Pazar, 18 Kasım 2018

Logsign’da Rapor Nasıl Oluşturulur?

Merhaba

Bu yazımızda LogSign ile nasıl rapor oluşturacağımıza değinmek istiyorum. İlk önce Logsgin’ın log yönetim aracı olduğunu ve biz belirlemediğimiz sürece veriyi ham halde tuttuğunu belirtmemiz lazım. Biz o ham verileri işleyerek bilgi ortaya çıkarmaya çalışacağız. Bu bilgi de bize çıktı olarak rapor halinde gelecek ve burada kullanıcıların ya da dış ortamdan gelen isteklerin neler olduğunu ve almamız gereken önlemleri göreceğiz.

Daha fazla aklınızı karıştırmadan hemen konuya dönelim. Genel olarak IT yöneticileri içerideki kullanıcıların internete doğru hangi servisleri ne zamanlar kullandığını, hangi sitelere girdiklerini görmek isterler. Kimi yöneticiler de özellikle belirli kişilerin hareketlerini görmek isterler. J LogSign adapte olduğu her kaynak için hazır raporlarla gelmektedir. Bu hazır raporları kurmak için yapmamız gereken Reports and Analysis’ e gelip Install Reports demektir.

Gelen ekranda hangi üreticinin ra25porlarını install etmek istiyorsanız onu seçip install edebilirsiniz.
Biz bu hazır raporlar yerine biraz daha özel bir rapor hazırlayalım istiyoruz. Örneğin firewallın dış bacağına yapılan port isteklerinin bir raporunun oluşturulmasını istiyoruz.
Bu ve benzeri bir yazılımı hiç kullanmamış biri için ilk yapacağımız işlem soldaki menüden Search’e basmaktır.

Yukarıda gördüğünüz gibi kısaca firewalldan gelen verileri görmekteyiz. İlk satırdaki loğa basarsanız daha detaylı bilgi görebilirsiniz.
Aşağıda göreceğiniz gibi açılan pencere ilgili kayda ait detay veri gelmektedir. Buradaki veri kısaca Event kısmında; isteğin kabul edilip edilmediğ (Allow/Deny)
Source kısmında; Firewall’ın hangi bacağındaki (Interface), hangi bölgedeki (Zone), hangi ip adresinin (IP)

Destination kısmında; Hangi bölgeye (Zone), Hangi ip adresine ne zaman gittiğini ve firewall’da varsa diğer bilgileri getirir. Unutmayınız ki LogSign firewalldan gelen loğları tanımlanmış olan alanlara yazar. Yani Firewalldan size Destination. IP gelmezse Logsign buraya ip yazamaz ya da tam tersi LogSign’ da Destination.IP tanımlı değilse hedef IP adresini göremezsiniz.

Evet kısaca LogSign’a gelen loğları nereden gördüğümüzü ve oradaki tanımların ne olduğunu ifade ettikten sonra ilk raporumuzu oluşturmaya başlayabiliriz.

Burada hemen neden bu raporu oluşturmayı seçtiğimizi belirtmek isterim. Çoğu ilgili yönetici öncelikle hep dışarıya giden isteklere bakar ancak hiç kural hatası yapacağını düşünmediğinden içeriye gelen istekleri görmek istemez. Özellikle dışarıdan kendi bilgisayarımıza erişmek için açılan RDP, SQL sunucumuza erişmek için açılan SQL portları ve daha aklımıza gelmeyecek birçok nedenden dolayı dışarıdan gelen istekleri daima kontrol etmeliyiz.

Bu rapor örneğimizi Cyberoam üzerinden gelen loğlara göre yaptığımız için kısa bir not eklemekte fayda görüyorum. Default olarak B portu WAN portu olup sizin başka bir ayarınız ya da ikinci bir internet hattınız varsa ona göre ekleme yapmalıyız.
Benim örneğimde sadece PORT B için internet bağlantısı var.

Sorguyu nasıl yazacağımızı bilmediğimiz için en kolay yöntem olan Search kısmına gelip burada Source.Interface’ e tıklıyorum ve PORTH kısmını PORTB yazıp Enter’e basıyorum.

LogSign’da verilerin geldiği sütünlar arasında nokta bulunur. Örneğin Soruce Ip adresini getirmek için Source.IP yazmanız yeterlidir. Şayet ikinci veya üçüncü bir internet bağlantısı olsaydı aşağıdaki gibi olacaktı.

Görüldüğü gibi Firewall’ın dış bacağına gelen son iki istekten biri Deny diğeri ise Allow.

Bu sorgumuzun çalıştığını gördükten sonra sağ kısımda bulunan Build Report’ a tıklıyoruz.

Gelen ekranda rapor tipleri bulunmaktadır. Burada isteğinize göre rapor oluşturabilirsiniz. Özellikle 4 versiyonu ile birlikte çok başarılı rapor tipleri eklediklerini belirtmem gerekiyor.

Biz; hangi tekil ip adresinden, bizim ip adreslerimize hangi portlarından kaçar tane, gelen bu isteklerden kaçının kabul veya red edildiğini belirlemek istediğimizden Grouped olanı seçiyoruz. Biraz karmaşık gibi oldu ancak bitince ne demek istediğimi anlayacağınızı düşünüyorum.

Rapor tipini Grouped olarak seçtikten sonra sırasıyla aşağıdaki işlemleri yapıyoruz.

  • Index Type olarak Log kalıyor, burada indeksleme loğa göre yapılacaktır.
  • Time Column kısmında Time.Generated olacak şekilde seçiyoruz. En kolay yazma yolu me.gen şeklindedir. Logsign için Time başlık, Generated ise alt başlık şeklinde diyebiliriz.
  • Query kısmında zaten sorgumuz bulunmakta.
  • Şayet hazır başka bir raporumuz varsa Select Query From Report diyebiliriz ancak ilk defa yapıyoruz o yüzden geçiyoruz.
  • Rapor ismi olarak ben Firewall’a yapılan tüm port erişimleri yazdım ancak siz istediğinizi yazabilirsiniz.
  • Rapor bloğu olarak şayet LogSign’ın hazır raporlarını kurduysanız orayı seçebileceğiniz gibi yeni bir rapor bloğu da oluşturabilirsiniz. (Soldaki menüden Reports and Analysis i tıkladığınızda sağ üst tarafta New Report Block a tıklamanız yeterlidir). Ben yeni bir rapor bloğu oluşturdum.
  • Grouped Column olarak Source. IP yi seçiyorum çünkü hangi IP adresinden geldiklerini görmek istiyorum.
  • Rows per page kısmında her sayfada kaç satır olacağını belirliyorum.
  • Min event count kısmında ise raporda bana herhangi bir dış ip’ den 1 tane bile istek olsa onun raporda gelmesini istiyorum.
  • Term Columns ve bana göre ilk bakışta raporu en sade şekliyle anlamlı kılan kısımda ise Event. Action (Allow/Deny), Destination.Port (Hangi portuma istek yapılmış) Destination.Ip ( Hangi dış ip adresime erişim yapılmış), Source.Country (Hangi ülkeden istek yapılmış) seçiyorum. İstenirse bunların yeri değiştirilebileceği gibi başka eklemeler de yapılabilir ama sade olduğu kadar anlamlılık ifade etmesi için bunlar yeterli diye düşünüyorum.
  • Term Columns Attrs kısmında satır yükseklik boyutlarını ayarlayabilirsiniz.
  • Filter Columns kısmında ise detay verileri görmek isteyebilirsiniz. İlk aşamada sadece yapılan isteğin ne zaman olduğunu görmek için Time.Generated’ i ekledim.
  • Category kısmına tercihinize göre hangi kategoride olmasını istiyorsanız onu ekleyebilirsiniz.
  • Compliance kısmında ise bu ISO 27001 gerekliliği olduğu için bunu seçiyoruz ve Save ediyoruz.

Save işleminden sonra ekranımıza aşağıdaki gibi bir rapor gelecektir.

Bu raporda bize hangi tekil ip den kaç tane istek geldiği bunlarının kaçının kabul edilip kaçının edilmediği, yapılan isteklerinin kaçının 443, kaçının 80 gibi portlarımıza yapıldığı ve bu isteklerin kaçının hangi dış iplerimize yapıldığı ve ülke bilgisi görünmektedir. Şayet burada örneğin Destination.Port kısmında herhangi bir porta tıklarsak bize hangi zamanlarda bu isteklerin yapıldığı gelir. Hatırlarsanız Filter Columns kısmına sadece Time.Generated’ i eklemiştik.

Kısaca bir rapor oluşturma yukarıda belirttiğim şekilde yapılmaktadır. Sonraki yazımda nasipse raporu mail yolu ile gönderme ve raporda şirket logosunun eklenmesini anlatmaya çalışacağım.

2 Comments

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.