EN

Büyük Ağlar İçin Loglama ve Raporlama

15 Aralık 2017

BÜYÜK AĞLAR İÇİN LOGLAMA VE RAPORLAMA

Bu makalemizde Fortigate'nin enterprise ağlar gibi geniş ağlarda loglama ve raporlamanın nasıl konfigüre edildiğini açıklıyor. Bu tip ağları kurmak için hem default log ayarlarını hemde default raporu değiştirmek gerekiyor.

şağıdaki örnek prosedürler kendi ağ log topolojinizi konfigüre ederken size yardım edebilir.

Bu ayarlardan bazıları CLI içinden değiştirildiği, etkinleştirildiği yada devre dışı bırakıldığı için burada kullanılan komutlar hakkında daha fazla bilgi için “Fortigate CLI Reference’yi" gözden geçirebilirsiniz. Ayrıca herhangi birini kendi log topolojisinde kullanabilirsiniz.

Default Log Ayarlarını Değiştirme

Sistem performansının tehlikeye atılmaması için cihazın default log ayarları değiştirilmelidir. Fortigate cihazlarında bütün loglama özellikleri default olarak açık gelmektedir ve ayrıca FortiGate’nin modeline göre system memory yada hard diske loglama yapar.

Fortigate’nin System Memory Default Ayarlarını Değiştirme

Fortigate’nin default olarak system memory’e loglama yapıyor ise onu kendi log topolojinize göre değiştirebilirsiniz.

Default System Memory Ayarlarını Değiştirme

1- CLI’ya girilir.

2- Aşağıda ki komutlar ile loglama ayarlarını değiştirebilirsiniz.

- config log disk setting
- set ips-archive disable
- set status enable
- set max-log-file-size 1000
- set storage Internal
- set log-quota 100
- set report-quota 100
- end

3- Loglamak istemediğiniz event log mesajlarını devre dışı bırakmak için CLI’da aşağıda ki komutu giriniz

- config log disk filter
- set sniffer-traffic disable
- set local-traffic enable
- end

4- 2’den 4 ‘e kadar olan adımları diğer Fortigate cihazlarında da tekrarlayın.

5- Ayar değişikliklerini aşağıda ki prosedürü kullanarak test edebilirsiniz.

Değiştirilmiş Log Ayarlarını Test Etme

Değiştirilmiş ayarlardan sonra hem Fortigate’nin özelliklerini hem de ayarlarımızın düzgün çalıştığını test edebilirsiniz.

Log Cihazına Gönderilen Logları Test Etme

1- Aşağıda ki komutu CLI’da girin:

diag log test
Komutu girildiğinde aşağıda ki sonuç görünür:
generating a system event message with level-warnin generating an infected virüs message with level-warning generating a blocked virüs message with level-warning generating a URL block message with level-warning generating a DLP message with level
-warning
- generating an IPS log message generating an anomaly log message
- generating an application control IM message with level – information generating an IPv6
- application control IM message with level – information generating deep application control logs
- with
level – information generating an antispam message with level – notification
generating an allowed traffic message with level – notice generating a multicast traffic message with level – notice generating a ipv6 traffic message with level – notice
generating a wanopt traffic log message with level – notification
generating a HA event message with level – warning generating netscan log messages with level – notice generating a VOIP event message with level – information generating a DNS event message with level – information generating authentication event messages
generating a Forticlient message with level – information generating a NAC QUARANTINE message with level – notification generating a URL block message with level – warning

2- Web arayüzünde Log Report Event Log User. Oluşan test log mesajlarını görebiliriz.

Test log mesajları gerçek verileri içermediğinden onları gerçek log mesajlarından ayırt edebilirsiniz.

BackUp Konfigürasyonu

FortiAnalyzer’lar High Availability’e benzer şekilde davranır çünkü bir tane Fortianalyzer’ın fail olması durumunda diğerleri aldıkları logları saklamaya devam eder. Backup çözümünde ise log cihazına bir şey olursa loglar başka güvenli lokasyona yedeklenir.

FortiAnalyzer Cihazlarına Loglama

Aşağıda ki örneğimiz birden fazla FortiAnalyzer cihazına nasıl loglama yapıldığını gösteriyor. Birden çok Fortianalyzer’ı hızlı ve kolay bir şekilde konfigüre edebiliriz. Her FortiGate için sadece üç tane FortiAnalyzer konfigüre edilebilir.

Birden Fazla FortiAnalyzer Konfigüre Etme

1- FortiAnalyzer’ı konfigüre etmek için aşağıda ki komutu kullanabilirsiniz.

config log fortianalyzer setting set status enable
set server 172.20.120.22 set max-buffer-size 1000 set buffer-max-send 2000 set address-mode static set conn-timeout 100
set monitor-keepalive-period 120
set monitor-failure-retry-period 2000
end

2- Loglamak istemediğiniz özellikleri aşağıda ki komut ile devre dışı bırakabilirsiniz.

CLI Reference’ye hangi komutların kullanıldığı için bakınız.
config log fortianalyzer filter set traffic (enable | disable)
… end

3- Aşağıda ki komutları ikinci FortiAnalyzer için giriniz.

config log fortianalyzer2 setting set status enable
set server 172.20.120.23 set max-buffer-size 1000 set buffer-max-send 2000 set address-mode static set conn-timeout 100
set monitor-keepalive-period 120
set monitor-failure-retry-period 2000
end

4- Loglamak istemediğiniz özellikleri aşağıda ki komut ile devre dışı bırakabilirsiniz.

config log fortianalyzer filter set web (enable | disable)
… end

5.Aşağıda ki komutları son FortiAnalyzer için girin.

config log fortianalyzer3 setting set status enable
set server 172.20.120.23 set max-buffer-size 1000 set buffer-max-send 2000 set address-mode static set conn-timeout 100
set monitor-keepalive-period 120
set monitor-failure-retry-period 2000
end

6- Loglamak istemediğiniz özellikleri aşağıda ki komut ile devre dışı bırakabilirsiniz.

config log fortianalyzer filter
set web-filter (enable | disable)
… end

7- “Testing the modified log settings” prosedürünü kullanarak konfigürasyonu test edelim.

8- 1’den 6’ya kadar olan adımları diğer Fortigate’ler üzerinde konfigüre ederek logların FortiAnalyzer’a gönderilmesini sağlayabiliriz.

FortiCloud Server’a Loglama
Forticloud server backup yedekleme olarak ya da temel loglama çözümü olarak kullanılabilir. Aşağıda ki örneklerde bu servis register edilmiştir. Aşağıda ki örnek bir ağın log konfigürasyonunun nasıl yapıldığını göstermektedir. Logları hem CLI hemde web yönetimi ile upload edebilirsiniz. Upload zamanı ve süre ayarları web arayüzünden konfigüre edilebilir.

 

FortiCloud Server’e Loglama

1- System > Dashboard > Status ve ardından Login olunuz.
2- Kullanıcı adı ve şifrenizi giriniz.
3- Fortigate’niz FortiCloud hesabınızla bağlantı kurduğu sürece loglar FortiCloud’a otomatik olarak upload oalcaktır.
4- Upload zamanını ve süresini konfigüre etmek için Log & Report > Log Config > Log Settings.
5- Logging ve Archiving başlıkları altında istediğiniz upload zamanını seçebilirsiniz.
6- FortiCloud ile kolayca depolayabilir ve FortiGate loglarına erişebilirsiniz.

Default FortiOS Raporlarını Değiştirme

FortiOS raporu hızlı ve kolay bir şekilde konfigüre edilebilir. Ayrıca rapor oluşturmanıza yardımcı olur.

Dataset Oluşturma

1- CLI giriş yapınız.
2- Aşağıda ki komutu giriniz:
config report dataset edit ha
set query “select subtype_ha count(*) as totalnum from event_log
where timestamp >= F_TIMESTAMP (‘now’, ‘hour’, ‘-23’) and group by subtype_ha order by totalnum desc”
next
3- 3 Fortigate adminlerinde gelen ve giden logları içeren bir admin dataseti oluşturma.
set query “select subtype_config count(*) as totalnum from event_log
where timestamp >= F_TIMESTAMP (‘now’, ‘hour’, ‘-23’) and group by subtype_
config order by totalnum desc”
next
4- Administratorların son  24 saatte yaptıkları değişiklikleri içeren bir data set oluşturma.
set query “select subtype_config count(*) as totalnum from event_log
where timestamp >= F_TIMESTAMP (‘now’, ‘hour’, ‘-23’) and group by subtype_
config order by totalnum desc”
end
next

Datasetler için chart oluşturma

1- CLI giriniz.
2- Yeni bir chart oluşturmak için aşağıda ki komut kullanılır.
config report chart edit ha.24h
set type table
set period last24h set dataset ha
set category event set favorite no
set style auto
set title “24 Hour HA Admin Activity”
end

Corporate Imajları Upload Etme

Hem kapak sayfasında hemde rapor sayfalarında görünmesi için corporate imajları upload etmelisiniz. İmaj uploadı sadece web ara yüzünde yapılır.

1- Log & Report > Report > Local
2- İmaj ikonu seçilir ve sayfa da bir yere sürüklenir.
3- Graphic Chooser penceresi görünür.
4- Upload seçilir ve ardından  upload etmek istediğiniz imaj ve imaj yeri seçilir. İmaj otomatik olarak upload edilir ve kaydolur.
5- Diğer imajları upload etmek için ilk 4 adım tekrarlanır.
6- Graphic Chooser penceresini kapatmak için cancel tıklanır ve sayfaya geri dönülür.

Yeni Rapor Kapağı ve Sayfası Ekleme

HA aktivitelerinin,admin aktivitelerinin ve konfigürasyon değişikliklerinin görünmesi için hem yeni bir sayfa hemde yeni bir kapak eklemelisiniz.

Yeni Rapor Kapağı Ekleme ve Özelleştirme

1- Log & Report > Report > Local
2- Customize seçilir.
3- Sections kısmından default rapor seçilir ve çalışma alanında görünen rapor kapağı girilir ve enter ile değişiklik kaydedilir.
4- Rapor kapağı bölümünde ki bütün içerikler silinir ve imaj ikonu seçilir ve kapak sayfasının ana kısmına sürüklenir;bir kapak sayfası imajı seçilir ve ardında OK seçilir.
5- İstediğiniz yazı tipi seçilir ve kapak sayfası için açıklama veya başlık için image alanının altına text ikonu sürüklenir.
6- Yeni kapak sayfası için Save seçilir.

Yeni Sayfa Ekleme ve Özelleştirme

1- Log & Report > Report > Local
2- Customize seçilir.
3- Sections seçilir ve rapora yeni bir bölüm eklemek için Create New seçilir. Rapora içeriğine isim verilir ardından  entere basılır ve OK ile menü kapatılır.
4- Pencere düzenleme altında ki her seçim bir kutu ile simgelenir. İkinci kutu seçilir.
5- Rapor içeriğini istediğiniz gibi düzenleyin.
6- Rapor içeriğini kaydetmek için Save seçilir.

Rapor otomatik olarak kombin olacaktır. Raporu daha anlaşılır hale getirmek için başlıklar kullanabilirsiniz.

Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog