IT & IoT Security | Cloud | It's all about the life itself

Nothing in life is as important as you think it is, while you are thinking about it.

Vmware VCenter Log ‘larının HP ArcSight Logger ile Gözlenmesi

Merhaba,

Security Information & Event Management göz önüne alındığında, her platformdan log alabilmek ve bu log’ları anlamlı hale getirebilmek önem kazanıyor. Bu yazımda, HP ArcSight ürünü ile “VMware Virtual Center Server’daki alert’leri(log’ları) nasıl kolayca ArcSight Logger ‘ınız ile görebilirsiniz” ‘i açıklamak istedim.

1- Öncelikle VCenter sertifikasının CACERTS isimli ArcSight Connector sertifika store’una import edilmesi gerekir.

2- VCenter sertifikasını kopyalamak için ArcSight Connector makinasında CVMware-Certs isimli ile bir klasör açalım.

3- clip_image001

4- VCenter sertifikasını, açtığımız klasöre download edebilmek için VCenter’a bağlandığınız (Vmware vSphere Client ile ) sırada Certificate Warning penceresinde View Certificate butonu tıklanır. Ve dijital sertifika kopyalanır.

5- clip_image002

6- clip_image004

7- Sertifikayı cacert isimli connector sertifika store’una import etmek için keytoolgui aracına ihtiyacımız var. Bu tool, connector kurulduktan sonra (daha önce conncetor kurulum sihirbazını çalıştırıp extraction işlemini tamamladığınızı varsayıyorum. Aşağıdaki adımlarda bundan ayrıntılı bahsedilecektir.) kurduğunuz path’de klasör içerisinde oluşturulmaktadır.

8- Daha önceden connector ‘lerin kurulu olduğu sunucuma ArcSight Console Tool’unu kurdum Buradaki keytoolgui aracını komut satırı aracılığıyla çalıştırıyorum. ( aşağıdaki screenshot‘ta file path görülmektedir. Connector ‘ün bulunduğu path ‘de de aynı şekilde bin klasörü içerisinde bulunmak. Connector klasöründen çalıştırdığınızda bu keytoolgui.bat çalışmaz ise ArcSight Console tool ‘unu kurup bu yöntemimi izleyebilirsiniz)

9- clip_image005

10- clip_image007

11- Yukarıdaki pencere açılıyor.

12- Bu kısımdan sonra önemli olan Vmware VCenter loglarının ArcSight Logger tarafından toplanmasını sağlayan Vmware Web Services connector’unun extraction işlemini yapıp cacert database’inin oluşmuş olmasıdır.

13- clip_image009

14- Yukarıda gördüğünüz gibi bu database içerisine VCenter sertifikamızı import edeceğiz ki connector eklenmesi ve konfigurasyonu sırasında sertifika sorunu yaşamayalım.

15- Şimdi import işlemine kaldığımız yerden devam edelim.

16- clip_image010

17- clip_image011

18- Yukarıdaki resimde gördüğünüz gibi Connector lokasyonundaki cacerts dosyasını gösteriyoruz.

19- clip_image012

20- Open butonuna tıkladığınızda cacerts database’indeki trusted sertifikaları görebiliyor olacaksınız.

21- clip_image013

22- VCenter sertifikamızı Import Trusted Certificate seçeneğini seçip import edebiliriz.

23- clip_image014

24- Yukarıda gördüğünüz gibi artık sertifika store içerisinde vmware default certificate görülmektedir.

25- Connector kurulumundan bu kısımda bahsedeceğim. Fakat 12. maddede bahsettiğim üzere conncetor ‘u sizler önceden extract ediniz.

26- Connector kurulumunu Windows Server 2008 R2 sunucu üzerine yapacağım için windows connector installation dosyasına çift tıklıyoruz.

27- clip_image015

28- clip_image016

29- Yukarıdaki resimde connector kurulum lokasyonunu seçiyoruz ve next diyoruz.

30- clip_image017

31- Typical kurulum yapacağız.

32- clip_image018

33- clip_image019

34- Yukarıdaki ekranda pre-instalaltion summary görüyorsunuz ,kontrol edip install diyebilirsiniz.

35- clip_image021

36- Bu ekranda siz henüz certifika import etmediğiniz için cancel diyebilirsiniz.

37- Böylece bize sertifika import için gerekli olan cacerts dosyası oluşmuş olacaktır.

38- Daha sonra 24. Maddeye kadar olan sertifika import işlemini gerçekleştirip connector konfigurasyonu için runagentsetup.bat dosyası (connector kurulumu yaptığınız klasör içerisinde bin alt dizininde bulunur)çalıştırılır.

39- Runagentsetup.bat dosyası çalıştırıldığında modify connector seçeneği ile devam edilir. Bu yazımda normal kuruluma devam ediyorum. Yukarıdaki resimdeki ekranda add connector seçeneğini seçiyorum. Bu kısımdan sonrası her iki şekilde de aynı olacaktır.

40- clip_image022

41- Yukarıdaki resimde görüldüğü gibi connector tipi olarak Vmware Web Services seçilir. ESX hostlardan ayrı ayrı log toplamak isterseniz syslog connector’ü işinizi görecektir. Eğer syslog Connector kullanarak ESX hostlardan log toplamak istiyorsanız ESX hostlar üzerinde Connector kurulu makinayı tanıtmayı unutmayınız. Aşağıdaki ekranda bu görülmektedir.

42- clip_image024

43- 42. Madde extra bir bilgidir. Bu nedenle 40. maddeden devam ediyoruz.

44- clip_image025

45- Yukarıdaki ekranda sertifika validation işlemi için true seçilir. ( Sertifika import ettiğiniz için validation başarıllı bir şekilde tamamlanmalı!)

46- clip_image027

47- Yukarıda gördüğünüz ekranda VCenter server’ınıza ait bilgilerin girilmesi gerekir! Add’e tıklanır ve ilgili bölümler uygun şekilde doldurulur.

48- Eğer sertifika başarılı bir şekilde import edilmemiş ise aşağıdaki gibi bir hata ile karşılaşırısınız.

49- clip_image029

50- Buna “yes” diyerek geçerseniz connector kurulumu tamamlanır fakat başarılı sonuçlar alamayabilirsiniz.

51- clip_image031

52- Sertifika hatası almadan 44. ve 46. maddedeki ekranı geçiyoruz ve yukarıdaki ekranda destination belirlememiz gerekiyor. Burası connector ile topladığımız log’ların gönderileceği destination ‘dır. Biz ArcSight Logger’a göndermek istediğimiz için ilgili seçeneği seçip devam ediyoruz.

53- Ve logger’a ait bilgiler..

54- clip_image033

55- Yukarıdaki resimde görüldüğü gibi ArcSight Logger IP / Hostname bilgisi, port bilgisi ve receiver bilgisi girilir. Receiver, Logger üzerinde önceden oluşturulmuş olmalıdır. Logs isimli receiver’ı bunun için önceden oluşturdum ve log alması için kullanıyorum.

56- clip_image035

57- Yukarıdaki ekranda connector ‘e özel bir isim tanımlayabilirsiniz. Diğer attribute’lar opsiyoneldir.

58- clip_image037

59- Ve connector’ünüzün service olarakta çalışması için 1. seçeneği seçip devam ediyoruz.

60- Servis ile ilgili bilgiler kısmında defaut bırakıyorum ve next diyebilirsiniz.

61- clip_image038

62- Yukarıdaki ekranda Install Service Summary görüyoruz , inceleyip next diyebiliriz.

63- clip_image039

64- Yukarıda gördüğünüz gibi connector kurulumu başarılı bir şekilde tamamlanmıştır.

65- Connector için yapılması gerekenler tamamlandıktan sonra service’i start edip logger ‘ınızda da otomatik olarak oluştuğunu görebilirsiniz.

66- Artık VCenter sunucunuzdan log’lar Vmware Web Services connector’ü aracılığıyla ArcSight Logger içerisine aktarılmaya başlar.

67- Aşağıda gelen log ‘ların logger’dan aldığım örnek bir görüntüsü mevcut.

68- clip_image041

Farklı tip ArcSight SmartConnector yazılarında görüşmek üzere…..

Neşeli günler…