
Logları çektikten sonra istediğiniz alana görede filtreleme yapabilirsiniz.
NOT : Sorgularınızı yazarken mutlaka koşullu sorgu yazın. Fortinet çok fazla log gönderdiği için koşulsuz sorguda bütün kayıtları çekmeye çalışacağı için programın kilitlenmesine sebep olur..!
Bir sonraki makalemizde görüşmek üzere.
merhahaba link calısmıyor programın baska indirme linki varmı