Forum

FortiAnalyzer Logu ...
 
Bildirimler
Hepsini Temizle

FortiAnalyzer Logu - Bilgisayarlar 192.168.1.255 IP sine gitmeye çalışıyor.

14 Yazılar
3 Üyeler
0 Reactions
1,706 Görüntüleme
(@KayhanALTUN)
Gönderiler: 131
Estimable Member
Konu başlatıcı
 

Sistemimizde FortiGate110C ve FortiAnalyzer 100C
bulunmaktadır.

 

Ağ bloğumuz 192.168.1.X/255.255.255.0 olup, raporda
görülen trafik logundaki 192.168.1.255 ve 255.255.255.255 trafik olaylarına bir anlam
veremedim.

 

Normalde internet veya ağ ile ilgili herhangi bir
problemimiz bulunmamakta fakat sadece bu olayların trafiğk logları çok fazla olmaktadır. Raporda görüldüğü
gibi sadece bu olaylar için 1 saatte 64 sayfalık kayıt yaptığı görünmektedir.

 

Sistemimizdeki tüm bilgisayarlar Kaspersky Security Center ile Kaspersky Entpoint Security ile
koruma altındadır.

 

Localden ping 192.168.1.255 yaptığımda bazen network yazıcı
bazende Access Point cevap vermektedir.

 

Bu konu hakkında bilginiz varsa paylaşırsanız sevinirim.

 

/

Kolay gelsin

 

 

 
Gönderildi : 22/06/2012 20:44

(@Anonim)
Gönderiler: 0
 

192.168.1.255 ipsi yayınlama için kullanılır. Doğrudan ip olarak atanamaz.

syslog ayarını düzeltin. sorun kalmaz. 

 
Gönderildi : 23/06/2012 17:20

(@KayhanALTUN)
Gönderiler: 131
Estimable Member
Konu başlatıcı
 

Sistemimizde syslog sunucu bulunmamaktadır. Fortigate log tutup analyzera yollamaktadır.

Benim amacım logdan kurtulmaktan ziyade böyle bir sorun neden olmaktadır.

Localdeki bir pc ile ping 1.255 yaptığımda hergangi bir 1.x den yanıt gelebiliyor. Yanıt gelen cihazı kapatıyoruz bu sefer farklı bir cihazdan yanıt geliyor. Cevaplar genelde PC olmayan Access Point veya Network yazıcılar oluyor.

 
Gönderildi : 25/06/2012 12:01

(@Anonim)
Gönderiler: 0
 

port numarasına dikkat etmemiştim ama netbios portu bu bu ipsi olan makinalar netbios isimlerini ağdaki makinalara duyuruyor.

x.x.x.255 portu yayınlama için kullanılır yani bir anlamda her makinaya ulaşır (multicast) 

56,32,72 ip nolu makianya baktım mesela cihaz her dk  yayın yapıyor. 

siz bu makinaların ağ servislerindeki durumu inceleyin. sürekli yayın yapmaması lazım.

netbios, ağ bağlantıları, ağ listesi ve sunucu servislerini inceleyin. 

 
Gönderildi : 25/06/2012 14:01

(@KayhanALTUN)
Gönderiler: 131
Estimable Member
Konu başlatıcı
 

Netbiosu devre dışı bıraktığımda bu olay o bilgisayar için olmuyor fakat bu sefer paylaşım gidiyor.

 
Gönderildi : 25/06/2012 15:40

(@Anonim)
Gönderiler: 0
 

sizin makinalardaki windows orijinal cdlerden yüklenmiş mi ?

kullanıclar çeşitli programlarla ayarları değiştiriyormu vs. bilmek lazım.

netbios gidince paylaşımlar gitmez normalde ama çözümleme yapamayacağı için listeleme gidiyor olabilir.

ip ile gidebilirsiniz ama bu çözüm değil.

Siz netbios ayarlarına bakın ve her dk güncellemesini değiştirin.

bilgisyarda "tune" programları varsa bunlar ayarları değiştirebilir. bunları inceleyin vs. veya belki virüs vardır.

 
Gönderildi : 26/06/2012 15:33

(@KayhanALTUN)
Gönderiler: 131
Estimable Member
Konu başlatıcı
 

* Localdeki tüm bilgisayarlarımız işletim sistemi olarak lisanslıdır. (hepside kendi seriali ve mediası ile yüklendi)

* Active Direktory yapısı mevcut olup 80 kullanıcının 15 tanesi localde de Admin yetkisine sahip. Fakat bu log hemen hemen tüm bilgisayarlarda görülmektedir.

* Dediğiniz doğru paylaşım gitmiyor fakat ağa girildiğinde PC01 olarak görünmüyor. Kulanıcı paylaşım için \\pc01 yapınca geliyor ki bu bazı durumlarda kullanışsız oluyor.

* Netbios ayarları derken Hizmetlerde mi? Kullanıcıda mı? DNS, DHCP veya Active Direktory de mi?

* Sorun kesinlikle Netbios ama ne tür bir yazılım veya sistem tüm bilgisayarlara 1.255 gönderebiliyor bunu anlamadım.

YOKSA sistemde bir cihaz takılı ve IP almaya çalışmak için sürekli bu broadcast IP mi yolluyor. IP alamadığı içnde bu görevi sürekli mi yapıyor?.

 
Gönderildi : 26/06/2012 17:36

(@Anonim)
Gönderiler: 0
 

Netbios o bilgisayarın ADININ ağda görüğnmesini sağlayan hizmettir. ip olmadan zaten çalışmaz. 

NEtbios ayarları nerede kayıotlıysa AD de varsa orayı inceleyin. localde ise orayı.  

tcip ip ayarları içerinden bulabilirisn netbios ayarlarını 

ekte snatdart ayarlar mevcut.

tüm bilgisayar iplerini logda görüyormusunuz? ben resimden gördüğüm bir kaç bilgisayr bunu yapıyor sanırım.

 

gerçi bu işlem için loglamayıda kapatmayı düşünebilirsiniz.

ek bilgi

http://msmvps.com/blogs/acefekay/archive/2009/11/29/dns-wins-netbios-amp-the-client-side-resolver-browser-service-disabling-netbios-direct-hosted-smb-directsmb-if-one-dc-is-down-does-a-client-logon-to-another-dc-and-dns-forwarders-algorithm.aspx

 

 

 
Gönderildi : 27/06/2012 16:21

(@KayhanALTUN)
Gönderiler: 131
Estimable Member
Konu başlatıcı
 

* Sayfaya bu kadar sığdığı için tüm bilgisayarlar görünmüyor. Hemen hemen o anda IP almış tüm bilgisayarlar (ki cihazlar bu olayı yapmıyor) bu tarz bir log tutulmasına yol açıyor.

* Netbios ayarları eklediğiniz resimdeki gibi.

Son çare haftasonu tüm sistemi kapatıp teker teker deneyeceğim. Bakalım  firewall, analyzer, network cihazlar, yönetilebilir switchler, kaspersky admin kit, bilgisayarlar, dhcp, dns, active direktory bileşenlerinden hangisinden kaynaklanıyor 🙂

 İlginiz için teşekkür ederim. Eğer bir sonuç alırsam bilgi olarak ekleyeceğim.

 
Gönderildi : 27/06/2012 18:19

(@Anonim)
Gönderiler: 0
 

dhcp dağıtımını hang icihaz yapıyor ?

 
Gönderildi : 27/06/2012 18:48

(@KayhanALTUN)
Gönderiler: 131
Estimable Member
Konu başlatıcı
 

DHCP Server görevini Active Direktory ve DNS Server olarak görev yapan sunucumuz yapıyor. Bazı cihaz ve bilgisayarlar hariç tüm IP ler otomatik dağıtılıyor.

 
Gönderildi : 27/06/2012 23:48

(@mehmetsaityilmaz)
Gönderiler: 1458
Noble Member
 

Hocam birşey sormak istiyorum merkezde 110c var ve analyzer ve şubede 60c var ama analyzer yok , merkezdeki analyzera bağlayabilirmiyim 60c yi

 
Gönderildi : 28/06/2012 16:21

(@KayhanALTUN)
Gönderiler: 131
Estimable Member
Konu başlatıcı
 

Teorik olarak bağlanır ama pratik olmaz. Yani kisi farklı lokasyonlarda ve VPN de olsa sonuçta haberleşmek için bir internet hattını kullanacak. Şubedeki sürekli log göndereceği için internetinizin trafiğinin büyük bir kısmını analyzer kullanmış olacaktır. Eğer sırf log için bir hat veya yüksek bant genişliği varsa belirli bir bangt genişliği rezerve edilirse olabilir.

Ayrıca trafik dışında iki farklı lokasyonun logunu tutacağı için analyzer hdd yetmez ve belli bir periyotta localde bir yere kayıt edilmesi gerekir.

 
Gönderildi : 28/06/2012 16:37

(@mehmetsaityilmaz)
Gönderiler: 1458
Noble Member
 

Hocam bu durumda şubeyede yeni bir analyzer alıyorum

 
Gönderildi : 28/06/2012 18:48

Paylaş: