IT & IoT Security | Cloud | It's all about the life itself

Nothing in life is as important as you think it is, while you are thinking about it.

ArcSight Logger Appliance Initial Configuration

Merhaba,

Security Information Event Management ürünleri arasında ilk sırada olan ArcSight ürününden ve bu ürünün bileşenlerinden daha önce bahsetmiştim. Yazıya aşağıdaki linkten ulaşabilirsiniz:

https://aydogmusoglu.com/hp-arcsight-a-genel-bakis.html

Bu yazımda ArcSight bileşenlerinden biri olan “Logger” ’dan bahsedeceğim.

ArcSight Logger , yüksek “throughput” , verimli ve uzun süreli depolama , hızlı veri analizi sağlayan bir log yönetim çözümüdür. Logger, event’leri alır ve depolar, raporlama ve search desteği sunar ve isteğe bağlı olarak ta seçilen event’leri forward eder. RAW data’yı compress’ler, adli işlemler için genellikle modifiye edilmemiş data’yı alır.

ArcSight Logger iki farklı türde bulunur: ArcSight Logger Appliance ve ArcSight Software Logger

Software Logger kullanmak istiyorsanız bazı ön gereksinimlerin hazırlanması gerekir.

Software Logger Supported Platforms:

Red Hat Enterprise Linux (RHEL), version 6.1, 64 bit

Oracle Enterprise Linux (OEL) 5.5, 64 bit

CentOS, version 6.1, 64 bit

Adobe Flash Player plug-in

CPU , Memory , Disk Space :

Enterprise Version için;

CPU : 2 x Intel Xeon Quad Core

Memory : 12 – 24 GB

Disk Space : 65 GB (Min)

Downloadable Version için;

CPU : 1 – 2 x Intel Xeon Quad Core

Memory : 4 -12 GB

Disk Space : 10 GB (Min)

Software Logger downloadable version (free bir çözümdür) HP download center ‘dan temin edilerek yukarıda yazmış olduğum platformlardan biri üzerinde kurulabilir. Kurulduktan sonra web arayüzünden https:// IP_Adres ile bağlanılıp yönetilebilir.

Yazımızda ArcSight Logger Appliance’ ı ayrıntılı bir şekilde inceleyeceğiz. Yazının sonunda Logger Appliance’ın ilk kullanıma hazırlanması ile ilgili bilgi vermiş olacağım.

ArcSight Logger Appliance ‘ı initialize işleminden önce mutlaka Hardware Setup Guide’a göre installation işleminin başarılı bir şekilde tamamlandığından emin olunuz.

Logger Appliance rack mountable bir device’tır. Installation işleminden sonra ilk konfigurasyonuna geçilebilir.

Logger’a GUI mode ve CLI mode ile ulaşabilirsiniz. Logger kurulduktan sonra default bir ip adresi alır. Bu ip adresi 192.168.35.35 (Subnet Mask : 255.255.255.0) dir. Logger’a CLI mode ile bağlanıp ilgili konfigürasyonları yapacağız.

Logger ‘a CLI ile bağlanmanın 3 yolu vardır. Bunlardan biri, Logger’ın DB-9 connector’unden serial port’a bir kablo ile bağlayıp terminal bağlantısı yapabiliriz. Bir diğer yol klavye ve monitor ile , bir diğer yol ise ILO portu ile remote bağlanmaktır.

ArcSight Logger’a bağlandıktan sonra sırasıyla aşağıdaki işlemler yapılır.

1. clip_image001

2. Logger’a terminal ile bağlandığınızda ilk olarak yukarıdaki ekran gelir.

3. Logger’ın default Login name: admin ve Password : password ‘dur.

4. clip_image002

5. Credential girdikten sonra ilk konfigurasyonlarımıza başlayabiliriz. Yukarıdaki resimde görüldüğü gibi Logger ‘ın hostname’i logger şeklindedir. Basic Configuration için ;
logger>
şeklinde komut satırı gelmektedir.

6. Öncelikle Show Config komutu ile logger konfigurasyonu hakkında bilgi sahibi olalım.

7. clip_image003

8. Yukarıda bahsettiğimiz gibi logger’ın default ip adresi 192.168.35.35 ‘tir. Logger’a GUI ile bağlanabilmek için bu ip bloğundan bir host edinip https://192.168.35.35 ile browser ‘ınızdan bağlanıp initial configuration yapabilirsiniz.

9. Yukarıdaki resimde logger’ ın hostname ‘i (logger), ip adresi ( 192.168.35.35/24) , default gateway’i (192.168.35.1) , domain bilgisi (localdomain) olarak görülmektedir.

10. İlk olarak güvenlik nedeniyle logger’a login olmamızı sağlayan admin account’unun password’ünü değiştirmekle işe başlayalım.

11. clip_image004

12. Yukarıdaki resimde görüldüğü gibi set password komutu ile password’u değiştirdik.

13. Ip adresi değiştirmeden önce , aynı ip bloğundan bir ip adresine sahip Windows 7 istemci ile ve web browser ile de logger aryüzüne bağlanıp gözleyelim.

14. clip_image005

15. Browser’ınıza https://192.168.35.35 yazdıktan sonra öncelikle bir sertifika uyarısı ile karşılaşırsınız. Devam edince yukarıdaki login ekranı gelir. Username ve password girebilirsiniz. Default ayarlar değiştirilmediyse admin ve password olarak girebilirseniz. Password değiştirdiyseniz yeni şifrenizi girebilirsiniz.

16. clip_image007

17. License dosyasına sahip değil iseniz buradan ileriye gidemezsiniz. .enc uzantılı lisans dosyanızı browse butonuna tıklayarak seçip Upload License ile Logger’a girebilirsiniz. Bu kısımda Locale Settings ve Date / Time settings işlemlerini de yapabilirsiniz.

18. clip_image009

19. clip_image011

20. License dosyası upload edildikten sonra logger reboot edilir. Bu birkaç dakika sürebilir.

21. Cihaz reboot edildikten sonra ilk connector konfigurasyonu ile ilgili bir pencere ile karşılaşırsınız. Connector’ü ekleyebilir ya da daha sonra ekleme işlemi de yapabilirsiniz. Biz bu kısımda connector eklemeyeceğimiz için bu işlemi yapmadan devam edebiliriz.

22. clip_image013

23. clip_image015

24. CLI mode ‘dan show config ile gözlediğimiz logger konfigurasyonu GUI ile de yukarıdaki gibi gözlenmektedir.

25. CLI mode ile initial configuration’a devam edelim.

26. clip_image016

27. Yukarıda gördüğünüz gibi Set hostname ile logger hostname’ini değiştirdik.

28. Logger default ip adresi ve default gateway adresini de değiştirelim.

29. clip_image017

30. clip_image018

31. Şimdi de DNS ayarlarını yapalım.

32. clip_image019

33. Tekrar show config ile gözleyelim.

34. clip_image020

35. Böylece Logger’a ilk konfigurasyonu yapmış olduk.

36. Artık web browser üzerinden yeni ip adresi ile login olabilirsiniz.

Bu yazımız ile ArcSight Logger Appliance üzerinde initial configuration’ı gözlemiş olduk.

Sonraki yazılarımızda Logger üzerinde işlem yapmaya devam edeceğiz.

Esen kalın…….

1 comment found

  1. Pingback: CentOS 6.3 Üzerine ArcSight Software Logger Kurulumu | IT diaries by barisca & seldaa

Comments are closed.