2013 SAFE LOG ertugrul.akbas ANET YAZILIM 01.06.2013
İÇİNDEKİLER Log Toplama ve Analiz Programı... 3 Kurulum Aşamaları... 3 Toolbar... 7 GİRİŞ EKRANI... 8 DASHBOARD... 9 AYARLAR... 10 GENEL AYARLAR... 11 LOG AYARLARI... 11 SYSLOG AYARLARI... 11 SNMP-TRAP AYARLARI... 12 TEXT-LOG AYARLARI... 12 FTP AYARLARI... 13 ARP TABLOSU AYARLARI... 13 IP ARALIĞI AYARLARI... 14 LİSANS AYARLARI... 15 KULLANICI AYARLARI... 15 YEDEKLEME AYARLARI... 16 RAPOR AYARLARI... 16 RAPORLAR... 17 FIREWALL RAPORLARI... 17 URL RAPORLARI:... 18 SQUID & DANSGUARDIAN RAPORLARI... 18 DHCP RAPORLARI... 19 ARP TABLOSU RAPORLARI... 20 DNS RAPORLARI... 20 MAIL RAPORLARI... 21 MAİL SUNUCU... 21
SMTP GATEWAY... 21 WEBSERVER RAPORLARI... 22 PARSEDİLEMEYEN LOGLAR... 22 CANLILOG... Hata! Yer işareti tanımlanmamış. BİLGİ... Hata! Yer işareti tanımlanmamış. SİSTEM BİLGİSİ... Hata! Yer işareti tanımlanmamış. LOgOUT... 23 SYSLOG mesajlarının GELiP GELMEDiĞİNİN KONTROLü... Hata! Yer işareti tanımlanmamış. LISANS AYARLARI (DETAYLI ANLATIM)... 23
LOG TOPLAMA VE ANALİZ PROGRAMI SAFE LOG Log toplama programı 01.11.2007 tarihli ve 26687 sayılı Resmi Gazete'de yayımlanan İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönet melik in 5 inci maddesi birinci fıkrasının (e) bendine istinaden, (d) bendi gereğince, ticari amaçla internet toplu kullanım sağlayıcılarının elektronik ortamda sistemlerine kaydetmelerini sağlayan log kayıt programıdır. Safe Log ile 5651 Nolu yasa kapsamında sistemde alınması gereken tüm logların merkezi bir noktaya toplanmasını ve kanunda belirtilen Bilgilerin Doğruluğunu, Bütünlüğünü ve oluşacak olan verinin dosya bütünlük değeri olan HASH bilgisinin zaman damgası ile saklanmasını ve gizliliğinin temin edilmesini sağlayan bir sistemdir. Sistem:Firewall, UTM sistemler, Sunucular, Aktif cihazlar, Database ler ve kullanıcı bilgisayarlarında üretilmiş olan logların merkezi bir noktaya toplanmasını, HASH alınıp üzerine Zaman Damgası vurularak Bilgilerin Doğruluğunun ve Bütünlüğünün korunmasını sağlayan bir uygulamadır. Sistem yapısında toplanan loglar ve verilerde hiçbir değişiklik yapılmadan sistemin tanıyacağı formata çevrilir. Safe Log web tabanlı bir arayüze sahiptir, dolayısı ile uzak bağlantı ile yönetim ve konfigurasyon yapılabilir. KURULUM AŞAMALARI 1. Aşama Safe Log kurulumuna başlamadan önce sistem konfigürasyonun un eksiksiz yapılandırılması için windows güvenlik duvarının ve anti virüs programının kurulum esnasında geçici olarak kapatılması gerekmektedir.
2. Aşama Safe Log setup dosyası indirilirken işletim sisteminiz 32 veya 64 bit ise download ediceğiniz setup dosyasının işletim sisteminize uygun olmasına dikkat ediniz! 3. Aşama İndirdiğiniz setup dosyasına aktif hale getiriniz ve karşınıza wizard şeklinde çıkan kurulum sihirbazını takip ediniz. Kurulum defoult C dizinine kurulmaktadır. İsteğe bağlı olarak sisteminizde mevcut olan tüm disklere kurulum yapabilirisiniz.(d:\-e:\...)
Kısa yol olarak kurulum sonunda program SafeLog olarak görünücektir.ileri diyerek devam ediniz.
Bu kısım veritabanının kurulduğu kısımdır. Yeri ve portu üstteki ekranlardan belirtitiriz. Bu menüde Safe Log programının servisleri kurulmaya başlanacaktır. Şıkların hepsinin seçili olması önerilmektedir. cmd ekranı kapandıktan sonra kurulum başarıyla tamamlanmıştır. 4. Aşama Başlat menüsünde oluşturulmuş olan SafeLog kısayoluna tıklayarak browserda açılan giriş ekranında programı konfigüre etmeye ve araştırmaya başlayabilirsiniz.
TOOLBAR -Üst seçenekler ile ana menülere ulaşabilirsiniz. -Raporlar ve ayalar bölümündeki TREE menüler ile kolaylıkla programı kullanbilirsiniz.
GİRİŞ EKRANI Açılışta önünüze gelen ekrana Kullanıcı adı: admin Şifre : demo yazınız.
DASHBOARD Log kayıt raporları ve bilgisayar için en önemli olan araçların durum grafikleri gözükmektedir.
CPU Bilgisayardaki işlemcinin (CPU) o an için ne kadar kullanıldığını gösterildiği grafiktir. DISK Programın Kurulu olduğu diskin kapasitesini gösterir. RAM Anlık RAM kullanım oranını gösterir GRAFİK Bir hafta içinde Tutulan log kayıt oranlarının grafiğidir Haftanın her günün alınan log kayıtların oranlarının grafikte gösterimidir. AYARLAR
GENEL AYARLAR DNS CONVERTER ayarında enable seçilip süre belirtilirse burada belirtilen periyotlarda Reverse DNS yaparak HOSTNAME çözümlemesi yapar. Tavsiye edilmez. LOG AYARLARI SYSLOG AYARLARI Syslog standardında log kaydı yapabilen cihazlardan log toplayabilmek için SYSLOG ayarlarının yapılması gerekir. Log trafiği tutulacak cihaz üzerinde öncelikle log içeriğinde bulunmasını istediğiniz özellikleri ayarlamnız ve syslog yönlendirme işlemeni yazılımın kurulu olduğu IP e yönlendirmeniz gerekmektedir. Syslog ekranından birden fazla SYSLOG server oluşturabilirsiniz. Not: Yönlendirme yapılan cihazlar farklı marka modeler ise yönlendirilen portların herbiri için farklı girilmesi gerekmektedir.(514,515,516 )
SNMP-TRAP AYARLARI SNMP-TRAP standardında log kaydı yapabilen cihazlardan log toplayabilmek için SNMP-TRAP ayarlarının yapılması gerekir. SNMP-TRAP ekranından birden fazla server oluşturabilirsiniz. Ekleme ekranında SNMP-TRAP üzerinden yönlendirilmiş olan port girilerek kayıt ediilir. Gelen ekrana port u 162 gibi sayı olarak ismi de alfanümerik bir değer girilmelidir. TEXT-LOG AYARLARI Windows DHCP logları veya loglarını text olarak export eden cihazlardan log toplayabilmek için TEXT LOG ayarlarının yapılması gerekir. TEXT LOG ekranından birden fazla dosya yada dizinine aktarılan loglar sisteme alınır.
Takip edilecek olan dosyalar ara yüz kullanılarak sisteme tanıtılır. FTP AYARLARI TEXTLOG ayarlarında yapılan işleme benzer bir şekilde optimizasyon yapılanmasına sahiptir. Cihazların log dosyaları FTP üzerinden okunabilmektedir. Dosyalar FTP üzerinde bir klasörün içine atılır ve FTP ayarların aşağıda ki resimde görüldüğü gibi yapılarak dosyalar okutulmaya başlanır. ARP TABLOSU AYARLARI Yerel ağlarda kullanılan en yaygın arayüz Ethernettir. Ethernet arayüzüne sahip olan ağ kartları ile yerel ağlara kolayca bağlanılmaktadır. Bu arayüzler birbirlerine paket göndermek için kendilerine üretim aşamasında verilmiş 48 bit lik fiziksel adresleri (MAC adresi) kullanırlar. TCP/IP protokolü ise veri gönderip almak için 32 bit lik IP adreslerini kullanır. Yerel ağda haberleşmek için veri alış-verişi yapılacak cihazın fiziksel adresi bilinmelidir. Bu işlem için kullanılan protokole, yani IP si bilinen cihazın fiziksel adresinin öğrenilmesi protokolüne Adres Çözümleme Protokolü (Address Resolution Protocol) denir.
SNMP yönlendirme becerisi olan cihazlar üzerinde gerekli yönlendirmeler yapıldıktan sonra aşağıda anlatıldığı gibi gerekli ayarları yapınız. IP ARALIĞI AYARLARI Network üzerinde trafik oluşturmakta ancak tabkip edilmesi gerekmeyen cihazların (Camera,Fax cihazı,vs..) İP adreslerini girerek veya belli IP adresi aralığında ise bu aralığı yazılıma bildirerek loglama dışında tutabilirsiniz. AAAAA Aşağıdaki şekilde görüldüğü gibi ayarları yapınız.
LİSANS AYARLARI Anet Yazılım tarafından size verilen Lisans ID numarası ile birlikte Kullanıcı bilgilerinizi girip Kaydet butonuna tıklayarak Lisanslama yapabilirsiniz. NOT:Lisans bilgileri eklerken Türkçe karakter kullanmadan ve boşluk bırakmadan kutuları doldurmanız gerekmektedir. KULLANICI AYARLARI Bu ekran kullanıcı ekleme, değiştirme ve silme ekranıdır. İki farklı kullanıcı tipi oluşturabilirsiniz. Administrator: Programda bütün değişiklikleri yapma, farklı konfigürasyonlar oluştura bilme ve aynı zamanda tüm raporları görme hakkında sahiptir. Sınırlı Kullanıcı: Bu statüdeki kullanıcı tamamen sınırlı olup ayarlara hiç ulaşmaz sadece raporları görme hakkına sahiptir. Değiştirme silme ve ekleme hakkında sahip değildir.
PARTITION AYARLARI Default olarak her ayın son günü aldığı tüm raporları yedekler. Burada ki partition ayarlarından belirlenen gün aralığında ve Şimdi Partition Yap seçeneklerinden veri tabanında manuel olarak Partition oluşturabilirsiniz. Partitionlar aşağıdaki sekmede gün, ay ve yıl olarak görülecektir. istediğiniz zaman veritabanında tutulan partitionları drop edebilirsiniz. RAPOR AYARLARI
Rapor limiti bölümüne girilicek sayı doğrultusunda raporlar kısmında göreceğimiz sonuçların satır sayısını belirlemiş olucaksınız. Özet Raporlar Özel Raporlar Son bir saat Bugün Dün Son bir hafta Son iki hafta Son bir ay.. Şeklinde seçenekler mevcuttur istediğiniz tarih aralığını seçerek rapor sorgusu oluşturabilirsiniz. Multiple Raporlama Yedek alınan birden fazla Database i seçip aynı anda hepsinin raporunu takip edebilirsiniz. RAPORLAR FIREWALL RAPORLARI Firewall cihazları loglarını syslog göndererek veya text dosyasına yazarak tutulmasını sağlamaktadır. Cihaz üzerinde log ayarları ve yönlendirmeleri yapıldıktan sonra programın arayüzünden syslog ayarlarını yapınız. Belirlemiş
olduğunuz IP ve Port üzerinden syslog servisimize ulaşan loglar ayrıştırılarak raporlanır. Log içeriğinde kullanıcı adı ve bilgisayar adı yok ise domain üzerinden bilgilerini çektiğimiz makinalarda IP adresinden kullanıcı adı ve bilgisayar adınıda ekleyebiliyoruz. URL RAPORLARI: Firewall cihazları loglarını syslog göndererek veya text dosyasına yazarak tutulmasını sağlamaktadır. Cihaz üzerinde log ayarları ve yönlendirmeleri yapıldıktan sonra programın arayüzünden syslog ayarlarını yapınız. Belirlemiş olduğunuz IP ve Port üzerinden syslog servisimize ulaşan loglar ayrıştırılarak raporlanır. Log içeriğinde kullanıcı adı ve bilgisayar adı yok ise domain üzerinden bilgilerini çektiğimiz makinalarda IP adresinden kullanıcı adı ve bilgisayar adınıda ekleyebiliyoruz. Bilgisayar adı ve IP adresi ile birlikte kullanıcıların eriştiği URL adreslerini ve host bilgilerini sunmaktadır. SQUID & DANSGUARDIAN RAPORLARI
Squid ve dansguardian serverlar üzerinden geçen trafiği Syslog ile yönlendirilebildiği gibi text dosyasınada logları çkartabilmektedir. Syslog veya text log ayarında bu serverların trafiğinin tutulmasını ayarladıysanız raporları bu tablodan takip edebilirsiniz. Bilgisayar adı ve IP adresi ile birlikte kullanıcıların eriştiği URL adreslerini ve host bilgilerini sunmaktadır. DHCP RAPORLARI 5651 Nolu yasa kapsamında sistemde alınması gereken tüm logların merkezi bir noktaya toplanmasını ve kanunda belirtilen bilgilerin doğruluğunu, bütünlüğünü ve oluşacak olan verinin dosya bütünlük değeri olan HASH bilgisinin zaman damgası ile saklanmasını ve gizliliğinin temin edilmesini sağlar. Tarih aralıklarına veya da ip aralıklarına göre rapor hazırlama imkanı sağlar. Kanun gereğince tutulması gerektiği gibi beş ayrı kolonda anlık olarak imzalanarak saklanır. ARP tablosu ayarlarını yaptığınız taktirde, text log olarak eklenen DHCP logları haricinde networkünüzün üzerine dahi olan yabancı bilgisayarlarında IP ve MAC bilgileri çekilerek DHCP logu oluşturulur.
ARP TABLOSU RAPORLARI ARP (Address Resolution Protocol) tablosu TCP/IP protokollerinin çalışma prensibiswitch üzerinde oluşan arp tablosu çekilerek anlamlaştırılır. Makinenin Mac adresini ile birlikte İP adresi ve ne zaman aldığını raporlar. DNS RAPORLARI Domain server veya DNS olarak görev yapan cihazlar loglarını syslog yada text dosyasını olarak saklarlar. Ayarlar sekmesinden gerekli konfigürasyonlar yapıldıktan sonra networkünüzde ki DNS trafiğini kontrol edebilirsiniz.
MAIL RAPORLARI Mail servlarınız(exchange, Merak mail, postfix.) üzerinde oluşan trafik raporunu bu tablodan takip edebilirsiniz. Rapor içeriğinde mail atan kişinin adresi, allan kişinin adresi ve konu başlıkları bulunmaktadır. Mail içerikleri kanun gereksiniminden dolayı raporlarda gösterilmemektedir. MAİL SUNUCU Mail sunucu üzerinden text veya syslog ile yönlendirilmiş olan logların ayrıştırılıp raporlandığı tablodur. SMTP GATEWAY SMTP Gateway sunucu üzerinden text veya syslog ile yönlendirilmiş olan logların ayrıştırılıp raporlandığı tablodur.
WEBSERVER RAPORLARI Network yapınızda bulunan web server üzerinde oluşan logların raporu sunulmaktadı. Web serverlar windows veya linux sistemler üzerine kurulabilir ve loglarını syslog, snmp veya text olarak saklama özelliklerine sahiplerdir. Tabloda web server a erişim yapan kullanıcı, bilgisayar adı ve IP bilgileri ile birlikte kullandığı metot(get- POST) ve eriştiği server isimleri gibi raporları takip edebilirsiniz.(eski rapor görüntüsüdür. Sütun başlıklarının aynı olmasına istinaden koyulmuştur.) PARSEDİLEMEYEN LOGLAR Sistemde oluşan loglardan parse edilemeyen varsa logun orjinalini burada raporlar. Anlam ifade eden loglar üzerinde gerekli çalışmalar yapıldıktan sonar raporlanıcaktır.
LOGOUT Programda oturum açan kullanıcı bu TAB ı kullanarak oturumunu sonlandırabilir LISANS AYARLARI (DETAYLI ANLATIM) Lisanslama Klavuzu FaunaLisanslamayı 8090 portu üzerinden yapar. Dolayısıyla Fauna kurulmuş olan makinenin internete çıkarken üzerinden geçtiği tüm firewall, Proxy vs güvelik sistemlerinin tamamından 8090 portuna bir kereye mahsus olmak şartıyla tam erişim yetkisi verilmesi gerekmektedir(lisanslama işlemi gerçekleştikten sonra erişim iznini kapatabilirsiniz). Networkünüzden üstte bahsi geçen erişim izinlerini açtıktan sonra Lisanslama işlemi için; Fauna Ayarlar Lisans Ayarları sekmesine gelerek. Firma bilgilerini Türkçe karakter kullanmadan ve boşluk bırakmadan doldurup kaydet butonuna basın. Bir müddet bekledikten sonra lisanslama işlemi gerçekleşecektir.
Lisanslamanın başarılı bir şekilde gerçekleştiğini bildiren popup pencere açılacaktır.