WatchGuard Log Server ve Report Server Kurulumu
Merhabalar bu yazımızda şirketimizde kullanmış olduğumuz WatchGuard Firewall cihazımızın Log ve Report Server özelliklerinin kurulması ve yapılandırmasını anlatıyor olacağım.
5651 Yasasi gereğince şirketinizde kullanıcıların yasa gereği yasaklanan internet sitelerine girmemeleri ve kullanıcıların gözetim altında tutulmasi zorunluluğu getirilmiştir. Bu nedenle WatchGuard 5651 yasasına göre Loglama ve Reportlama yaparak kullanıcıların internet ortamın yaptıklari işlemleri kayıt altında tutarak doğabilecek yasal sorunlarla ilgili elinizde bir yasal doküman bulundurmanızı sağlamaktadır.
Üstelik hangi cihazı kullanırsanız kullanın WatchGuard Log ve Report Server özelliğini sizlere ücretsiz olarak sunmaktadır. Bunun için tek yapmanız gereken üzerinde Windows Server 2003/Windows Server 2008/Windows Server 2008 R2/Windows XP/ Windows Vista / Windows 7 işletim sistemini sahip bir makine ve alınacak Log ve Report boyutuna göre bir disk alanı gerekmektedir. Log ve Reportlarımın sürekli olarak alınması için bu makinenin çalışır durumda olmasına dikkat etmeliyiz.
Bu adımlarımız tamamladıktan sonra indirdiğimiz “WatchGuard System Manager (WSM)” exesini çalıştırıyoruz.
Karşımıza bir Wizard ekranı geliyor “NEXT” diyerek ilerliyoruz.
Lisans sözleşmesini kabul ederek “NEXT” diyoruz.
Programın kurulacağı lokasyonu belirtmemizi istiyor biz Default gelen dizini değiştirmiyoruz ve “NEXT” diyerek kuruluma devam ediyoruz.
Select Components seçeneğinde hangi servislerin kurulacağını seçmemizi istiyor. Cihazımızı bağlanmamızı sağlayan ve cihazımızın yapılandırmasını için kullandığımız “WatchGuard System Manager ( WSM )” “WatchGuard Log Server” ve “WatchGuard Report Server” kurulumu gerçekleştireceğimiz için bunları seçerek “NEXT” diyerek devam ediyoruz.
Kurulum başarıyla tamamlanıyor “FİNİSH” diyerek kurulumu tamamlıyoruz.
Kurulum tamamlandıktan sonra başlangıç menüsünün sağ tarafında “WatchGuard Server Center” ikonuna çalıştırarak programı çalıştırıyoruz. Karşımıza bir Wizard ekranı çıkıyor.“WatchGuard Server Center” kurulumuna geçmeden önce kurulumunu yapacağımız makinenin IP adresini statik olarak yapılandırmamız gerekiyor.“WatchGuard Server Center” için bir admin password ve Log Server için Encryption key oluşturmamız gerektiği bilgisi veriyor bize bu ekranda “NEXT” diyerek ayarlamaya başlıyoruz.
Organization name kısmına bir isim veriyoruz ve “NEXT” diyerek devam ediyoruz.
“WatchGuard Server Center” için bir admin password oluşturmamızı istiyor oluşturacağımız bu password ile “WatchGuard Server Center” çalıştırdığımızda karşımıza çıkacak ve bu password ile sisteme login olacağız burada belirlediğimiz password en az 8 karakter olmak zorundadır buna dikkat etmemiz gerekmektedir biz “12345678″ olarak belirliyorum ve “NEXT” diyerek bir sonraki adıma geçiyorum.
Encrytion key belirmemizi istiyor bu key cihazımız ile “WatchGuard Server Center” arasındaki bağlantıyı kurarken kullanacağımız key ben bu keyi “123456789” olarak belirliyorum “Data Location” sekmesinde Logların tutulacağı lokasyonu belirlememizi istiyor ben sistemden farklı olan bölümümde bir WatchGuard dizini açtım ve buraya “LogServer” “LogBackup” ve “ReportServer” olarak dizinler oluşturdum Log ve Reportlarımın sistem dizinden farklı bir dizin altında tutulmasını sağlayacağım siz isterseniz bu ayarlarda herhangi bir değişiklik yapmayabilirsiniz lokasyon seçimini de yaptıktan sonra “NEXT” diyerek devam ediyorum.
Karşımıza bir özet ekranı veriyor kurulumu başlatmak ve ayarlarımın etkin olabilmesi için “NEXT” diyerek devam ediyoruz.
Kurulumum sorunsuz bir şekilde tamamlanıyor “NEXT” diyerek devam ediyoruz.
“FİNİSH” diyerek kurulumumu tamamlıyoruz.
“WatchGuard Server Center” tekrar çalıştırıyorum ve bize oluşturduğum admin password soruyor admin password girerek programa login oluyoruz.
Log Server ve Report Server servislerim çalışır durumda Log Server yapılandırmasıyla başlıyoruz.
“Server Settings” sekmesinde tutulacak “Data Base Size” belirlememiz gerekiyor ben bu değeri “30 GB”olarak belirliyorum siz diskinizdeki kapasiteye göre alınacak Log DateBase Size belirleyebilirsiniz.“EncryptionKey Settings” sekmesinde isterseniz kurulum sırasında oluşturduğumuz “EncryptionKey” buradan değiştirebilirsiniz.
“Database Maintenance” sekmesinde Log Datalarının Backuplarini ne kadar sürede alınacağını belirliyoruz. Biz 30 gün olarak belirledim. Ancak “WatchGuard Log Server” “Database Maintenance” kısmındaki backup kısmını günlük olarak tutulmasında fayda vardır. Çünkü diğer türlü hem gerektiğinde ulaşmak zor olur, hem de datalar çok büyük olur. Ben bu değeri “30” yaptım, ancak cihaz 30 günde “1” kez log backuplarını alacaktır. Siz bunu günlük olarak yapılandırmanızda fayda olacaktır.
“Directory Patch for Backup files” bölümünde “Browse” diyerek daha önceden oluşturduğum dizin altına alınması sağlıyorum.
“WatchGuard Server Center” kapatmadan WatchGuard System Manager ( WSM ) yardımıyla cihazıma bağlanıyorum ve “Policy Manager” açarak “Setup” sekmesinden “Logging” tıklıyoruz. Bu işlemde kullandığım cihazımızın “WatchGuard Log Server” Log göndermesini ayarlayacağım.
Karşıma gelen ekranda “Send log messages to the Log Server at these IP addresses” işaretliyorum “Configure” diyoruz.
“Add” diyerek Log Server’ımı buraya ekliyoruz.
“WatchGuard Log Server” kurulu olduğu makinanın IP adresini ve kurulum sırasında oluşturduğumuz “EncrytionKey” yazarak “OK” diyoruz.
“WatchGuard Log Server” kurulu olduğu server’in IP adresi listeme ekleniyor “OK” diyerek bu ekrandan çıkıyoruz.
“OK” diyerek bu ekranı da kapatıyorum ve ayarlarımın etkin olabilmesi için cihazın yapılandırmasını kaydediyoruz.
“WatchGuard Server Center” ekranıma geliyorum ve “WatchGuard Log Server” üzerinde “Logging” sekmesinde “Refresh” diyorum.
Cihazımla “WatchGuard Server Center” listesine düşüyor ve cihazımla “WatchGuard Server Center” connected olduğunu görüyorum. Ayarlarımın etkin olabilmesi için “APPLY” diyorum.
Ayarlarimin kaydediliyor “WatchGuard Log Server”‘im çalışmaya hazır hale geliyor. Şimdi “WatchGuard Report Server” yapılandırması geçiyorum“Directory patch for XML Log Files” bölümünde “Browse” diyerek reportların oluşturduğum lokasyon altına düşmesini sağlıyorum. “DataBase Size” bölümünde “Maximum database size” bölümünü “20 GB” olarak belirledim siz diskinizdeki kapasiteye göre bu database size kendi belirlediğiniz şekilde ayarlayabilirsiniz.
“Database Maintenance” sekmesinde reportlarımın server üzerinde ne kadar süre tutulacağını belirliyorum. Ben 30 gün olarak belirledim reportların “WatchGuard Server Center” üzerinde 30 gün tutulacak ve kendi otomatik olarak eski reportları silecek.
“Notification” sekmesinde alınan logların mail olarak gönderilmesini sağlayabilirim ancak ben burada herhangi bir ayar yapmadan diğer sekmeye geçiyorum.
Hem Log hem de Report Serverlar için Notification alanları aynı çalışır: kullanıcıya haber vermek. Mesela Log Server’daki Notification ayarı Log Server log almadığında ya da database dolduğunda kullanıcının bundan haberdar olmasını sağlar. Report Server içinde durum farklı değildir. Raporlar oluşturulduğunda kullanıcının haberi olsun diye Notification ayarı yapılır aslında. Bunun arkasındaki mantık ise şudur: hem loglar hem de raporlar çok büyük yer kaplayabilirler ve kullanıcının mailbox boyutlarını doldurabilirler, ayrıca birçok serverda 10 MB sınırı vardır bildiğiniz gibi.
“Report Generation” kısmında “Report Schedules” ile günlük ya da haftalık raporlar oluşturabiliyoruz. Add dediğinde çıkan kısımda yer alan “Run recurrently” bölümünde günlük ya da haftalık seçenekleri mevcuttur. “Report Schedules bölümünde “Add” diyorum.
“New Schudule” ekranında cihazımız listemize otomatik olarak geliyor “Schedule Name” bir isim veriyoruz.“Report Types” sekmesinde hangi kategorilerde report alacağımız belirliyoruz ben bütün kategorilerde report almak istediğim için herhangi bir değişiklik yapmıyorum.
“End-User Notifications” sekmesinde alınan reportların mail yoluyla iletilmesini sağlayabiliriz ama ben mail yoluyla iletilmesi istemiyorum bu sekmede herhangi bir değişiklik yapmadan diğer sekmeye geçiyorum.
“Advanced Settings” sekmesinde alınan reportların hangi şekilde alınacağını belirliyorum ben reportlarımı “pdf” formatında almak istiyorum o yüzden resimdeki gibi ayarlayarak “OK” diyorum. Bana mail ayarlarımı yapmadığım hatasını veriyor bu ayarları yapmak istemediğim için “NO” diyerek ayarlarımın etkin olması sağlıyorum.
“Report Generation” bu bölümün hemen altında yer alan “Report Group” ile de sadece istediğimiz raporları almak için bir grup oluşturabiliriz. Böylece her raporu oluşturmak zorunda kalmaz cihaz. Örneğin; sadece web raporları yada sadece mail raporları gibi. Bunlar sadece birer opsiyon elbette “Add” tıklıyorum ve bir grup oluşturuyorum.
“Group Settings” ekranında “Group Name” bir isim veriyoruz. cihazımın buraya otomatik olarak gelecektir cihazımı seçiyoruz. ve “OK” diyoruz.
Bu sekmemizdeki yapılandırmamızda tamamlanıyor diğer sekmeye geçiyoruz.
“Reporting Web UI” sekmesinde herhangi bir değişiklik yapmıyoruz.
Report Server’da bulunan “Logging” ayarı da aslında Report Server ile ilgili bilgilerin Log Server’a log olarak düşmesini sağlar. Yani yine servis stop oldu ya da eski raporlar silindi vs gibi bilgileri içerir.
“Logging” “Send log messages to WatchGuard Log Servers” işaretliyoruz ve “Add” diyoruz.
“WatchGuard Report Server” kurulu olduğu makinenin IP adresini ve kurulum sırasında oluşturduğumuz “EncrytionKey” yazarak “OK” diyoruz.
“WatchGuard Report Server” kurulu olduğu server’in IP adresi listeme ekleniyor “APPLY” diyerek ayarlarımın kaydediyoruz.
Yapılandırmam sorunsuz bir şekilde kaydediliyor.
Son olarak oluşturduğumuz Proxy kurallarının Loğlanması ve Reportlanması için kurallarımızı açıyoruz. ve “General Settings” sekmesindeki “Enable Loging for Report” işaretliyoruz bu bu kurallardan çıkan kullanıcılarımız Loglanmasını ve Reportlanmasını sağlıyorum.
NOT : Eğer kurallarda bu seçenekleri düzeltmezsek o kuralladan çıkan kullanıcıların Logları ve Reportları alınmayacaktır.
Şimdi Loglari nasıl ulaşacağımıza bakalım “WatchGuard System Manager (WSM)” çalıştırıyoruz ve “LogViewer” sekmesine tıklıyoruz.
WatchGuard Log Server login olabilmek için bizden admin password yazmamız gerekiyor admin password yazarak login oluyoruz.
Karşımıza sertifika uyarısı geliyor “Accept” diyerek devam ediyoruz.
Gördüğünüz gibi kullanıcılarımizin Loglari “WatchGuard Log Server” üzerine düşmeye başlamış.
LogViewer’da logları filtreleyebildiğimiz gibi trafik olarak da izleyebiliyoruz.
Şimdi Reportlarimiza nasıl ulaşacağımıza bakalım “WatchGuard System Manager (WSM)” çalıştırıyoruz ve “Report Manager” sekmesine tıklıyoruz.
“WatchGuard Report Server” login olabilmek için bizden admin password yazmamız gerekiyor admin password yazarak login oluyoruz.
Bu ekranda da karşımıza sertifika uyarısı geliyor “Accept” diyerek devam ediyoruz.
Bir kategori seçerek kullanıcılarımız reportlarını alınmaya başlandığını görüyoruz.
Bir başka yazıda görüşmek üzere.