Windows Server

LepideAuditor for Active Directory – Active Directory Auditing

 

Active Directory, günümüz şirket organizasyonlarında en temel alt yapı ürünü olup üstüne inşa edilen ve entegre çalışan diğer iş ailesi ürünleri için vazgeçilmez bir servistir. Durum böyle olunca özellikle kurumsal şirket organizasyonlarında active directory kararlı yapısı, kesintisiz desteği, disaster anındaki kurtarma senaryolarınız büyük önem taşımaktadır. Ancak buradaki tek önemli nokta kesintisiz destek ve çalışma değildir. Rutin olarak kesintisiz çalışan Active Directory yapılarındaki değişikliklerde son derece önemlidir. Özellikle verilerin büyük önem taşıdığı şirketlerde basit bir grup üyeliği değişikliği gibi görünen işlemler bile son derece kritik sonuçlara neden olabilir.

 

Bu nedenle kesintiye veya veri hırsızlığına ya da şirketin zararına neden olabilecek diğer sonuçların medyana gelmesinden önce bu değişikliklerin tespit edilip aksiyon alınması son derece önemlidir.

 

Makalenin başlığına bakarak bu ürünü lütfen sadece bir log yazılımı olarak algılamayın. Makalenin devamında bize ek olarak sunduğu özellikleri detaylandıracağım.

 

İşte bende tam bu noktada bir makale yazmaya karar verdim. Malum Active Directory son derece köklü ve eski bir ürün olduğu için bu konuda hali hazırda pek çok loglama ve takip yazılımı bulunmaktadır. Ben ise bu makalemde dikkatimi çeken ve sizler ile paylaşmak istediğim LepideAuditor for Active Directory ürünü hakkında detay bilgi vereceğim.

 

Öncelikle ihtiyaçları belirlemek son derece önemlidir, ancak ürün sağ olsun pek çok temel hareketi izlemekte ve raporlamaktadır. Bunu ürünü kurduktan sonra detaylandıracağım. Bu bilgiyi vermemdeki temel amaç bu tür projelerdeki en temel adım olan ihtiyaçları belirleme adımı aslında yaptım, ancak siz hali hazırda ürünü deneme sürümü ile kurup test edebilirsiniz.

 

Temel olarak ürün bize ne sağlar?

 

 

 

Tek bir platform üzerinden farklı domainlerin takibini yapabiliriz.

 

Active Directory üzerindeki tüm kullanıcı değişikliklerini alabiliriz ( kim, ne zaman ne yaptı vb ).

 

Agentlı veya Agentsız kurulum desteklemektedir.

 

İhtiyaçlarımız doğrultusunda veya mimarinin bir önceki haline göre değişiklik raporları ( snapshot bazlı ) alabiliriz.

 

Anlık izleme ve filtreleme seçenekleri sunmaktadır.

 

Hızlı veri toplama ve raporlama özelliği sunar.

 

Zamanlanmış raporlar ile periyodik olarak değişiklikleri takip edebiliriz.

 

Raporları PDF, CSV veya MHT formatında kayıt edebiliriz.

 

Anlık olarak tetiklenen değişiklikler için mail ile bilgilendirme yapabilmektedir.

 

Yapılan değişikliği geri alma özelliği sayesinde stabil çalışan AD versiyonuna dönme şansı sunar ki çok başarılı bir özelliktir J

 

Yapılan tüm değişiklikler için bir önceki hali ve son halini detaylı olarak gösterdiği için, diğer log yazılımlarına göre bu değişiklikleri ekrandan takip etmek son derece kolaydır.

 

Tüm loğlar arşivlendiği için çok büyük veri alanlarına ihtiyaç duymadan çok uzun süre bu logları saklayabiliriz.

 

Ve yine en beğendiğim özelliklerden biri, malum log yazılımlarının ara yüzleri genellikle karışık olur, bu ürün bu konuda çok başarılı. Çok kolay bir kullanıma sahip kullanıcı ara yüzü sunmaktadır.

 

Temel olarak baktığımız zaman ürün aslında Active Directory değişikliklerinin raporlanması için üretilmiş olasa da, bu değişiklikler hakkında tamamen detay bilgiye sahip olduğu için bu bilgiyi kullanarak aslında temelde bize iki özellik sunmaktadır.

 

 

 

Active Directory Change Tracking – Bu konuyu zaten temel olarak detaylandırdık.

 

Active Directory Change Control – Bu ise yine özet geçmiş olsam da burada tekrar yazmak istediğim bir konu. Change Control özelliği sayesinde yanlışlıkla yapılan silme veya değiştirme işlemlerinde rollback özelliği sunmaktadır.

 

Ürünü aşağıdaki linkten indirebilirsiniz

 

http://www.lepide.com/active-directory-audit/download.html

 

Tabiki ürünü kurmadan önce hangi sürümleri desteklediğini ve sistem gereksinimlerini paylaşmak istiyorum.

 

image002

 

 

 

Gelelim kurulum aşamasına.

 

Kurulum ürünün bize sunduğu özellikleri düşündüğünüz zaman son derece kolay ve pratik bir şekilde gerçekleşmektedir

 

image004

 

 

 

image006

 

 

 

image008

 

 

 

image010

 

 

 

Kurulum tamamlandı.

 

Sorunsuz bir şekilde kurulup kurulmadığını isterseniz Windows Event loglarından da kontrol edebilirsiniz.

 

 

 

Şimdi konsolu açıyorum

 

image012

 

 

 

Bu aşamada Domain Controller bilgisini elle yazabilirsiniz veya “Discover ADS” diyerek sistemin Domain mimarisini kendi bulmasını sağlayabiliriz.

 

Örneğin ben denedim ve kendisi benim Domain ismimi buldu. Yani sağlıklı bir şekilde çalışıyor J

 

 

 

Bağlantı için gerekli olan Domain Admins grubu üyesi bir kullanıcı bilgisi veriyorum.

 

Hemen alt bölümde ise bir kutucuk bulunmaktadır

 

Use Agent to capture changes

 

 

 

image014

 

 

 

Makalemin başında da söylediğim gibi bu program bilgi toplamak için agent’ a ihtiyaç duymamaktadır. Ancak bazı durumlar için, örneğin güvenlik izinleri, firewall veya başka bir neden ile uzak erişimde sorun olması halinde kesin ve net bilgi akışı için uzak makineye agent kurma şansınız da bulunmaktadır. Ben ilk DC için agentsız kurulumu yapacağım, ikinci dc için ise agentlı kurulum yapacağım.

 

Bu işlemden sonra yazılımın bir kapatıp açılması talebi karşınıza gelecektir ki bunu onaylayın lütfen.

 

 

 

image016

 

 

 

Yaptığımız değişikliği hemen “Settings” menüsünden kontrol edebiliriz.

 

 

 

image018

 

 

 

Ajansız olarak bu domain için sistem şu anda aktif.

 

Ortamda iki tane domain controller bulunmaktadır.

 

 

 

image020

 

 

 

Ben programı kullanmaya başlamadan önce lisans tanımlamalarını yapıyorum. Program kullanıcı bazlı olarak lisanslanmaktadır.

 

Eğer lisans yüklemesi yapmazsanız programı kullanma imkanınız yoktur.

 

image022

 

 

 

Gördüğünüz gibi Dashboard ekranında lisans uyarısı gelmektedir.

 

 

 

image024

 

Bunun için sırası ile

 

License Information – Get Quote ve ardından 3 kişi için ( bende demo ortamında 3 kişi var ) “Generate License Request” düğmesine basıyoruz.

 

 

 

image026

 

Oluşan lisans dosyasının [email protected] a mail olarak gönderiyoruz.

 

 

 

Gelen lisans dosyasını yüklüyoruz;

 

image028

 

 

 

image030

 

image032

 

Lisans yüklemesi sonrasında “Dashboard” kısmına geliyorum ve rapor pencerelerini yeniliyorum.

 

image034

 

 

 

Yukarıda gördüğünüz gibi artık raporlar gelmeye başladı.

 

Hemen bu raporların altında ise bu bilgileri hangi aralıklar ile aldığının detaylarını görebilirsiniz.

 

image036

 

Bu ilk ekranda değişikliklerin toplandığı saatleri görebiliriz. İstersek elle anında toplama işlemi yaptırabiliriz. (Active Directory Change Tracking )

 

image038

 

Bu ekranda ise malum ürünün bir diğer özelliği olan Active Directory Change Control yani yapılan değişikliklerin geri alınması için belirli aralıklar ile var olan konfigürasyonun yedeği alınmaktadır.

 

Yeri gelmişken hemen bu tür bilgileri nerede saklıyor program onu görelim.

 

Ayarlar menüsüne geliyoruz.

 

image040

 

Ayarlar menüsünde ikinci seçenek olan “Changes Collection Management” bölümüne tıkladığımız zaman hangi dizinde verilerin saklandığını, değişikliklerin hangi sıklıkla DC’ lerden çekileceğini, snapshotların hangi sıklıkla alınacağını değiştirebiliyoruz.

 

image042

 

Dizin içerisi yukarıdaki gibidir. Snapshot ve diğer bilgileri ise domain ismini taşıyan klasör içerisinde tutmaktadır.

 

image044

 

Bir sonraki bölüm “Alert” bölümü olup burada kendimiz için kritik gördüğümüz aksiyonların gerçekleşmesi durumunda bize bilgi vermesi için uyarılar oluşturabiliyoruz.

 

 

 

image046

 

 

 

Örneğin ben bir silme işlemi için uyarı oluşturuyorum.

 

image048

 

 

 

Mail tanımı yapıyorum.

 

image050

 

 

 

image052

 

 

 

Mail ayarı sonrasında bu uyarının kimlere ve hangi uyarı tipinde ( hata, bilgi, kritik vb ) gideceğini belirliyoruz.

 

Son olarak bu oluşturduğum alert için bir isim verip işlemi tamamlıyorum. Ardından alert menüsünde sol alt köşede oluşturmuş olduğum uyarıları görebiliyorum.

 

 

 

image054

 

Bu uyarıların gönderilip gönderilmediğini de takip edebilirsiniz.

 

Örneğin ben “serkan” isimli kullanıcıyı sildim, bu durumda bana bir mail gelmesi gerekli, ama gelmedi bakalım durumu neymiş?

 

image056

 

 

 

Gerek Alert bölümünde gerekse aşağıdaki gibi dashboard bölümünde bunun gönderilmediğini görebiliyoruz.

 

image058

 

Tabiki bu mail’ in gönderilmemesi bu tür olayların kayıt edilmediği anlamına gelmiyor, bu uyarı detaylarını görmek için alert sekmesinden ilgili uyarının üzerine tıklamak yeterlidir.

 

image060

 

 

 

Yukarıdaki gibi detay sayfasını göreceksiniz. Bu sayede uyarıları buradan da takip edebilirsiniz.

 

image062

 

Raporu eml formatında kayıt edebiliyoruz, bu sayede mail okuma yazılımları ile de açabiliyorum.

 

image064

 

 

 

Yine anlatacağım bir bölüm olduğu için hemen Reports sekmesine tıklayalım.

 

image066

 

Bu bölümü çok seviyorum, çünkü pek çok rutin ve her an ihtiyaç duyacağınız raporlar şablon halinde hazır. Örneğin en son yaptığım silme işleminin hızlıca bir raporunu alalım.

 

image068

 

Gördüğünüz gibi hazır şablonlardan ihtiyaç duyduğum herhangi birine tıklamam yeterli, son derece hızlı bir şekilde bana rapor sunmaktadır. İsterseniz raporun tarih aralığını değiştirebilirsiniz. Yine bu raporun sonuçlarını kayıt edebilirsiniz. Grafik ekranın alt bölümünde son derece dinamik bir bölüm var, burada istediğiniz gibi filtreleme yapabilirsiniz.

 

Bu bölümde zaten hazır raporların kullanılması son derece kolaydır.

 

Yine bu bölümde önemli bir özellik daha bulunmaktadır. Aldığımız snapshot ları görüntüleme.

 

image070

 

Burada “Explore” dedikten sonra aşağıdaki dizini gösteriyoruz ( kurulum dizini )

 

C:\Program Files (x86)\LepideAuditor for Active Directory

 

 

 

image072

 

Yukarıdaki gibi bir ekran açılmaktadır. Bu ekran mevcut snapshotların içeriğini görüntülemektedir.

 

Örneğin ben serkan kullanıcısını silmiştim, şimdi bakalım onu görebilecek miyiz?

 

image074

 

Burada gördüğünüz gibi Domain’ in ilk kurulduğu zaman için herhangi bir ek kullanıcı yok.

 

image076

 

İkinci alınan snapshot ise ( hatırlarsanız 6 saate bir alınıyordu ) yukarıda gördüğünüz gibi yeni kullanıcıları içermektedir.

 

image078

 

Son alınan snapshot ise “serkan” kullanıcısı yok iken yeni açılan “mesut” kullanıcısını içermektedir.

 

 

 

Bir sonraki bölümde ise “Schedule Reports Management” ile rapor yönetimini gerçekleştirebiliyoruz.

 

Bu bölüm son derece kullanışlı ve beğendiğim bölümlerden biridir. Malum rapor her zaman önemli ancak önemli olduğu kadar karışık olmasına karşın Lepide sayesinde şablon raporları kullanarak hızlıca rapor hazırlayabiliyoruz.

 

image080

 

 

 

image082

 

 

 

Yukarıda da gördüğünüz gibi en son kullanıcı oluşturma işlemi için isterseniz belirli kişileri raporlayabilirsiniz. Yani tüm kullanıcı oluşturma işlemleri değil de sadece “Hakan” kullanıcısı tarafından oluşturulan kullanıcıları listeleyebilirsiniz.

 

image084

 

Ben burada örneğin “administrator” kullanıcısı tarafından oluşturulan diyerek bir filtreleme yaptım.

 

image086

 

E-mail ayarlarını yapıyorum.

 

image088

 

Raporu hangi sıklıkla hazırlayacağımızı seçiyoruz.

 

image090

 

Son olarak rapor’ a bir isim veriyorum.

 

Şimdi ise ürünün bir diğer özelliği olan yedekleme özelliğini inceleyeceğiz.

 

Her zaman söylediğim gibi burada da ek olarak bu bilgiyi vermek istiyorum. System State yedeğinizi bu tarz yedeklere rağmen mutlaka kullanın. Çünkü en sağlam yedek system state ( tercihen bare metal ) olup bunlar alternatif yöntemlerdir.

 

Peki, şimdi ilk olarak AD yapımıza bir bakalım

 

image092

 

DENEME isimli OU ve içerisindeki “Hasan Uzuner” isimli kullanıcıyı silelim. Ancak bu işlemden önce sağlıklı bir snapshot alındığını dashboard üzerinden kontrol edelim ( malum 6 saatte bir alacak şekilde ayarladığım için bu OU yu açmadan önce almış ise, bu alınan snapshot işime yaramaz. )

 

image094

 

Eğer elle almak isterseniz “Collect Snapshot Now” diyebilirsiniz. Şimdi Hasan kullanıcısını silelim.

 

image096

 

Şimdi ise geri getirelim J

 

image098

 

 

 

Sol tarafta mevcut yedekleriniz bulunmaktadır.

 

image100

 

Örneğin en son sildiğim Hasan kullanıcısının içinde bulunduğu snapshot için yedekten dönme işlemini yapıyorum.

 

Bunun için ilgili kullanıcı veya objenin bulunduğu snapshot dosyasını tespit ediyoruz. Sonra bu bölümdeki aşağıda yer alan butona tıklıyoruz.

 

 

 

image102

 

 

 

image104

 

Bu bölümde ise sunucu yani domain ismi ve hangi snapshot’ a ihtiyaç duyuyorsanız bunu seçiyoruz.

 

image106

 

Bu snapshot ile mevcut durum arasındaki fark hemen çıkıyor. Ben de zaten silinmiş olan bu kullanıcıyı geri getirmek istiyorum.

 

 

 

image108

 

 

 

image110

 

 

 

image112

 

Dönme işlemini başarı ile tamamladık, şimdi kontrol edelim.

 

image114

 

Dikkat ederseniz hesap geldi ancak disable, çünkü şifresi yok, bunun temel sebebi ise bu yedekten geri dönme işlemi değil aslında, reanimation olarak bilinen bir işler. Bu süreçte kullanıcıya ait olan tüm öznitelikler (atrribute) değil sadece aşağıdaki öz nitelikler geri yüklenmektedir.

 

image116

 

 

 

Yani makalemin önceki bölümlerinde de söylediğim gibi yedekleme için mutlaka System state kullanmanız gerekmektedir. Bu tür basit geri dönüşler için ise Active Directory RecycleBin özelliğini kullanabilirsiniz.

 

Evet, bir makalenin daha sonuna geldik. Genel anlamda sektörde loglama noktasında pek çok yazılım bulunmaktadır, ancak günün sonunda bu yazılımlar son derece karmaşık ara yüzler, karmaşık alt yapılara ve yüksek lisans ücretlerine sahiptir.

 

Son derece düşük bir konfigürasyonda çalışan, mütevazı, kolay kullanılan, hızlı ve pratik bir yazılım. Ben pek çok Kobi nin bu yazılımı alıp kullanabileceğini düşünüyorum. Hatta tavsiye ediyorum J

 

Ürün hakkında daha fazla bilgi veya sipariş için aşağıdaki linki inceleyebilirsiniz.

 

http://www.lepide.com/active-directory-audit/

 

Bir sonraki makalemizde görüşmek üzere.

 

Eğer ürün hakkında daha fazla bilgi almak veya POC yapmak için Türkiye de ki resmi dağıtıcı ile görüşebilirsiniz.

[email protected] ye mail atmanız halinde size en uygun bayi üzerinden POC desteği sunulacaktır.

Hakan Uzuner

2002 yılından beri aktif olarak bilişim sektöründe çalışmaktayım. Bu süreç içerisinde özellikle profesyonel olarak Microsoft teknolojileri üzerinde çalıştım. Profesyonel kariyerim içerisinde eğitmenlik, danışmanlık ve yöneticilik yaptım. Özellikle danışmanlık ve eğitmenlik tecrübelerimden kaynaklı pek çok farklı firmanın alt yapısının kurulum, yönetimi ve bakımında bulundum. Aynı zamanda ÇözümPark Bilişim Portalı nın Kurucusu olarak portal üzerinde aktif olarak rol almaktayım. Profesyonel kariyerime ITSTACK Bilgi Sistemlerinde Profesyonel Hizmetler Direktörü olarak devam etmekteyim.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu