Splunk – Exchange Server Log’larının toplanması

Merhaba,

Exchange Server’larının üzerine Universal Forwarder(UF olarak geçecek) kurarak, sunucularınızda üreyen log’ları splunk enterprise sunucunuza gönderebiliyorsunuz. Splunk Enterprise sunucusundaki Splunk App for Exchange eklentisi ile; index’lenen log’ları, hazır dashboard’ları kullanarak veya search kısmından source, sourcetype, host bazlı sorgular yaparak inceleyebilirsiniz.

Splunk Enterprise kurulu olan app’ler aşağıdaki gibidir.

clip_image002

Renkli olarak gösterdiğim app’ler, exchange log’larının toplanması için yeterlidir. Üstteki üç app’den PowerShell ve TA_Windows klasörlerini; exchange sunucunuzdaki UF’in apps dizinine kopyalamanız gerekiyor. Önceki yazılarımda benzer örneklerden bahsetmiştim.

Continue reading “Splunk – Exchange Server Log’larının toplanması”

Splunk – Active Directory Log ‘larının toplanması – Bölüm 2

Merhaba,

Universal Forwarder; Splunk Enterprise’ın, sadece “data forward” işlemi için düzenlenmiş bir versiyonudur(kısaca UF şeklinde geçecek). UF; search,index,alert seçeneklerini sunmaz, python kurulumuna sahip değildir. Üreticinin web sayfasından detaylarına ulaşabilirsiniz. http://docs.splunk.com/Documentation/Splunk/latest/Forwarding/Introducingtheuniversalforwarder adresini kullanabilirsiniz.

Bu yazımda kullandığım domain ismim corp.local ’dir. Test ortamı Bölüm 1 ‘de bahsettiğim ile aynıdır.

Universal Forwarder yazılımını, splunk download center’dan download edebilirsiniz. http://www.splunk.com/download/universalforwarder .

Bölüm 1 ‘de bahsettiğim app’leri, splunk enterprise’a yükleyiniz. Tüm app’leri yüklediğinizde ilgili klasörün içeriği aşağıdaki gibi olacaktır.

Continue reading “Splunk – Active Directory Log ‘larının toplanması – Bölüm 2”

Splunk – Active Directory Log ‘larının toplanması – Bölüm 1

Merhaba,

Log Management ürünlerinde de olduğu gibi, hemen her kaynaktan üretilen log’ları Splunk ürünü ile toplayabiliyorsunuz ve inceleyebiliyorsunuz. Bu kaynaklardan biri de Microsoft ürünleri için dizin hizmetini sunan Active Directory yapısıdır.

Active directory (AD kısaltması ile geçecek) yapısının veritabı NTDS.DIT dosyasında tutulur. NTDS.DIT dosyası, AD yapısında var olan fiziksel bileşenlerden domain controller görevini yürüten sunucularda tutulur ve tüm domain controller’lardaki dosyalar birbirleri ile aynıdır(sync’ed). AD replikasyonları ile bu “teklik” sağlanır. AD yapısında gerçekleştirilen değişiklikler bu dosyada tutulur(obje oluşturma,silme,güncelleme vb.) AD ‘de yapılan değişikliklere dair log’lar(event,olay) Event Viewer(olay görüntüleyicisi) altında çeşitli alt kategorilerde saklanır.

Yazımda, Splunk ile AD log’larının toplanmasından bahsetmek istiyorum. Test ortamımdan bahsedeyim.

Hypervisor : Windows 8.1 Hyper-v

Domain Controller: 1 x Windows Server 2012 R2 , Forest Functional Level Windows Server 2012 R2

Exchange Server : 1 x Exchange Server 2013 CU5

Splunk Instance : 1 x Windows Server 2012 R2 üzerinde Splunk Instance’ı çalışmakta

Firewall : Check Point R77

Splunk web servisine(yönetim web sayfası) bağlanalım.

Continue reading “Splunk – Active Directory Log ‘larının toplanması – Bölüm 1”

Splunk – Search &Report & Alert & Dashboard hakkında

Merhaba,

Çeşitli kaynaklardan toplanmış ve indekslenmiş log(event)’lar arasından; genel olarak bilgi güvenliği süreçlerimize, özel olarak pci dss süreçlerimize veya ağda gerçekleşen başarılı başarısız erişim denemelerine dair anlamlı sonuçları derlemek için, search query’lerden faydalanıyoruz.

Indekslenmiş log’lar arasında search işlemi yaparken aşağıdaki ayrıntıları bilmek, istediğimiz sonuca ulaşmada faydalı olacaktır. Indekslenmiş log’lar arasından istenilen ayrıntılar veya istenilen verileri, “search query” ile bulunabiliyor!

Sarch,Report,Alert ve Dashboard yapılarını örnekler ile inceledikten sonra, bir adet gerçek hayat senaryosu ile yazımı tamamlayacağım.

Search’te

Wildcard (*) destekleniyor.

Örnek: action* ile action=accept , action=deny, vs. log’larını filtreleyebilirsiniz.

AND,OR,NOT (Boolean) desteklenmektedir. Bu bağlaçları içeren karmaşık search query hazırlamak isterseniz ( ) kullanabilirsiniz.

Belli bir phrase üzerine yoğunlaşmak için “ ” kullanabilirsiniz. Üstte bahsettiklerimi de kullanarak çeşitli örnekler ile devam edeceğim. Check Point’ten gelen log(event)’lara bir kaç örnek vererek başlayabilirim.

Continue reading “Splunk – Search &Report & Alert & Dashboard hakkında”

Splunk ile Check Point R77 log ’larının toplanması

Merhaba,

Önceki yazılarımda, Splunk’ın ve forwarder’ının CentOS üzerinde çalıştırılmasından bahsetmiştim. Blog’umdaki ilgili yazıları inceleyebilirsiniz. Bu yazımda; Splunk ile Check Point R77 log’larının toplanmasından bahsetmek istiyorum.

Not: Bu yazı, Splunk ve Check Point için resmi bir döküman değildir.Bu doküman; yazarın, üretim ortamınız ile uyuşamayabilecek test ortamı deneyimlerini içerebilir.

Note: This is not an official Splunk & Check Point document. This document contains author’s test environment experience which might not fit with your production environment.

Test ortamımdan bahsedeyim.

Sanallaştırma platformu olarak Hyper-v 3 (windows 8.1) kullandım. Aşağıdaki bahsi geçen tüm sunucular sanal sunucudur.

Splunk Indexer,Splunk Web ve Light&Heavy forwarder bileşenleri, fqdn’i siem.nwtraders.msft olan CentOS 6 sunucusu üzerinde çalışmaktadır.

Check Point R77 sürümünü kullandım. Management ve gateway bileşenleri tek bir sanal sunucu üzerinde çalışmaktadır.

Windows Server 2012 R2 işletim sistemi üzerinde Active Directory domain servisi çalışmaktadır.(Bu lab için domain controller ihtiyacı bulunmuyor)

Splunk’ın kurulduğunu ve çalıştığını varsayarak devam ediyorum.

Continue reading “Splunk ile Check Point R77 log ’larının toplanması”

SCOM araçları

Merhaba,

SCOM için bir kaç işlevsel araca aşağıdaki adresten ulaşabilirsiniz.

http://blogs.msdn.com/b/dmuscett/archive/2012/02/19/boris-s-tools-updated.aspx

Şüphesiz ki bir çok bilgiye OpsMgr powershell ile ulaşabiliyor, ama link’teki araçlara göz atmak da bir şey kaybettirmez diye düşünüyorum 🙂

Herkese sorunsuz ve neşeli günler dilerim.

Splunk Forwarder ‘ın CentOS üzerinde çalıştırılması

Merhaba,

Önceki yazımda Splunk’ın CentOS üzerinde çalıştırılmasından bahsetmiştim. İlgili yazıyı blog’umdan inceleyebilirsiniz. Bu yazımda, forwarder’ın(Log’u toplayıp Splunk’a gönderen bileşen) CentOS üzerinde çalıştırılmasından bahsedeceğim. Forwarder’ı windows işletim sistemine de kurabilirsiniz. Bazı sistemlerin log’larını toplamak için veya herhangi bir ihtiyaçtan dolayı, forwarder’ın linux üzerinde kurulması gerekebilir.

Linux dağıtımı olarak CentOS 6 seçtim. Basic Server seçimi ile CentOS’u kurdum. DNS ‘te CentOS için hostname olarak forwarder.nwtraders.msft Resource Record’unu oluşturdum. IP adresi olarak 17.16.1.16 / 16 ip adresini kullandım. Forwarder kurulumu için gereken rpm dosyasını splunk.com’da temin edebilirsiniz.

WinSCP ile forwarder kurulum dosyasını /root/FW klasörü içine aktardım. Ardından /opt altına yükledim.

Continue reading “Splunk Forwarder ‘ın CentOS üzerinde çalıştırılması”

Splunk ‘ın CentOS 6 üzerinde çalıştırılması

Merhaba,

Splunk hakkında kısaca bilgi vererek başlayabilirim. Splunk;  log üreten kaynaklardan log’ları toplayıp indeksleyen bir yazılımdır. Toplanan ve indekslenen log’lar üzerinde arama,gözlem,analiz yapabilirsiniz ve raporlar hazırlayabilirsiniz, elde ettiğiniz veriler ile hata denetimi ve güvenlik zafiyetlerine karşı gözlemler yapabilirsiniz, önlemler alabilirsiniz.Ürün hakkında daha detaylı bilgi almak isterseniz http://www.splunk.com/view/product-tour/SP-CAAAAGV adresini ziyaret edebilirsiniz. Benzer bir başka ürün hakkında bilgi almak isterseniz http://www.aydogmusoglu.com/?s=arcsight adresinden daha önce yayınlanmış olan yazıları inceleyebilirsiniz.

Ürünü, windows işletim sistemine de kurabilirsiniz. Bazı testlerim için ürünü CentOS 6 üzerinde çalıştırmak istedim. Ürünü CentOS üzerinde çalışmak da windows üzerinde çalıştırmak da oldukça kolay.

Ürünün download sayfasından, splunk-6.1.3-220630-linux-2.6-x86_64.rpm kurulum dosyasın temin edebilirsiniz.Ürünü CentOS yerine Debian veya windows üzerine kurmak isterseniz ilgili dosyalar da download sayfasında mevcut.

Continue reading “Splunk ‘ın CentOS 6 üzerinde çalıştırılması”

PCI DSS 3.0 şirketleri nasıl etkiliyor?

Merhaba,

Eğer şirketiniz, işleyişi sırasında kredi kartı verilerini transfer ediyorsa veya bir depolama alanında(secure storage area) depolamak durumunda kalıyorsa; PCI DSS(payment card industry data security standards) ’in kapsamındasınız demektir! Bu standartlar,gerek endüstriden gelen geri bildirimlerden gerekse gelişen teknolojilerden dolayı, sürekli iyileştirildiği için, şirket olarak PCI DSS kapsamını sürekli takip etmeniz ve bu kapsamı/standartları sağlamanız gerekir.

Bir kaç makaleden okuduğum kadarı ile PCI DSS 3.0’ın getirdiği bazı önemli değişiklikler:

-Penetration Testing (11.3)

-Inventorying System Components (2.4)

-Vendor Relationships(12.8.5)

– Antimalware(5.1.2)

-Physical access and point of sale(9.3)

İncelemek isterseniz aşağıdaki kaynaktan faydalanabilirsiniz.

https://www.pcisecuritystandards.org/documents/PCI_DSS_v3_Summary_of_Changes.pdf

Herkese sorunsuz ve neşelü günler dilerim.

Active Directory Replication durumun gözlemi

Merhaba,

IT profesyoneli olarak, Active Directory replikasyonu gözlemek veya hata denetimi için çeşitli yöntemler kullayorsunuzdur. Bahsedeceğim aracı da kullanmış olabilirsiniz. Netice de yayınlanalı hayli süre geçti. Blog’umda bu araca yer vermediğimi fark edince yazmak istedim 🙂

http://blogs.technet.com/b/askds/archive/2012/08/23/ad-replication-status-tool-is-live.aspx

Üstteki adresten AD Replication Status aracı hakkında bilgi alabilirsiniz. Geniş bir uyumluluk yelpazesi var. Araç, AD replication problemlerini, ofis stili tek bir ribbon menüden keşfetmenizi ve muhtemel çözüm önerilerini elde etmenizi sağlıyor.

Download için http://www.microsoft.com/en-us/download/details.aspx?id=30005 adresini kullanabilirsiniz.

Herkese sorunsuz ve neşeli günler dilerim.