ArcSight Logger Appliance Initial Configuration
Merhaba,
Security Information Event Management ürünleri arasında ilk sırada olan ArcSight ürününden ve bu ürünün bileşenlerinden daha önce bahsetmiştim. Yazıya aşağıdaki linkten ulaşabilirsiniz:
https://aydogmusoglu.com/hp-arcsight-a-genel-bakis.html
Bu yazımda ArcSight bileşenlerinden biri olan “Logger” ’dan bahsedeceğim.
ArcSight Logger , yüksek “throughput” , verimli ve uzun süreli depolama , hızlı veri analizi sağlayan bir log yönetim çözümüdür. Logger, event’leri alır ve depolar, raporlama ve search desteği sunar ve isteğe bağlı olarak ta seçilen event’leri forward eder. RAW data’yı compress’ler, adli işlemler için genellikle modifiye edilmemiş data’yı alır.
ArcSight Logger iki farklı türde bulunur: ArcSight Logger Appliance ve ArcSight Software Logger
Software Logger kullanmak istiyorsanız bazı ön gereksinimlerin hazırlanması gerekir.
Software Logger Supported Platforms:
Red Hat Enterprise Linux (RHEL), version 6.1, 64 bit
Oracle Enterprise Linux (OEL) 5.5, 64 bit
CentOS, version 6.1, 64 bit
Adobe Flash Player plug-in
CPU , Memory , Disk Space :
Enterprise Version için;
CPU : 2 x Intel Xeon Quad Core
Memory : 12 – 24 GB
Disk Space : 65 GB (Min)
Downloadable Version için;
CPU : 1 – 2 x Intel Xeon Quad Core
Memory : 4 -12 GB
Disk Space : 10 GB (Min)
Software Logger downloadable version (free bir çözümdür) HP download center ‘dan temin edilerek yukarıda yazmış olduğum platformlardan biri üzerinde kurulabilir. Kurulduktan sonra web arayüzünden https:// IP_Adres ile bağlanılıp yönetilebilir.
Yazımızda ArcSight Logger Appliance’ ı ayrıntılı bir şekilde inceleyeceğiz. Yazının sonunda Logger Appliance’ın ilk kullanıma hazırlanması ile ilgili bilgi vermiş olacağım.
ArcSight Logger Appliance ‘ı initialize işleminden önce mutlaka Hardware Setup Guide’a göre installation işleminin başarılı bir şekilde tamamlandığından emin olunuz.
Logger Appliance rack mountable bir device’tır. Installation işleminden sonra ilk konfigurasyonuna geçilebilir.
Logger’a GUI mode ve CLI mode ile ulaşabilirsiniz. Logger kurulduktan sonra default bir ip adresi alır. Bu ip adresi 192.168.35.35 (Subnet Mask : 255.255.255.0) dir. Logger’a CLI mode ile bağlanıp ilgili konfigürasyonları yapacağız.
Logger ‘a CLI ile bağlanmanın 3 yolu vardır. Bunlardan biri, Logger’ın DB-9 connector’unden serial port’a bir kablo ile bağlayıp terminal bağlantısı yapabiliriz. Bir diğer yol klavye ve monitor ile , bir diğer yol ise ILO portu ile remote bağlanmaktır.
ArcSight Logger’a bağlandıktan sonra sırasıyla aşağıdaki işlemler yapılır.
2. Logger’a terminal ile bağlandığınızda ilk olarak yukarıdaki ekran gelir.
3. Logger’ın default Login name: admin ve Password : password ‘dur.
5. Credential girdikten sonra ilk konfigurasyonlarımıza başlayabiliriz. Yukarıdaki resimde görüldüğü gibi Logger ‘ın hostname’i logger şeklindedir. Basic Configuration için ;
logger>
şeklinde komut satırı gelmektedir.
6. Öncelikle Show Config komutu ile logger konfigurasyonu hakkında bilgi sahibi olalım.
8. Yukarıda bahsettiğimiz gibi logger’ın default ip adresi 192.168.35.35 ‘tir. Logger’a GUI ile bağlanabilmek için bu ip bloğundan bir host edinip https://192.168.35.35 ile browser ‘ınızdan bağlanıp initial configuration yapabilirsiniz.
9. Yukarıdaki resimde logger’ ın hostname ‘i (logger), ip adresi ( 192.168.35.35/24) , default gateway’i (192.168.35.1) , domain bilgisi (localdomain) olarak görülmektedir.
10. İlk olarak güvenlik nedeniyle logger’a login olmamızı sağlayan admin account’unun password’ünü değiştirmekle işe başlayalım.
12. Yukarıdaki resimde görüldüğü gibi set password komutu ile password’u değiştirdik.
13. Ip adresi değiştirmeden önce , aynı ip bloğundan bir ip adresine sahip Windows 7 istemci ile ve web browser ile de logger aryüzüne bağlanıp gözleyelim.
15. Browser’ınıza https://192.168.35.35 yazdıktan sonra öncelikle bir sertifika uyarısı ile karşılaşırsınız. Devam edince yukarıdaki login ekranı gelir. Username ve password girebilirsiniz. Default ayarlar değiştirilmediyse admin ve password olarak girebilirseniz. Password değiştirdiyseniz yeni şifrenizi girebilirsiniz.
17. License dosyasına sahip değil iseniz buradan ileriye gidemezsiniz. .enc uzantılı lisans dosyanızı browse butonuna tıklayarak seçip Upload License ile Logger’a girebilirsiniz. Bu kısımda Locale Settings ve Date / Time settings işlemlerini de yapabilirsiniz.
20. License dosyası upload edildikten sonra logger reboot edilir. Bu birkaç dakika sürebilir.
21. Cihaz reboot edildikten sonra ilk connector konfigurasyonu ile ilgili bir pencere ile karşılaşırsınız. Connector’ü ekleyebilir ya da daha sonra ekleme işlemi de yapabilirsiniz. Biz bu kısımda connector eklemeyeceğimiz için bu işlemi yapmadan devam edebiliriz.
24. CLI mode ‘dan show config ile gözlediğimiz logger konfigurasyonu GUI ile de yukarıdaki gibi gözlenmektedir.
25. CLI mode ile initial configuration’a devam edelim.
27. Yukarıda gördüğünüz gibi Set hostname ile logger hostname’ini değiştirdik.
28. Logger default ip adresi ve default gateway adresini de değiştirelim.
31. Şimdi de DNS ayarlarını yapalım.
33. Tekrar show config ile gözleyelim.
35. Böylece Logger’a ilk konfigurasyonu yapmış olduk.
36. Artık web browser üzerinden yeni ip adresi ile login olabilirsiniz.
Bu yazımız ile ArcSight Logger Appliance üzerinde initial configuration’ı gözlemiş olduk.
Sonraki yazılarımızda Logger üzerinde işlem yapmaya devam edeceğiz.
Esen kalın…….
1 comment found