LepideAuditor Suite
Bu makalemde sizlere Lepide Software tarafından bizlere sunulan LepideAuditor Suite programı hakkında bilgi vereceğim.
Bundan yıllar önce sanallaştırmanın önemini anlatmaya çalışan makaleler yazarken yıllar içerisinde artık herkes sanallaştırmanın önemini anlamış ve artık her şirkette kullanıl olmuştur. Audit dediğimiz kavramda aslında şu anda bu durumda. Yani gerçekten çok büyük öneme sahip olan izleme, raporlama hele ki kritik verilerin olduğu şirketler için vazgeçilmez bir özellik olup şu dönemde de bu konunun üzerinde duruyoruz. Tabiki banka, Telekom veya GSM gibi şirketler için zaten Audit yani izleme, takip etme standart bir hizmet olup olmazsa olmaz ürünlerdendir.
Evet, bu alanda pek çok farklı yazılım ve donanım için ürün bulunmaktadır. Active Directory, Exchange veya 3 parti yazılımlar, dosya sunucuları başta olmak üzere herkes kendi sistemlerinde yöneticilerin neler yaptığını takip etmek ister. Veya bir değişikliğin kimin tarafından yapıldığını öğrenmek ister. Bu tür konular belki bizlerin kobi olarak isimlendirdiği şirketlerde maliyetler yüzünden önemsenmez ancak yılda bir kez dahi olsa bu bilgi gerektiğinde hayati önem taşır. Kobi deki sistem yöneticileri her ne kadar bunları biliyor olsa da izleme sistemleri kapsamları ile orantılı olarak çok ciddi lisans maliyetlerine sahiptir. Örneğin Active Directory hizmetini izlemek ile database yani veri tabanı hareketlerini izlemek son derece farklıdır.
Bu makalemde yer vereceğim program ise bizlerin temel anlamda en sık olarak kullandığı ve aslında en sık olarak bilgi talep ettiği servisleri izleyen, raporlayan bir ürün olan LepideAuditor Suite yazılımıdır.
Bu yazılım temelde AD, GPO ve Exchange sistemlerini izlemektedir.
Ürün temel olarak aşağıdaki sistemlere ile uyumlu çalışmakta olup sistem gereksinimleri de son derece temel seviyededir.
Sistem Gereksinimleri
•Dual Core Processor or higher Processor
•Minimum 4 GB RAM
•500 MB free space for the software installation
•Enough disk space to generate and save reports
Desteklenen Windows İşletim Sistemi Sürümleri
•Windows XP
•Windows Vista
•Windows 7
•Windows 8
•Windows Server 2003
•Windows Server 2008
•Windows server 2008 R2
•Windows Server 2012
•Windows Server 2012 R2
Desteklenen Exchange Server Sürümleri
•Exchange Server 2003
•Exchange Server 2007
•Exchange Server 2010
•Exchange Server 2013
Kurulum için ek gereksinimler
•NET Framework 4.0 or later
•Any of the following SQL Server versions. •SQL Server 2005
•SQL Server 2008
•SQL Server 2008 R2
•SQL Server 2012
•SQL Server 2014
•SQL Server 2005 Express Edition
•SQL Server 2008 Express
•SQL Server 2008 R2 Express
•SQL Server 2012 Express
•SQL Server 2014 Express
Kurulum kısmı son derece kolay olduğu için bu bölümü atlıyorum.
Tavsiyem bu ürün için ayrı bir sanal makine kullanmanız, yani mevcut DC veya Exchange server üzerine kurulum yapmayın.
Kurulum sonrasında ise ayarlara başlayalım.
Kurulum sonrasında programı çalıştırdığınız anda yukarıdaki menü otomatik olarak açılıyor. Domain i bulması için domain ismi ve yetkili bir kullanıcı bilgisi tanımlıyorum. Yine alt bölümde organizasyonunuz içerisinde eğer Exchange server var ise onunda otomatik olarak tanınmasını sağlayacak kutucuk işaretli gelmektedir.
Bu bölümde verilen domain için DC ve Exchange sunucularının listesi çıkıyor ve sizin izlemek istediğiniz sunucuları seçmeniz bekleniyor. Benim ortamımda tek bir DC olduğu için All veya bunu seçmem yeterli olacaktır.
Bu bölümde ise izlenmesini istediğiniz OU yapısını, tüm OU ları veya tüm OU ların izlenmesi durumunda izlenmesini istemediğiniz OU ları seçtğiniz bir ekran karşınıza çıkıyor. Ben tüm OU ların izlenmesini istiyorum.
Bu bölüm önemli olup aslında hangi obje class’ larını izlemek istediğinizi seçebilirsiniz, aksi halde çok fazla log okumak zorunda kalabilirsiniz. Tabiki programın güzel özelliklerinden bunları sınıflandırabilirsiniz ama baştan çok fazla log almak mantıklı olmayacaktır. Bunun için örneğin sadece user obje class ve computer obje class’ ı seçebilirsiniz ama bu durumda örneğin GPO üzerindeki değişikliklerin takip edilmeyeceğini unutmayın. Eğer yer sorununuz yok ve gözümden hiçbir şey kaçmasın diyorsanız bu şekilde devam edebilirsiniz.
Bu bölümde ise SQL server bilgilerini giriyor ve yeni oluşturulacak olan DB için bir isim giriyoruz.
Bu bölümü isterseniz atlayabilirsiniz. Mevcut veri tabanı çok şişerse diye arşivlemek istemeniz halinde arşiv veri tabanı için özellikleri buradan tanımlayabiliriz. Eğer bunun için mevcut veya ayrı bir sql server var ise bunun bilgilerini girip, arşiv veri tabanı ismini tanımlayıp hani günlerde arşivleme yapılacağını seçebilirsiniz. Ancak buradaki önemli nokta, eğer alt bölümdeki kutucuğu işaretlerseniz aldığınız raporlarda arşivlenen veriler prod ortamdan silineceği için göremeyeceksiniz. Bu durumda arşiv veri tabanından sorgulama yapmanız gereklidir. Yani eski kayıtlar için diyebiliriz.
Son ayarlardan sonra programı bir kapatıp açıyoruz ve konsol aşağıdaki gibi açılıyor.
Hemen lisansı yüklememiz gerekmektedir. Bunun için üst menülerden License information bölümünden mevcut yapınız için lisans talebinde bulunmanız yeterli.
Lisans yüklemesinden sonra ilk olarak hızlıca ayarları bir kontrol edelim.
Malum kurulumda yaptığımız gibi mevcut domain’ i silebilir veya yeni domainler ekleyebiliriz. Alt bölümde ise sırası ile rapor, email, alerts ve zamanlanmış raporlar hakkındaki ayarları değiştirebiliriz.
Çok karmaşık olmayan bir ara yüz ve ayarlar olduğu için detaylara girmiyorum. ( program bu konuda gerçekten çok başarılı, normalde benim makalelerimi takip edenler bilir her menüyü ayrı anlatmak gerektiği durumlar oluyordu )
Ancak önemli olan bölüm Backup ayarlarıdır. Raporların altında olmasına rağmen bu bölüm aslında 6 saatte bir AD yapısının bir görüntüsünü alıp kritik bir değişiklik sonrasında karşılaştırma için kullanılabilir. Yani bunu Active Directory Snapshot özelliğine benzetebilirsiniz. Geri dönmek için ise ana menüdeki Restore üzerinden aşağıdaki gibi istediğiniz backup setini seçip yetkili bir kullanıcı adı ve şifresi girmeniz yeterlidir.
Ancak tabiki mutlaka tavsiye edilen system state ve benzeri yedekleme sistemlerinizin çalıştığından emin olun. Yani bu özelliği tek başına bir AD yedekleme sistemi olarak kullanamazsınız.
Email ayarları malum çok önemli, çünkü program her ne kadar gerçek zamanlı izleme yapsa da siz bütün gün ekranı takip edemesiniz, bu nedenle mail sunucunuz üzerinden relay izni veya bu ürün için bir kullanıcı tanımı ile mail gönderimlerini sağlayabiliriz.
Alert bölümü de yine çok önemli bölümlerden biri. Örneğin DC üzerinde bir logon işlemi olduğunu alert olarak görmek isteyebilirsiniz veya size sunulan yüzlerce durumdan birini ( hazır raporlara bayıldım J )
Filtre bölümü sizin hayal gücünüze kalmış durumda, kimin hangi makinede ve nasıl logon olacağını belirleyip Alert’ in oluşmasını sağlayabilirsiniz.
Ve tabi ki bu durumun oluşması halinde kime nasıl bir mail gönderileceği.
Bir sonraki bölümde ise yukarıdaki gibi yüzlerce durum için gözünüzden kaçması durumuna karşılık veya rutin olarak raporlama yaptırabilirsiniz.
İstediğiniz durumlar için istediğiniz zamanlanmış raporu alabilirsiniz.
Tüm bu ayarlarını yaptığımız bölümler aslında gerçek zamanlı olarak yine sekmeler ile ulaşabileceğimiz özellikler.
Evet, bu bölümleri tanıttıktan sonra ve artık lisans dosyamızı da yüklediğimize göre ana ekranımıza geri dönebiliriz.
Ana ekranımızda gördüğünüz gibi bir takım hareketlenmeler var. Örneğin 2232 tane schema güncellemesi olduğunu göreceksiniz, aslında hemen çok ciddi bir directory değişikliği yapıldığı ortada, bunu ancak ya Exchange yada Lync gibi esaslı bir program yüklemesi ile olacağını bilirsiniz. Bende raporların ne kadar sağlıklı çalıştığını size göstermek için ürünü kurduktan sonra ortama bir Exchange kurulumu yaptım ve sonuç yukarıdaki gibi, sıfır tertemiz kurulan bir domain için sadece bir Exchange kurulumu ne kadar değişiklik yapıyor siz düşünün.
Hemen alt bölümde ise Default Domain Policy içerisinde 15 adet değişiklik olduğunu görüyoruz ve merak edip neymiş bu değişiklikler diye bakıyoruz.
Bunun için tek yapmamız gereken raporlar bölümüne gelmek ve aşağıdaki yolu izlemektedir.
Bu rapor sayesinde GPO üzerindeki değişiklikleri görebiliyoruz. Baktığımız zaman hep bir ayar ekleme olduğunu görüyoruz ve bunu da merak ediyoruz J Merak ettiğimiz ayar için üzerine tıklamamız yeterli.
Hemen sağ bölümde bu değişikliğin ne olduğunu görebiliyoruz.
GPO içerisinde Default Domain Controller Policy içerisinde, Computer Configuration altında bir ekleme yapılmış. Eğer tam detayını görmek isterseniz kayıdın üstüne çift tıklamanız yeterli.
Yani sizden habersiz kuş uçmuyor demek yerinde olur J
Yine AD tarafındaki değişiklikleri de kontrol edebilirsiniz. Zaten mantık son derece kolay, rapor sayfasına gelip kontrol etmek istediğiniz ana başlıkları seçip sağ bölümden detay görmeniz yeterli. Tabi istersen kişisel raporlarda almanız mümkün.
Gördüğünüz gibi yine çok sağlam bir rapor alıyoruz.
Exchange tarafını da hemen kontrol edelim. İki tane yeni mailbox açmıştım bakalım onları görebilecek miyiz?
Evet, yukarıdaki gibi bu detayı da yakaladık, peki kota değişikliği yapmıştım ona bakalım hemen.
Bunu da detaylı bir şekilde görebiliyorum.
Peki gelelim daha kritik bir konuya, özellikle sistem yöneticilerinin bir başkasının posta kutusuna erişmesini istemeyiz, tabi ki yöneticilerde bunu istemez, bu nedenle örneğin Manage Full Access Permission izni yani A kullanıcı posta kutusuna B kullanıcısının tam erişimi veya Send As yetkisi çok riskli bir durum olup bunu süreli kontrol etmek isteyebilirsiniz.
Bakalım;
Evet, bunu da yakalık, Exchange tarafındaki durumu da paylaşıyorum
Gördüğünüz gibi gerçekten Mesut kullanıcısının posta kutusu için Hakan kullanıcısının tam erişim hakkı vardır. Bu tür raporlar gözünüzden kaçmasın diye isterseniz alert oluşturabilirsiniz.
Bu bölümleri makalemin başında da gösterdiğim için tekrar detaylandırmıyorum.
Bu bölümde filtre tanımlayabilirsiniz yani kim veya kimin üzerinde ne yapıldığında gibi. Bu sayede tüm mailbox değişiklikleri değil sadece Manage Full Access Permission konularını alert olarak alabilirsiniz.
Ancak buna hiç gerek kalmayabilir J Nedeni ise yine ürün ile gelen Audit raporları. Diyelim ki yukarıdaki gibi bir konudan haberdar değilsiniz, hiç üzülmeyin hazır raporlarda yukarıdaki gibi bir işlem yapılmış olsa bile size erişim bilisi sunuluyor.
Gördüğünüz gibi Audit menüsü altında ihtiyaç duyacağınız tüm rapor modelleri sunulmaktadır.
Not: Bu özelliğin kullanılması için kurulum sonrasındaki “Audit Non-owner Access” özelliğinin açık olması gereklidir.
Eğer bu özellik açık değil ise sadece admin seviyesindeki değişiklikleri görebilirsiniz. Ancak unutmayın ki posta kutusu seviyesinde böyle bir takip posta kutuları için ortalama %10 büyüme demektir.
Ancak isterseniz her kullanıcı için değil örneğin müdürler, genel müdür yardımcıları gibi kritik posta kutularını seçebilirsiniz
Veya bu posta kutuları için örneğin silme hareketlerini.
Peki ben bu özelliği de açıyorum. Sonra Hakan kullanıcısı ile Mesut’un posta kutusuna erişiyorum.
Sağ üst köşeye bakarsanız logon olan kullanıcı hakan, ama posta kutusu Mesut’ un. Ardından Mesut’ a attığım maili sildim. Raporlara bakalım şimdi.
Evet, raporlarda hemen bu hareketleri yakalayabiliyoruz.
Ayrıntılardan da görebileceğimiz gibi inbox içerisindeki bir maili silmişiz.
Evet, gördüğünüz gibi AD, GPO ve Exchange Server için son derece kullanışlı ve kolay bir program olan LepideAuditor Suite ile tüm hareketler kontrolünüz altında.
Benim şahsi görüşüm son çok kompleks olan izleme programlarına göre kurulum, yaygınlaştırma ve kullanımı çok kolay, özellikle hazır raporları son derece yeterli ki zaten istediğiniz gibi özel rapor oluşturabiliyorsunuz.
Ürün hakkında daha fazla bilgiye ulaşmak için aşağıdaki linki kullanabilirsiniz.
http://www.lepide.com/lepideauditor/
Ürünü indirmek için ise aşağıdaki linki kullanabilirsiniz
http://www.lepide.com/lepideauditor/download.html
Umarım faydalı bir makale olmuştur. Bir sonraki makalemde görüşmek üzere.
Eğer ürün hakkında daha fazla bilgi almak veya POC yapmak için Türkiye de ki resmi dağıtıcı ile görüşebilirsiniz.
[email protected] ye mail atmanız halinde size en uygun bayi üzerinden POC desteği sunulacaktır.