Splunk – Active Directory Log ‘larının toplanması – Bölüm 1

Merhaba,

Log Management ürünlerinde de olduğu gibi, hemen her kaynaktan üretilen log’ları Splunk ürünü ile toplayabiliyorsunuz ve inceleyebiliyorsunuz. Bu kaynaklardan biri de Microsoft ürünleri için dizin hizmetini sunan Active Directory yapısıdır.

Active directory (AD kısaltması ile geçecek) yapısının veritabı NTDS.DIT dosyasında tutulur. NTDS.DIT dosyası, AD yapısında var olan fiziksel bileşenlerden domain controller görevini yürüten sunucularda tutulur ve tüm domain controller’lardaki dosyalar birbirleri ile aynıdır(sync’ed). AD replikasyonları ile bu “teklik” sağlanır. AD yapısında gerçekleştirilen değişiklikler bu dosyada tutulur(obje oluşturma,silme,güncelleme vb.) AD ‘de yapılan değişikliklere dair log’lar(event,olay) Event Viewer(olay görüntüleyicisi) altında çeşitli alt kategorilerde saklanır.

Yazımda, Splunk ile AD log’larının toplanmasından bahsetmek istiyorum. Test ortamımdan bahsedeyim.

Hypervisor : Windows 8.1 Hyper-v

Domain Controller: 1 x Windows Server 2012 R2 , Forest Functional Level Windows Server 2012 R2

Exchange Server : 1 x Exchange Server 2013 CU5

Splunk Instance : 1 x Windows Server 2012 R2 üzerinde Splunk Instance’ı çalışmakta

Firewall : Check Point R77

Splunk web servisine(yönetim web sayfası) bağlanalım.

Continue reading “Splunk – Active Directory Log ‘larının toplanması – Bölüm 1”

Splunk ile Check Point R77 log ’larının toplanması

Merhaba,

Önceki yazılarımda, Splunk’ın ve forwarder’ının CentOS üzerinde çalıştırılmasından bahsetmiştim. Blog’umdaki ilgili yazıları inceleyebilirsiniz. Bu yazımda; Splunk ile Check Point R77 log’larının toplanmasından bahsetmek istiyorum.

Not: Bu yazı, Splunk ve Check Point için resmi bir döküman değildir.Bu doküman; yazarın, üretim ortamınız ile uyuşamayabilecek test ortamı deneyimlerini içerebilir.

Note: This is not an official Splunk & Check Point document. This document contains author’s test environment experience which might not fit with your production environment.

Test ortamımdan bahsedeyim.

Sanallaştırma platformu olarak Hyper-v 3 (windows 8.1) kullandım. Aşağıdaki bahsi geçen tüm sunucular sanal sunucudur.

Splunk Indexer,Splunk Web ve Light&Heavy forwarder bileşenleri, fqdn’i siem.nwtraders.msft olan CentOS 6 sunucusu üzerinde çalışmaktadır.

Check Point R77 sürümünü kullandım. Management ve gateway bileşenleri tek bir sanal sunucu üzerinde çalışmaktadır.

Windows Server 2012 R2 işletim sistemi üzerinde Active Directory domain servisi çalışmaktadır.(Bu lab için domain controller ihtiyacı bulunmuyor)

Splunk’ın kurulduğunu ve çalıştığını varsayarak devam ediyorum.

Continue reading “Splunk ile Check Point R77 log ’larının toplanması”

Enterprise Vault 10 MS Office Outlook Add-in log ’ları

Merhaba,

Enterprise Vault’un Outlook eklentisi ile ilgili hata denetimi yapmak isterseniz TEMP klasörü altına oluşturulan log dosyalarını kullanabilirsiniz.

İşletim sisteminde temp klasörünün nerede tutulduğu görmek için aşağıdaki ayara bakabilirsiniz.

image

Temp klasöründe ilgili log dosyalarını bulabilirsiniz.

image

Log dosyalarının içeriği, hata denetiminde size yardımcı olacaktır. Örneğin problemli bir eklentinin ürettiği log aşağıdaki gibi.

image

Bu problemin çözmünü blog’umda yazmıştım. http://www.aydogmusoglu.com/ms-office-outlook-enterprise-vault-outlook-add-in-ve-compatibility-error.html

Herkese iyi hafta sonları dilerim.

Exchange Server Mailbox Audit Log ‘larının HP ArcSight SIEM Solution ile Gözlemi

Merhaba;

Aşağıdaki anlatımımızda;

Ben,

Exchange Server 2010 üzerinde Mailbox Auditing yapısından, mailbox auditing konfigürasyonundan , mailbox audit log’larının LogBinderEX ile Syslog Common Event Format ‘ta HP ArcSight SIEM sistemine aktarılmasından bahsettim.

Eşim,

Selda , Exchange Server 2010 Mailbox Audit Log ‘larının HP ArcSight SIEM sistemi ile normalizasyonundan , yorumlanmasından , filtrelenmesinden ve istenilen kriterlerde raporlanmasından (HP ArcSight SIEM sistemi hakkında bilgilendirme yaparak ) bahsetti.

Exchange Server Mailbox Audit log ‘larını HP ArcSight SIEM sistemi (diğer SIEM çözümleri için aşağıdaki nota bakınız!) ile yorumlamak ve aksiyon aldırabilmek kurumsal firmaların Mesajlaşma Sistemleri yönetimi ve Bilgi Güvenliği yönetimi açısından oldukça önemlidir.

Not : SIEM çözümlerine Gartner’s Magic Quadrant’tan bakabilirsiniz.

Herkese sorunsuz ve neşeli günler dileriz.

WebSense Log’larının ArcSight Logger ile Gözlenmesi

Merhaba,

Bu yazımda HP Arcsight Logger ile WebSense log’larının alınması ve gözlenmesinden bahsedeceğim. Hangi kaynaktan log alıyorsak alalım,daha önceki yazılarımda da bahsettiğim gibi Connector kurulumu yapmamız gerekiyor. Connector kullanarak, hem log’ların Logger’a gönderilmeden filtrelenmesini hem de normalize edilmesini sağlayabiliriz. Bu bize efektif şekilde log management imkanı sunar.

Websense log’larının alınması için ArcSight Websense Web Security Suite SNMP smart connector’u hali hazırda bulunmaktadır. Bu connector ile SNMP aracılığıyla Websense logları connector’e iletilir. Websense üzerinde yapılması gereken bazı konfigurasyonlar vardır. Bunlar ;

Continue reading “WebSense Log’larının ArcSight Logger ile Gözlenmesi”