CRYPTOLOG - Anasayfaetkinlikte çalışan güvenlik ekipleri kurumun genel risk profilinin düşmesine yardımcı olurlar. Kapsamlı ve Etkili Raporlama: Kurumların kendi güvenlik

1

CRYPTOLOG

CryptTech Bilgi ve Olay Yönetim

Sistemi

Kullanım Kılavuzu

Haziran 2012

Doküman Sürüm 1.8.0

Alper C. YILMAZ, Ali İhsan UNALDI, Tarık KOBALAS

[email protected]

[email protected]

mailto:[email protected]


2

GENEL

Günümüzde iş yapış biçimlerinin değişmesi sonucu bilgilerin hızla dijital ortama taşınması ve internet

kullanımın yaygınlaşması ile birlikte bu bilgilerin güvenliğinin sağlanması konusu da önem

kazanmıştır. Bilgi güvenliğinin sağlanması için en öncelikli adımlardan biri sistem ve uygulamaların

kayıtlarının tutulmasıdır. Bilgi Güvenliği Bilgi ve Olay Yönetim Sistemi; güvenlik yazılımları, sistem ve

uygulamaların ürettikleri kayıtların merkezi bir ortamda toplanarak Normalizasyon (Normalization),

Konsolidasyon (Consolidation), Birleştirme (Aggregation), İlişkilendirme (Correlation) ve

Görselleştirme (Visualization) adımlarından sonra üzerinde tanımlanan kurallara göre güvenlik

ihlalleri ya da anormal aktiviteler için alarmlar üreterek proaktif önlemler alınmasını sağlayan bir

sistemdir.

Güvenlik Teknolojileri için önemli yatırım:

SIEM güvenlik log ve olay bilgilerinin daha efektif kullanımını sağlayarak bilgi güvenliği ekiplerinin

güvenlik sistemleri üzerindeki kullanımını artırır.

Güvenlik ihlallerini erken fark etmek:

Doğru uygulanan bir SIEM çözümü, güvenlik uzmanlarına onların etkinliklerini artıracak mükemmel bir

araç seti sunmaktadır. Daha etkin olarak çalışan güvenlik ekibi ise adreslenen güvenlik ihlallerini kurum

için etkileri büyümeden önce, erken durumda iken, yüksek olasılıkla yakalama şansına sahip olurlar. Bu

etkinlikte çalışan güvenlik ekipleri kurumun genel risk profilinin düşmesine yardımcı olurlar.

Kapsamlı ve Etkili Raporlama:

Kurumların kendi güvenlik analizi ve yasal düzenleyici kuruluşlar için raporlar hazırlamak ve teslim

etmek bir güvenlik yöneticisinin nerdeyse tüm zamanını almaktadır. Bir SIEM çözümü çok geniş bir

yelpazede yer alan sistemleri destekleyerek, log toplama işlemini kolaylaştırarak ve raporlama

işlemlerini otomatize edilmiş araçlar ve şablonlar ile yaparak günler alan işlemleri saatler

mertebesinde kısaltarak güvenlik yöneticisinin çok daha yüksek öneme sahip sorumluluklarına

odaklanmasını sağlar.

Düşük sermaye ve operasyonel maliyetler:

SEM, SIM, log yönetimi, analiz sistemleri ve veritabanı aktivite izleme (DAM) gibi sistemleri tek bir

SIEM çatısı alında birleştirme zaman ve para olarak ciddi kazanımlar sağlamaktadır. Birçok izleme ve

analiz sisteminin, satın alma bakım ve yürütme maliyetleri, tek bir SIEM çözümüne sahip olunarak

yüksek oranda azaltılabilir.

Yasal uyumlu olmayan riskleri azaltmak:

Bir denetleme ya da soruşturma esnasında kurumun ihtiyacı olan yasal uyumluluk ispatı ve raporları ya

da mevcut durum analizini SIEM sistemi kendi üzerinden vermektedir.

Bilgi güvenliği için geniş organizasyonel destek:

Bir efektif SIEM sistemi, SIEM sistemi tarafından adreslenen güvenlik ihlallerini kurum içi çapraz

fonksiyonel takımlar ile beraber değerlendirmek, rapor oluşturmak, aksiyon almak için üzerindeki

güvenlik ihlalleri yönetim modülü ile kurum üzerinde geniş bir katılım imkânı sağlamaktadır. Bu

aktiviteler kurumsal direnci azaltarak ve istikrarlı bilgi güvenliği kültürünü yerleştirerek toplam risk

yönetiminde ciddi katkı sağlar.

3

Döküman Hakkında

Cryptolog/CryptoSIM Kullanım Kılavuzu, Cryptolog Client programının kullanımı ve Cryptolog’un

işlevsel özellikleri hakkında detaylı bilgi sunmaktadır. Bu dökümanda sistem entegrasyonu

tamamlanmış bir log yönetim projesinin genel yönetiminin nasıl yapılacağı anlatılmıştır. Yeni bir log

kaynağı eklemek ya da yeni bir sistemi CryptoLog ile bütünleştirmek için kaynak değildir.

Entegrasyonu yapılan sistemlerin günlüklerini kontrol etmek, kayıtlarını izlemek, bu kayıtlardan

istatistik ve/veya rapor oluşturmak, sistemin kendi ayarlarını düzenlemek, kullanıcı hakları ile iş

bölümü yapmak, arşivleme ve yedekleme işlemleri için referans olarak kullanılabilir. Döküman içeriği,

İçindekiler kısmında detaylı başlıklar halinde sunulmuştur. CryptoLog ürününü yönetim programı olan

CryptoLog Client üzerinden her işlem için ekran görüntüleri alınarak, adım adım anlatılmıştır.

Döküman, CryptoLog 1.8.0 versiyonu baz alınarak oluşturulmuştur. Daha eski sürümlerde

bulunmayan özelliklere, yeri değiştirilen form ve ekranlara kaynaklık etmez. CryptoLog kurulumu,

CryptoLogClient Kurulumu, Plugin Ekleme, Sistem Entegrasyon için diğer dökümanlara başvurulması

gerekmektedir.

CryptoLog ile ilgili Dökümanlar

Bu dökümanın doğru kaynaklık edebilmesi için, CryptoLog Sunucusunun hazırlanması, Sistem

Entegrasyonunun yapılması gerekmektedir. Log Yönetim Projesi tamamlandıktan sonra

CryptoLogClient ile sistemi yönetebilirsiniz. Bu sebeple, aşağıda listenen dökümanlar sayesinde

kurulum ve ayarların yapılması önşarttır. Dökümanlara erişim için “Destek ve Çevrimiçi Erişim”

kısmında yazılan ftp adresi kullanılabilir.

CryptoLog Ubuntu 12.04 - 64 bitRaid 1 Kurulumu; CryptoLog.iso imajının kurulumunu anlatan

döküman.

CryptoLog Demo Dökümantasyonu; CryptoLog demo kurulumunun açıklandığı döküman.

CryptoLog Kullanım Kılavuzu; CryptoLog ürününün yönetimi ve CryptoLog Client programının

kullanımı hakkında detaylı bilgi sunar.

CryptoLog Uygulama Rehberi; Cryptolog sistem entegrasyonunun anlatıldığı döküman. CryptoLog log

toplayacağı sistemlerle aşağıdaki yöntemlerle iletişime geçer,

Syslog veri gönderen cihazlardan; udp(514), tcp, tls

Kendi dosya sistemi üzerindeki yerel günlük kayıtlarından

Unix/Linux işletim sistemlerinden SSH ile,

Windows sunucularından, CryptoLogAgent, WMI, ya da paylaşım (tcp 445) ile,

SNMP gönderen cihazlardan, SNMP trap ile,

4

FTP Sunucu ya da İstemcilerden, FTP ile,

Veritabanlarından ODBC/JDBC ile,

CheckPoint ürünlerinden OPSEC LEA ile,

Destekleyen Ağ Cihazlarından Flow ile

CryptoLog Windows Kurulum; CryptoLog Sunucusunun Windows üzerinde kurulumunun açıklandığı

döküman.

CryptoLog Agent Kurulum; CryptoLogAgent kurulumunun açıklandığı döküman.

CryptoLog Problem Çözme Kılavuzu; CryptoLog ürününde karşılaşılabilecek muhtemel problemler ve

bunların çözümleri hakkında detaylı bilgi sunar.

Destek ve Çevrimiçi Erişim

CryptTech Web Sitesi - http://www.crypttech.com

CryptTech Destek Portalı - http://support.crypttech.com

CryptTech Bilgi Havuzu - http://support.crypttech.com/index.php?/Knowledgebase/List

CryptTech Forum Sitesi - http://forum.crypttech.com

CryptTech Tüm Doküman ve Kurulumlar - ftp://ftp.crypttech.com

CryptTech Blog Sitesi - http://blog.crypttech.com

CryptTech Facebook Sayfası - http://www.facebook.com/kriptek

CryptTech Teknik Destek Mail Grubu - [email protected] , [email protected]

CryptTech Satış Mail Grubu - [email protected], [email protected]

CryptTech Eğitim Mail Grubu - [email protected], [email protected]

http://www.crypttech.com/

http://support.crypttech.com/

http://support.crypttech.com/index.php?/Knowledgebase/List

http://forum.crypttech.com/

ftp://ftp.crypttech.com/

http://blog.crypttech.com/

http://www.facebook.com/kriptek







5

İçindekiler

CryptTech Bilgi ve Olay Yönetim Sistemi ................................................................................................ 1

1. Sisteme Giriş ................................................................................................................................... 8

2. Aramalar ....................................................................................................................................... 13

2.1. Arama ................................................................................................................................. 13

2.1.1. Arama Sayfası Özellikleri ....................................................................................... 13

2.1.2. Aranan Loglara Erişme .......................................................................................... 15

2.2. Gelişmiş Arama ................................................................................................................... 21

3. İstatistik ve Raporlar ..................................................................................................................... 25

3.1. İstatistik Raporlar ............................................................................................................... 25

3.1.1. İstatistik Raporları Üretme .................................................................................... 25

3.1.2. İstatistik Raporları İnceleme ................................................................................. 28

3.2. Anlık İstatistik ..................................................................................................................... 30

3.3. Raporlar .............................................................................................................................. 34

3.3.1. Rapor Şablonları.................................................................................................... 34

3.3.2. Rapor Çalışma Planı .............................................................................................. 40

3.3.3. Rapor Yöneticisi .................................................................................................... 44

4. Sistem Analizleri ........................................................................................................................... 46

4.1. Log Durumu ........................................................................................................................ 46

4.2. Sistem Durumu ................................................................................................................... 50

4.3. Disk Kullanımı ..................................................................................................................... 51

5. Sistem Uyarıları............................................................................................................................. 53

6. Depo ............................................................................................................................................. 56

6.1. Depo Genel Özellikler ......................................................................................................... 56

6.2. Depodan Al ......................................................................................................................... 61

6.3. Depoya Ekle ........................................................................................................................ 62

6

7. Ajan Yönetimi ............................................................................................................................... 64

7.1. Ajan Kurulumu .................................................................................................................... 64

7.2. Ajan Görev Yönetimi ........................................................................................................... 69

8. Yedekleme ve Arşivleme ............................................................................................................... 77

8.1. Yedekleme .......................................................................................................................... 77

8.2. Arşiv .................................................................................................................................... 78

9. Log Aktarma.................................................................................................................................. 81

10. Cryptolog Konfigürasyon .............................................................................................................. 84

10.1. Durum............................................................................................................................... 85

10.2. Sistem ............................................................................................................................... 86

10.3. Sistem(Diğer) .................................................................................................................... 88

10.4. Log Yazma ......................................................................................................................... 89

10.5. Yönetim Soketi.................................................................................................................. 91

10.6. Log Toplama Soketi........................................................................................................... 92

10.7. Log Sıkıştırma .................................................................................................................... 93

10.8. Syslog ................................................................................................................................ 93

10.9. Otomatik Arşivleme .......................................................................................................... 96

10.10. Disk Kontrol .................................................................................................................. 97

10.11. Paylaşım Kontrolü ......................................................................................................... 98

10.12. Sistem Sağlık Kontrolü .................................................................................................. 98

10.13. Otomatik IP Değişimi .................................................................................................... 99

10.14. Klasör / Dosya İmzalama ............................................................................................... 99

10.15. Korelasyon .................................................................................................................. 100

10.16. Sensör ......................................................................................................................... 100

10.17. Zaman Damgası .......................................................................................................... 102

10.18. Küme Modu ................................................................................................................ 103

10.19. DB Log Yazma ............................................................................................................. 103

10.20. Plugin Güncelleme (Ajan) ........................................................................................... 105

11. Genel Kontroller ......................................................................................................................... 106

11.1. Sunucu Yönetimi ............................................................................................................. 106

7

11.2. Pozisyon Yönetimi .......................................................................................................... 108

11.3. Sistem Logu .................................................................................................................... 110

12. Kullanıcı İşlemleri – Hak Yönetimi ............................................................................................... 114

12.1. Kullanıcı İşlemleri ............................................................................................................ 114

12.2. Kullanıcı Rolleri ............................................................................................................... 118

13. Düzenli İfadeler (Regular Expressions) ........................................................................................ 122

13.1. Düzenli İfade Elemanları ................................................................................................... 122

13.2. Düzenli İfade Nicelik Belirleyicileri .................................................................................... 122

13.3. Düzenli İfade İşleçleri ........................................................................................................ 122

13.4. Örnekler............................................................................................................................ 123

13.5. CryptoLog Düzenli İfade Yapısı ve Regex Yardımcısı ......................................................... 124

13.6. Düzenli İfade Yazarken Dikkat Edilmesi Gerekenler .......................................................... 126

14. Göstergeler ................................................................................................................................. 127

14.1. Özel Göstergeler Ekleme ................................................................................................ 129

Konu Fihristi

Resimler Fihrist

8

1. Sisteme Giriş

CryptoLOG sunucusu, CryptoLOG Client programı tarafından yönetilmektedir. Bu programın

kurulumu için “CryptoLOG – CryptoLOG Client Kurulumu.pdf” dokümanına başvurunuz. CryptoLOG

Client kurulduktan sonra başlatıldığında aşağıdaki CryptoLog Client Giriş (Login) Ekranı gelecektir.

Resim 1 - CryptoLogClient Giriş Ekranı

Öntanımlı olarak kullanıcı adı/şifre: admin/admin. Tamam dedikten sonra CryptoLOG Client

Göstergeler ekranı açılacaktır. Birden fazla yönetilecek CryptoLog sunucuları için soldaki sunucu menü

listesinden yönetilmek istenen sunucu seçilir ve kullanıcı bilgileri girilir. Bundan sonraki başlıklarda

her kısım ayrı ayrı anlatılacaktır.

CryptoLog Client ile birden fazla CryptoLog Sunucu yönetilebilir. Yeni bir sunucu ekleme

butonuna basılır. Burada sunucu ayarları yapılır. CryptoLog, veritabanı olarak MsSql ve Mysql ile

birlikte çalışabilmektedir. Sunucu eklenirken, veritabanına göre ayar yapılmalıdır.

9

Resim 2 - CryptoLog Sunucular

Yeni sunucu eklemek için butonu, var olan sunucuyu silmek için butonu kullanılır. Oklar ile

de sunucuların sırası değiştirilebilir. Yeni sunucu ekleme butonuna tıklandığında aşağıdaki formlar

açılır. Bu sayfalardan sunucular için ilgili bilgiler girilir.

Resim 3 - CryptoLog Sunucu Ekleme Ayarları (SqlServer)

Bağlantı Adı, CryptoLog sunucusunu tanımlamak için kullanılır. Açıklayıcı bir isim yeterlidir.

10

Veritabanı Bağlantı İfadesi, CryptoLog sunucusu kurulurken kullanılan veritabanı tipi. Linux/Unix

işletim sistemlerinde koşan CryptoLog MySQL, Windows işletim sistemi üzerinde koşan CryptoLog

MsSQL kullanır.

Data Source, CryptoLog sunucusunun veritabanı ip adresi ve olay (instance) adını tanımlamak için

kullanılır. Clien, sunucunun kurulduğu windows işletim sistemi üzerinde ise .\SQLEXPRESS ile

kendine(localhost) bağlanması sağlanır. CryptologClient farklı bir makineye kuruluyorsa ip adresi

yazılmalıdır.

Initial Catalog, CryptoLog veritabanı ismi. Öntanımlı olarak “cryptolog” dur.

Integrated Security, Evet seçilirse, CryptoLog, Windows Yetkilendirme ile veritabanına bağlanır.

SSPI (Security Support Provider Interface) kullanılır. Hayır seçilirse kullanıcı adı / şifre ile veritabanına

bağlanır. MsSQL Sunucu kurulurken Mixed Authentication seçilmiş olmalıdır.

User ID, CryptoLog veritabanına erişim yetkisi olan kullanıcı adı,

Password, CryptoLog veritabanına erişim yetkisi olan kullanıcın şifresi

ConnectionString, Yukarıdaki parametreleri elle vermek yerine, bağlantı katarı seçilerek de

yazılabilir. SQL Sunucu için örnek bağlantı katarları aşağıda verilmiştir.

Data Source=.\SQLEXPRESS;Initial Catalog=cryptolog;Integrated Security=True;

Data Source=cryptolog_sunucu_ip;Initial Catalog=cryptolog;User Id=sa;Password=sifreniz;

Resim 4 - CryptoLog Sunucu Ekleme Ayarları (Mysql)

11

Bağlantı Adı, CryptoLog sunucusunu tanımlamak için kullanılır. Açıklayıcı bir isim yeterlidir.

Veritabanı Bağlantı İfadesi, CryptoLog sunucusu kurulurken kullanılan veritabanı tipi. Linux/Unix

işletim sistemlerinde koşan CryptoLog MySQL, Windows işletim sistemi üzerinde koşan CryptoLog

MsSQL kullanır.

Server, CryptoLog sunucusunun veritabanı ip adresi yazılmalıdır.

Database, CryptoLog veritabanı ismi. Öntanımlı olarak “cryptolog” dur.

Integrated Security, Öntanımlı olarak Hayır seçili gelir.

User ID, CryptoLog veritabanına erişim yetkisi olan kullanıcı adı,

Password, CryptoLog veritabanına erişim yetkisi olan kullanıcın şifresi. CryptoLog kurulurken girilen

veritabanı şifresi girilmelidir.

ConnectionString, Yukarıdaki parametreleri elle vermek yerine, bağlantı katarı seçilerek de

yazılabilir. MySQL Sunucu için örnek bağlantı katarları aşağıda verilmiştir.

Server=cryptolog_sunucu_ip;Database=cryptolog;Uid=root;Pwd=sifreniz;

Sunucu Ayarlar yapıldıktan sonra Test butonuna tıklayarak, girilen bilgiler ile erişimin başarılı olup

olmadığı test edilir. Aşağıdaki “Bağlantı başarılı” çıktısı alındıysa Kaydet butonu ile CryptoLog

Sunuculara eklenmiş olur.

Resim 5 - Sunucu Ayarları Test Başarılı

Eğer Test butonu sonucu bağlantıda hatalar verilirse, hata detayına göre problemler giderilmelidir.

Ayarlar sayfasında yazılan ip adresi yanlış yazılmışsa ya da CryptoLogClient kurulu makineden

yazılan ip adresine erişimde engel varsa aşağıdaki hatayı verir. Veritabanı isminin, ya da kullanıcı

adı / şifre bilgisinin yanlış yazılması durumunun hata sonuçları da aşağıdadır.

12

Resim 6 - Test Başarısız - IP Adresi Engel

Resim 7 - Test Başarısız - Veritabanı İsmi Hatalı

Resim 8 - Test Başarısız - Kullanıcı Adı / Şifre Hatalı

13

2. Aramalar

Cryptolog, toplanmış kayıtlar içinde detaylı olarak arama yapma kabiliyetine sahiptir. Toplanan loglar

içinde istediğiniz değere sahip bilgiler için arama yapabilir, çıktıları bilgisayarınıza aktarabilirsiniz.

2.1. Arama

Formlar / Arama ile Arama sayfasına gidilir.

Resim 9 - Menü / Aramalar

2.1.1. Arama Sayfası Özellikleri

Arama sayfası açıldığında aşağıdaki sekme çıkacaktır. Birden fazla arama sekmesi açılabilir. Bu

sayfada kullanıcının karşısına gelen genel özellikler aşağıda açıklanmıştır.

Resim 10 - Arama Sayfası

Plugin, arama yapmak istediğimiz Plugin’i seçmek için kullanılır.

14

Resim 11 - Arama Plugin Seçimi

Normal, işaretlenirse bütün Pluginler liste halinde görülür.

Tüm Yapı, işaretlenirse Pluginler, Log Kaynakları ile birlikte ağaç yapısı şeklinde

listelenir.

Kategori Yapı, işaretlenirse Pluginler, daha önce tanımlandıkları Kategoriler haliyle

listelenir.

Sadece Aktif Olanları Göster, işaretlenirse Log Kaynaklarından Aktif olanları Plugin

açılır listesinde gösterir. İşaretlenmezse bütün Pluginleri, açılır listede gösterir.

butonu ağaç listesini genişletmek, butonu ağaç listesini küçültmek ve

butonu pluginler arasında arama yapmak için kullanılır. Metin kutusuna yazılan bir

metini içeren Log Kaynakları, Plugin ve Kategoriler arasında arama yapılır.

Hash / İmza Tarihi, Cryptolog logları aldığı zaman, o ana ait tarih adında dosya içine

yazmaktadır. Kaydedilen dosya imzalanıp saklanmaktadır. Örneğin 25.03.2010 tarihine ait

Cyberoam logları 14.07.2011 tarihinde alınmaya başlandıysa, Hash / İmza Tarihi 14.07.2011

ve sonrası için aranmalıdır. Bu bilgiler istenirse Takvim üzerinden, istenirse elle yazılarak

girilebilir. Tarih bilgisi Gün ve Saat içerir.

Resim 12 - Aramalar Hash/Imza Tarihi

15

Gerçek Log Tarihi, log kaydı içerisindeki tarihe göre arama yapmak istenirse bu seçenek

kullanılır. Önce işaretlenmeli sonra tarih seçilmelidir. Örneğin Log kayıtları içinde 25.03.2010

günü olan kayıtları aramak için aşağıdaki gibi yazılmalıdır.

Maks. Satır Sayısı, listelenecek log satır sayısını gösterir. “0” girilirse bütün kayıtlar getirilir.

Log Satırını Göster, Cryptolog Pluginleri yazılırken sadece istenen verilerin görüntülenmesi

yazılır. Log kaydının ham verisi görülmek istenirse bu seçenek işaretlenir.

2.1.2. Aranan Loglara Erişme

1. Arama sayfası özellikleri girildikten sonra butonuna basılarak arama başlatılır.

Aşağıda mesaj görülecektir.

2. Arama sonucu aşağıdaki gibi olacaktır.

Resim 13 - Arama Sonuçları

16

3. Bu arama sonucunda her sayfada 100 satır olacak şekilde 5 sayfadan toplamda 500

log kaydı getirilmiştir.

4. Sayfalar arası gitmek için paneli kullanılabilir.

5. Bu arama sonucunu Rapor olarak dışarı aktarmak için butonuna basılır.

6. Ekrana gelen Formdan istenen değerler girilip Rapor butonuna basılır.

Resim 14 - Sorgu Raporu

Rapor Tipi, çıkarılan raporun türünü belirler. PDF, XLS, DOC, CSV seçilebilir.

Kapak Sayfası, CryptoLog’a ait logo, tarih bilgilerinin bulunduğu kapak sayfasını

ekler.

Sayfa Boyutu, A4 veya A3 boyutunda sayfalar üretilebilir.

Yön, Yatay veya Dikey yönde sayfalar üretilebilir.

Rapor Sayfası, Tümü işaretlenirse arama sonucunun tamamı, Seçili işaretlenirse

arama sonucunda seçili satır ve sütunların raporlanmasını sağlar.

17

Kolonları Düzenle, istenen sütunları görünürlüğünü, sırasını ve genişliğinin

ayarlanmasını sağlar.

7. Raporların kaydedilmesi için Windows arayüzü gelir.

8. Raporu açmak için gelen uyarı mesajı.

18

9. İstenen kriterlere göre aramak için Sütün ve Op değerleri.

Resim 15 - Arama Şartları

10. Kolon’dan istenen sütun ve Operatör İşlemi seçilir. Operatör, Arama Koşulunu

belirtir, 17 kriter değeri vardır. Arama koşulu Değer ile kıyaslanır. Birden fazla arama

koşulu yapılabilir. Filtreleme yapmak için filtre bölümüne değerler girilmelidir. Burada

Kolon, Operatör ve Değer parametreleri belirlenmelidir. Kolon nesnesi tıklanarak

hangi alan filtrelenmek isteniyorsa seçilir. Değer kısmına da aranmak istenen değer

girilir.

19

Resim 16 - Arama Operatörleri

= ; Değer ile tam olarak eşitlik durumu. Büyük küçük harf duyarlıdır.

!=(Esit Degil) ; Değer ile eşitsizlik durumu. Büyük küçük harf duyarlıdır.

(Metin icinde ara) ; Seçilen kolon verisinin, verilen Değer listesi içinde olması

durumu. Büyük küçük harf duyarsızdır.

(Liste [,]) ; Seçilen kolon verisinin, verilen Değer listesi içinde olması durumu. Değer

listesi “,” ile ayrılmış verilerden oluşur. Verilen değerler tam olarak eşleşmelidir.

Büyük küçük harf duyarlıdır.

(Liste [,]) (Metin icinde ara) ; Seçilen kolon verisinin, verilen Değer listesi içinde

olması durumu. Değer listesi “,” ile ayrılmış verilerden oluşur. Büyük küçük harf

duyarsızdır.

(Listede olmayanlar [,]) ; Seçilen kolon verisinin, verilen Değer listesi içinde birebir

eşleşmeme durumu. Değer listesi “,” ile ayrılmış verilerden oluşur. Büyük küçük harf

duyarlıdır. Değer listesi içindeki virgülle ayrılmış verilerden herhangi birinin tam

olarak eşleşmediği durumları getirir.

(Listede olmayanlar [,]) (Metin icinde ara) ; Seçilen kolon verisinin, verilen Değer

listesi içinde olmaması durumu. Değer listesi “,” ile ayrılmış verilerden oluşur. Değer

listesi içindeki virgülle ayrılmış verilerden herhangi birinin kolon verisinin içermediği

durumları getirir. Büyük küçük harf duyarsızdır.

> ; Seçilen kolon verisinin, verilen değerden büyük olması durumu. (Katar

karşılaştırma - string comparison). Genelde sayısal değerler için kullanılır. Büyük

küçük harf duyarsızdır.

>= ; Seçilen kolon verisinin, verilen değerden büyük ve eşit olması durumu. (Katar



< ; Seçilen kolon verisinin, verilen değerden küçük olması durumu. (Katar



20

<= ; Seçilen kolon verisinin, verilen değerden küçük ve eşit olması durumu. (Katar



(Başlıyorsa) ; Seçilen kolon verisinin, verilen değer ile başlaması durumu. Büyük

küçük harf duyarlıdır.

(Bitiyorsa) ; Seçilen kolon verisinin, verilen değer ile bitmesi durumu. Büyük küçük

harf duyarlıdır.

(Başlıyorsa, liste) ; Seçilen kolon verisinin, verilen Değer listesi elemanlarından

herhangi biri ile başlaması durumu. Büyük küçük harf duyarlıdır.

(Bitiyorsa, liste) ; Seçilen kolon verisinin, verilen Değer listesi elemanlarından

herhangi biri ile bitmesi durumu. Büyük küçük harf duyarlıdır.

(Başlamıyorsa, liste) ; Seçilen kolon verisinin, verilen Değer listesi elemanlarından

herhangi biri ile başlamaması durumu. Büyük küçük harf duyarlıdır.

(Bitmiyorsa, liste) ; Seçilen kolon verisinin, verilen Değer listesi elemanlarından

herhangi biri ile bitmemesi durumu. Büyük küçük harf duyarlıdır.

Örnek: subtype değeri denied olan, src_ip değeri 192.168.2.51 ya da 192. 168.15.6

olan log kayıtlarını getirmek için aşağıdaki koşullar yapılır.

Resim 17 - Arama Şartları

11. Sorgu şartları kaydedilmek istenirse butonu kullanılır.

12. Kayıtlı sorgu şartlarını getirmek için butonu kullanılır. Önceden kayıtlı sorgu

şartları buradan seçilerek, kaydedilmiş filreler getirilmiş olur.

21

Resim 18 - Kayıtlı Sorgu Şartları

13. Kayıtlı sorgu şartlarını silmek için butonu kullanılır.

14. Herhangi bir arama koşulunu silmek, o koşul seçilir ve klavyeden “Delete”, “Del”

tuşuna basılır.

2.2. Gelişmiş Arama

Cryptolog ile arama yaparken pluginlerin sütunları eşleştirilebilir. Örneğin dhcp loglarında ip

dağıtılan MAC adresi ile firewall loglarından gelen MAC adreslerini eşleştirerek görmek için

Gelişmiş Arama kullanılır. Bunun için aşağıdaki işlemler sırası ile yapılır. Gelişmiş aramada amaç

en fazla üç adet log kaynağından belirtilecek log kaynaklarını eşlemektir.

1. Cryptolog Client üzerinde Formlar / Gelişmiş Arama seçilir.

22

2. Gelen ekranda butonuna basarak yeni bir Gelişmiş Arama tanımı yapılır.

3. Gelen ekranda eşleştirilecek sütun ve şart koşulları girilmelidir.

Resim 19 - Gelişmiş Arama

Sorgu Adı; Gelişmiş arama bu isimle kaydedilecektir. Daha sonra aynı sorgu adı

seçilerek gelişmiş arama yapılabilir.

Plugin (p1); Eşleştirme yapılacak 1. log kaynağı



Maks. Satır Sayısı; Her log kaynağı için satır sayısı ayrı tanımlanır. Bu sayıda log

satırı gösterilir.

Log Satırını Göster; İşaretlenirse log satırın tamamı ekranda çıkar.

23

Şartlar; Sütunlar arası eşleştirme burada yapılır. Kolon ile bir değer eşleştirmek

istenirse Kolon ve Değer verileri seçilir. İki kolon arası eşleştirme yapılmak istenirse

Kolon ve Değer(Kolon) verileri seçilir. Kolon ve Değer(Kolon) verileri, üst kısımda

seçilen log kaynaklarının sütunlarından oluşur. Operatör değeri “=” ve “in”

değerlerinden oluşur. “=”, birebir eşleşme, “in” içinde geçen değerle eşleşme için

kullanılır.

4. Kaydet seçilir ve aşağıdaki uyarı ekrana gelir.

5. Tamam seçilir.

6. Arama butonuna basılır ve sonuçlar gelir.

24

Resim 20 - Gelişmiş Arama Sonuçları

25

3. İstatistik ve Raporlar

Bu bölümde Cryptolog ile toplanan loglar üzerinden İstatistik ve Rapor üretme ayrıntılı olarak

anlatılacaktır. Cryptolog, kayıtların sayısına, şart koşullarına göre İstatistik ve Rapor

üretebilmektedir. İstatistik ile Rapor arasındaki farklar aşağıda tabloda verilmiştir.

İSTATİSTİK RAPOR

“En Çok … Verileri” Üretir. ÖRNEK: Juniper’da en çok trafik yapan

20 kaynak ip Exchange’de en çok mail

gönderen 10 kullanıcı

Planlanmış Zamanlarda Çalışan, istenen sütunların verisini üretir. ÖRNEK: Her gün saat 00.40 ta Windows

Event Security ‘de başarısız giriş kayıtları

Tek Plugin’e özgüdür

Bir ve/veya Birden Fazla Plugin üzerinden rapor üretilebilir. Plugin sütunları arası ilişkilendirme yapılabilir.

Manuel olarak sistem yöneticisi tarafından oluşturulur.

Tanımlanan plan zamanlarında sistem tarafından üretilir

PDF, XLS, DOC, CSV formatlarını destekler

Sadece PDF formatını destekler

Mail ile gönderilemez Mail olarak gönderilebilir.

Tablo - İstatistik/Rapor Karşılaştırma 1

3.1. İstatistik Raporlar

Cryptolog bazı pluginler için öntanımlı olarak istatistik raporlarını eklemiştir. Örneğin, Exchange

Plugininde “en çok mail gönderen 10 kullanıcı”, URL Collector Plugininde “en çok erişilen 10 web

sitesi” gibi. Cryptolog yöneticisi özel istatistik raporları oluşturmak isterse 2.1.1 bölümünü

uygulamak zorundadır. Daha sonra bu istatiksel raporları 2.12 bölümü ile görüntüleyebilir.

3.1.1. İstatistik Raporları Üretme

1. Tanımlanan plugine istatistik eklemek için Formlar / Plugin açılır. Plugin üzerine

fare ile sağ tıklanır ve İstatistik Ekle seçilir.

26

Resim 21 - Plugin'e İstatistik Ekleme

2. Gelen ekranda gerekli bilgiler girilir.

27

Resim 22 - İstatistik Ekleme Formu

Adı; İstatistik için bir isim tanımlamak için kullanılır.

Kolon; İstatistik tutulacak sütunu tanımlamak için kullanılır. Seçilen sütun içindeki

verileri sayarak sıralama yapar.

Toplam Kolonu; Burada seçilen sütun değeri toplanabilir (sayı) olmalıdır. Seçilen

sütun verisinin toplamını elde ederek istatiksel veri üretmek için kullanılır. Örneğin;

toplamda mail boyutu en fazla olarak mail gönderen 20 kullanıcı için, Kolon; User,

Toplam Kolon; Length olmalıdır.

Maks. İstatistik Sayısı; Listelenecek veri sayısını tanımlamak için kullanılır,

Şartlar; Özel olarak sağlanması gereken koşulları tanımlamak için kullanılır.

3. Kaydet seçilir.

4. Plugin altında istatistik görülür ve değerleri Cryptolog’a göndermek için kaydet

butonuna basılır.

28

5. Sonraki ekran değişiklikleri Cryptolog’a göndermek ve yeniden başlatmak içindir.

6. Evet, seçilerek işlem tamamlanır.

7. İstatistik Raporları Cryptolog’un 30 dakikada bir çalıştırdığı modüldür. Bu sebeple

eklenen istatistik, plugin için tanımlandıktan sonra gelen loglar için üretilecektir.

3.1.2. İstatistik Raporları İnceleme

İstatistikler tanımlandıktan sonraki 30 dakikalık zaman dilimi için Cryptolog verileri saymaya

ve istatistik bilgilerini çıkarmaya başlar. Bu değerler hesaplandıktan sonra istatiksel raporlar

incelenmeye başlanabilir.

1. CryptologClient üzerinde Formlar / İstatistik Raporlar seçilir.

29

Resim 23 - İstatistiksel Raporlar

İstatistik; Tanımlanan istatistik şablonları açılır menüden seçilir.

Sadece aktif olanları göster; İşaretlenirse sadece aktif olan pluginlere ait istatistik

bilgiler, açılır menüde görünür.

Eski istatistikleri göster; İşaretlenirse eskiden oluşturulmuş olan daha sonra silinen

pluginlere ait istatistik bilgileri, açılır menüde görünür. İstatistik verileri Cryptologun

kendi veritabanında tutulduğu için, pluginler silinse de istatistik verileri saklanmaya

devam eder.

Gruplama; Günlük, Aylık ve Toplam sayı cinsinden istatistik çıkarır.

Tarih Aralığı; Gruplama çeşidine göre Tarih aralığı tanımlamak için kullanılır

Veri Tarihleri; Gruplama aylık seçilirse, istatistik tutulan ayların isimleri bu kısımda

görülür.

Kayıt Sayısı; İstatistik tutulacak kayıt sayısı.

2. Bu istatistik sonucunu Rapor olarak dışarı aktarmak için butonuna basılır.

3. X değeri: İstatistik tutulan veriyi, Y değeri: Bu verinin kaç adet oluştuğunu gösterir.

30

3.2. Anlık İstatistik

Cryptolog her hangi bir zaman aralığı için istenilen plugin ve detayda analiz ve raporlama imkânı

sunmaktadır. Anlık İstatistik modülü, istatistik raporlardan farklı olarak istenilen bir zaman

aralığında çalışabilir ve plugin üzerine tanımlı olan istatistik sayaçlarından bağımsız olarak

istenilen alan üzerinden analizler yapılmasını sağlar. Cryptolog üzerinde bir defalık istatistik

oluşturmak için bu kısım kullanılır. Verilen tarih aralıklarında, istenen pluginin istatistik değerleri

Anlık İstatistik üzerinden üretilir.

1. Formlar / Anlık İstatistik seçilir.

2. Gelen ekranda, Anlık İstatistik sayfasının özellikleri girilir. Bu özelliklerin detaylı

açıklaması aşağıda verilmiştir.

Plugin; İstatistik üretilmesi istenen pluginin seçilmesi için kullanılır.

Tarih Aralığı; İstatistik verisi seçilen tarih aralığındaki loglar üzerinden üretilecektir.

Kolon; İstatistik tutulacak sütunu tanımlamak için kullanılır. Seçilen sütun içindeki

verileri sayarak sıralama yapar.

Toplam Kolonu; Burada seçilen sütun değeri toplanabilir (sayı) olmalıdır. Seçilen sütun

verisinin toplamını elde ederek istatiksel veri üretmek için kullanılır. Örneğin; toplamda

mail boyutu en fazla olarak mail gönderen 20 kullanıcı için, Kolon; User, Toplam Kolon;

Length olmalıdır.

Adet; Listelenecek veri sayısını tanımlamak için kullanılır.

Tek İstatistik Oluştur; İşaretlenmezse istatiksel veriler 30 dakikalık zaman dilimleri

halinde gösterilir. İşaretlenirse bütün verilerden oluşan istatistik raporları oluşturulur.

İşaretlenmediğinde istatistik rapor üretme sonucunda, İstatistik tarih aralığında

31

aşağıdaki gibi çıktı oluşur. Buna göre istenen 30 dakikalık zaman aralığı seçilerek

görüntülenebilir.

Şartlar; Anlık istatistikte 3 adet şart eklenebilir. İstatistiksel raporlar, koşulların

sağlandığı veriler üzerinden üretilecektir. Pluginin ilgili sütununun değerinin eşit,

içerisinde, liste içerisinde olma ya da olmama koşullarını sağlayacak veriler eklenebilir.

Resim 24 - Anlık İstatistik Şartları

3. Anlık İstatiksel Raporları üretmek için butonuna basılır.

32

4. İstatistik Sonucunda aşağıdaki gibi ekran ve grafik gelecektir karşımıza. Bu ekranda sol

paneldeki X değeri, seçtiğimiz sütun verileri; Y değeri seçilen veriden kaç adet

oluştuğunu gösterir. Sağ paneldeki kısım ise bu verilerin grafiğe dökülmüş halidir.

Resim 25 - Anlık İstatistik Sonuçları

5. Bu Anlık İstatistik verisini, rapor olarak dışarı aktarmak için butonuna basılır.



33


ekler.



Rapor Sayfası, Tümü işaretlenirse arama sonucunun tamamı, Seçili işaretlenirse

arama sonucunda seçili satır ve sütunların raporlanmasını sağlar.

Kolonları Düzenle, Anlık İstatistik kısım için aktif değildir. Kullanılamaz.

7. Raporların kaydedilmesi için Windows ara yüzü gelir.

8. Raporu açmak için gelen uyarı mesajı.

34

3.3. Raporlar

Cryptolog Rapor Modülü, tanımlanan kriterler çevresinde, istenen plugin ve/veya pluginlerin,

istenen sütunlarının, istenen koşullar sağlanması doğrultusunda düzenli olarak rapor üretilmesini

sağlar. Rapor oluştururken sırası ile Şablon ve Çalışma Planı yapılır ve Rapor Yöneticisinden

üretilen raporlar, görüntülenebilir, indirilebilir ya mail yoluyla iletilebilir

3.3.1. Rapor Şablonları

Rapor Şablonları, raporlarda görüntülenmek istenen pluginin seçildiği, sütunlarının

tanımlandığı kısımdır. Raporu oluşturacak verileri bu kısımda belirtilir.

1. Cryptolog Client üzerinde Rapor / Rapor Şablonları seçilir.

2. Yeni bir Rapor Şablonu oluşturmak için butonuna basılır.

Resim 26 - Rapor Şablonları

35

3. Aşağıda gelen Rapor Şablonu oluşturma ekranında istenen değerler seçilmelidir.

Rapor Oluşturma ekranın özellikleri aşağıda açıklanmıştır.

Resim 27 - Yeni Rapor Şablonu Ekleme Formu

Şablon Adı; Üretilecek Rapora şablon ismi vermek için kullanılır.

Plugin; Raporun hangi plugin üzerinden üretileceğini tanımlamak için kullanılır.

Rapor (Sorgu) Başlığı; Rapora alt başlık vermek için kullanılır.

Adı; O satırdaki Kolon Adının, Raporda görüntüleneceği şekilde tanımlama burada

yapılır.

Seçim Kolonu; İşaretlenen sütunların rapora eklenmesini sağlar.

Sıralama Kolonu; İşaretlenen sütunlar üzerinden sıralama yapılmasını sağlar.

Sıra No; Burada verilen sayı değerleri sırasında raporda tablo sütunları oluşur. 1, 2, 3,

sıra numaralı sütunlardan oluşan rapordaki tabloda ilk önce 1 numaralı sütun, daha

sonra sırasıyla 2, 3, 4 numaralı sütunlar listelenir.

Şart Kolonu; İşaretlenen şart sütunlarının kıyaslama yapmasını sağlar.

36

Değer; Şart kolonu işaretlenen satırların kıyaslanacağı verinin girilmesi için kullanılır.

Tüm seçilen kolonlara göre grupla; Şart kolonu işaretlenen satırların

kıyaslanacağı verinin girilmesi için kullanılır.

4. Rapor Şablonunu sihirbaz ile oluşturmak için butonuna basılır.

4. Sonraki butonuna tıklanarak yeni rapor şablon üretme arayüzüne geçilir.

37

5. Şablon adı tanımlandıktan sonra Sorgu Tipi seçilir. Tablo sorgusu sadece verilerin

Tablolar halinde gösterileceğini belirtir. Grup sorgusunda verilen kolonlara göre

gruplama, sayma, toplama, ortalama değer alma gibi işlemler tanımlanabilir. Bu

tanımlamalara göre Grafikler üretilir ve Rapor’a eklenir.

i. Tablo Sorgusu Seçilirse

ii. Grup Sorgusu Seçilirse

38

6. Sorgu tipi seçildikten sonra, Sorgu detayları tanımlaması yapılır. Bu formda hangi

eklenti üzerinden rapor oluşturulacağı, Rapor Sorgu adı ve Maksimum Kayıt Sayısı

belirtilecektir.

7. Grup kolonları istatistik üretilecek verilerin seçimi için kullanılır. Grafikler bu veriler

üzerinden oluşturulur.

39

8. Grup Kolonları seçildikten sonra, kolon genişlikleri, sıra ve sıralama yönünü ayarlama

ekranı gelir. Bu form üzerinden fare ile kolonun genişliği sütun aralarındaki çizgini

sağa sola çekilmesi ile düzenlenir. Kolonların hangi sırada gösterileceğini yine fare ile

sürükle bırak yöntemi ile yapılabilir.

9. Sonraki butonuna basılarak Rapor Şablonu tamamlama formuna geçilir. Bu kısımda

Şablon’a bir çalışma planı tanımlanması için Evet seçilerek devam edilir. Rapor

Çalışma Planı bir sonraki bölümde anlatılacaktır.

40

3.3.2. Rapor Çalışma Planı

Rapor çalışma planı, daha önce oluşturulan Rapor Şablonlarının hangi zamanlarda

üretileceğinin ayarlandığı modüldür. Bu kısımda Raporların çalışma tarihleri atanarak, plan

oluşturulur.

1. Cryptolog Client üzerinden Rapor / Rapor Çalışma Planı seçilir.

2. Gelen ekranda butonuna basılarak yeni bir Rapor Çalışma Planı oluşturulur.

3. Aşağıdaki ekran Rapor Çalışma Planı Düzenleme ekranıdır. Burada verilen

parametreler detaylı olarak açıklanmıştır.

Resim 28 - Rapor Çalışma Planı Düzenleme Formu

Rapor Adı; Rapor için isim tanımlamak için kullanılır.

41

Rapor Şablonu; Daha önce tanımlanan Rapor Şablonları’nı seçmek için kullanılır.

Aktif; İşaretlenirse aktif olarak rapor üretimi başlatılır.

Çalışma Planı Sekmesi

Tarih Aralığı; Raporun üretileceği tarih aralığını seçmek için kullanılır.

Saat; Raporun üretileceği saati seçmek için kullanılır.

Planlama Tipi; Seçilen türe göre zamanlama değişir. Seçenekler; Bir kez, Günlük,

Haftalık, Aylık (bir gün), Aylık (rölatif)

Bir kez seçilirse; ile verilen tarihte bir

kez rapor üretir.

Günlük seçilirse; verilen tarih aralığında her gün rapor üretir.

Haftalık seçilirse;

ile verilen günlerde rapor üretir.

Aylık (bir gün) seçilirse; ile verilen günde rapor üretir.

Aylık (rölatif) seçilirse; ile

verilen günde rapor üretir.

Parametreler Sekmesi

42

Tarih tipi; Rölatif seçilirse, göreceli olarak verilen süre dilimine ait Rapor

oluşturulur. Normal seçilirse, tanımlanan tarih aralığı için Rapor üretilir.

Hash/Imza Tarihi; Logların toplandığı ve imzalandığı tarih verileri üzerinden Rapor

oluşturulur.

Gerçek Log Tarihi; Toplanan kayıtların içindeki tarih verileri üzerinden Rapor

oluşturulur.

Sayfa Yapısı Sekmesi



ekler.



E-Posta Sekmesi

43

E-posta Ayarları; Sistem uyarıları bölümünde anlatılmıştır.

E-posta Adresi; Alıcı kişinin e-posta adresi veya adresleri için kullanılır.

Tamamlandığında E-posta Gönder; Raporun üretildiğine dair alıcı kişiye ileti

göndermek için işaretlenir.

Hata Oluştuğunda E-posta Gönder; Raporun üretilirken hata oluşursa, bu konu ile

ilgiliyi iletiyi alıcı kişiye göndermek için işaretlenir.

E-Postaya Rapor Dosyasını Ekle; Raporu e-postaya eklemek için işaretlenir.

4. Kaydet seçilir ve Rapor Çalışma Planı oluşturulmuş olur.

5. Rapor çalışma planı sekmesinde sol panelde planlar listelenir. Düzenlenmek istenen

Çalışma Planı seçilir ve butonuna basılır.

6. Çalışma planını silmek için butonuna, o an çalıştırıp rapor üretmek için

butonuna basılır.

44

7. Kaydet seçilir.

3.3.3. Rapor Yöneticisi

Rapor Yöneticisi, oluşturulan raporların izlenmesi için oluşturulmuş modüldür. Bu kısımda

üretilmiş raporu gözlemleme (başlangıç tarihi, bitiş tarihi, dosya tipi, boyutu), indirme, rapor

tarihçesine bakma(hangi kaynaklardan veri aldığı) ve silme işlemleri yapılır.

1. Cryptolog Client üzerinde Rapor / Rapor Yöneticisi seçilir.

2. Gelen ekranda bu zamana kadar üretilmiş raporları görebilirsiniz.

45

Resim 29 - Rapor Yöneticisi Ekranı

3. Belirli tarihten sonrakileri filtrelemek için Takvimden bir tarih seçilir.

4. Formu yenilemek için butonuna, seçilen raporu indirmek için butonuna,

seçilen raporu silmek için butonuna basılır.

5. Raporun tarihçesini görmek için butonuna basılır. Bu sayfada raporun başladığı

bittiği, log işlediği dosyalar ve işlem tarihleri görülebilir.

Resim 30 - Rapor Tarihçesi

46

6. Çalıştırılacak Raporlar panelinde, Cryptolog’un bundan sonra üreteceği raporlar

görülebilir.

4. Sistem Analizleri

Cryptolog üzerinden, log toplanılan sistemlerin log durumlarını, akışlarını anlık olarak analiz edilebilir.

Üretilen grafiklerle log sayıları ile sunucuların tutarlılıkları kontrol edilebilir.

4.1. Log Durumu

Log Durumu ekranında toplanan tüm logların adet bazında grafikleri gösterilir. Bu veriler sistem

tarafından saatlik olarak tutulur. Ekran üzerinde ise günlük ve aylık olarak gruplanması

sağlanabilir. Ayrıca toplam, log kaynağı ve/veya plugin bazında hangi grafiklerin birlikte alınacağı

seçilebilir ve rapor olarak ta basılması sağlanabilir. Böylece sistemin ne kadar log topladığı

incelenebilir. Sırasıyla aşağıdaki işlemler yapılarak log durumu gözetlenebilir.

1. CryptologClient üzerinden Formlar / Log Durumu seçilir.

2. Gelen ekranda Log Durumu için istenen parametreler aşağıda detaylı olarak anlatılmıştır.

47

Resim 31 - Log Durumu Ekranı

Gruplama; Log durumunun zaman dilimini seçmek için kullanılır. Yok, işaretlenirse

sadece o güne ait; Günlük işaretlenirse Tarih Aralığı zaman diliminde her güne ait, Aylık

işaretlenirse o aya ait log durumunu ve grafiğini üretir.

Tarih Aralığı; Zaman dilimini seçmek için kullanılır.

Log kaynakları ve Pluginler; Plugin ya da Log kaynaklarını seçmek için kullanılır.

Birden fazla seçenek işaretlenebilir. Toplam işaretlenirse o zaman dilimindeki toplam log

durumu üretilir.

Eskileri Göster; Daha önce kullanılmış, şu an aktif olmayan pluginler göstermek için

kullanılır. Bu pluginlerin geçmişe ait log durumunu görmek için bu seçenek işaretlenir.

3. Log durumunu kontrol etmek için butonuna basılır. Aşağıdaki ekranda sonuç

gözükmektedir.

48

Resim 32 - Log Durumu Sonuçları

4. Bu log durumu sonucunu Rapor olarak dışarı aktarmak için butonuna basılır.


49


Kapak Sayfası, CryptoLog’a ait logo, tarih bilgilerinin bulunduğu kapak sayfasını ekler.



Rapor Sayfası, Tümü işaretlenirse arama sonucunun tamamı, Seçili işaretlenirse arama

sonucunda seçili satır ve sütunların raporlanmasını sağlar.

Kolonları Düzenle, istenen sütunları görünürlüğünü, sırasını ve genişliğinin

ayarlanmasını sağlar.

6. Raporların kaydedilmesi için Windows ara yüzü gelir.

50

7. Raporu açmak için gelen uyarı mesajı. Evet seçilerek Rapor açılır.

4.2. Sistem Durumu

Sistem durumu ekranında saniye bazında sistemin topladığı logların durumu görülebilmektedir.

Burada toplam, log kaynağı, plugin, deyim bazında grafikler seçilebilmektedir. Ayrıca gelen

loglardan örnekler de incelenebilmektedir.

1. CryptologClient üzerinden Formlar / Sistem Durumu seçilir.

51

2. Gelen ekranda sistem durumlarını izlemek için istenen pluginler seçilir. Toplam seçilirse

bütün log satır sayıları hesaplanır. Butonuna basıldığında sistem izlenmeye başlanır,

anlık olarak kayıt sayılarına göre grafik üretilir. Grafik tipinden Çizgi, Nokta ya da SP Çizgi

seçilebilir.

Resim 33 - Sistem Durumu Ekranı

3. İzlemeyi durdurma için butonuna basılır.

4.3. Disk Kullanımı

Disk kullanımı, Cryptolog üzerine toplanan logların, plugin bazında sunucu üzerinde ne kadar alan

kullandıklarını gösteren modüldür. Cryptolog üzerindeki logların maksimum 1 aylık zaman

dilimine ait boyutlarını kullanıcıya grafik halinde sunar. Bu modül sayesinde kullanıcının kendi

sistemi üzerine yapacağı tahminler kolaylaşır.

1. CryptologClient üzerinden Formlar / Disk Kullanımı seçilir.

52

2. Gelen ekranda disk kullanımını görmek için istenen pluginler seçilir. Verilen Tarih aralığı

en fazla 1 ay olmalıdır. 1 ay içerisinde seçilen loglar için toplanan logların disk üzerinde

ne kadar log toplandığını görmek için butonuna basılır. Sıkıştırılmış işaretlenirse,

seçilen pluginlerin sıkıştırılmış dosyalarının da boyutları grafiğe eklenir. Grafik

DiskBoyutu – Zaman grafiğidir. Grafik tipinden Yığın, Kolon ya da Çizgi seçilebilir.

Resim 34 - Disk Kullanımı

53

5. Sistem Uyarıları

Sistem uyarıları ekranında sunucu programın ne zaman açılıp kapandığı ve sistemin ürettiği uyarı

mesajları takip edilebilmektedir. Sistemin sağlıklı çalışması açısından buradaki mesajları takip etmek

çok önemlidir. Bu ekranda pluginler için log gelip gelmediği, kullanıcı tanımlı uyarılar ve kritik hatalar

listelenmektedir. Böylece sistemde oluşan hatalara erken müdahale edilebilir.

1. CryptologClient üzerinde Formlar / Sistem Uyarıları seçilir.

2. Gelen ekran üzerinde sistemin ürettiği uyarı kayıtları görüntülenecektir.

Resim 35 - Sistem Uyarıları

54

Uyarı Tipi; Hepsi, Bilgi, Uyarı, Kritik, Kullanıcı tipindeki uyarıları filtrelemek için

kullanılır.

Başlangıç Tarihi; Uyarıların oluştuğu tarihin başlangıcını filtrelemek için kullanılır.

Bitiş Tarihi; Uyarıların oluştuğu tarihin bitişini filtrelemek için kullanılır.

Kayıt Sayısı; Gösterilecek kayıt sayısını tanımlamak için kullanılır.

3. Uyarı kayıtları üzerinde işlem yaparken sağdaki butonlar kullanılır.

- Kayıt formunu yenilemek için kullanılır.

- İlgili kayıt satırını Çözüldü olarak işaretlemek için kullanılır.

- İlgili kayıt satırını silmek için kullanılır.

4. Cryptolog üzerinde, Sistem Uyarıları elektronik posta ile ilgili kişiye gönderilebilir.

Resim 36 - Uyarı Eposta Ayarları

Uyarıları E-posta olarak gönder; sistem uyarılarını e-posta ile göndermek için

işaretlenmelidir.

Uyarı Tipi; hangi türde uyarıların gönderileceğinin tanımlandığı kısım.

55

E-Posta Sunucu / Port; Zorunlu alandır. Burada E-posta sunucusu ve gönderilecek port

tanımlanmalıdır.

Gönderen; Zorunlu alandır. Burada gönderen hesap için e-posta adresi girilmelidir.

Cryptolog için e-posta hesabı açılması tavsiye edilir.

Alıcı; Zorunlu alandır. Burada alıcı için e-posta adresi girilmelidir.

Kullanıcı Adı; Gönderen hesap için e-posta kullanıcı adı girilmelidir.

Şifre; Gönderen hesap için e-posta şifresi girilmelidir.

Sunucudan test mesajı gönder linkine tıklanarak uyarı eposta hesabının testi

yapılabilir.

56

6. Depo

Depo modulü CryptoLog bileşenlerinin sunucu tarafında yönetimi için kullanılır. Bileşenleri; Log

Kaynağı, Plugin, Deyim, Korelasyon Kategori vb. önceden oluşturulmuş nesneler olarak sıralayabilliriz.

Bu nesneleri daha sonra kullanmak üzere depodan çağırabiliriz.

6.1. Depo Genel Özellikler

Depo seçeneği altında bulunan nesneler üzerinde yapılabilecek işlemler aşağıda anlatılmıştır.

1. Cryptolog Client üzerinde Formlar / Depo seçilir.

2. Gelen ekrandaki, Tip alanından görüntülemek istediğimiz nesneyi seçebiliriz.

57

Resim 37 - CryptoLog Depo

Log Kaynağı, Log toplanan sistemin genel kaynak detaylarını kaydetmek için seçilir.

Plugin, Plugin yapısının (deyim, istatistik, normalizasyon yapısı ile birlikte) detaylarını

kaydetmek için kullanılır.

Deyim, içerisindeki (regex,code,ayıraç ya da sorgu) detaylarının kaydedilmesi için

kullanılır.

Korelasyon Plugin, korelasyon kullarını içeren bileşen.

Korelasyon Kategori, korelasyon kurallarındaki plugin altkimlik numarasına göre

yapılan kategorizasyon bileşeni.

Log Kaynağı ( Ajan ), Ajan üzerinde log toplanan sistemin genel kaynak detaylarını

kaydetmek için seçilir.

Yedek Plugin ( Ajan ), Ajan plugin yapısının detaylarını kaydetmek için seçilir.

Yedek Konfigürasyon (Ajan ), Ajan konfigurasyon detaylarını (log göndereceği ve

yönetileceği cryptolog sunucusu, port bilgileri) kaydetmek için kullanılır.

Sorgu, Gelişmiş aramalar sorgu bileşeni.

Rapor Şablonu, Rapor sorgularından oluşan bileşen. Örn: Exchange günlük istatistik

raporlar. Bir rapor şablonu en az bir rapor sorgusundan oluşur.

Rapor Sorgusu, Rapor sorgu bileşeni. Rapor şablonu içerisinde log kaynağından hangi

türde rapor çıkarılacağını ifade eder. Örn: Exchange günlük en çok mail gönderen 10 kişi.

Rapor Paketi, Rapor şablonu ile Plugin bileşeninin ilişkilendirildiği nesne.

Kod Tablosu, Rapor şablonlarındaki ilgili kolon satırına karşılık gelecek değer bileşeni.

Yedek Plugin, CryptoLog Sunucusunun otomatik olarak aldığı Plugin yedeğini içerir. Log

kaynağı ile birlikte tüm yapıyı içerir.

Yedek Korelasyon Plugin, CryptoLog Sunucusunun otomatik olarak aldığı Korelasyon

Plugin yedeğini içerir.

58

Yedek Konfigürasyon, CryptoLog Sunucusunun otomatik olarak aldığı Konfigürasyon

yedeğini içerir. Ayarlar / CryptoLog Konfigürasyon detaylarının bulunduğu bileşendir.

Yedek Kategori, CryptoLog Sunucusunun otomatik olarak aldığı korelasyon kategori

yedeğini içerir.

3. Depoda ekli tüm pluginler görüntülenmektedir.

Resim 38 - Plugin Deposu

4. butonları sırasıyla, “Seçili nesne üzerinde arama yapmak” ,

“Depoya dışarından nesne eklemek”, “Depodaki nesneleri dışarıya aktarmak”, “Webten

depoya nesne eklemek” ve son olarak “Seçili nesneyi silmek” için kullanılır.

4.1. Depo içerisinde arama yapmak için, “Ara” kısmına aranacak olan kelime yazılır. Ardından

butonuyla tüm nesneler listelenir. Aşağıdaki resimde Dhcp pluginleri listelenmiştir.

59

4.2. Depoya dışarıdan nesne eklemek için; Öncelikle butonuyla dosya seçilir. Nesne adı

girildikten sonra “Kaydet” seçeneğiyle depoya nesne eklenmiş olur.

Resim 39 - Depoya Ekleme

4.3. Depoya update.crypttech.com üzerinden nesne eklemek için; butonuyla tüm

nesneler internetten çekilerek listelenir. butonuyla istediğimiz nesnenin ismini

60

yazarak arama yapabiliriz. Listelenen nesnelerden işaretleme yaparak “Tamam”

seçeneğiyle depoya ekleriz.

Resim 40 - Web Deposu

5. Ekranın alt kısımda, seçili nesne ile alakalı detay bilgiler görüntülenmektedir.

61

6.2. Depodan Al

1. Plugin Tanım ekranında, plugin üzerine gelip depodan deyim ekleyebiliriz. Bunun için

“Depodan Al” seçeneği seçilir.

2. Depodan Nesne Al Ekranı’nda; butonuyla depodaki deyimler içerisinden arama

yaparak, ihtiyacımız olan deyime ulaşabiliriz. Deyimi seçtikten sonra butonuyla

depoya ekleriz.

62

Resim 41 - Depodan Alma

3. Eklenen Deyim seçili plugin altında şu şekilde görünecektir;

6.3. Depoya Ekle

Plugin Tanım ekranında, “Depoya Ekle” seçeneği ile tanımlamış olduğumuz nesneyi depoya

ekleyebiliriz.

1. Aşağıda, CheckPoint Firewall, Log Kaynağı olarak depoya eklenmiştir.

63

2. “Depoya Nesne Ekle” ekranında, Adı alanı girildikten sonra “Kaydet”

butonuylaCheckPoint, Log kaynağı olarak depoya eklenmiş olur.“Tüm Yapıyı Ekle”

seçilmiş olursa Log kaynağı içerisinde var olan plugin, deyim, istatistik vb. nesnelerle

birlikte kaydedilir. Tüm yapıyı ekleme seçeneği, bağlı bulunan bileşen varsa bu nesnenin

tamamıyla birlikte eklemek için kullanılır.

64

7. Ajan Yönetimi

Cryptolog Client yazılımı ile ajan kurulabilir ve yönetilebilir. Ajanın üzerinde bulunan log kaynakları

üzerinde düzenlemeler yapılabilir.

7.1. Ajan Kurulumu

CryptologClient üzerinden uzak makineler CryptologAgent uygulaması kurulabilir. CryptoLog

Agent sadece windows işletim sistemlerinde çalışır. Bu özelliğin kullanılabilmesi için Program Files

/ CryptoLog Client dizininde CryptoLogAgentSetup.msi dosyasının bulunması gerekmektedir.

Uzak Bilgisayar Ajan kurulumu ve kaldırma işlemlerinin çalışabilmesi için de Uzak Bilgisayarda RPC

(Remote Procedure Call) ve WMI (Windows Management Instrumentation) servislerinin kurulu

ve çalışıyor olması gerekmektedir. Ayrıca bu sunucularda .NET Framework 3.5 SP1 ve/veya üstü

kurulu olması gerekmektedir.

1. CryptologClient ile Ayarlar / Ajan Kurulumu arayüzüne erişilir.

Ajan Uzaktan Kurulum Gereksinimler

CryptoLogClient yüklü bilgisayarda

ProgramFiles/CryptologClient/CryptoLogAgentSetup.msi

Windows İşletim Sistemi Uzak Bilgisayar (2000, XP, Server 20003, Vista, 7)

Çalışan RPC ve WMI servis (Hedef Bilgisayarda)

.NET Framework 3.5 SP1 ve/veya üstü (Hedef Bilgisayarda)

Yönetici yetkisinde bir kullanıcı hesabı (Hedef Bilgisayarda)

65

2. Gelen ekranda Ajan Yüklemek için butonu, yüklenmiş ajanı kaldırmak için

butonu kullanılır.

3. Ajan kurulacak ya da kaldırılacak hedef bilgisayarın ayarları gelen formda girilir.

Hedef Bilgisayar; Zorunlu alandır. Ajan kurulacak bilgisayarın IP adresi girilir.

Kullanıcı Adı; Hedef bilgisayarda kurulum yetkisi olan hesabın kullanıcı adı.

Şifre; Hedef bilgisayarda kurulum yetkisi olan hesabın şifresi.

Etki Alanı; Hedef bilgisayarda kurulum yetkisi olan hesabın etki alanı (domain).

4. Ayarlar girilip “Yükle” butonuna basıldıktan sonra aşağıdaki bilgilendirme detayları

gelecektir.

Resim 42 - Uzaktan Ajan Yükleme

66

Resim 43 - Uzaktan Ajan Yükleme Başarılı

Resim 44 - Uzak Ajan Kaldırma

67

Resim 45 - Uzak Ajan Kaldırma Başarılı

5. Çoklu olarak birçok uzak bilgisayara ajan kurmak ya da kaldırmak için Hedef Bilgisayar

metin alanına “;” ile ayrılmış ip adresleri ya da domain adları girilibilir veya

butonu kullanılır. Hedef Bilgisayarlar formunda ağda bulunmuş bilgisayarlar

listelendikten sonra seçilebilir.

68

Resim 46 - Ajan Uzaktan Çoklu Bilgisayarlardan Kaldırma

6. Ajanı uzaktan kurarken ya da kaldırırken aşağıdaki hatalardan biriyle karşılaşılabilir.

Ajan Uzaktan Kurulum Gereksinimler yerine getirilirse bu hatalar alınmayacaktır.

69

7. Hata sonuçları Kapatılır ya da İşlem Tekrar Denenir.

7.2. Ajan Görev Yönetimi

CryptologClient üzerinde uzak makinelere kurulmuş ajanları yönetmek mümkündür. Ajan

konfigürasyonu uzaktan değiştirilebilir, ajan log dosyaları kontrol edilebilir, ajanlara yeni log

kaynakları tanımlanabilir.

1. CryptologClient üzerinden Ayarlar / Ajan Görev Yönetimi arayüzüne erişilir.

2. Bu ekranda Cryptolog'a bağlı ajanlar sol panelde listelenir.

70

Resim 47 - Ajan Görev Yönetimi

3. Ajan Görev Yönetimi ile yapılacak işlemler listesi aşağıda verilmiştir.

Resim 48 - Ajan Görev Listesi

71

Ajan Kayıt

a. Ajan Kayıt Listesine yeni bir ajan kaydetmek için butonuna basılır.

b. Gelen ekranda panelini kullanılır. Butonlar sırasıyla “Ajan Kaydı

Ekleme”, “Ajan Kaydı Düzeltme” ve “Ajan Kaydı Silme” görevlerini görür. Yeni

ajan ekleme için “+” butonuna basıldığında aşağıdaki ekran gelecektir.

c. Kaydet butonuna basılır ajan kayıt listesine ajan eklenir.

Yeni Bilgi Getirme

a. Bu kısım ajandan yeni bilgi getirmek için kullanılır. Butonuna basıldığında

aşağıdaki ekran gelir.

72

Resim 49 - Ajan Görev Detayları

b. Ajandan getirilebilecek bilgiler yukarıdaki şekilde görülmektedir.

Plugin bilgisi; ajan üzerinde tanımlı log kaynaklarını görmek ve üzerinde

değişiklik yapmak için getirilebilir.

Konfigürasyonu getir; ajan konfigürasyon dosyasını getirmek için kullanılır.

Ajan log içeriği getir; Ajanın yaptığı işlemler yazdığı log dosyasının son 100 KB

lık kısmını getirmek için kullanılır. Bu bilgi problem çözmede faydalıdır. Ajandan

log gelmemesi gibi problemlerde kullanılır.

Yeniden başlat; ajan servisini yeniden başlatmak için kullanılır.

Sağ üstteki buton yardımı ile daha önce isim verdiğimiz ajanlardan biri

seçilebilir veya ajanın ip si girilerek ajana yeni göre atanabilir.

c. Yeni görev verildikten sonra görevin durumu ekranın sağ kısmından takip

edilebilir.

73

d. Durum kısmında Bitti uyarısı varsa görev tamamlanmış demektir. Görev kısmında

tamamlanan görev görülebilir. Daha sonra gelen bilgiler görüntülenebilir veya

değiştirilebilir.

Gelen Bilgileri Değiştirme

a. Bu kısımda “Yeni Bilgi Getirme” bölümünde anlatılan, ajan üzerinden gelen

bilgiler değiştirme anlatılacaktır.

b. CryptologClient üzerinden daha önce tanımlanmış log kaynaklarının detayları

değiştirilebilir, log kaynakları silinebilir veya yeni log kaynağı eklenebilir.

c. Ajan bilgilerini değiştirmek için butonuna basılır.

d. Aşağıda gelen ekranda, var olan log kaynakları sol kısımda ve bu kaynaklardan

seçili olanın detayları da sağ kısımda gözükmektedir. Log kaynağı üzerinde

değişiklik yapmak için sağ tıklayıp düzenle ekranına geçmek gerekir

74

Resim 50 - Ajan Görev Değiştirme

e. Burada tıpkı ajana kurulu olduğu makine üzerinde müdahale eder gibi çalışılabilir.

Yapılan değişiklikler kaydedildikten sonra Kaydet düğmesi ile bu ekran kapatılır.

Daha sonra gelen ekrandan Gönder düğmesi ile yapılan değişiklikler ajana

gönderilir.

75

f. Ajan Konfigürasyonu üzerinde değişiklik yapmak için ise aşağıdaki ekran kullanılır.

Verilecek yeni değerler için “Yeni Değer” Sütunun kullanılır.

76

g. Sırasıyla Kaydet ve Gönder butonlarına basılır.

h. Ajan Görev Yönetimi ekranında Ajan Bilgi Değiştirme görevi görülecektir.

Detay Görüntüleme

Ajan görev yönetimi kısmında tanımlanan görevlerin detaylarını görüntülemek için kullanılır.

Tamamlanmış ve bekleyen görevler listesindeki görevlerin detaylarını görmek için

butonuna basılır.

İptal Etme

Ajan görev yönetimi kısmında tanımlanan görevlerin detaylarını iptal etmek için kullanılır.

Tamamlanmış ve bekleyen görevler listesindeki görevler iptal etmek için butonuna

basılır.

77

8. Yedekleme ve Arşivleme

Yedekleme sekmesi sistem yapılandırma ayarları ve dosyalarının yedeklenmesini sağlamaktadır.

Yedekleme Cryptolog Depo(repository) ya da dosya sistemine yapılabilmektedir. Arşiv ekranından

eski tarihli log kayıtlarının arşivlenmek üzere başka bir klasöre taşınması sağlanabilir. Böylece aşırı

veri ile diskin dolması önlenir. Ancak arşivlenen dosyalar üzerinde arama yapılamayacağı

unutulmamalıdır. Bu nedenle kullanılmayacak eski tarihli veriler arşivlenmelidir.

8.1. Yedekleme

1. CryptologClient üzerinden Ayarlar / Yedekleme-Arşiv seçilir. Aşağıdaki ekran

gelecektir. Yedekleme sekmesi açılır.

Saklama Yeri; Depo işaretlenirse Cryptolog Sunucusu üzerine, Klasör işaretlenirse

yerel bilgisayarda belirtilen dizine yedeklenir.

Saklanacak Nesneler; Sunucu ayarları Crypolog Konfigürasyon dosyasını, Plugin

Dosyası, log kaynaklarını, Korelasyon Dosyası, ilişkilendirme dosyasını saklamak için

kullanılır.

Saklama Adı; Yedeklenecek dosyanın adını vermek için kullanılır. Klasör

işaretlendiğinde butonu aktif duruma gelir. Buradan yerel bilgisayar üzerindeki bir

dizin seçilebilir.

2. Kaydetmek için butonuna basılır.

3. Ekrana gelen mesajda “Tamam” seçilir.

78

8.2. Arşiv

1. CryptologClient üzerinden Ayarlar / Yedekleme-Arşiv seçilir. Aşağıdaki ekran

gelecektir. Arşiv sekmesi açılır.

2. Belirli tarihten önceki log dosyaların tamamı “Arşiv Yolu” olarak belirtilen sunucu

ulaşabileceği bir dizine kopyalanabilir. Bu dizin Cryptolog sunucusuna bağlanmış bir

disk, veri deposu (data storage) olabilir.

3. Arşivlemeyi yapmak için butonuna basılır. Gelen uyarı mesajı Evet ile geçilir.

79

4. Daha sonra sırasıyla aşağıdaki ekranlar gelecektir. Son olarak Tamam seçilir ve

arşivleme tamamlanır.

5. Arşiv listesini görmek için “Arşiv Listesi” butonuna basılır. Aşağıdaki ekran bu

zamana kadar yapılmış arşivlerin gösterildiği ekrandır.

80

6. Log dosyalarını görmek için butonuna basılır. Aşağıdaki ekran belirtilen Tarih

aralıklarında Cryptolog’un yazdığı log dosyalarıdır. Log kaynağın açılır menüsünden, bu

zamana kadar log alınmış bütün kaynakları görebilirsiniz. Bu kaynaklardan toplanan

logların hangi log dosyasına yazıldığını görmek için Log Kaynağı ve Tarih Aralığı seçilir,

butonuna basılır.

81

9. Log Aktarma

Cryptolog arama ile gelen sonuçları ya da bütün log kaynaklarından gelen logları dışarı başka bir

bilgisayara aktarabilir. Gelen Dosya Aktar menüsündeki butonuna tıklayarak yapabilirsiniz.

1. Cryptolog Client üzerinde ister arama ile gelen sonuçları butonuna basarak, ister

Ayarlar / Kontrol ile belirli tarih aralığındaki hashlenen ve imzalanan log dosyaları ve

imza dosyaları dışarıdaki bir ortama aktarmak mümkündür.

2. Gelen ekranda “Seçilen dosyaları yasal sorgu içi dışarı aktar” linkine tıklanarak yerel

ortama aktarılabilir. Bu bağlantı 5651 sayılı bilişim yasaları gereği kullanılabilir.

82

3. Aktarma işlemi tamamlandıktan sonra uyarı mesajı verecektir.

83

4. Sistem bu logları aktarmadan önce doğruluğunu butonuna basılarak kontrol

edilebilir.

84

10. Cryptolog Konfigürasyon

Cryptolog Sunucu ayarlarını görmek, değiştirmek; sunucuyu kapatmak, yeniden açmak için bu modül

kullanılır. “cadmin” kullanıcısı bu ayarların hepsini değiştirme yetkisine sahiptir. “admin” kullanıcısı

ise Yönetim Soketi, Log Toplama Soketi, Log Sıkıştırma, Otomatik Arşivleme, Sistem Sağlık Kontrolü ve

Otomatik IP Değişimi ayarlarını düzenleme yetkisine sahiptir.

1. CryptologClient üzerinde Ayarlar / Cryptolog Konfigürasyon seçilir.

2. Açılan ekranda aşağıdaki özellikler çıkmaktadır. Bu ayarların hepsi detaylı olarak

anlatılmaktadır.

85

Resim 51 - Sistem Konfigurasyon

10.1. Durum

Sunucuyu kapatma, yeniden başlatma işlemlerinde kullanılır.

Resim 52 - Sistem Konfigurasyom - Durum

86

1. Cryptolog’u yeniden başlatmak için butonuna basılır

2. Evet, seçilir ve aşağıdaki uyarı ekranı gelir.

3. Evet seçilir.

4. Cryptolog sunucusunu kapatmak için butonuna basılır.

10.2. Sistem

Sistemin genel ayarlarını düzenlemek için kullanılır. Sistem’e tıklandığında aşağıdaki form açılır.

Bu form üzerinde gelen öntanımlı özellikler cadmin kullanıcısı tarafında değiştirilebilir. Özelliklerin

detaylı açıklamaları aşağıda yapılmıştır.

87

Resim 53 - Sistem Konfigurasyom - Sistem

İç kontrol yap; İşaretlenirse, CryptoLOG başlarken CryptologFile.log imzasını kontrol eder, imza

yanlışsa başlamaz.

Sistem yalnızca okuma modunda çalışsın; CryptoLOG dağıtık olarak çalışabilmektedir.

İşaretlenirse sadece logları toplayan bir sunucu tanımlanmış olur. Dağıtık yapıda çalışan

sistemlerde Raporlama, İstatistik, Log toplayan, Arama Yapılan sunucular ayrıştıralabilir.

Sistem veritabanı tipi; CryptoLOG, kullanıcı, alarm, görev, istatistik bilgilerini kendi üzerindeki ya

da uzak sunucudaki veritabanında tutar. Veritabanı tipi olarak mysql veya sqlserver seçilir.

Sistem veritabanı bağlantı ifadesi; Veritabanı bağlantı ifadesi (Connection String) girilir.

Rapor sunucusu çalışsın; CryptoLOG Rapor Modülünü çalıştırmak için işaretlenir. Rapor Modülü

tanımlanan şablonları zamanlı olarak çalışıtırıp, rapor üreten modüldür. Raporlama, Raporlar

kısmında detaylı olarak anlatılmıştır.

Görevleri çalıştır; CryptoLOG üzerinde, Ajan Yönetimi, Arama gibi süreçler görevler üzerinden

yapılır. Bu işlemlerin aktif edilebilmesi için işaretlenmesi gerekir.

İstatistikleri oluştur; CryptoLOG topladığı kayıtlar üzerinden anlamlı istatistikler üretebilmektedir.

Tanımlanmış “En Çok N… Değerleri” bilgilerini görebilmek için işaretlenmesi gerekir.

88

İstatistik kayıt zaman aralığı (dk); İstatistikler burada belirtilen zaman aralıkları üzerinden

hesaplanır. Öntanımlı olarak 30 dakika ayarlanmıştır. 30 dakikalık zaman dilimine ait log

kayıtlarına ait istatistik değerleri hesaplanır. Örneğin; saat 12.00-12.30 arasında en çok

facebook.com’a erişen 10 kullanıcı.

İstatistik oluşturma bakma süresi (sn); İstatistikler, burada belirtilen süre içerisinde kontrollerini

yapar. Öntanımlı olarak 300 sn olarak ayarlanmıştır. 10 dakikada bir verilen istatistik tanımları

ölçüsünde kayıtları işler ve hesaplarını yapar.

Atılan logları yaz (debug); CryptoLOG topladığı logları, plugin bilgilerine göre işler. Plugin’e

uymayan kayıtları saklamak için işaretlenir.

Kendi log yolu; CryptoLOG sunucusunun, kendi uygulama logunun tutulacağı dizini belirtmek için

kullanılır.

Hata detaylarını loga yaz; CryptoLOG sunucusunun günlüklerinde hata detaylarını görmek için

işaretlenir.

Maksimum log dosya boyutu (MB); Log dosyasının boyutu burada belirtilen değere ulaştığında

günlük dosyası dönüşür (log rotate).

İstemci kullanıcı logunu tut; CryptoLOG, istemci üzerinden yapılan kullanıcı işlemlerinin de

günlüklerini tutabilir.

Thread çalışma modu; CryptoLOG sürecinin o sunucu üzerinde çalışma önceliğini belirler. Lowest

Below Normal, Normal, Above Normal, Highest şeklinde 5 dereceye ayrılmıştır.

10.3. Sistem(Diğer)

Bu kısımda daha çok sistem ayarlarından log, plugin, sertifika, kontrol dosyalarının hangi dizinle

tutulduğu bilgileri düzenlenir. Aşağıda detaylar açıklanmıştır.

Resim 54 - Sistem Konfigurasyom - Sistem(Diğer)

89

Log dosya adı; CryptoLOG, günlüklerinin tutulacağı dizinini ve dosya ismini ayarlamak için

kullanılır.

Pozisyon dosya adı; CryptoLOG, topladığı logları işlerken en son kaldığı pozisyon bilgisini de

saklar. Bu bilgilerin tutulacağı dizini ve dosya ismini ayarlamak için kullanılır.

Plugin dosya adı; CryptoLOG, tanımlanan log kaynakları ve plugin bilgilerini burada belirtilen

dosyada saklar.

Kontrol dosya adı; CryptoLOG, toplayıp işlediği log dosyaları isimlerini burada belirtilen dosya

içinde tutar.

Sertifika dosya adı; CryptoLOG, burada belirtilen elektronik sertifika ile birlikte dosyaların digital

imzasını oluşturur. Öntanımlı olarak CryptTech tarafından geliştirilmiş elektonik sertifika kullanılır,

istenirse Nitelikli Elektronik Sertifika dizini eklenebilir.

Lisans dosya adı; CryptoLOG, çalışması için gerekli lisans dosyasını burada belirtilen dizinden alır.

10.4. Log Yazma

CryptoLOG topladığı kayıtları işleyip kendi yapısına göre yazarken aşağıdaki ayarları kullanır.

Dosya ve/veya satırların hash ve imza değerlerinin hangi algoritmaya göre üretileceği bu kısımda

ayarlanır.

90

Resim 55 - Sistem Konfigurasyom - Log Yazma

Yazma blok boyutu (adet); CryptoLOG, burada belirtilen sayı kadar satırda kaydı işler. Bu satırdan

fazla sayıda kayıt gelmişse kalan kısmı kuyruğa atar. Burada belirtilen sayıyı lisanstaki EPS kadar

tutmakta fayda vardır.

Dosyaların yazılacağı yol; Toplanan loglar işlendikten sonra burada belirtilen dizine yazılır.

İşlenen log dosya isimleri CL_201201120245_10001.log şeklindedir.

Maksimum dosya boyutu (kb); İşlenip yazılan loglar, Maksimum dosya boyutuna ulaştığı zaman

isim değiştirir (log rotate) ve o zamanın yıl, ay, gün, saat, dakika ve plugin numarasını içeren isme

sahip olur.

Log satırında alan isimleri olsun; İşaretlenirse, sütun isimleri, kaydın içerisinde yer alır.

Çıkış ayıracı; Kayıtlarda, kayıt numarasında sonra kullanılacak olan ayraç.

Kolon ayıracı; İşlenen logları kolon bazlı ayırırken kullanılacak olan ayraç.

Dosya hash algoritması; Dosya hash özetini alırken kullanılan algoritma. Seçenekler; MD5, SHA1,

SHA216, SHA384, SHA512. Hash Algoritmaları hakkında detaylı bilgi almak için lütfen tıklayınız.

http://en.wikipedia.org/wiki/Cryptographic_hash_function

91

İmza hash algoritması; Dosya için atılan imzayı oluştumak için kullanılan algoritma. Seçenekler;

MD5, SHA1

İmza algoritması; İmza hash özetinin saklandığı algoritma.

Satır bazında imzalama kullan; CryptoLOG’a gelen her kayıt için imzalama yapmak istenirse

işaretlenir. Bu özelliği kullanmak için performansı yüksek donanımlar kullanmak gerekir. Ayrıca

satır hash özetlerini üretmek için HSM (Hardware Security Module) ya da Kripto Kartlar

kullanılmalıdır.

Satır hash’ini yaz; İşaretlenirse her kayıt için hash bilgisi tutulur.

Hash algoritması; Hash özeti alınan kayıt için kullanılan algoritma. Seçenekler; MD5, SHA1.

Satır imzasını yaz; İşaretlenirse oluşturulan hash ile birlikte imza bilgisi tutulur.

İmza Algoritması; Oluşan hash + imza bilgisini imzalamak için kullanılan algoritma. Seçenekler;

RSA.

10.5. Yönetim Soketi

CryptoLOG, kendi istemci programı olan CryptoLog Client tarafından yönetilebilmektedir. Ön

tanımlı olarak yönetim soket portu TCP 39889 dur. Bu değer burada değiştirilebilir.

Resim 56 - Sistem Konfigurasyom - Yönetim Soketi

Bu özelliği kullan; İşaretlenirse, CryptoLog burada belirtilen ip ve port üzerinden yönetilebilir

duruma gelir.

IP (ler); Yönetim IP değeri. Birden fazla IP üzerinden yönetilmesi için sunucunun her ağ arabirimi

IP değeri eklenebilir.

92

Port; Yönetim Port değeri. Öntanımlı olarak 39889 atanmıştır.

SSL; Yönetimin güvenli olarak şifreli yapılması istenirse işaretlenir.

Soket iç çalışma testi (sn); Burada verilen saniyede bir portun açık olup olmadığı kontrol edilir.

10.6. Log Toplama Soketi

CryptoLOG, kendi ajan programı olan CryptoLog Agent tarafından topladığı logları 39876 portu

üzerinden almaktadır. Ajanlar üzerinden log toplanacaksa bu özellik aktif edilmelidir.

Resim 57 - Sistem Konfigurasyom - Log Toplama Soketi

Bu özelliği kullan; İşaretlenirse, CryptoLog burada belirtilen ip ve port üzerinden ajanlardan log

toplar.

IP (ler); Log Toplama IP değeri. Birden fazla IP üzerinden ajanlardan log toplamak için sunucunun

her ağ arabirimi IP değeri eklenebilir.

Port; Ajanlardan Log Toplama Port değeri. Öntanımlı olarak 39876 atanmıştır.

SSL; Ajanlardan log toplama, güvenli olarak şifreli yapılması istenirse işaretlenir.

Çıkış dosya adı; Ajanlardan toplanan loglar burada belirtilen dizinde ve dosya ismiyle kaydedilir.

Log ismi CL_agent_afn{AjanDosyaNumarası}_{DosyaNumarası}.log şeklindedir.

Maksimum dosya boyutu (KB); İşlenip yazılan loglar, Maksimum dosya boyutuna ulaştığı zaman

isim değiştirir (log rotate) ve {DosyaNumarası} nın bir fazla değerini içeren isme sahip olur.

93

Sertifika; SSL işaretlenirse şifreli iletişim için buradaki Sertifika kullanılır.

10.7. Log Sıkıştırma

İşlenen logları sıkıştırma işlemi burada aktif edilir.

Resim 58 - Sistem Konfigurasyom - Log Sıkıştırma

Bu özelliği kullan; İşaretlenirse, toplanıp işlenen log dosyaları sıkıştırılmaya başlanır.

Bu günden eski dosyaları sıkıştır (gün); Burada belirtilen günden önceki dosyalar sıkıştırılır.

Sıkıştırmanın başlayacağı saat; Sıkıştırma işlemi burada tanımlanan saatte başlar. Sıkıştırma

işlemi log akışının yoğun olmadığı saatlerde yapılırsa sistem kaynakları verimli kullanılmış olur.

Sıkıştırmanın çalışacağı maksimum saat; Sıkıştırma burada tanımlanan saat kadar çalışır.

Yukarıda verilen örneğe göre, 02:00 – 06:00 saatleri arasında yapılır.

10.8. Syslog

CryptoLOG’un kendi syslog sunucusu kullanılmak istenirse bu kısım düzeltilmelidir. Genelde Linux

tabanlı işletim sistemleri üzerinde çalışan CryptoLOG sunucusu için rsyslog kullanılır. Rsyslog’a

alternatif olarak CryptoLOG’un kendi syslog sunucusu kullanılabilir.

94

Resim 59 - Sistem Konfigurasyom - Syslog

Bu özelliği kullan; İşaretlenirse, CryptoLOG syslog toplama sunucu kullanılır.

IP / Port / Tipi ; Syslog sunucusu ip ve port değeri burada tanımlanır. Syslog standardına göre

öntanımlı olarak 514 UDP portu tanımlanmıştır. İstenirse TCP üzerinden başka bir port açılabilir.

Çıkış dosya adı (Yol ile birlikte); Syslog üzerinden toplanan loglar burada belirtilen dizin ve

dosyada saklanır.

Maksimum dosya boyutu (KB); Toplanan log dosyası, Maksimum dosya boyutuna ulaştığı zaman

isim değiştirir (log rotate) ve {DosyaNumarası} nın bir fazla değerini içeren isme sahip olur.

Csyslog0.log, Csyslog1.log, Csyslog2.log…

Çıkış formatı; Syslog başlığı buradan seçilir.

Kuyruk kullan (queue); Syslog akışı fazla olan sistemlerde işaretlenmelidir.

Gruplama Tipi; None, facility, ip seçeneklerinden biri seçilir. None; Gruplama yapılmayacaksa

seçilmelidir. Gelen logların hepsi csyslog0 loglarına yazılır. Facility; Gruplama, syslog auth,

authpriv, daemon, cron, ftp, lpr, kern, mail, news, syslog, user, uucp, local0, ... , local7. IP;

Gruplama, verilen ip adresi gruplarına göre yapılır.

95

Gruplar; Oluşturulan gruplar bu kısımda tanımlanır. Yeni bir grup eklemek için “Grup Ekle”

butonuna basılır. Grup ismi verilir ve Tamam tıklanır.

Eklenen gruba yeni eleman eklemek için butonuna basılır. Eleman olarak Gruplama tipi

seçilen tür hakkında bilgi girilir.

Gruplama bittiği zaman aşağıdaki bir yapı oluşacaktır. Bu yapıya göre 172.17.7.24 ve 172.17.7.25

ip adresli makinelerden gelen loglar CL_csyslog_Webservers_0.log dosyasına, 10.1.2.66 ve

10.1.2.67 ip adresli makinelerden gelen loglar CL_csyslog_CitrixLoader_0.log dosyasına

yazacaktır. Maksimum dosya boyutuna oluşan dosyalar dosya ismini 0 dan başlayıp artan değer

olarak kaydedecektir.

Eklenen grup ya da elemanı silmek için, silinecek dal seçilir ve butonuna basılır. Aşağıda

gelen ekranda Tamam’a tıklanır.

96

Özel Gruplama Kullan (iç kullanım içindir); Syslog gruplama için şablon bazlı ayrıştırmada

kullanılır.

10.9. Otomatik Arşivleme

CryptoLOG belirli günden eski log dosyalarını başka bir dizine arşivleyebilir. Arşivlemenin

ayarlandığı bu kısımın detayları aşağıda verilmiştir.

Resim 60 - Sistem Konfigurasyom - Otomatik Arşivleme

Bu özelliği kullan; İşaretlenirse, Otomatik Arşivleme aktif edilmiş olur. Aşağıdaki parametrelere

göre arşivleme yapılır.

Tip, Arşivle; Dosyaların sunucudan, belirtilen dizine taşınması işlemi için, Yedekle; Dosyaların

belirtilen dizine yedeklenmesi için, Arşivle ve Yedekle her iki işlemin beraber yapılması için seçilir.

Bu günden eski dosyaları arşivle (gün); Burada belirtilen günden önceki loglar, “Dosyaların

taşınacağı yol” da belirtilen dizine taşınır.

97

Arşivlemenin başlayacağı saat; Arşivleme süreci burada belirtilen saatte başlar.

Arşivlemenin çalışacağı maksimum saat; Arşivleme süreci burada belirtilen saat kadar çalışır.

Dosyaların taşınacağı/ kopyalanacağı yol; Arşivlenen dosyalar burada belirtilen dizine taşınır ya

da kopyalanır.

Dosyaların yedekleneceği yol; Yedekleme yapılacak dizin yazılır.

Arşivlenen dosyalar üzerinde arama yapılabilsin; İşaretlenirse, arşiv dosyaları içinde de arama

yapılabilir.

Bu aydan eski olan dosyalarını sil (ay); Burada belirtilen sayı kadar aydan önceki loglar diskten

tamamen silinir. “0” yazılırsa silme işlemi yapılmaz.

10.10. Disk Kontrol

Diskin doluluk oranı verilen eşik değerinin altına düştüğü zaman CryptoLOG uyarı verir. Bu özellik

sayesinde log kaybı yaşama riski azaltılmış olur.

Resim 61 - Sistem Konfigurasyom - Disk Kontrol

Bu özelliği kullan; İşaretlenirse, Diskin doluluk oranı kontrol edilir.

98

Kontrol etme sıklığı (dk); Burada belirtilen sayı kadar dakikada bir diskin doluluk oranı kontrol

edilir.

En düşük boş alan oranı (%); Disk doluluk eşiği burada tanımlanır. Diskin doluluk oranı (yüzde

olarak) bu değerin altına düşerse sistem uyarı verir.

Kontrol edilecek diskler(yollar); Kontrol edilmesi istenen farklı dizin ve/veya bölümlemeler varsa

burada tanımlanabilir.

10.11. Paylaşım Kontrolü

Linux tabanlı sistemlerden SSH ile bağlanan disklerin kontrolü bu kısımda yapılır. Bağlantı

noktalarının kontrolünü aktif edilmesi için “Bu özelliği kullan” kutucuğu işaretlenir. Kontrol etme

sıklığı burada tanımlanır.

Resim 62 - Sistem Konfigurasyom - Paylaşım Kontrol

10.12. Sistem Sağlık Kontrolü

CryptoLOG kendi iç süreçlerinin kontrolünü yapabilir. Log kaynağının çok fazla (100den fazla) ve

log akışının yüksek (10000 EPS üzeri) olduğu sistemlerde bu özellik kullanılmalıdır. Kontrol etme

sıklığında threadlar konrol edilir. Çalışmayan threadlar sonlandırılır yeni bir tanesi açılır. Bu

threadlerin yeniden başlama aralığı dakika olarak buradan ayarlanır.

Resim 63 - Sistem Sağlık Kontrolü

99

10.13. Otomatik IP Değişimi

CryptoLOG, yönetim, log toplama ve syslog ayarları aktif edilirse belirlenen ip ve port değerleri

için soket açar. IP adresleri elle verilebilir ya da bir arabirime (eth0, eth1, .. ) atanabilir. Arabirimin

ip değeri değişirse, otomatik olarak değişen değer için soketler yeniden açılır. Kritik bir ayardır.

Değerin değiştirilmesi sonunda eski ip adresine log gönderen sistemler üzerinden yeniden

tanımlama yapmak gerekir.

Resim 64 - Otomatik Ip Değişimi

10.14. Klasör / Dosya İmzalama

CryptoLOG, belirtilen klasör ve/veya dosyaları sadece imzlayabilir. Bazı sistemlerde ikili olarak

(binary) olarak tutulan log veya klasörün imzasını saklayabilir. Bu durumlarda bu özellik kullanılır.

Kaç sn aralıkla kontrol yapılacağı ve hangi dizin ya da dosyanın imzalanacağı burada ayarlanır.

Resim 65 - Klasör Dosya İmzalama

100

10.15. Korelasyon

Korelasyon (İlişkilendirme, Correlation) farklı kaynaklardan gelen farklı özelliklerde kayıtlar

arasındaki ilişkileri ortaya çıkarma yeteneğidir. Korelasyon kuralları olaylar arasındaki eğilimleri ve

örüntüleri ortaya çıkarır. Bu modülün kullanıldığı ürün CryptoSIM olarak adlandırılmaktadır. SIM

(Security Information Management) olarak geçen bu sistemin aktif edilebilmesi için bu özelliğin

kullanılması gerekmektedir. Korelasyon Modülü CryptoSIM – Kullanım Kılavuzu dökümanın

detaylı anlatılmaktadır.

Resim 66 - - Sistem Konfigurasyom - Korelasyon

Bu özelliği kullan; İşaretlenirse, Korelasyon modülü aktif edilir.

Korelasyon dosya adı; İlişkilendirme kurallarının tutulduğu dosya ismi burada belirtilir.

Alarmlar için saklanacak log sayısı; İlişkilendirme kuralına takılan her kayıt için kaç adet log

tutulacağını belirtir.

Minimum alarm risk seviyesi; Burada belirtilen seviye ve üstündeki seviyelerden gelen kayıtlar

için alarm üretilir.

10.16. Sensör

CryptoLog, dağıtık mimari çalışabilecek yapıda tasarlanmıştır. Bu özellik sayesinde, ağınızın ve

kaynaklarınızı büyüklüğüne göre log toplama sisteminizi ölçeklendirebilir duruma getirebilirsiniz.

Birden fazla CryptoLOG’u sistemlere ayrıştırabilir, bazılarını sadece raporlama, bazılarını da

istatistik sunucusu olarak çalıştırabilirsiniz. Bu mimaride performansı yüksek bir yapı tasarlanmış

olur. Dağıtık mimari detaylı bilgi için CryptoLOG – DağıtıkMimari dökümanına bakabilirsiniz.

CryptoLOG sensör – merkez ilişkisiyle çalışır bu durumda. Sensör üzerinde toplanan loglar belirli

zaman diliminde merkeze gönderilir. Sensör konfigürasyonunun detayları aşağıda açıklanmıştır.

101

Resim 67 - Sistem Konfigurasyom - Sensör

Bu özelliği kullan; İşaretlenirse, CryptoLOG sensör olarak çalışır.

Sensör ID; Sensör için tanımlanan tekil kimlik numarası. Her sensöre farklı kimlik numarası

verilmelidir.

Merkez sunucu IP / Port; CryptoLOG merkez sunucusunun IP / Port değeri. Loglar bu ip adresine

gönderilecektir.

Merkez sunucu Port; Port değeri Log Toplama Soketinde verilen değerle aynı olmalıdır. Öntanımlı

39876

Merkez Sunucu SSL; Sensör ile Merkez arasında iletişim SSL ile olacaksa işaretlenmelidir.

Merkeze log göndermenin başlayacağı saat; Sensör, topladığı logları burada belirtilen saatte

merkeze göndermeye başlar.

Merkeze log göndermenin çalışacağı maksimum saat; Sensör, topladığı logları burada belirtilen

saat kadar gönderir. Gönderme işlemi bu süre içinde bitmediyse ertesi güne kalır. Bu sebeple

optimum süre verilmesi için log aktarma süresinin kontrol edilmesi gerekir.

Merkeze gönderilen eski dosyaları sil (gün); Sensör üzerinde, burada belirtilen günden önceki

loglar silinir. Silme işlemi olmaması için “0” seçilmelidir.

Veritabanı kullan; Sensörün kendi istatistik kayıtlarını merkezin veritabanına eklemesi için

işaretlenmelidir.

102

10.17. Zaman Damgası

CryptoLOG, zaman damgası için Yerel Ağda tanımlanan zaman sunucusu ile eşleştirilebilir. 30

Kasım 2007 tarih ve 26716 sayılı Resmi Gazete'de yayınlanan "İnternet Ortamında Yapılan

Yayınların Düzenlenmesine Dair Usul Ve Esaslar Hakkında Yönetmelik" gereğince yer sağlayıcılar,

"Yer sağlayıcı trafik bilgisini altı ay saklamakla, bu bilgilerin doğruluğunu, bütünlüğünü oluşan

verilerin dosya bütünlük değerlerini zaman damgası ile birlikte saklamak ve gizliliğini temin

etmekle" yükümlüdürler. CryptoLOG Yazılım Abonelik (Software Subscription) sözleşmesi yapılan

sistemlerde Tubitak Uekae Zaman Damgası Sunucusu’ndaki atom saatinden alınan zaman ile

dosya özetinin birleştirilmesiyle veri oluşturulur. Bu veri CryptoLog sertifikası ile birleştirilip

dosyaya özel damga üretilir. Eğer Yazılım Abonelik yapılmamışsa, Kamu Sertifikasyon Merkezi

‘den alınan hizmet sonrasında sağlanan bilgiler aşağıdaki forma girilir.

Zaman Damgası kullanımı zorunluluğu ile ilgili kanun ve yönetmelikler

04/05/2007 Tarihli ve 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve

Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun için tıklayınız.

24/10/2007 tarihli ve 26680 sayılı Resmi Gazetede yayımlanan Telekomünikasyon

Kurumu Tarafından Erişim Sağlayıcılara ve Yer Sağlayıcılara Faaliyet Belgesi Verilmesine

İlişkin Usul ve Esaslar Hakkında Yönetmelik için tıklayınız.

30/11/2007 tarihli 26716 sayılı Resmi Gazetede yayımlanan İnternet Ortamında Yapılan

Yayınların Düzenlenmesine Dair Usul ve Esaslar Hakkında Yönetmelik için tıklayınız.

Resim 68 - Sistem Konfigurasyom - Zaman Damgası

Bu özelliği kullan; İşaretlenirse, Tübitak Zaman Sunucusu kullanılır.

Kullanıcı ID; Kamusm hizmeti için verilen kimlik numarası.

Şifre; Kamusm hizmeti için verilen şifre.

http://www.kamusm.gov.tr/urunler/zaman_damgasi/

http://tib.gov.tr/node/76



103

Çalışma zamanı; CryptoLOG, tooplanan bütün logların hash bilgilerini burada belirtilen saatte

aldığı atom saati üzerine damgalar.

Şifre; İşaretlenirse, şifre ham veri halde tutulur.

Çalışma Tipi; Daily seçilirse günlük olarak zaman alınır.

10.18. Küme Modu

CryptoLOG, Küme Modunda (Cluster Mode), felaket durumlarında yedekli yapıda (aktif-aktif,

aktif-pasif) çalışabilmektedir. Bu yapının genel ayarları burada yapılmaktadır. Detaylı bilgi için

“CryptoLOG – Yüksek Erişilebilirlik” dökümanına bakınız.

Resim 69 - Sistem Konfigurasyom - Küme Modu

Bu özelliği kullan; İşaretlenirse, Küme Modunda çalışır.

Genel pozisyon dosya yolu; Burada belirtilen dizinde, ortak tanımlanan log kaynakları ve

eklentileri en son kaldıkları pozisyonların tutulduğu dosyalar kaydedilir.

Özel pozisyon dosya yolu; Eğer eklenti üzerinde tanımlanan kaydedileceği yol ortak değilse

burada belirtilen dizine kaydedilir.

10.19. DB Log Yazma

CryptoLOG, topladığı logları varsayılan olarak dosya sisteminde tutmaktadır. Yüzlerce sistemden

milyarlarca günlük kaydı ilişkisel veritabanları üzerinde saklamak performans açısından sisteme

yük bindiren durumdur. Ancak 100 EPS’e kadar olan sistemlerde bunu veritabanı üzerinde tutmak

sisteme performans ve hız sağlayan bir durumdur. Bu sebeple log yönetim sisteminin

büyüklüğüne göre loglar istenirse veritabanı üzerine tutulabilir. Detaylı özellik açıklamaları

aşağıda verilmiştir.

104

Resim 70 - Sistem Konfigurasyom - DB Log Yazma

Logları veritabanına yaz; İşaretlenirse, işlenen kayıtlar veritabanı üzerinde tutulur.

Veritabanı loglarını imzala; Kayıtların imzalanması istenirse işaretlenmelidir.

İmzalama periyodu; Burada belirtilen süre aralıklarında imzalama yapılır.

Logları dosyadan veritabanına yaz (offline); İşaretlenirse dosya sistemi üzerinden saklanan

logları Bakma aralığı süresi aralıklarında dosyadan veritabanına aktarılır.

Bakma aralığı (offline)(sn; Burada belirtilen süre aralıklarında dosyadan veritabanına aktarılır.

Tablo adı; Veritabanı üzerinde tutulacak log tablosu ismi.

Eski veritabanı loglarını sil; İşaretlenirse, aşağıda belirtilen parametreler için eski log dosyalarını

siler.

Satır imzasını yaz; Seçenekler: off; satır imzası kullanılmaz, day: günlük kaydın imzası yazılır,

rowcount: satır sayısı kadar imza kullanılır.

Bu günden eski olanları sil (gün); Verilen günden önceki log kayıtları silinir.

Kayıt sayısı aşıldığında silmeye başla; Verilen sayı değerine ulaşan durumlarda silme işlemi

başlar.

Silme işlemi bu kadar kayıtta dursun; Burada belirtilen sayı kadar kayıt silindiğinde silme işlemi

sonlanır.

105

10.20. Plugin Güncelleme (Ajan)

IIS gibi sistemlerde bir Sunucu üzerinde birden fazla domain için, log dizinleri tutulur. Örneğin;

W3SVC1, W3SVC2, W3SVC4 gibi. Bu özellik sayesinde aynı türde kayıtlar için birden fazla dizinde

log tutuluyorsa bu dizinlerdeki değişikliği CryptoLOG otomatik olarak algılar. Bu dosyalar da ajan

üzerinden gönderilir.

Resim 71 - Plugin Güncelleme (Ajan)

106

11. Genel Kontroller

CryptoLOG’da yaşanan problemleri (sistemsel, log kaynaklarına ait) gidermek için kullanılacak

arabirimler mevcuttur. Bu kısımda Sunucu Yönetimi, Pozisyon Yönetimi ve Sistem Logu

arabirimlerinin kullanımı hakkında detaylı bilgi verilecektir. Ağ ve erişime dair problemlerin kontrolü

için Sunucu Yönetimi, logkaynaklarının son okuma yaptıkları dosyaları kontrol etmek için Pozisyon

Yönetimi ve sistemin kendine ait logları kontrol etmek için de Sistem Logu modülleri kullanılır.

11.1. Sunucu Yönetimi

CryptologClient üzerinden birden fazla CryptoLog Sunucusu yönetilebilir. CryptoLog Sunucusuna

erişim ipsi, erişim portu ve veritabanı bilgileri buradan düzenlenip değiştirilebilir. Bu

sunuculardan küme modunda, dağıtık yapıdaki herhangi bir sensör ya da ayr bir CryptoLog

sunucusu olabilir. Bu sunucuların eklendiği, düzenlendiği modül Sunucu Yönetimidir.

11.1.1. CryptologClient üzerinde Ayarlar / Sunucu Yönetimi seçilerek sunucu işlemlerinin

yapılacağı ekrana gidilir.

11.1.2. Gelen ekranda yönetilen CryptoLog Sunucusunun ayarları tanımlıdır. Yeni bir sunucu

eklemek için butonu, kayıtlı sunucuyu düzenlemek için butonu kullanılır.

107

Resim 72- Sunucu Yönetimi

11.1.3. Yeni sunucu eklemek için aşağıdaki form doğru verilerle doldurulmalıdır.

Resim 73 - Sunucu Ekleme

108

11.1.4. Kaydedilir.

11.2. Pozisyon Yönetimi

Pozisyon Yönetimi, CryptoLog Çekirdeğinin, log toplanan kaynaklardan en son okudukları

dosyalarda kaldığı yerlerin gösterildiği, düzenlendiği ve silindiği yerdir. CryptoLog Mimarisine

göre, logu toplayan modül (tooplayıcı - collector, controller) ile logu işleyen modül (çekirdek -

core) farklıdır. Logun toplandığı ham verinin bulunduğu dosyalar, tanımlı plugin ve ayrıştırıcalara

tabî tutularak imzalanmış dosyaların bulunduğu dizine atılır. Logun okunduğu, ham verinin

bulunduğu dosyalarda en son kalınan sekizlik (byte) değeri Pozisyon Yönetiminde gösterilir veya

değiştirilir.

11.2.1. CryptologClient üzerinde Ayarlar / Pozisyon Yönetimi seçilmelidir.

11.2.2. Gelen ekranda tanımlı log kaynaklarının son kaldıkları pozisyon değerleri

yenileme butonunu tıkadıktan sonra gelir.

109

Resim 74 - Pozisyon Yönetimi

Lgs ID; Log Kaynağı ID numarası. Formlar / Plugin Tanımında daha önce eklenmiş ve

günlük kayıtlarını işlemeye başlamış Log Kaynağının belirleyicisidir.

Lgs Adı; Log Kaynağı adı. Formlar / Plugin Tanımında daha önce eklenmiş ve günlük

kayıtlarını işlemeye başlamış Log Kaynağının ismidir.

Lgs Tipi; Log Kaynağının tipi. Dosya (file), Veritabanı (sqlserver) olabilir.

Lgs Atkif; İşaretliyse log kaynağının aktif olduğunu gösterir.

Dosya Var; İşaretliyse, Formlar / Plugin Tanımında ilgili log kaynağında ait son okuduğu

dosyanın bulunduğunu gösterir. İşaretli olmayan log kaynakları için Log Kaynağında

belirtilen ilk dosyayı kontrol etmek gerekir. Belirtilen log kaynağından da log gelmiyor

Son Yazma Tarihi; Son Dosya Adı kısmında görünen dosyadan ne zaman log

okuduğunu gösterir. Bu tarihlerin bütün aktif sunucular için güncel saat içeriyor olması

gerekmektedir.

Pos1; Pozisyon 1’in kısaltmasıdır. Dosyanın okunduğu ilk byte değerini gösterir.

Pos2; Pozisyon 2’in kısaltmasıdır. Dosyanın okunduğu son byte değerini gösterir.

Son Dosya Adı; En son okunan dosya adının gösterir. Günlük dosyaları genelde tarihsel

ya da sayısal artırımlı olarak döndürülür. CryptoLog, Log Kaynağında belirtilen dosya adı

formatına uygun olarak bu döndürülen dosyaları otomatik olarak bulur.

11.2.3. Pozisyon dosyalarında arama yapmak için metin alanına arama sözcükleri yazılır ve

butonuna basılır.

110

Resim 75 - Poziyon Yönetimi Arama

11.2.4. Pozisyon Dosyasını düzenlemek için, düzenlenmek istenen satır seçilir ve

butonuna basılır. Burada Pos2 ve Son Dosya Adında yanlışlık varsa düzenlenmelidir.

Pos2 değeri “0” (Sıfır) olarak ayarlanırsa, Son Dosya baştan okunur ve işlenir.

Resim 76 - Pozisyon Düzenleme

11.2.5. Pozisyon Dosyasını silmek için butonu kullanılır. Bu durumda, pozisyonu silinen

log kaynağında tanımlanan ilk dosyadan itibaren loglar tekrar işlenir.

11.3. Sistem Logu

CryptoLog kendi çalışmasına ait günlüklerini bir dosyaya kaydeder. Bu dosyanın içeriğini, log

kaynaklarına ait bilgiler, hatalar, istisnalar, çalışma ve sistem durumları oluşturur. Sistemin genel

çalışması, log kaynaklarından gelen kayıtların düzgün işlenip işlenmediği bilgisi buradan kontrol

edilir.

11.3.1. CryptologClient üzerinde Ayarlar / Sistem Logu tıklanarak CryptoLog’a ait logları

görüntüleyebilirsiniz.

111

11.3.2. Gelen sayfada yenileme butonuna tıklayarak sistem logu getirilebilir. Kayıtların

son bölümü kısmına getirilecek son günlük verisinin boyutu KB cinsinden yazılabilir. Bu

değer en düşük 100 olabilir.

Resim 77 - Sistem Logu

112

11.3.3. Sistem logu içerisinde CryptoLog Konfigürasyan değerleri, Log Kaynaklarında ait log

yazma durumları, hatalar bulunur.

CryptoLog.log Sistem Logu İçeriği

2012.03.21 19:30:40 ...............................

2012.03.21 19:30:40 .......CryptoLog Basladi.......

2012.03.21 19:30:40 ...............................

2012.03.21 19:30:40 Ver:1.8.0.34727

2012.03.21 19:30:40 Lisans bilgilerini yukluyorum....

2012.03.21 19:30:41 (CONF) Calisma Modu: NORMAL

2012.03.21 19:30:41 (CONF) WriteToFile var

2012.03.21 19:30:41 (CONF) WriteToDB KULLANILMIYOR

2012.03.21 19:30:41 (CONF) UseDBsign KULLANILMIYOR

2012.03.21 19:30:41 (CONF) UseLogDeleter KULLANILMIYOR

2012.03.21 19:30:41 (CONF) UseTasks var

2012.03.21 19:30:41 (CONF) UseStatistics var

2012.03.21 19:30:41 (CONF) UseLineSign KULLANILMIYOR

2012.03.21 19:30:41 (CONF) UseSelfControl KULLANILMIYOR

2012.03.21 19:30:41 (CONF) UseLogReaderTCPIP var

2012.03.21 19:30:41 (CONF) UseLogReaderOfflineForDB KULLANILMIYOR

2012.03.21 19:30:41 (CONF) UseCorrelation KULLANILMIYOR

2012.03.21 19:30:41 (CONF) UseTimestampServer var

2012.03.21 19:30:41 (CONF) UseSyslogd KULLANILMIYOR

2012.03.21 19:30:41 (CONF) UseFileSigner KULLANILMIYOR

2012.03.21 19:30:41 (CONF) UseLogCompress var

2012.03.21 19:30:41 (CONF) UseReportServer var

2012.03.21 19:30:41 (CONF) UseShareController KULLANILMIYOR

2012.03.21 19:30:41 (CONF) UseDiskController var

2012.03.21 19:30:41 (CONF) AutoArchive KULLANILMIYOR

2012.03.21 19:30:41 (CONF) UseCategorization KULLANILMIYOR

2012.03.21 19:30:41 Platform: Unix, Version:Unix 3.2.0.23

2012.03.21 19:43:30 NTP Time: 2012-03-21 19:43:30.048 (tr.pool.ntp.org)

2012.03.21 19:43:30 Ic test YAPILMADI.

2012.03.21 19:43:30 (ManagementTCPIP) 192.168.146.128:39889 den dinleme basladi.

2012.03.21 19:43:30 (LogReaderTCPIP) 192.168.146.128:39876 den dinleme basladi.

2012.03.21 19:43:30 (StatsManager) Basladi

2012.03.21 19:43:30 (StatsManager) Pozisyon bilgileri, Son Dosya:

/opt/cryptolog/log/CL_20120321_143026_000_10045.log

2012.03.21 19:43:31 Plugin bilgilerini yukluyorum....

2012.03.21 19:43:31 /opt/cryptolog/bin/plugins.plg dosyasindan 7 log kaynagi 7 plugin

bilgisi

yuklendi.

2012.03.21 19:43:31 (LGS:10004) Hata: Dosyasi bulunamadi.

2012.03.21 19:43:31 (LGS:10047) Pozisyon bilgileri, Dosya: /var/log/isalog.txt Dosya

boyutu: 7560

113

2012.03.21 19:43:31 (LGS:10048) Pozisyon bilgileri, Dosya: /var/log/isalogfws.txt Dosya

boyutu: 15432

2012.03.21 19:43:31 (LGS:10050) Pozisyon bilgileri, Dosya:

/root/[email protected] Dosya boyutu: 11721954

2012.03.21 19:44:19 (LGS:10050)

/opt/cryptolog/log/CL_20120321_194412_000_10050.log dosyasina 500 satir yazildi

(A:0).

2012.03.21 19:44:19 (LGS:10050) Eps:457ms

2012.03.21 19:44:20 (LGS:10050)


(A:0).

2012.03.21 19:44:20 (LGS:10050) Eps:138ms

2012.03.21 19:44:21 (LGS:10050)


(A:1).

11.3.4. Bu loglardan sistem hakkında genel inceleme yapılabilir. Hata durumlarında kontrol

edilmesi gereken temel noktalardan biridir.

114

12. Kullanıcı İşlemleri – Hak Yönetimi

Client kullanımı için varsayılan olarak gelen yönetici “admin” kullanıcısının dışında kullanıcılar

oluşturup, bu kullanıcıların hakları düzenlenebilir. Örneğin bir kullanıcının sadece DHCP loglarını diğer

bir kullanıcının ise sadece Firewall loglarını görmesi sağlanabilir ve kullanıcıların yapılandırma

üzerinde değişik yapması ile ilgili kısıtlar verilebilir.

12.1. Kullanıcı İşlemleri

Kullanıcı ekleme/düzeltme/silme, rol tanımlama ve atama işlemleri Hak Yönetimi modülü

üzerinden yapılır.

12.1.1. CryptologClient üzerinde Ayarlar / Hak Yönetimi seçilerek kullanıcı işlemlerinin

yapılacağı ekrana gidilir.

12.1.2. Gelen ekranda Kullanıcı ve Sahip olunan roller görülür. Bunlar üzerindeki değişiklikler

bu ekran üzerinden yapılır.

115

Resim 78 - Kullanıcı Tanımlama Ekranı

12.1.3. Hak yönetimi ekranında butonuna tıklayarak yeni kullanıcı ekleme ekranına

geçilir.

Resim 79- Kullanıcı Ekleme

Kullanıcı ekleme ekranında gerekli bilgiler doldurulduktan sonra “Kaydet” butonuna

basarak kullanıcı kaydedilir.

116

12.1.4. Var olan bir kullanıcının kimlik bilgilerini değiştirmek için Hak Yönetimi ekranındaki

butonu kullanılır.

12.1.5. Kullanıcı hesabını silme işlemi Kullanıcı Düzenleme ekranından “Silinmiş” seçilerek

yapılır.

12.1.6. Kullanıcıya rol atamak için, Hak Yönetimi ekranında Kullanıcı sekmesine gelinir.

Burada Kullanıcı Rolleri kısmında butonuna tıklanarak rol düzenleme ekranına

ulaşılır.

Resim 80 - Kullanıcı Rol Atama

Sağ tarafta tanımlanmış olan rol profilleri görülmektedir. Profil seçilip sol tarafa aktarılır

ve kaydedilir. Artık kullanıcı rol profilinin sahip olduğu yetkilere sahiptir.

12.1.7. Arama ekranlarının dışında Anlık İstatistik, İstatistik Raporlar, Sistem Uyarıları gibi

faydalı ekranlar vardır. Kullanıcıya hakları verildikten sonra aşağıdaki gibi bir ekran gelir.

117

Resim 81 - Kullanıcıya Atanmış Roller

Kullanıcı, tanımlanan firewall kaynakları üzerinde arama ve gelişmiş arama yapabilir,

istatistiksel raporları görebilir ve anlık istatistik hesaplatabilir.

Bir kullanıcıya tüm hakları vermek gerekiyorsa Rol ekranındaki bütün Görme ve

Değiştirme kutucukları işaretlenir.

12.1.8. Giriş yapmış olan kullanıcı şifresini değiştirmek için Dosya/Şifre Değiştir yardımı ile

şifre değiştirme ekranına ulaşabilir.

12.1.9. Mevcut ve Yeni Şifre değerleri girilir ve Tamam’a tıklanır.

118

Resim 82 - Şifre Değiştirme

12.2. Kullanıcı Rolleri

Yeni tanımlanan kullanıcı herhangi bir role sahip değildir. Sadece sisteme giriş hakkı vardır.

Kullanıcının diğer işlemleri de gerçekleştirebilmesi için kullanıcıya hak vermek gerekir.

12.2.1. Ayarlar / Hak Yönetimi / Rol sekmesine tıklayarak kullanıcı rollerinin belirleneceği

ekrana ulaşılabilir.

Resim 83 - Hak Yönetimi Roller

119

12.2.2. Kullanıcıya rol eklemeden önce bir rol profili oluşturmak gerekir. butonuna

tıklayarak rol profili oluşturulabilir.

12.2.3. Haklar bölümünden kullanıcının hangi sayfalara, log kaynaklarına veya pluginlere

erişebileceği belirtilir.

Açılır menünün Hepsi seçeneği düzenlenebilecek bütün hakların alt kısımda

görüntülenmesini sağlar. Sayfa kısmında rol profilinin görebileceği sayfalar belirlenir.

Örneğin kullanıcının arama yapabilmesi için alt kısımda Değer sütununda Arama yazan

satırı düzenlemek gerekir. Görme ve Değiştirme olmak üzere düzenlenebilecek 2 değer

vardır. Kullanıcının bir sayfa üzerinde değiştirme yapması istenmiyorsa Değiştirme alanı

işaretlenmemelidir.

12.2.4. Düzenlenme tamamlandıktan sonra butonuna tıklayarak değişiklikler kaydedilir.

Arama hakkı verildikten sonra kullanıcı arama ekranlarını görse de hangi kaynaklarda

arama yapılacağı belirtilmediği için arama ekranları boş gelecektir.

120

12.2.5. Arama hakkı verildikten sonra rol profilinin hangi kaynaklarda arama yapacağını

belirtmek gerekir. Haklar menüsünün Log Kaynağı kısmında log kaynakları görülebilir.

Resim 84 - Hak Yönetimi Rolleri - Log Kaynağı

12.2.6. Firewall için arama hakkı verildikten sonra değişiklikler kaydedilir. Daha sonra bu log

kaynakları için tanımlanan pluginleri görme hakkı verilmelidir. Rol / Haklar Açılır Menü /

Plugin seçeneği sistem üzerinde tanımlı log kaynaklarına ait pluginleri gösterir. Buradan

seçilen firewall kaynakları için tanımlanmış pluginler seçilmelidir.

121

Resim 85 - Hak Yönetim Rolleri - Plugin

12.2.7. Değişiklikler kaydedildikten sonra tanımlanan rol profili firewall logları üzerinde

arama ve gelişmiş arama yapabilir. Bir kullanıcının bu profilin sahip olduğu yetkilere

sahip olması için profilin kullanıcıya atanması gerekir. Bu işlem “9.1 Kullanıcı İşlemleri”

bölümünde anlatılmıştır.

122

13. Düzenli İfadeler (Regular Expressions)

Bir metin üzerinden belirli katar dizilerini tanıyacak yapıdır. Düzenli ifadeler ile belirli kalıp ve

şablonlara göre bir cümleyi alanlara bölebilirsiniz. Birçok programlama dilinde farklı gramer yapısında

kullanılır. CryptoLog’da bu yapı standartların dışında birkaç parametre ile alanlar belirtilir. Bu

döküman, logların ayrıştırılması için kullanılan düzenli ifadelerinin oluşturulması ve kullanımını

anlatmaktadır.

13.1. Düzenli İfade Elemanları

Bu karakterleri CryptoLog’da tanımlı temel düzenli ifade karakterleridir. Bunlar ile birlikte bir

sonraki tablolarda belirtilen nicelik belirleyici ve işleçler kullanılırsa daha doğru sonuçlar elde

edilir.

Karakter Açıklama Eşlenik

\w Harf, rakam ya da ‘_’ karakterleri [A-Za-z0-9_] \W Harf, rakam ya da ‘_’ olmayan karakterler [^A-Za-z0-9_] \d Rakam karakterleri [0-9] \D Rakam olmayan karakterler [^0-9] \s Boşluk karakterleri (boşluk, tab, yeni satır) [ \t\r\n\v\f] \S Boşluk olmayan karakterler [^ \t\r\n\v\f] . Bütün karakterler (Yeni satır karakteri hariç)

13.2. Düzenli İfade Nicelik Belirleyicileri

Nicelik belirleyicileri bir elemandan ne kadar sayıda olacağını belirtir. Bu karakterlerin

kombinasyonlarını kullanarak farklı algoritmalar elde edebilirsiniz.

Karakter Açıklama Eşlenik

? Önceki elemanı 0 ya da 1 kez tekrarlar {0,1} + Önceki elemanı 1 yada daha fazla tekrarlar {1,} * Önceki elemanı 0 ya da daha fazla tekrarlar

13.3. Düzenli İfade İşleçleri

İşleçler mantıksal ayrımları, gruplamayı, belirli sayıda tekrarlamaları kontrol etmek için kullanılır.

Bu operatörler ile düzenli ifadeler içinde ufak algoritmik ayrıştırıcılar yazmak daha kolay

olmaktadır.

Karakter Açıklama

{n} Önceki elemanı en az n kez tekrarlar. n >= 1 {m,n} Önceki elemanı en az m en çok n kez tekrarlar. m>=0 ve n>=m | Önceki veya sonraki eleman ile eşleşebilir [...] İçindeki karakter ya da elemanlar ile eşleşebilir [^...] İçindeki karakter ya da elamanlar ile eşleşmez. Olumsuz, değil karakteri () Gruplama işleci. CryptoLog kolon isimlerini vermek için kullanılır ^ Satır başı karakteri

123

$ Satır sonu karakteri \ Sonraki karakteri tanımlamak için kullanılır. Örneğin dolar karakteri ile

eşlemek için “\$” kullanılır.

13.4. Örnekler

Cümleleri ayrıştırmak için kullanılan düzenli ifadelerin birden fazla alternatifleri olabilir. En uygun

ve en hızlı düzenli ifadeyi yazabilmek için ayrıştırılan alana gelebilecek seçenekleri bilmek gerekir.

Düzenli İfade Açıklama Örnek(ler)

\w+ Birden fazla alfanumerik

karakterler ile eşleşir. aaBBcc_123

\d{4} Dört basamaklı sayı ile eşleşir. 1998,2012

Ab+c Nicelik belirleyici kullanımı.

A’dan sonra 1den fazla b ve c karakteri ile eşleşir.

Abc, Abbbc, Ac(eşleşmez)

\w+\s+\d+ Sırasıyla Alfanumberik boşluk sayısal karakterlerden oluşan

katar ile eşleşir. Mart 14, Syslog 12351457

a|b* a ya da b nin 0 dan fazla tekrarı

ile eşleşir. a, b, bb, bbb

(a|b)+ İçerisinde sadece a ve/veya b karakterlerinden en az 1 adet

içeren katar ile eşleşir.

a,b,aab,bba,bbbaba, abbbab

ab(X|Y|Z)cd Alternatif karakterler

kullanılabilir. abXcd, abYcd, abZcd

[^,]+ Virgül olmayan karakterler ile

eşleşir. Xyzasd4452

\d{1,3}.\d{1,3}.\d{1,3}.\d{1,3} IP versiyon 4 ile eşleşir. 10.10.4.251

\d{2}-\d{2}-\d{2,4} Tarih bilgisi ile eşleşir. 01-05-2012, 01-05-12

[A-Z0-9._%+-]+@[A-Z0-9.-]+\.[A-Z]{2,4}

Mail adresi ile eşleşir. [email protected]

*?

Tembel nicelik belirleyiciler olarak tanımlanır. Kendisinden önceki elemanın 0 ya da daha

fazla tekrarı ile eşleşir. İlk eşleştiği katar ile sonlanır,

eşleştikten sonra diğer permutasyonları denemez.

-.*?- düzenli ifadesi “abc -def- -ghi- jkl”

içerisindeki -def- ile eşleşir

+?

Tembel nicelik belirleyiciler olarak tanımlanır. Kendisinden önceki elemanın 1 ya da daha

fazla tekrarı ile eşleşir. İlk eşleştiği katar ile sonlanır,

eşleştikten sonra diğer permutasyonları denemez.

-.+?- düzenli ifadesi “abc -def- -ghi- jkl”

içerisindeki -def- ile eşleşir

124

13.5. CryptoLog Düzenli İfade Yapısı ve Regex Yardımcısı

Toplanan log kayıtlarını düzgün alanlara ayrıştırmanın temel yollarından biri düzenli ifadelerdir.

Log dosyaları satır satır işlenir ve plugin yapısı içerisinde ayrıştırıcı olarak kullanılan deyim

bileşenine göre kolonlara ayrılır. CryptoLog deposunda öntanımlı olarak yazılmış 400’den fazla

sistemin plugini hazır bulunmaktadır. Bu pluginlerin birçoğu düzenli ifadeler (regex) içeren

deyimlerden oluşur. İşlenen log satırı için, pir plugin altındaki deyimler id numarasına göre

büyükten küçüğe olarak sırası ile denenir. Düzenli ifade ile eşleşen satırlar, CryptoLog

çekirdeğinin anlayacağı şekilde dosya sistemine kaydedilir. Ancak sistemlerin sayısının fazla

olması, versiyonlar arası log tiplerinini değişmesi, özel uygulama loglarının farklı yapıda olması

son kullanıcıyı düzenli ifade yazarak plugin geliştirmeye itmektedir.

CryptoLog Düzenli İfadeler Yapısı

(?<KolonAdı1>düzenli_ifade1)düzenli_ifade(?<KolonAdı2>düzenli_ifade2)...

CryptoLog düzenli ifadesi oluştururken aşağıdaki adımlar dikkate alınmalıdır.

1. Düzenli ifadenin tamamı örnek log satırı ile uyuşmalıdır. Aksi takdirde gelen loglar

ayrıştırılmayacaktır.

2. İşlenmesi istenen veriler parantez içine alınıp gruplama yapılır. Kolon ismi ?<...>

ifadesinin içine yazılır. Gerçek log tarihi üzerinden arama yapılabilmesi için log içinde

geçen tarih için date1 parametresi kullanılır. Örn: (?<date1>\S+). Standart kolon isimleri

kullanılmasında fayda vardır.

(?<src_ip>\d{1,3}.\d{1,3}.\d{1,3}.\d{1,3})

(?<dst_ip>\d{1,3}.\d{1,3}.\d{1,3}.\d{1,3})

(?<src_port>\d+)

(?<dst_port>\d+)

(?<plugin_sid>\d+)

3. Log içerisinde göz ardı edilecek veriler gruplama (parantez) dışında tutulur.

Regex Yardımcısı

CryptoLog Client üzerinden Regex Yardımcısı ile yazılan düzenli ifadelerin testleri yapılabilir.

Ayrıştırılan kolonların detayları incelenebilir.

1. Ayarlar / Regex Yardımıcı seçilir.

125

2. Açılan formda üstteki alana düzenli ifade ortadaki alana örnek log satırları yapıştırılır.

butonu tıklanarak test başlatılır. Test satırları alanındaki veriler uygun kolon

alanlarına göre ayrışıtılır ve farklı renklerle işaretlenir. Alttaki alan test sonuçlarını verir.

Ayrışıtırılan log alanları gösterilir, bu alandaki herhangi bir kolona tıklandığında log

satırları içerisindeki yerini gösterir.

Resim 86 - Düzenli İfadeler Yardımcısı

126

13.6. Düzenli İfade Yazarken Dikkat Edilmesi Gerekenler

Yazılan düzenli ifadelerin hem bütün log satırlarını işlemesi hem de işleme performansı açısından

uyulması gereken kurallar vardır.

1. Düzenli ifadenin tam eşleşmesi için en uygun düzenli ifade ve nicelik belirleyicisi kullanmak

gerekir. Bilgisayar adı kısmına gelebilecek olan ip adresi değeri için ortak bir düzenli ifade

yazılmalıdır. Düzenli ifade alanları esnek olmalıdır. (?<bilgisayar_adi>\w+) değeri

database_server ile eşleşirken başka satırda bu kısıma gelen 172.17.7.2 değeri ile

eşleşmeyecektir. Bu sebeple \w+ yerine \S+ kullanmak daha doğru olacaktır. Bu durumda

işlenmemiş log satırı olmayacaktır. 2. Gereksiz alanlar ayrıştırılmamlıdır. Log içinde kullanılmayacak alanları ayrıştırmak sistem

kaynaklarının gereksiz yere tüketilmesine neden olur. 3. Tembel niceleyiciler kullanmaktan mümkün olduğunca kaçınılmalıdır. Bunların yerine daha

anlamlı niceleyiciler kullanılabilir. Aşağıda “,1234,” verisini tembel niceleyici ve farklı düzenli

ifade ile eşleşme adımlar gösterilmektedir. Tembel Niceleyici

,.*?, düzenli ifadesi kullanılacaktır. Her adımda eşleşme durumları gösterilecektir.

1) , - tamam

2) , - geri dön

3) ,1 - tamam

4) ,1 - geri dön

5) ,12 - tamam

6) ,12 - geri dön

7) ,123 - tamam

8) , 123 - geri dön

9) ,1234 - tamam

10) ,1234 - geri dön

11) ,1234, - tamam

^Düzenli İfadesi

,[^,]+, düzenli ifadesi kullanılacaktır. Her adımda eşleşme durumları gösterilecektir.

1) , - tamam

2) ,1234 - tamam

3) ,1234, - tamam

127

14. Göstergeler

Giriş yapıldıktan sonra, göstergeler ekranı açılır. Bu sayfada, işlemler ile ilgili ilk aşamada gerekli

olabilecek bilgilere ulaşılması amaçlanmıştır. Ekranda logların kaynaklarına göre dağılımı, son 6 aylık,

son 1 aylık ve gün içindeki toplam log sayısını sırasıyla aylık, haftalık ve saatlik olarak kategorize eden

grafikler, Cryptolog Dashboard programının sistem kaynaklarını kullanım oranını, EPS (Event Per

Second) değerini gösteren diyagramlar yer alır.

Resim 87 - Göstergeler

Bu diyagramlar üstüne fare ile çift tıklayarak yeni bir form ekranında daha büyük pencerede, ayrıntılı

biçimde incelenebilir.

128

Resim 88 - Günlük Log Durumu Göstergesi

Resim 89 - Maks EPS (Event Per Second) Göstergesi

Resim 90 - Log Kaynağına Göre Dağılım Göstergesi

Resim 91 - Saatlik Log Sayısı Göstergesi

Resim 92 - Log Durumu Göstergesi

Resim 93 - Sistem Kaynakları(CPU) Göstergesi

129

14.1. Özel Göstergeler Ekleme

CryptologClient yöneticisi izlemek istediği sistemlere has özel göstergeler üretebilir. Bu

göstergeler grafik türlerini kendi tanımlayabilir.

1. CryptologClient üzerinde Dosya / Göstergeler seçilir.

2. Gelen ekranda açılır menüde kayıtlı göstergeler bulunur.

3. Yeni gösterge eklemek için sağ taraftaki “Özel Göstergeleri Düzenle” butonu

kullanılır.

4. Özel göstergeleri düzenleme ekranı aşağıdaki gibidir. Parametreleri aşağıda açıklanmıştır.

130

Resim 94 - Özel Göstegeler Düzenleme Ekranı

Satır / Sütun Sayısı; Gösterge panelinde kaç satır ve sütun olacağını ayarlamak için

kullanılır.

Grafikler; Göstergelerde hangi grafiklerin olacağını gösteren paneldir.

Özel göstergeler zamanlama ; Göstergeler arası otomatik geçiş süresi tanımlamak için

butonu kullanılır. Açılan ekranda süre ayarlanır.

131

5. Satır/Sütun kısmındaki Tablonun Hücrelerini fare ile seçerek birleştirilebilir, tablo yapısını

değiştirilebilir.

6. Yeni grafik eklemek için “Yeni Grafik Ekle” butonuna basılır.

7. Grafik Ekleme Ekranı aşağıdaki gibidir.

132

Resim 95 - Özel Göstergeler Grafik Ekleme (Standart Grafikler)

Grafik Adı; Grafiğe isim vermek için kullanılır.

Açıklama; Tanımlanan grafik için açıklama eklemek için kullanılır.

8. Üç çeşit Nesne tipi tanımlanmıştır.

i. Standart Grafikler için Grafik Tipleri aşağıdaki gibidir. Bu grafikler Cryptolog

kurulduğunda ön tanımlı olarak gelmektedir.

Log Kaynağına Göre Dağılım; Pasta grafik türünde, logların plugine göre dağılımını

gösteren diyagram.

133

Son 1 Hafta Toplam; Sütun grafik türünde, son haftanın günlük toplam log sayısını

gösteren diyagram.

Son 6 Ay Toplam; Sütun grafik türünde, son 6 ayın, aylık toplam log sayısını gösteren

diyagram.

Bugün Saatlik; Sütun grafik türünde, o güne ait, saat bazında toplam log sayısını

gösteren diyagram

Disk CPU RAM; Cryptolog sunucusunun disk, işlemci ve bellek kaynaklarının kullanım

oranını anlık gösteren diyagram.

EPS (Dakika); Sistemin dakikalık ortalama EPS(Event Per Second) değerini gösteren

diyagram.

EPS (Saniye); Sistemin o saniyedeki EPS(Event Per Second) değerini gösteren diyagram.

EPS (Maks); Sistemin en yüksek EPS(Event Per Second) değerini gösteren diyagram.

EPS (Ay); Sistemin aylık ortalama EPS(Event Per Second) değerini gösteren diyagram.

Uyarılar; Sistem uyarılının gösterildiği diyagram.

Korelasyon Uyarıları; İlişkilendirme uyarılının gösterildiği diyagram.

Disk; Sistem farklı bölümlenmiş diskin doluluk oranının gösterildiği diyagram.

Web Sayfası (URL); CryptoLog Client Gösterge paneline, burada belirtilen web sayfası

görünüsü eklenebilir. Yerel ağda kullanılan herhangi bir sistemin web yönetim panelini,

ya da alarm, grafik gibi kısımları da olabilir.

ii. Plugin İstatistik Grafikler için Grafik Tipleri aşağıdaki gibidir. Burada Plugin için

tanımlanan İstatistik Raporları için Grafikler oluşturulmaktadır.

134

Resim 96 - Özel Göstergeler Grafik Ekleme (İstatistik)

Grafik Adı; Grafiğe isim vermek için kullanılır.

Açıklama; Tanımlanan grafik için açıklama eklemek için kullanılır.

Grafik Tipi; Pluginler için tanımlanan istatistiklerden birini seçmek için tanımlanır.

; Formlar / İstatistik Raporlar modülüne bağlantı yoludur.

Gruplama; Son, Günlük ya da Aylık seçeneklerinden biri seçilir.

Kayıt Sayısı; İstatistik için getirilecek satır sayısını belirler.

iii. Log Durumu Grafikleri için Grafik Tipleri aşağıdaki gibidir. Burada Pluginlerin

ve/veya Log Kaynaklarını Log Durumları için Grafikler oluşturulmaktadır.

135

Resim 97 - Özel Göstergeler Grafik Ekleme (Log Durumu)

9. Kaydet seçilir ve Özel Göstergeler 1 panelinde Grafikler izlenecek duruma gelir. Aşağıda

örnek özel göstergeler ekranları gösterilmektedir.

Resim 98 - Özelleştirilmiş Grafikler (Log Durumu)

136

Resim 99 - Özelleştirilmiş Grafikler (Genel)

Resim 100 - Özelleştirilmiş Grafikler (Genel)

137

Sözlük

CryptoLog Server - Cryptolog Core yazılımının üzerinde çalıştığı sunumcudur. Desteklediği sistemler

Ubuntu, OpenSuse, SLES, RedHat, Sentos, Solaris, Windows 2000, 2003, XP, 2008, Vista, 7

Cryptolog Client – Cryptologun yönetildiği yönetim arayüzüdür. Sadece windows üzerinde çalışır..Net

Framework 3.5 veya üstü gereklidir.

Cryptolog Agent – CryptoLog sunucusuna log gönderen, Windows işletim sistemi üzerinde çalışan

servistir.

EPS – Event Per Second. Saniye başına işlenen kayıt sayısıdır.

Hash – Büyük veri kümelerinin belirli algoritmalara göre üretilmiş özetidir. Veri doğrulamada

kullanılır.

Log Yönetim Sistemleri – Çeşitli ürün ve sistemlerin kayıtları, farklı metot ve protokollerle üzerinde

toplayan, gösteren sistemlere verilen genel addır.

Zaman Damgası – Bir olayın oluştuğu tarihi gösteren karakter dizisidir. Veri bütünlüğü sağlamak

amacıyla sertifika ve belirli zaman sunucularından alınan zaman ile üretilir.

Plugin - Deyim ve istatisliklerden oluşan yapıdır.

Deyim – Logu ayrıştıran yapıdır. Code veya Regex den oluşabilir.

138

Konu Fihristi

A, Ajan Görev Yönetimi ............................ 69 Ajan Kurulumu ..................................... 64 Ajan Yönetimi ...................................... 64 Anlık İstatistik ...................................... 30 Arama Filtreleme ................................. 18 Arama Sonuçlarını Raporlama .............. 16 Aramalar .............................................. 13 Arşivleme ............................................. 78 C,Ç, Cluster ............................................... 103 CryptoLog Düzenli İfade ..................... 124 Cryptolog Genel Bilgi .............................. 2 CryptoLog ile İlgili Dökümanlar ............... 3 Cryptolog Konfigürasyon ...................... 84 CryptoLog Regex Yapısı ...................... 124 Cryptolog Syslog Ayarları...................... 93 Cryptolog Syslog Sunucusu ................... 93 Çevrimiçi Erişim ...................................... 4 D, Depo .............................................. 56, 77 Depo Genel Özellikler ........................... 56 Depodan Alma ..................................... 61 Depoya Ekleme .................................... 62 Disk Kontrol ......................................... 97 Disk Kullanımı ...................................... 51 Dosya Hash Algoritması ........................ 90 Döküman Hakkında ................................ 3 Düzenli İfade Elemanları ..................... 122 Düzenli İfade İşleçleri ......................... 122 Düzenli İfade Nicelik Belirleyicileri ...... 122 Düzenli İfade Örnekler ....................... 123 Düzenli İfade Performans ................... 126 Düzenli İfadeler .................................. 122 E, Ek Dökümanlar ....................................... 3 Ekran Görüntüleri ........................ 128, 136 Gelişmiş Arama .................................... 21 Genel ..................................................... 2 Genel Kontroller ................................. 106 Göstergeler ........................................ 127

H, Hak Yönetimi .......................106, 114, 118 Hakkında ............................................... 3 Hash ............................................... 14, 81 I,İ, İçindekiler .............................................. 5 İlişkilendirme ...................................... 100 İmza Hash Algoritması ......................... 91 İstatistik.................................... 25, 28, 30 İstatistik Raporlar ................................ 25 K, Klasör İmzalama .................................. 99 Korelasyon.......................................... 100 Kullanıcı İşlemleri ....................... 106, 114 Kullanıcı Rolleri ................................... 118 Kümeleme .......................................... 103 L, Lisans Dosyası ...................................... 88 Log Aktarma ........................................ 81 Log Durumu ......................................... 46 Log Okuma TCP .................................... 92 Log Sıkıştırma ...................................... 93 Log Toplama Soketi Ayarları ................ 92 Log Toplama Yöntemleri ........................ 3 Log Yazma Ayarları .............................. 89 N, Nicelik Belirleyicileri ........................... 122 O,Ö, Otomatik Arşivleme ............................. 96 Otomatik IP Değişimi ........................... 99 Önbilgi ................................................... 2 Özel Göstergeler ................................. 129 P, Paylaşım Kontrolü................................ 98 Plugin Dosyası ..................................... 88 Pozisyon Dosyası ................................. 88 Pozisyon Yönetimi .............................. 108

139

R, Rapor .............................16, 25, 32, 48, 49 Rapor Çalışma Planı .............................. 40 Rapor Yöneticisi ................................... 44 Raporlar ............................................... 34 Regex ................................................. 122 Regex Örnekler .................................. 123 Regex Performans .............................. 126 Regex Yardımcısı ................................ 125 Regex Yardımıcısı ............................... 124 S,Ş, Sensör ................................................ 100 Sertifika ............................................... 89 Sistem Analizleri ................................... 46 Sistem Ayarları ..................................... 86 Sistem Durumu .................................... 50 Sistem Logu ................................. 110, 112 Sistem Sağlık Kontrolü .......................... 98 Sistem Uyarıları .................................... 53 Sistem Yeniden Başlatma ..................... 85 Sunucu Yönetimi ................................ 106

Syslog .................................................. 93 Şifre Değiştirme .................................. 117 U, Uyarı E-posta Ayarları .......................... 54 Uzaktan Ajan Kurulumu ....................... 64 V, Veritabanı Bağlantı İfadesi ................... 87 Veritabanına Log Yazma ..................... 103 W, Web Deposu ........................................ 59 Y, Yardımcı Dökümanlar ............................ 3 Yedekleme ........................................... 77 Yönetim Soketi Ayarları ....................... 91 Z, Zaman Damgası .................................. 102

140

Resimler Fihristi

Resim 1 - CryptoLogClient Giriş Ekranı ................................................................................................... 8

Resim 2 - CryptoLog Sunucular ............................................................................................................... 9

Resim 3 - CryptoLog Sunucu Ekleme Ayarları (SqlServer) ....................................................................... 9

Resim 4 - CryptoLog Sunucu Ekleme Ayarları (Mysql) .......................................................................... 10

Resim 5 - Sunucu Ayarları Test Başarılı ................................................................................................. 11

Resim 6 - Test Başarısız - IP Adresi Engel .............................................................................................. 12

Resim 7 - Test Başarısız - Veritabanı İsmi Hatalı ................................................................................... 12

Resim 8 - Test Başarısız - Kullanıcı Adı / Şifre Hatalı ............................................................................. 12

Resim 9 - Menü / Aramalar .................................................................................................................. 13

Resim 10 - Arama Sayfası ..................................................................................................................... 13

Resim 11 - Arama Plugin Seçimi ........................................................................................................... 14

Resim 12 - Aramalar Hash/Imza Tarihi ................................................................................................. 14

Resim 13 - Arama Sonuçları .................................................................................................................. 15

Resim 14 - Sorgu Raporu ...................................................................................................................... 16

Resim 15 - Arama Şartları ..................................................................................................................... 18

Resim 16 - Arama Operatörleri............................................................................................................. 19

Resim 17 - Arama Şartları ..................................................................................................................... 20

Resim 18 - Kayıtlı Sorgu Şartları ............................................................................................................ 21

Resim 19 - Gelişmiş Arama ................................................................................................................... 22

Resim 20 - Gelişmiş Arama Sonuçları ................................................................................................... 24

Resim 21 - Plugin'e İstatistik Ekleme .................................................................................................... 26

Resim 22 - İstatistik Ekleme Formu ...................................................................................................... 27

Resim 23 - İstatistiksel Raporlar ........................................................................................................... 29

Resim 24 - Anlık İstatistik Şartları ......................................................................................................... 31

Resim 25 - Anlık İstatistik Sonuçları ...................................................................................................... 32

Resim 26 - Rapor Şablonları ................................................................................................................. 34

Resim 27 - Yeni Rapor Şablonu Ekleme Formu ..................................................................................... 35

Resim 28 - Rapor Çalışma Planı Düzenleme Formu .............................................................................. 40

Resim 29 - Rapor Yöneticisi Ekranı ....................................................................................................... 45

Resim 30 - Rapor Tarihçesi ................................................................................................................... 45

Resim 31 - Log Durumu Ekranı ............................................................................................................. 47

Resim 32 - Log Durumu Sonuçları......................................................................................................... 48

Resim 33 - Sistem Durumu Ekranı ........................................................................................................ 51

Resim 34 - Disk Kullanımı ..................................................................................................................... 52

Resim 35 - Sistem Uyarıları ................................................................................................................... 53

Resim 36 - Uyarı Eposta Ayarları .......................................................................................................... 54

Resim 37 - CryptoLog Depo .................................................................................................................. 57

Resim 38 - Plugin Deposu ..................................................................................................................... 58

141

Resim 39 - Depoya Ekleme ................................................................................................................... 59

Resim 40 - Web Deposu ....................................................................................................................... 60

Resim 41 - Depodan Alma .................................................................................................................... 62

Resim 42 - Uzaktan Ajan Yükleme ........................................................................................................ 65

Resim 43 - Uzaktan Ajan Yükleme Başarılı ............................................................................................ 66

Resim 44 - Uzak Ajan Kaldırma ............................................................................................................. 66

Resim 45 - Uzak Ajan Kaldırma Başarılı ................................................................................................ 67

Resim 46 - Ajan Uzaktan Çoklu Bilgisayarlardan Kaldırma .................................................................... 68

Resim 47 - Ajan Görev Yönetimi ........................................................................................................... 70

Resim 48 - Ajan Görev Listesi ............................................................................................................... 70

Resim 49 - Ajan Görev Detayları ........................................................................................................... 72

Resim 50 - Ajan Görev Değiştirme ........................................................................................................ 74

Resim 51 - Sistem Konfigurasyon ......................................................................................................... 85

Resim 52 - Sistem Konfigurasyom - Durum .......................................................................................... 85

Resim 53 - Sistem Konfigurasyom - Sistem ........................................................................................... 87

Resim 54 - Sistem Konfigurasyom - Sistem(Diğer) ................................................................................ 88

Resim 55 - Sistem Konfigurasyom - Log Yazma .................................................................................... 90

Resim 56 - Sistem Konfigurasyom - Yönetim Soketi ............................................................................. 91

Resim 57 - Sistem Konfigurasyom - Log Toplama Soketi ...................................................................... 92

Resim 58 - Sistem Konfigurasyom - Log Sıkıştırma ............................................................................... 93

Resim 59 - Sistem Konfigurasyom - Syslog ........................................................................................... 94

Resim 60 - Sistem Konfigurasyom - Otomatik Arşivleme...................................................................... 96

Resim 61 - Sistem Konfigurasyom - Disk Kontrol .................................................................................. 97

Resim 62 - Sistem Konfigurasyom - Paylaşım Kontrol .......................................................................... 98

Resim 63 - Sistem Sağlık Kontrolü ........................................................................................................ 98

Resim 64 - Otomatik Ip Değişimi .......................................................................................................... 99

Resim 65 - Klasör Dosya İmzalama ....................................................................................................... 99

Resim 66 - - Sistem Konfigurasyom - Korelasyon ............................................................................... 100

Resim 67 - Sistem Konfigurasyom - Sensör ........................................................................................ 101

Resim 68 - Sistem Konfigurasyom - Zaman Damgası .......................................................................... 102

Resim 69 - Sistem Konfigurasyom - Küme Modu ................................................................................ 103

Resim 70 - Sistem Konfigurasyom - DB Log Yazma ............................................................................. 104

Resim 71 - Plugin Güncelleme (Ajan).................................................................................................. 105

Resim 72- Sunucu Yönetimi ................................................................................................................ 107

Resim 73 - Sunucu Ekleme ................................................................................................................. 107

Resim 74 - Pozisyon Yönetimi ............................................................................................................. 109

Resim 75 - Poziyon Yönetimi Arama ................................................................................................... 110

Resim 76 - Pozisyon Düzenleme ......................................................................................................... 110

Resim 77 - Sistem Logu....................................................................................................................... 111

Resim 78 - Kullanıcı Tanımlama Ekranı ............................................................................................... 115

Resim 79- Kullanıcı Ekleme ................................................................................................................. 115

Resim 80 - Kullanıcı Rol Atama .......................................................................................................... 116

Resim 81 - Kullanıcıya Atanmış Roller................................................................................................. 117

Resim 82 - Şifre Değiştirme ................................................................................................................ 118

Resim 83 - Hak Yönetimi Roller .......................................................................................................... 118

142

Resim 84 - Hak Yönetimi Rolleri - Log Kaynağı.................................................................................... 120

Resim 85 - Hak Yönetim Rolleri - Plugin ............................................................................................. 121

Resim 86 - Düzenli İfadeler Yardımcısı................................................................................................ 125

Resim 87 - Göstergeler ....................................................................................................................... 127

Resim 88 - Günlük Log Durumu Göstergesi ........................................................................................ 128

Resim 89 - Maks EPS (Event Per Second) Göstergesi .......................................................................... 128

Resim 90 - Log Kaynağına Göre Dağılım Göstergesi ........................................................................... 128

Resim 91 - Saatlik Log Sayısı Göstergesi ............................................................................................. 128

Resim 92 - Log Durumu Göstergesi .................................................................................................... 128

Resim 93 - Sistem Kaynakları(CPU) Göstergesi ................................................................................... 128

Resim 94 - Özel Göstegeler Düzenleme Ekranı ................................................................................... 130

Resim 95 - Özel Göstergeler Grafik Ekleme (Standart Grafikler) ........................................................ 132

Resim 96 - Özel Göstergeler Grafik Ekleme (İstatistik) ....................................................................... 134

Resim 97 - Özel Göstergeler Grafik Ekleme (Log Durumu) ................................................................. 135

Resim 98 - Özelleştirilmiş Grafikler (Log Durumu) .............................................................................. 135

Resim 99 - Özelleştirilmiş Grafikler (Genel) ........................................................................................ 136

Resim 100 - Özelleştirilmiş Grafikler (Genel) ...................................................................................... 136

143

CryptoLOG

CryptoLOG, CryptTECH Kripto ve Bilişim Firması tarafından üretilmiş her türlü LOG formatını sisteme

tanıtabildiğiniz ölçeklenebilir, güvenilir, ideal KAYIT TUTMA Sistemidir. Günümüzde iş yapış

biçimlerinin değişmesi sonucu bilgilerin hızla dijital ortama taşınması ve internet kullanımın

yaygınlaşması ile birlikte bu bilgilerin güvenliğinin sağlanması konusu da önem kazanmıştır. Bilgi

güvenliğinin sağlanması için en öncelikli adımlardan biri sistem ve uygulamaların kayıtlarının

tutulmasıdır. Bilgi Güvenliği Bilgi ve Olay Yönetim Sistemi; güvenlik yazılımları, sistem ve

uygulamaların ürettikleri kayıtların merkezi bir ortamda toplanarak Normalizasyon (Normalization),

Konsolidasyon (Consolidation), Birleştirme (Aggregation), İlişkilendirme (Correlation) ve

Görselleştirme (Visualization) adımlarından sonra üzerinde tanımlanan kurallara göre güvenlik

ihlalleri ya da anormal aktiviteler için alarmlar üreterek proaktif önlemler alınmasını sağlayan bir

sistemdir.

www.crypttech.com

Documents

CRYPTOLOG - Anasayfaetkinlikte çalışan güvenlik ekipleri kurumun genel risk profilinin düşmesine yardımcı olurlar. Kapsamlı ve Etkili Raporlama: Kurumların kendi güvenlik