File server üzerinde audit yapılandırılması genelde atlanan fakat ihtiyaç anında düzgün bir geri dönüş yapılamadığı taktirde IT personellerine ciddi geri dönüşleri olabilecek çok önemli bir konu. Günümüzde file server audit hizmeti veren bir çok uygulama hatta direk virtual appliance olarak piyasada kullanılan, bir kısmını benimde gerçekten beğendiğim uygulamalar da mevcut. Bu uygulamaların kaliteli olanlarının teknik yetenekleri hariç ortak paydalarından biri de pahalı olmaları. Açık kaynak kodlu özgür yazılımlar için insanların kendi emeklerini ücretsiz bir şekilde hizmete sundukları ve bir çok farklı communitiy hatta vendor tarafından desteklendiği bu günlerde ben kişisel olarak bu tarz ürünlere para vermenin yanlış olduğunu düşünenlerdenim.
Bu yüzden size kısaca Graylog Log Management uygulamasını kullanarak;
- Windows file server üzerinde nasıl audit yapılandırması yapacağınızı
- Audit loglarını nasıl graylog üzerine gönderebileceğinizi
- Graylog üzerindeki logları nasıl kullanabileceğinize dair örnekleri
- Graylog üzerinde File Server Audit ile nasıl live dahsboard’lar oluşturabileceğinizi
Yapınızda çalışan bir graylog uygulamanız olması gerekiyor. Graylog ücretsiz bir log management uygulaması, temel amacı herhangi bir cihaz yada uygulama üzerindeki loglarınızı saklamak. Bizim kullanacağımız farklı bir çok özelliğide mevcut bu konulara aşağıda zaten değineceğiz. Eğer yapınızda bir graylog sunucusu yok ise aşağıdaki link üzerindeki yönergeleri takip ederek kurulumunu yapabilirsiniz. Zaten hali hazırda gayet detaylı bir şekilde yazılmıs official bir guide’ı mevcut bu yüzden kurulum konularına bu yazımızda hiç girmiyoruz.
File server üzerinden logları alabilmeniz için ilk önce Audit Policy üzerinde bir kaç konfigürasyon yapmanız gerekiyor. Domain Controller üzerinden GPO ile de halledebilirsiniz fakat ben size local group policy üzerinden nasıl yapabilirsiniz onu göstereceğim.
Start – RUN dedikten sonra gpedit.msc yazarak entera basın . Object Access kategorisi içerisinde Audit File System’i seçerek Configüration the following events diyerek “Success” i işaretleyin, istediğinize göre “Failure” eventlarıda loglayabilirsiniz.
Global Object Access Auditing kategorisi altında;
File System’e tıkladıktan sonra “Define the Policy Settings” i işaretleyin ve “Configure” e tıklayarak karşınıza çıkan ekran üzerinde “Add” butonuna basın. “Everyone” için kategori “success” olacak şekilde loglanmasını istediğiniz aksiyonları işaretleyin. Ben sadece hangi dosyaları kimin sildiği ile ilgilendiğim için silinen dosyalar ve permission değişikliklerinin loglanması için ilgili seçenekleri seçtim
Graylog sunucunuzu kurduğunuzu varsayarak Graylog üzerindeki ayarlar ile devam ediyoruz. Web arayüzünden uygulamaya login olduktan sonra System\Inputs altında “Input” Sekmesine tıklayın. Launch New Input dedikten sonra GELD UPD seçin.
- Node Kısmında “Graylog sunucusnuzu seçin”
- Title Kısmında ” Input ‘unuza bir isim verin”
- IP adresi kısmında ” Graylog sunucunuzun ip adresini girin”
- Port numarası olduğu gibi kalabilir, kenara not alabilirsiniz. Sunucuda log gönderirken bu port ve UDP protokolü üzerinden gönderim yapacağız.
Sunucuda bulunan logları Nxlog aracılığı ile Graylog sunucumuza göndereceğiz. Buraya tıklayarak Nxlog community edition versiyonunu indirip, sunucu üzerine kurmanız gerekiyor.
Nxlog kurumunu yaptıktan sonra C:\Program Files (x86)\nxlog\conf altında bulunan nxlog.conf dosyasını açın ve aşağıda paylaştığım
Event viewer altında “Security” kategorisine düşen logları graylog sunucusuna göndermek üzere kullandığım hazır konfigürasyon aşağıdaki gibi.
Buraya Tıklayarak indirip, zip dosyasından çıkartarak sağ tarafta gördüğünüz C:\Program Files (x86)\nxlog\conf altındaki nxlog.conf dosyası ile değiştirin.
Konfigürasyon dosyası içerisinde ” Host ” kısmının yan tarafında yazan ip adresini biraz önce oluşturduğumuz input kısmındaki yani graylog tarafında gelp udp üzerinden dinleme yapan ip adresi adresi ile değiştirin.
Services.msc üzerinden Nxlog servisini “Start” edin.
Graylog üzerinden kontrol ederseniz logların başarılı bir şekilde aktığını görebilirsiniz. Listelenen logların üzerine tıklayarak detaylarını görebilirsiniz.
Graylog üzerinde arama yaparken bir çok farklı komut mevcut, en sık kullanacaklarınzdan bir kaç tane örnek vermek gerekirse;
- source: sunucuadı.domain.com – Sadece source etiketi olarak belirttiğiniz hostname’deki kaynaklardan gelen logları listeler
- AND komutu ile aynı query içerisinde birden fazla sorgu çalıştırabilirsiniz
- ” ” : Çift tırnak işareti içerisine aldığınız herhangi bir kelimeyi yada cümleyi search eder
Share via:
tamda bu tarz bir çözüme ihtiyacım vardı çok sağolun. Bütün security logları değilde sadece belirli event id lere ait logları nxlog üzerinden gönderebiliyor muyuz?
Geç dönüyorum kusura bakmayıni konfigürasyon dosyası içerisinde sadece belirli event logları gönderecek şekilde ayarlama yapabilirsiniz.
Harika bir yazı olmuş. Emeğinize sağlık