Vmware VCenter Log ‘larının HP ArcSight Logger ile Gözlenmesi
Merhaba,
Security Information & Event Management göz önüne alındığında, her platformdan log alabilmek ve bu log’ları anlamlı hale getirebilmek önem kazanıyor. Bu yazımda, HP ArcSight ürünü ile “VMware Virtual Center Server’daki alert’leri(log’ları) nasıl kolayca ArcSight Logger ‘ınız ile görebilirsiniz” ‘i açıklamak istedim.
1- Öncelikle VCenter sertifikasının CACERTS isimli ArcSight Connector sertifika store’una import edilmesi gerekir.
2- VCenter sertifikasını kopyalamak için ArcSight Connector makinasında CVMware-Certs isimli ile bir klasör açalım.
4- VCenter sertifikasını, açtığımız klasöre download edebilmek için VCenter’a bağlandığınız (Vmware vSphere Client ile ) sırada Certificate Warning penceresinde View Certificate butonu tıklanır. Ve dijital sertifika kopyalanır.
7- Sertifikayı cacert isimli connector sertifika store’una import etmek için keytoolgui aracına ihtiyacımız var. Bu tool, connector kurulduktan sonra (daha önce conncetor kurulum sihirbazını çalıştırıp extraction işlemini tamamladığınızı varsayıyorum. Aşağıdaki adımlarda bundan ayrıntılı bahsedilecektir.) kurduğunuz path’de klasör içerisinde oluşturulmaktadır.
8- Daha önceden connector ‘lerin kurulu olduğu sunucuma ArcSight Console Tool’unu kurdum Buradaki keytoolgui aracını komut satırı aracılığıyla çalıştırıyorum. ( aşağıdaki screenshot‘ta file path görülmektedir. Connector ‘ün bulunduğu path ‘de de aynı şekilde bin klasörü içerisinde bulunmak. Connector klasöründen çalıştırdığınızda bu keytoolgui.bat çalışmaz ise ArcSight Console tool ‘unu kurup bu yöntemimi izleyebilirsiniz)
11- Yukarıdaki pencere açılıyor.
12- Bu kısımdan sonra önemli olan Vmware VCenter loglarının ArcSight Logger tarafından toplanmasını sağlayan Vmware Web Services connector’unun extraction işlemini yapıp cacert database’inin oluşmuş olmasıdır.
14- Yukarıda gördüğünüz gibi bu database içerisine VCenter sertifikamızı import edeceğiz ki connector eklenmesi ve konfigurasyonu sırasında sertifika sorunu yaşamayalım.
15- Şimdi import işlemine kaldığımız yerden devam edelim.
18- Yukarıdaki resimde gördüğünüz gibi Connector lokasyonundaki cacerts dosyasını gösteriyoruz.
20- Open butonuna tıkladığınızda cacerts database’indeki trusted sertifikaları görebiliyor olacaksınız.
22- VCenter sertifikamızı Import Trusted Certificate seçeneğini seçip import edebiliriz.
24- Yukarıda gördüğünüz gibi artık sertifika store içerisinde vmware default certificate görülmektedir.
25- Connector kurulumundan bu kısımda bahsedeceğim. Fakat 12. maddede bahsettiğim üzere conncetor ‘u sizler önceden extract ediniz.
26- Connector kurulumunu Windows Server 2008 R2 sunucu üzerine yapacağım için windows connector installation dosyasına çift tıklıyoruz.
29- Yukarıdaki resimde connector kurulum lokasyonunu seçiyoruz ve next diyoruz.
31- Typical kurulum yapacağız.
34- Yukarıdaki ekranda pre-instalaltion summary görüyorsunuz ,kontrol edip install diyebilirsiniz.
36- Bu ekranda siz henüz certifika import etmediğiniz için cancel diyebilirsiniz.
37- Böylece bize sertifika import için gerekli olan cacerts dosyası oluşmuş olacaktır.
38- Daha sonra 24. Maddeye kadar olan sertifika import işlemini gerçekleştirip connector konfigurasyonu için runagentsetup.bat dosyası (connector kurulumu yaptığınız klasör içerisinde bin alt dizininde bulunur)çalıştırılır.
39- Runagentsetup.bat dosyası çalıştırıldığında modify connector seçeneği ile devam edilir. Bu yazımda normal kuruluma devam ediyorum. Yukarıdaki resimdeki ekranda add connector seçeneğini seçiyorum. Bu kısımdan sonrası her iki şekilde de aynı olacaktır.
41- Yukarıdaki resimde görüldüğü gibi connector tipi olarak Vmware Web Services seçilir. ESX hostlardan ayrı ayrı log toplamak isterseniz syslog connector’ü işinizi görecektir. Eğer syslog Connector kullanarak ESX hostlardan log toplamak istiyorsanız ESX hostlar üzerinde Connector kurulu makinayı tanıtmayı unutmayınız. Aşağıdaki ekranda bu görülmektedir.
43- 42. Madde extra bir bilgidir. Bu nedenle 40. maddeden devam ediyoruz.
45- Yukarıdaki ekranda sertifika validation işlemi için true seçilir. ( Sertifika import ettiğiniz için validation başarıllı bir şekilde tamamlanmalı!)
47- Yukarıda gördüğünüz ekranda VCenter server’ınıza ait bilgilerin girilmesi gerekir! Add’e tıklanır ve ilgili bölümler uygun şekilde doldurulur.
48- Eğer sertifika başarılı bir şekilde import edilmemiş ise aşağıdaki gibi bir hata ile karşılaşırısınız.
50- Buna “yes” diyerek geçerseniz connector kurulumu tamamlanır fakat başarılı sonuçlar alamayabilirsiniz.
52- Sertifika hatası almadan 44. ve 46. maddedeki ekranı geçiyoruz ve yukarıdaki ekranda destination belirlememiz gerekiyor. Burası connector ile topladığımız log’ların gönderileceği destination ‘dır. Biz ArcSight Logger’a göndermek istediğimiz için ilgili seçeneği seçip devam ediyoruz.
53- Ve logger’a ait bilgiler..
55- Yukarıdaki resimde görüldüğü gibi ArcSight Logger IP / Hostname bilgisi, port bilgisi ve receiver bilgisi girilir. Receiver, Logger üzerinde önceden oluşturulmuş olmalıdır. Logs isimli receiver’ı bunun için önceden oluşturdum ve log alması için kullanıyorum.
57- Yukarıdaki ekranda connector ‘e özel bir isim tanımlayabilirsiniz. Diğer attribute’lar opsiyoneldir.
59- Ve connector’ünüzün service olarakta çalışması için 1. seçeneği seçip devam ediyoruz.
60- Servis ile ilgili bilgiler kısmında defaut bırakıyorum ve next diyebilirsiniz.
62- Yukarıdaki ekranda Install Service Summary görüyoruz , inceleyip next diyebiliriz.
64- Yukarıda gördüğünüz gibi connector kurulumu başarılı bir şekilde tamamlanmıştır.
65- Connector için yapılması gerekenler tamamlandıktan sonra service’i start edip logger ‘ınızda da otomatik olarak oluştuğunu görebilirsiniz.
66- Artık VCenter sunucunuzdan log’lar Vmware Web Services connector’ü aracılığıyla ArcSight Logger içerisine aktarılmaya başlar.
67- Aşağıda gelen log ‘ların logger’dan aldığım örnek bir görüntüsü mevcut.
Farklı tip ArcSight SmartConnector yazılarında görüşmek üzere…..
Neşeli günler…