Önemi her geçen gün artmakta olan log yönetimi, logların toplanması, işlenmesi ve karşımıza anlayabileceğimiz, hatta üzerinde yorum bile yapmamıza gerek kalmayacak altyapının kurulması ile çalıştığımız firmaya ve biz sistem yöneticilerine çok büyük katkılar sağlamaktadır. Log yönetimi çözümü pazarında ciddi bir yeri olan GFI, Event Manager 2010 ile firmaların bu noktadaki ihtiyaçlarına çözüm sunmaktadır. GFI Event Manager 2010 ile log alabileceğimiz kaynakları, korelasyon senaryolarını, uyarı mekanizmalarını ve raporlama tarafında ne gibi katkılarının olduğunu inceleyelim.
Log Kaynakları:
GFI Event Manager ile log alabileceğimiz kaynaklar şu şekildedir;
Sunucular
İstemciler
Firewall v.b utm cihazlar
MSSQL sunucular
SNMP trap gönderen aygıtlar
Logların alınacağı sunucu ve istemci tarafında hem Windows hem de Linux işletim sistemi desteği vardır.
Formatlar:
Desteklenen log formatları şu şekildedir;
W3C
EVT
Syslog
Snmp
Sunucu, istemci, firewall v.b belirlenen log kaynaklarından agent, syslog, snmp yoluyla event loglar toplanarak GFI Event Manager sunucusuna gönderilir. Syslog sensor default 514 portundan, snmp sensor ise default 162 portunda log kaynağından gelecek event logları toplar.
Event Logların İşlenmesi:
Toplanan logların analizi ve kritik, yüksek, orta ve düşük şeklinde log seviyelerinin belirlenmesi,
Oluşturulan politikalar doğrultusunda belirlenen kriterlere uygun event log kayıtlarının filrelenmesi,
İzleme ve bilgilendirme için sms, mail gibi alarm mekanizmalarının kurulması,
Belirlenen kriterlere uygun event log kaydının düşmesi durumunda çalıştırılabilir bir dosyanın (.exe, .bat v.b.) çalıştırılması,
Logların yer aldığı veritabanında arşivleme politikaları doğrultusunda(dhcp loglarının 1 yıl süreyle saklanması gibi) logların arşivlenmesi .
GFI Event Manager Yönetim Konsolu:
Status Option: Toplanan ve işlenen logların durumu ile ilgili istatistik bilgisi yer alır.
Configuration Option: Event logların toplanma ve işleme sürecine ait configurasyon seçenekleri yer alır.
Event Browser : GFI Event Manager veritabanında yer alan event log kayıtlarının izlenmesi sağlanır.
Reporting : GFI Event Manager reportpack kurulumunun gerçekleşmesi ve oluşturulan raporların indirilmesi sağlanır.
General Option: GFI Event Manager güncellemeleri, versiyon ve lisans bilgileri yer alır.
Tab Option: GFI Event Manager parametrelerine ait konfigurasyon bilgilerinin yer aldığı ekrandır.
Group Type: Event log kaynaklarına ait gruplama bilgileri yer alır. Örneğin; Sunucu, firewall v.b.
Left Pane: Grup oluşturulması, yeni event log kaynakları ekleme seçenekleri yer alır.
Right Pane: Event toplanan log kaynaklarını ve konfigurasyon bilgilerine erişebileceğimiz paneldir.
Mimari:
GFI Event Manager event log yönetimi sistemine hem LAN tarafında yer alan sunucu ve istemciler hem de DMZ alanında yer alan sunucular üzerinden ilgili logları toplayabilirsiniz.
Lan üzerindeki herhangi bir donanım veya uygulamadan Windows event log, W3C event log, syslog mesajlar,snmp trap ve sql audit mesajları ile ilgili event loglar alınabilir.
Sunucu ve istemciler (Apache web server v.b.)
Network cihazları (Fortigate Firewall, Sonicwall Firewall, Cisco Switch v.b.)
3d yazılımlar (GFI EndPoint Security)
Özelleştirilmiş servisler (Microsoft IIS)
IDS/IPS, WAF, Radius, OTP v.b. kaynaklardan event alınabilir.
DMZ tarafındaki event logları alınacak sunucuların GFI Event Manager sunucusuna olan erişimlerinde 135 (tcp, udp), 162(tcp, udp), 514(tcp, udp), 1433(tcp, udp), 7787(tcp, udp) ve 7788(tcp, udp) portları açık olmalıdır. Ayrıca GFI Event Manager ilgili sunucu üzerinde admin yetkisine sahip olmalıdır.
Linux ve unix tabanlı W3C log formatına sahip apache web sunucular
Windows tabanlı W3C log formatına sahip Microsoft IIS web sunucular
Linux/Unix ve Windows tabanlı syslog audit logları gönderen Mail sunucular
Gereksinimler
GFI Event Manager Donanım Gereksinimleri şu şekildedir;
İşlemci : 2.5 Ghz ve üstü
Ram : 2 Gb
Hard Disk : 10 Gb kullanılabilir alan (log alınacak node sayısı ile değişklik gösterir)
GFI Event Manager Yazılım Gereksinimleri şu şekildedir;
Windows Server 2008 – Standart yada Enterprise(x64/x86)
Windows Server 2008 – R2 – Enterprise(x64/x86)
Windows Server 2003 (sp2) – Standart yada Enterprise(x64/x86)
.Net Framework 2.0 sp2
MDAC 2.8 ve üzeri
Kritik durumların e-mail olarak atılabilmesi için Mail sunucu,
Toplanan logların arşivlenmesi için MS SQL server
Windows event loglarının taranması için ilgili sunucularda remote registry servislerinin açık olması gerkir.
W3C log kaynak klasorlerinin paylaşıma açık olmalıdır.
Syslog ve snmp trap mesajlarını gönderecek olan kaynak ip adreslerinin GFI Event Manager üzerinde tanımlı olmalıdır.
Dosya bazında erişimlerin takibi için sunucularda “Audit Policy” konfigürasyonunun yapılmış olması gerekir. Özellikle Object Access, Process Tracking ve Account management başarılı/başarısız gerçekleşen olayların izlenmesi gereklidir. Tabi burada ihtiyaçların doğru bir şekilde belirlenmesi gerekir. Aksi taktirde sistem üzerinde performans kaybı yaşanabilir.
Ayrıca GFI Event Manager sunucu ve istemci arasında şu portların açık olması gereklidir;
Windows Event log tipleri şunlardır;
Information : Herhangibir uygulamanın veya servisin başarılı olarak yüklendiğinin bilgisini verir.
Warning : İleride sorun oluşturabilecek olaylar hakkında bilgi verir. Ve bu durum hakkında sizin önlem almanız noktasında uyarır.
Error : Herhangi bir uygulama veya servisin çalışması sırasında oluşan hatayı size bildirir.
Success : Başarılı gerçekleşen olay kaydında düşer.
Failure : Yapılan işlemin başarısız olduğunu gösterir.
GFI Event Manager Kullanımı: GFI Event Manager kurulumu gerçekleştikten sonra “Add new event source” bölümünden yeni event logların alınacağı sunucu veya istemciler seçilir. Ayrıca ip adresi eklenerek veya bir text dosyadan da logların alınacağı sunucu/istemci listesi import edilebilir.
Event Browsing; GFI Event Manager üzerinde toplanan logların izlenmesi ve erişilmesini sağlar. Oluşan log kayıtları ile ilgili tüm ayrıntılara erişilebilir. Event loglara ait forensic analiz için event browser kullanılır. Erişilen log kayıtları şunlardır;
Windows event
W3C event
Syslog event
SNMP trap event
Microsoft SQL Server Audit
Oluşan log kayıtlarının takibini kolaylaştırmak ve kritik seviyeleri belirlemek için aşağıdaki gibi renk kodları kullanabilirsiniz.
GFI Event Manager browsing araçları şunlardır;
Filtreleme araçları : Yazılacak custom sorgular sayesinde ihtiyaç duyulmayan logların alınması engellenir.
Renk kodu seçenekleri : Anlamlandırma ve log seviyesinin belirlenmesi için kullanılan renk kodu seçenekleri yer alır.
Arama araçları : Belirlenen kriterlere uygun event log kayıtlarının listelenmesini sağlar.
Export araçları : Oluşturulan logların ve ihtiyaca uygun verilerin export edilmesini sağlar.
Query builder ile kendi sorgularımızı oluşturabiliriz. Örneğin event log tipi “Error” olan logların listelendiği “custom query” oluşturulabilir.
Oluşan logların “event browser “ üzerinde hangi bilgileri görmek istiyorsak o alanlar seçilerek, daha sade ve anlaşılabilir hale getirebiliriz.
Renk kodları konfigurasyonun yapıldığı düşünülürse, kritik event log kaydında sadece kırmızı renk kodlu log kayıtları listelensin diyebiliriz.
Eklenen bir event log kaynağını bir grubun üyesi yapmak için “Configuration” sekmesinde herhangi bir grubun üzerinde sağ tıklayıp “Add new event source” seçilir.
Eklediğimiz herhangi bir log kaynağında oluşan event logların GFI Event Manager sunucu üzerinde toplanması, arşivlenmesi, alarm mekanizması (mail, sms, rapor ) ilgili politika ve kuralların uygulanmasını akış diyagramını aşağıdaki şekilde görebilirsiniz;
W3C formatlı logları GFI Event Manager ‘a eklemek için “Configuration” menusunden “Event Sources” menusu seçilir ve ilgili log kaynağı üzerinde sağ tıklanarak özelliklerden W3C sekmesinde ilgili yolu gösterebiliriz.
Syslog formatlı logları GFI Event Manager ‘a eklemek için “Configuration” menusunden “Event Sources” menusu seçilir ve ilgili log kaynağı üzerinde sağ tıklanarak özelliklerden syslog sekmesinde ilgili yolu gösterebiliriz. Linux/unix sistemlerden, Firewall, UTM uygulama ve cihazlardan syslog ile istediğimiz logları alabiliriz.
Syslog portu default 514 olmasına rağmen “syslog option” menusunden ilgili port değişikliğini yapabiliriz.
Syslog ile log alınacak kaynaklarda syslog sunucu ip adresinin GFI Event Manager sunucusuna ait ip adresinin verilmsi ve syslog port olarak da ilgili node için tanımlanmış 514 v.b. syslog portunun tanımlanması yeterlidir.
Logların SNMP Trap ile gönderilmesini sağlayabilirsiniz. Eğer snmp gönderecek uygulama veya donanıma ait mib bilgileri GFI Event Manager’a ait mib tablosunda varsa alınan loglar anlamlı bir şekilde karşımıza çıkar. Desteklenen cihazların tam listesine http://kbase.gfi.com/showarticle.asp?id=KBID002868 adresinden ulaşabilirsiniz.
GFI Event Manager tarafından desteklenen snmp versiyonları şunlardır; SNMPv1 SNMPv2 SNMPv2c, SNMPv3. Snmp trap gönderecek cihaz ile ilgili konfigurasyon bilgilerine “Snmp Trap” sekmesinden ulaşabilirsiniz.
Logların toplanması ve arşivlenmesi sonrası, kritik durumlarda ilgili kişi veya kişilere bu bildirimin yapılması gerekir. GFI Event Manager “Configuration” à ”Alerting Option” bölümünde ilgili ayarlara ulaşabilirsiniz.
GFI Event Manager alert mekanizması olarak bize 4 farklı seçenek sunmaktadır. Bunlar;
Network
Sms
Snmp
Email : Tanımlı politikalar gereği oluşan kritik bir log kaydının mail olarak ilgili kişi veya kişilere gönderilmesini sağlar. Mail gönderimi için gerekli mail sunucu tanımlamaları şu şekildedir;
Mail gönderimi için gerekli hostname/Ip, sender ve port tanımları aşağıdaki şekilde yapılılır.
Gönderilecek mail içeriğinde hangi bilgilerin yer alacağı “Format Message” bölümünde yer alır. Burada %EventId% v.b. parametreler mail içeriğinde yer alır ve anlamlı bir log kaydının elimize ulaşmasını sağlar.
Network : Tanımlı politikalar gereği oluşan kritik bir log kaydının network mesaj şeklinde tanımlanan hostname/Ip adresine gönderilmesidir.
Sms : Tanımlı politikalar gereği oluşan kritik bir log kaydının sms olarak tanımlı telefon numarasına gönderilmesini sağlar. Sms alert seçeneklerinde com port, servis numarası v.b parametreleri tanımlayabilirsiniz. Sms gönderimi için isterseniz local de kullanıdığınız sms gateway çözümünü yada herhangi bir sms hizmeti veren servis üzerinden de bu sms gönderimini yapabilirsiniz.
Snmp : Tanımlı politikalar gereği oluşan kritik bir log kaydının Snmp trap olarak başka bir snmp sunucuya gönderilmesini sağlar.
Kritik log seviyesinde ilgili log kaydına ait bildirim mesajları kullanıcı veya grup bazlı gönderilir. Mesai saati içinde veya dışında bu bildirimlerin nasıl yapılacağı ile ilgili konfigurasyon seçenekleri aşağıdaki resimde yer almaktadır.
GFI Event Manager “Status” bölümünde tanımlanan zaman aralığındaki durum bilgisini görebiliriz. Üretilen log sayısı ve türü ile ilgili özet bilgiler yer alır.
Aşağıdaki grafikde de görüldüğü gibi log alınan sistemler üzerindeki servis durumları hakkında bilgi edinebiliriz. Sunucu veya istemci üzerinde çalışan servislere ait,
Failed to load
Failed to start
Time out
Stopped
Started durumlarını görebiliriz.
“Network Activity Events” bölümünde smtp, http, ftp ve msn protokellerine ait network aktivitelerini görebiliriz. Aşağıda yer alan grafikte şu kriterlere göre filitereleme yapılabilir;
Applications
Source Addresses
Destination Addresses
Computers
Ports
Users