GFI Events Manager


Önemi her geçen gün artmakta olan log yönetimi, logların toplanması, işlenmesi ve karşımıza anlayabileceğimiz, hatta üzerinde yorum bile yapmamıza gerek kalmayacak altyapının kurulması ile çalıştığımız firmaya ve biz sistem yöneticilerine çok büyük katkılar sağlamaktadır. Log yönetimi çözümü pazarında ciddi bir yeri olan GFI, Event Manager 2010 ile  firmaların bu noktadaki ihtiyaçlarına çözüm sunmaktadır. GFI Event Manager 2010  ile log alabileceğimiz kaynakları, korelasyon senaryolarını, uyarı mekanizmalarını ve raporlama tarafında ne gibi katkılarının olduğunu inceleyelim.


Log Kaynakları:




GFI Event Manager ile log alabileceğimiz kaynaklar şu şekildedir;


Sunucular


İstemciler


Firewall v.b utm cihazlar


MSSQL sunucular


SNMP trap gönderen aygıtlar


Logların alınacağı sunucu ve istemci tarafında hem Windows hem de Linux işletim sistemi desteği vardır.



Formatlar:


Desteklenen log formatları şu şekildedir;


W3C


EVT


Syslog


Snmp


Sunucu, istemci, firewall v.b belirlenen log kaynaklarından agent, syslog, snmp yoluyla event loglar toplanarak GFI Event Manager sunucusuna  gönderilir. Syslog sensor default 514 portundan, snmp sensor ise default 162 portunda log kaynağından gelecek event logları toplar.


Event Logların İşlenmesi:




Toplanan logların analizi ve kritik, yüksek, orta ve düşük şeklinde log seviyelerinin belirlenmesi,


Oluşturulan politikalar doğrultusunda belirlenen kriterlere uygun event log kayıtlarının filrelenmesi,


İzleme ve bilgilendirme için sms, mail gibi alarm mekanizmalarının kurulması,


Belirlenen kriterlere uygun event log kaydının  düşmesi  durumunda çalıştırılabilir bir dosyanın (.exe, .bat v.b.) çalıştırılması,


Logların yer aldığı veritabanında arşivleme politikaları  doğrultusunda(dhcp loglarının 1 yıl süreyle saklanması gibi) logların arşivlenmesi .



GFI Event Manager Yönetim Konsolu:  



Status Option:  Toplanan ve işlenen logların durumu ile ilgili istatistik bilgisi yer alır.


Configuration Option: Event logların toplanma ve işleme sürecine  ait configurasyon seçenekleri  yer alır.


Event Browser : GFI Event Manager  veritabanında yer alan event log kayıtlarının izlenmesi sağlanır.


Reporting : GFI Event Manager reportpack kurulumunun gerçekleşmesi ve oluşturulan raporların indirilmesi sağlanır.


General Option: GFI Event Manager   güncellemeleri, versiyon ve lisans bilgileri yer alır.


Tab  Option: GFI Event Manager   parametrelerine ait konfigurasyon bilgilerinin yer aldığı ekrandır.


Group Type: Event log kaynaklarına ait gruplama bilgileri yer alır. Örneğin;  Sunucu, firewall v.b.


Left Pane:  Grup oluşturulması, yeni event log kaynakları ekleme seçenekleri  yer alır.


 




Right Pane: Event toplanan log kaynaklarını ve konfigurasyon bilgilerine erişebileceğimiz paneldir.


Mimari:




GFI Event Manager  event log yönetimi sistemine hem  LAN tarafında  yer alan sunucu ve istemciler  hem de DMZ alanında yer alan sunucular üzerinden  ilgili  logları toplayabilirsiniz.



Lan üzerindeki  herhangi bir donanım veya uygulamadan  Windows event log, W3C event log, syslog mesajlar,snmp trap ve sql audit mesajları  ile ilgili event loglar alınabilir.


Sunucu ve istemciler (Apache web server v.b.)


Network cihazları (Fortigate Firewall, Sonicwall Firewall, Cisco Switch  v.b.)


3d yazılımlar (GFI EndPoint Security) 


Özelleştirilmiş servisler (Microsoft IIS)


IDS/IPS, WAF, Radius, OTP v.b. kaynaklardan event alınabilir.


DMZ tarafındaki  event logları alınacak sunucuların  GFI Event Manager  sunucusuna olan erişimlerinde 135 (tcp, udp), 162(tcp, udp), 514(tcp, udp), 1433(tcp, udp), 7787(tcp, udp) ve 7788(tcp, udp) portları açık olmalıdır.  Ayrıca GFI Event Manager  ilgili sunucu üzerinde admin yetkisine sahip olmalıdır.


Linux ve unix tabanlı W3C log formatına sahip apache web sunucular


Windows tabanlı W3C log formatına sahip Microsoft IIS web sunucular


Linux/Unix ve Windows tabanlı syslog audit logları  gönderen Mail sunucular


Gereksinimler


GFI Event Manager  Donanım Gereksinimleri şu şekildedir;


İşlemci :  2.5 Ghz ve üstü


Ram : 2 Gb


Hard Disk : 10 Gb kullanılabilir alan (log alınacak node sayısı ile değişklik  gösterir)


GFI Event Manager  Yazılım Gereksinimleri şu şekildedir;


Windows Server 2008 – Standart yada Enterprise(x64/x86)


Windows Server 2008 – R2 – Enterprise(x64/x86)


Windows Server 2003 (sp2) – Standart yada Enterprise(x64/x86)


.Net Framework 2.0 sp2


MDAC 2.8 ve üzeri


Kritik durumların e-mail olarak atılabilmesi için Mail sunucu,


Toplanan logların arşivlenmesi için MS SQL server


Windows event loglarının taranması için ilgili sunucularda remote registry servislerinin açık olması gerkir.


W3C log kaynak klasorlerinin  paylaşıma açık olmalıdır.


Syslog ve snmp trap mesajlarını gönderecek olan kaynak ip adreslerinin GFI Event Manager   üzerinde tanımlı olmalıdır.


Dosya bazında erişimlerin takibi için sunucularda  “Audit Policy”  konfigürasyonunun yapılmış olması gerekir. Özellikle Object Access, Process Tracking ve Account management başarılı/başarısız gerçekleşen olayların izlenmesi gereklidir. Tabi burada ihtiyaçların  doğru bir şekilde belirlenmesi gerekir. Aksi taktirde sistem üzerinde performans kaybı yaşanabilir.


Ayrıca GFI Event Manager  sunucu ve istemci arasında şu portların açık olması gereklidir;



 


 




Windows Event log tipleri şunlardır;


Information :  Herhangibir uygulamanın veya servisin başarılı olarak yüklendiğinin bilgisini verir.


 


Warning : İleride sorun oluşturabilecek olaylar hakkında bilgi verir. Ve bu durum hakkında sizin önlem almanız noktasında uyarır.


Error : Herhangi bir uygulama veya servisin  çalışması sırasında oluşan hatayı size bildirir.


Success : Başarılı gerçekleşen olay kaydında düşer.


Failure : Yapılan işlemin başarısız olduğunu  gösterir.


 




GFI Event Manager Kullanımı: GFI Event Manager kurulumu gerçekleştikten sonra  “Add new event source” bölümünden yeni event logların alınacağı sunucu veya istemciler seçilir.  Ayrıca ip adresi eklenerek veya bir text dosyadan da logların alınacağı sunucu/istemci listesi import edilebilir.



Event Browsing; GFI Event Manager üzerinde toplanan logların izlenmesi ve erişilmesini sağlar. Oluşan log kayıtları ile ilgili tüm ayrıntılara erişilebilir.  Event loglara  ait  forensic analiz  için event browser kullanılır. Erişilen log kayıtları şunlardır;


Windows event


W3C event


Syslog event


SNMP trap event


Microsoft SQL Server Audit



Oluşan log kayıtlarının takibini kolaylaştırmak ve kritik seviyeleri belirlemek için aşağıdaki gibi renk kodları kullanabilirsiniz.



GFI Event Manager browsing araçları şunlardır;


Filtreleme araçları : Yazılacak custom sorgular sayesinde ihtiyaç duyulmayan logların alınması engellenir.



Renk kodu seçenekleri : Anlamlandırma ve log seviyesinin belirlenmesi için kullanılan renk kodu seçenekleri yer alır.



Arama araçları : Belirlenen kriterlere uygun event log kayıtlarının listelenmesini sağlar.



Export araçları : Oluşturulan logların ve ihtiyaca uygun verilerin export edilmesini sağlar.



Query builder ile kendi  sorgularımızı oluşturabiliriz. Örneğin event log tipi “Error” olan logların listelendiği “custom query”  oluşturulabilir.



Oluşan logların “event browser “ üzerinde hangi bilgileri görmek istiyorsak o alanlar seçilerek, daha sade ve anlaşılabilir hale getirebiliriz.



Renk kodları  konfigurasyonun yapıldığı  düşünülürse, kritik  event log  kaydında  sadece kırmızı renk kodlu  log kayıtları listelensin diyebiliriz.



Eklenen bir event log kaynağını  bir grubun üyesi  yapmak için “Configuration” sekmesinde herhangi bir grubun üzerinde sağ tıklayıp “Add new event source” seçilir.



Eklediğimiz herhangi bir log kaynağında oluşan event logların GFI Event Manager  sunucu üzerinde toplanması, arşivlenmesi, alarm mekanizması (mail, sms, rapor ) ilgili politika ve kuralların uygulanmasını akış diyagramını aşağıdaki şekilde  görebilirsiniz;



W3C formatlı logları GFI Event Manager ‘a eklemek için “Configuration” menusunden “Event Sources”  menusu seçilir ve ilgili log kaynağı üzerinde sağ tıklanarak özelliklerden W3C sekmesinde ilgili yolu gösterebiliriz.



Syslog formatlı logları GFI Event Manager ‘a eklemek için “Configuration” menusunden “Event Sources”  menusu seçilir ve ilgili log kaynağı üzerinde sağ tıklanarak özelliklerden syslog sekmesinde ilgili yolu gösterebiliriz. Linux/unix sistemlerden, Firewall, UTM uygulama ve cihazlardan syslog ile istediğimiz logları alabiliriz.



Syslog portu default 514 olmasına rağmen “syslog option” menusunden ilgili port değişikliğini yapabiliriz.


 


Syslog ile log alınacak kaynaklarda syslog sunucu ip adresinin GFI Event Manager sunucusuna ait ip adresinin verilmsi ve syslog port olarak da ilgili node için tanımlanmış 514 v.b.  syslog portunun tanımlanması yeterlidir.



Logların SNMP Trap ile gönderilmesini sağlayabilirsiniz. Eğer snmp  gönderecek uygulama veya donanıma ait mib bilgileri GFI Event Manager’a ait mib tablosunda varsa alınan loglar anlamlı  bir şekilde karşımıza çıkar. Desteklenen cihazların tam listesine http://kbase.gfi.com/showarticle.asp?id=KBID002868  adresinden ulaşabilirsiniz.



GFI Event Manager tarafından desteklenen snmp versiyonları şunlardır; SNMPv1 SNMPv2 SNMPv2c, SNMPv3. Snmp trap  gönderecek cihaz ile ilgili  konfigurasyon bilgilerine “Snmp Trap” sekmesinden ulaşabilirsiniz.



Logların toplanması ve arşivlenmesi sonrası, kritik durumlarda ilgili kişi veya kişilere bu bildirimin yapılması gerekir. GFI Event Manager “Configuration” à ”Alerting Option” bölümünde ilgili ayarlara ulaşabilirsiniz.



GFI Event Manager alert mekanizması olarak bize 4 farklı seçenek sunmaktadır. Bunlar;


Email


Network


Sms


Snmp


Email : Tanımlı politikalar gereği oluşan kritik bir log kaydının mail olarak ilgili kişi veya  kişilere  gönderilmesini sağlar. Mail gönderimi için gerekli mail  sunucu tanımlamaları şu şekildedir;



Mail  gönderimi için gerekli hostname/Ip, sender ve port tanımları aşağıdaki şekilde yapılılır.



Gönderilecek mail içeriğinde hangi bilgilerin yer alacağı “Format Message” bölümünde yer alır. Burada %EventId%  v.b. parametreler mail içeriğinde yer alır ve anlamlı bir log kaydının elimize ulaşmasını sağlar.



Network : Tanımlı politikalar gereği oluşan kritik bir log kaydının network mesaj şeklinde tanımlanan hostname/Ip adresine gönderilmesidir.


 





 




Sms : Tanımlı politikalar gereği oluşan kritik bir log kaydının sms olarak tanımlı telefon numarasına gönderilmesini sağlar. Sms alert seçeneklerinde com port, servis numarası v.b  parametreleri  tanımlayabilirsiniz. Sms gönderimi için isterseniz local de kullanıdığınız sms gateway çözümünü yada herhangi bir sms hizmeti veren servis üzerinden de bu sms gönderimini yapabilirsiniz.



 




Snmp : Tanımlı politikalar gereği oluşan kritik bir log kaydının Snmp trap olarak başka bir snmp sunucuya  gönderilmesini sağlar.



 




 


Kritik log seviyesinde ilgili log kaydına ait bildirim mesajları  kullanıcı veya grup bazlı gönderilir. Mesai saati içinde veya dışında bu bildirimlerin nasıl yapılacağı ile ilgili konfigurasyon seçenekleri aşağıdaki resimde yer almaktadır.



GFI Event Manager “Status” bölümünde tanımlanan zaman aralığındaki durum bilgisini  görebiliriz. Üretilen log sayısı ve türü ile ilgili özet bilgiler yer alır.



Aşağıdaki grafikde de görüldüğü gibi log alınan sistemler üzerindeki servis  durumları hakkında bilgi edinebiliriz. Sunucu veya istemci üzerinde çalışan servislere ait,


Failed to load


Failed to start


Time out


Stopped


Started  durumlarını  görebiliriz.


 


“Network Activity Events”  bölümünde smtp, http, ftp ve msn protokellerine ait network aktivitelerini  görebiliriz. Aşağıda yer alan  grafikte şu kriterlere  göre filitereleme yapılabilir;


Applications


Source Addresses


Destination Addresses


Computers


Ports


Users


Exit mobile version