Upload
ertugrul-akbas
View
552
Download
0
Embed Size (px)
DESCRIPTION
5651 Sayılı Yasaya göre log toplama, imzalama ve depolama ürünü.Bütün marka ve modellerle uyumludur.
Citation preview
2010
Ertuğrul AKBAS
[ANET YAZILIM]
19.01.2011
AnetLogCollector
2
2
ALC: LOG TOPLAMA VE ANALİZ PROGRAMI
ALC :
Log toplama programı 01.11.2007 tarihli ve 26687 sayılı Resmi Gazete'de
yayımlanan İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönet melik’in 5 inci maddesi
birinci fıkrasının (e) bendine istinaden, (d) bendi gereğince, ticari amaçla internet
toplu kullanım sağlayıcılarının elektronik ortamda sistemlerine kaydetmelerini
sağlayan log kayıt programıdır.
Logarının doğruluğunun ve bütünlüğünün teyit edilebilmesi için
Telekomünikasyon İletişim Başkanlığı tarafından hazırlanan IP Log İmzalayıcı programı ile birlikte kullanılmaktadır
ALC ile 5651 Nolu yasa kapsamında sistemde alınması gereken tüm logların merkezi
bir noktaya toplanmasını ve kanunda belirtilen Bilgilerin Doğruluğunu, Bütünlüğünü ve
oluşacak olan verinin dosya bütünlük değeri olan HASH bilgisinin zaman damgası ile
saklanmasını ve gizliliğinin temin edilmesini sağlayan bir sistemdir. Sistem : Firewall,
UTM sistemler, Sunucular, Aktif cihazlar, Database’ler ve kullanıcı
bilgisayarlarında üretilmiş olan logların merkezi bir noktaya toplanmasını,
HASH alınıp üzerine Zaman Damgası vurularak Bilgilerin Doğruluğunun ve
Bütünlüğünün korunmasını sağlayan bir uygulamadır. Sistem yapısında toplanan
loglar ve verilerde hiçbir değişiklik yapılmadan sistemin tanıyacağı formata çevrilir. ALC
web tabanlı bir arayüze sahiptir, dolayısı ile uzak bağlantı ile yönetim ve konfigurasyon yapılabilir.
ALC Giriş Ekranı: Programa ilk kurulduğunda gelen ekrana Kullanıcı adı admin “Şifre olarakta demo olacak şeklinde girip Login butonuna basınız.
3
3
AYARLAR
GENEL AYARLAR:
Bu sayfada Cihazlardan gelen logların Veritabanına kaydedilip kaydedilmeyeceği ayarı yapılır.”BÜTÜN LOGLARI
VERİTABANINA KAYDET” seçeneğini işaretlersek gelen tüm loglar geldikleri gibi işlenmemiş halleriyle
veritabanına işlenir.
Ayrıca DNS CONVERTER ayarında enable tıklanıp süre belirtilirse burada belirtilen periyotlarda Reverse DNS
yaparak HOSTNAME çözümlemesi yapar.
SYSLOG AYARLARI:
LOG AYARLARISYSLOG AYARLARI
Syslog standardında log kaydı yapabilen cihazlardan log toplayabilmek için SYSLOG
ayarlarının yapılması gerekir. Syslog ekranından birden fazla SYSLOG server
oluşturabilirsiniz.
4
4
Ekleme ekranında syslog server oluşturulacak ip ve syslog server a verilecek ad girilir.
Birden çok syslog oluşturmak için port ekle butonuna basmak yeterlidir.
Gelen ekrana port u “514” gibi sayı olarak ismi de alfanümerik bir değer girilmelidir.
SNMP-TRAP AYARLARI:
LOG AYARLARI SNMP-TRAP LOG AYARLARI
SNMP-TRAP standardında log kaydı yapabilen cihazlardan log toplayabilmek için SNMP-
TRAP ayarlarının yapılması gerekir. SNMP-TRAP ekranından birden fazla server
oluşturabilirsiniz.
Ekleme ekranında SNMP-TRAP server oluşturulacak ip ve SNMP-TRAP server a verilecek
ad girilir. Birden çok SNMP-TRAP oluşturmak için port ekle butonuna basmak yeterlidir.
Gelen ekrana port u “162” gibi sayı olarak ismi de alfanümerik bir değer girilmelidir.
TEXT-LOG AYARLARI:
LOG AYARLARITEXTLOG AYARLARI
Windows DHCP logları veya loglarını text olarak export eden cihazlardan log
toplayabilmek için TEXT LOG ayarlarının yapılması gerekir. TEXT LOG ekranından birden
fazla dosya yada dizinine aktarılan loglar sisteme alınır.
5
5
Takip edilecek olan dosyalar ara yüz kullanılarak sisteme tanıtılır.
Tipi: Takip edilecek sistem dosya mı dizin mi seçilir
Path: Dosyanın path i
File Başlangıcı: Takip edilecek dosyalarının adında başlangıcında geçmesini istediğiniz
kelime
FTP AYARLARI:
LOG AYARLARIFTPLOG AYARLARI
IP ARALIĞI AYARLARI:
Sisteminizde yasa kapsamında dinlenmemesi gereken cihazlar (Camera,Fax cihazı,vs..)varsa buradan Tek IP
panelini doldurarak dinlenmesi gerek IP adreslerini programa bildirebilirsiniz.
ÖRN:192.168.1.5 IP adresini dinle şeklinde komut verebilirsiniz.
AAAAA
Bununla birlikte IP aralığı şeklinde de ekleme yapabilirsiniz
ÖRN:192.168.1.25 ile 192.168.2.55 arasını dinle şeklinde programı yönlendirebilirsiniz.
LİSANS AYARLARI:
6
6
Anet Yazılım tarafından size verilen Lisans ID numarasıyla birlikte Kullanıcı bilgilerinizi girip Kaydet butonuna
tıklayarak Lisanslama yapabilirsiniz.
NOT:Lisans bilgileri eklerken Türkçe karakter kullanmadan ve boşluk bırakmadan kutucukları doldurmanız
gerekmektedir.
KULLANICI AYARLARI:
Bu ekranda kullanıcı ekleme, değiştirme ve silme ekranıdır. İki farklı kullanıcı tipi
oluşturabilirsiniz.
Administrator: Programda bütün değişiklikleri yapma, farklı konfigürasyonlar oluştura
bilme ve aynı zamanda tüm raporları görme hakkında sahiptir.
Sınırlı Kullanıcı: Bu statüdeki kullanıcı tamamen sınırlı olup ayarlara hiç ulaşmaz sadece
raporları görme hakkına sahiptir. Değiştirme Silme ve Ekleme hakkında sahip değildir.
7
7
YEDEKLEME AYARLARI:
ALC default olarak her ayın son günü aldığı tüm raporları yedekler ancak buradaki yedekleme ayarlarına
gelerek “Yedeklemeyi Şimdi Yap ” seçeneğini aktif ederseniz veri tabanının manuel olarak yedeğini almış
olursunuz.
RAPOR AYARLARI:
Oluşturulacak EXCELL ve PDF raporları için raporlama limit belirtebilirsiniz. Bu işlemi yapabilmeniz için rapor
ayarları sekmesine gelerek alfanümerik bir değer girmelisiniz.
Ek olarak bu sekmeden Özet ve Özel raporlama alternatiflerini kullanabilirsiniz.
8
8
Özet raporlarda
Son bir saat
Bugün
Dün
Son bir hafta
Son iki hafta
Son bir ay
Şeklinde seçenekler mevcuttur . özel raporlarda ise istediğiniz tarih aralığını seçerek rapor sorgusu
oluşturabilirsiniz.
RAPORLAR
DHCP RAPORLARI:
DHCP: 5651 Nolu yasa kapsamında sistemde alınması gereken tüm logların merkezi bir
noktaya toplanmasını ve kanunda belirtilen Bilgilerin Doğruluğunu, Bütünlüğünü ve
oluşacak olan verinin dosya bütünlük değeri olan HASH bilgisinin zaman damgası ile
saklanmasını ve gizliliğinin temin edilmesini sağlayan bir Ayrıca tarih aralıklarına göre
yada ip aralıklarına göre sorgu yapma imkanı sağlar. Excell, Pdf butonlarına basılarak
Excell ve Pdf formatında raporlar alınabilir.Ayrıca Kanunun istediği formata çevirimle
işlemi de yapılır.
Cpu:Programın Kurulu olduğu bilgisayardaki işlemcinin (CPU) o an için ne kadar
kullanıldığını gösterildiği grafiktir.
Disk:Programın Kurulu olduğu bilgisayardaki diskin C dizinin kapasitesini gösterir.
RAM: Programın Kurulu olduğu bilgisayardaki anlık RAM kullanım oranını gösterir.
9
9
SYSLOG RAPORLARI:
SYSLOG: Sistemde mevcut olan network kartlarını üzerinden geçen trafik gözetlenerek
log kayıtları tutulur. Bu raporda filtremle yapılmayarak tüm protokollerin logları kayıt
altına alınır.Ayrıca bütün loglar ve kayıtlar arasındaki ilişkinin sağlanması ve
değiştirilemeden sağlanması için HASH+zaman damgası kullanılarak tüm loglar
imzalanmış olur. Tarih aralıklarına göre yada ip aralıklarına göre sorgu yapma imkanı
sağladığı gibi Kendi REGULAREXPRESSION komutunuzu girerek sorgu oluşturabilirsiniz.
Excell,Pdf, butonlarına basılarak Excell ve Pdf fromatında raporlar alınabilir.
Cpu:Programın Kurulu olduğu bilgisayardaki işlemcinin (CPU) o an için ne kadar
kullanıldığını gösterildiği grafiktir.
Disk:Programın Kurulu olduğu bilgisayardaki diskin C dizinin kapasitesini gösterir.
RAM: Programın Kurulu olduğu bilgisayardaki anlık RAM kullanım oranını gösterir.
10
10
Ek olarak REGULAR-EXPRESSION örneği arayüzde mevcuttur.
11
11
BİLGİ
SİSTEM BİLGİSİ:
Lisanslama sonrası kullanıcının lisans ID siyle birlikte diğer lisanslama bilgilerini görebileceği sayfadır.
LOGOUT
LOGOUT:
Programda oturum açan kullanıcı bu TAB’ı kullanarak oturumunu sonlandırabilir.
12
12
MS EXCHANGE,ZIMBRA,POSTFIX,MERAK VB.. MAIL SUNUCU
Mail sunuculardan log toplamanın en kolay yolu mail sunucu log dosyalarını takip etmektir. Bu takip dosya
değişir değişmez dosyadaki değişiklikleri analiz edip kimin kime hangi server üzerinden mail attığını ilişkisel
veritabanında dijital imzalı olarak tutmak şeklinde gelişir. Aşağıdaki ekranda takip edilecek log dosyasının
sisteme eklenmesi gösterilmektedir.
LOG AYARLARITEXTLOG AYARLARI
Windows DHCP logları veya loglarını text olarak export eden cihazlardan log
toplayabilmek için TEXT LOG ayarlarının yapılması gerekir. TEXT LOG ekranından birden
fazla dosya yada dizinine aktarılan loglar sisteme alınır.
MICROSOFT DHCP SUNUCU
Microsoft DHCP sunucusunun loglarını takip etmek ve analiz edebilmek için AYARLAR-TEXT LOG AYARLARI yolu
izlenerek DHCP sunucu log dosyaları sisteme tanıtılır
13
13
LOG AYARLARITEXTLOG AYARLARI
Windows DHCP logları veya loglarını text olarak export eden cihazlardan log
toplayabilmek için TEXT LOG ayarlarının yapılması gerekir. TEXT LOG ekranından birden
fazla dosya yada dizinine aktarılan loglar sisteme alınır.
Bu işlemden sonra sistem logları analiz edip RAPORLAR altındaki DHCP raporları kısmına aktarır.
MICROSOFT ISA SERVER
Microsoft ISA SERVER loglarını takip etmek için AYARLAR-TEXT LOG AYARLARI yolu izlenerek ISA SERVER log
dosyaları sisteme tanıtılır
LOG AYARLARITEXTLOG AYARLARI
Windows DHCP logları veya loglarını text olarak export eden cihazlardan log
toplayabilmek için TEXT LOG ayarlarının yapılması gerekir. TEXT LOG ekranından birden
fazla dosya yada dizinine aktarılan loglar sisteme alınır.
14
14
Bu işlemden sonra sistem logları analiz edip RAPORLAR altındaki FIREWALL ve URLLOG raporları kısmına aktarır.
SYSLOG MESAJLARININ GELİP GELMEDİĞİNİN KONTROLÜ
Bu sayfada Cihazlardan gelen logların Veritabanına kaydedilip kaydedilmeyeceği ayarı yapılır.”BÜTÜN LOGLARI
VERİTABANINA KAYDET” seçeneğini işaretlersek gelen tüm loglar geldikleri gibi işlenmemiş halleriyle
veritabanına işlenir.
Ayrıca DNS CONVERTER ayarında enable tıklanıp süre belirtilirse burada belirtilen periyotlarda Reverse DNS
yaparak HOSTNAME çözümlemesi yapar.
15
15
Bu ayarlar yapıldıktan sonra gelen bütün SYSLOG mesajları RAPORLAR-SYSLOG yoluyla görüntülenebilir veya
imzalanmış olarak Excel dosyasına indirilebilir.
TEXT DOSYALARININ TAKIBI
Text dosyalarının takibinde interval değeri kritiktir.
Takip edilecek dosya 200 M ise 3000 bu oran korunarak girilmelidir.3GB i7 bir sistemde 1500000 kayıt yaklaşık
40 dakikada rapor oluşturulabilir hale gelmektedir. Bu süreyi düşürmek için RAM arttırılmalıdır. Mesela aynı
sistem 6 GM ram ile 25 DK da işlemi bitirebilmektedir.Bu performansı yakalayabilmek için
1-Startdb.bat dosyasındaki değerler arttırılmalı
2-service configurasyonundaki –Xmx değeri arttıtılmalıdır