ANET Log Collector

2010

Ertuğrul AKBAS

[ANET YAZILIM]

19.01.2011

AnetLogCollector

2

2

ALC: LOG TOPLAMA VE ANALİZ PROGRAMI

ALC :

Log toplama programı 01.11.2007 tarihli ve 26687 sayılı Resmi Gazete'de

yayımlanan İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönet melik’in 5 inci maddesi

birinci fıkrasının (e) bendine istinaden, (d) bendi gereğince, ticari amaçla internet

toplu kullanım sağlayıcılarının elektronik ortamda sistemlerine kaydetmelerini

sağlayan log kayıt programıdır.

Logarının doğruluğunun ve bütünlüğünün teyit edilebilmesi için

Telekomünikasyon İletişim Başkanlığı tarafından hazırlanan IP Log İmzalayıcı programı ile birlikte kullanılmaktadır

ALC ile 5651 Nolu yasa kapsamında sistemde alınması gereken tüm logların merkezi

bir noktaya toplanmasını ve kanunda belirtilen Bilgilerin Doğruluğunu, Bütünlüğünü ve

oluşacak olan verinin dosya bütünlük değeri olan HASH bilgisinin zaman damgası ile

saklanmasını ve gizliliğinin temin edilmesini sağlayan bir sistemdir. Sistem : Firewall,

UTM sistemler, Sunucular, Aktif cihazlar, Database’ler ve kullanıcı

bilgisayarlarında üretilmiş olan logların merkezi bir noktaya toplanmasını,

HASH alınıp üzerine Zaman Damgası vurularak Bilgilerin Doğruluğunun ve

Bütünlüğünün korunmasını sağlayan bir uygulamadır. Sistem yapısında toplanan

loglar ve verilerde hiçbir değişiklik yapılmadan sistemin tanıyacağı formata çevrilir. ALC

web tabanlı bir arayüze sahiptir, dolayısı ile uzak bağlantı ile yönetim ve konfigurasyon yapılabilir.

ALC Giriş Ekranı: Programa ilk kurulduğunda gelen ekrana Kullanıcı adı admin “Şifre olarakta demo olacak şeklinde girip Login butonuna basınız.

3

3

AYARLAR

GENEL AYARLAR:

Bu sayfada Cihazlardan gelen logların Veritabanına kaydedilip kaydedilmeyeceği ayarı yapılır.”BÜTÜN LOGLARI

VERİTABANINA KAYDET” seçeneğini işaretlersek gelen tüm loglar geldikleri gibi işlenmemiş halleriyle

veritabanına işlenir.

Ayrıca DNS CONVERTER ayarında enable tıklanıp süre belirtilirse burada belirtilen periyotlarda Reverse DNS

yaparak HOSTNAME çözümlemesi yapar.

SYSLOG AYARLARI:

LOG AYARLARISYSLOG AYARLARI

Syslog standardında log kaydı yapabilen cihazlardan log toplayabilmek için SYSLOG

ayarlarının yapılması gerekir. Syslog ekranından birden fazla SYSLOG server

oluşturabilirsiniz.

4

4

Ekleme ekranında syslog server oluşturulacak ip ve syslog server a verilecek ad girilir.

Birden çok syslog oluşturmak için port ekle butonuna basmak yeterlidir.

Gelen ekrana port u “514” gibi sayı olarak ismi de alfanümerik bir değer girilmelidir.

SNMP-TRAP AYARLARI:

LOG AYARLARI SNMP-TRAP LOG AYARLARI

SNMP-TRAP standardında log kaydı yapabilen cihazlardan log toplayabilmek için SNMP-

TRAP ayarlarının yapılması gerekir. SNMP-TRAP ekranından birden fazla server


Ekleme ekranında SNMP-TRAP server oluşturulacak ip ve SNMP-TRAP server a verilecek

ad girilir. Birden çok SNMP-TRAP oluşturmak için port ekle butonuna basmak yeterlidir.

Gelen ekrana port u “162” gibi sayı olarak ismi de alfanümerik bir değer girilmelidir.

TEXT-LOG AYARLARI:

LOG AYARLARITEXTLOG AYARLARI

Windows DHCP logları veya loglarını text olarak export eden cihazlardan log

toplayabilmek için TEXT LOG ayarlarının yapılması gerekir. TEXT LOG ekranından birden

fazla dosya yada dizinine aktarılan loglar sisteme alınır.

5

5

Takip edilecek olan dosyalar ara yüz kullanılarak sisteme tanıtılır.

Tipi: Takip edilecek sistem dosya mı dizin mi seçilir

Path: Dosyanın path i

File Başlangıcı: Takip edilecek dosyalarının adında başlangıcında geçmesini istediğiniz

kelime

FTP AYARLARI:

LOG AYARLARIFTPLOG AYARLARI

IP ARALIĞI AYARLARI:

Sisteminizde yasa kapsamında dinlenmemesi gereken cihazlar (Camera,Fax cihazı,vs..)varsa buradan Tek IP

panelini doldurarak dinlenmesi gerek IP adreslerini programa bildirebilirsiniz.

ÖRN:192.168.1.5 IP adresini dinle şeklinde komut verebilirsiniz.

AAAAA

Bununla birlikte IP aralığı şeklinde de ekleme yapabilirsiniz

ÖRN:192.168.1.25 ile 192.168.2.55 arasını dinle şeklinde programı yönlendirebilirsiniz.

LİSANS AYARLARI:

6

6

Anet Yazılım tarafından size verilen Lisans ID numarasıyla birlikte Kullanıcı bilgilerinizi girip Kaydet butonuna

tıklayarak Lisanslama yapabilirsiniz.

NOT:Lisans bilgileri eklerken Türkçe karakter kullanmadan ve boşluk bırakmadan kutucukları doldurmanız

gerekmektedir.

KULLANICI AYARLARI:

Bu ekranda kullanıcı ekleme, değiştirme ve silme ekranıdır. İki farklı kullanıcı tipi


Administrator: Programda bütün değişiklikleri yapma, farklı konfigürasyonlar oluştura

bilme ve aynı zamanda tüm raporları görme hakkında sahiptir.

Sınırlı Kullanıcı: Bu statüdeki kullanıcı tamamen sınırlı olup ayarlara hiç ulaşmaz sadece

raporları görme hakkına sahiptir. Değiştirme Silme ve Ekleme hakkında sahip değildir.

7

7

YEDEKLEME AYARLARI:

ALC default olarak her ayın son günü aldığı tüm raporları yedekler ancak buradaki yedekleme ayarlarına

gelerek “Yedeklemeyi Şimdi Yap ” seçeneğini aktif ederseniz veri tabanının manuel olarak yedeğini almış

olursunuz.

RAPOR AYARLARI:

Oluşturulacak EXCELL ve PDF raporları için raporlama limit belirtebilirsiniz. Bu işlemi yapabilmeniz için rapor

ayarları sekmesine gelerek alfanümerik bir değer girmelisiniz.

Ek olarak bu sekmeden Özet ve Özel raporlama alternatiflerini kullanabilirsiniz.

8

8

Özet raporlarda

Son bir saat

Bugün

Dün

Son bir hafta

Son iki hafta

Son bir ay

Şeklinde seçenekler mevcuttur . özel raporlarda ise istediğiniz tarih aralığını seçerek rapor sorgusu


RAPORLAR

DHCP RAPORLARI:

DHCP: 5651 Nolu yasa kapsamında sistemde alınması gereken tüm logların merkezi bir

noktaya toplanmasını ve kanunda belirtilen Bilgilerin Doğruluğunu, Bütünlüğünü ve

oluşacak olan verinin dosya bütünlük değeri olan HASH bilgisinin zaman damgası ile

saklanmasını ve gizliliğinin temin edilmesini sağlayan bir Ayrıca tarih aralıklarına göre

yada ip aralıklarına göre sorgu yapma imkanı sağlar. Excell, Pdf butonlarına basılarak

Excell ve Pdf formatında raporlar alınabilir.Ayrıca Kanunun istediği formata çevirimle

işlemi de yapılır.

Cpu:Programın Kurulu olduğu bilgisayardaki işlemcinin (CPU) o an için ne kadar

kullanıldığını gösterildiği grafiktir.

Disk:Programın Kurulu olduğu bilgisayardaki diskin C dizinin kapasitesini gösterir.

RAM: Programın Kurulu olduğu bilgisayardaki anlık RAM kullanım oranını gösterir.

9

9

SYSLOG RAPORLARI:

SYSLOG: Sistemde mevcut olan network kartlarını üzerinden geçen trafik gözetlenerek

log kayıtları tutulur. Bu raporda filtremle yapılmayarak tüm protokollerin logları kayıt

altına alınır.Ayrıca bütün loglar ve kayıtlar arasındaki ilişkinin sağlanması ve

değiştirilemeden sağlanması için HASH+zaman damgası kullanılarak tüm loglar

imzalanmış olur. Tarih aralıklarına göre yada ip aralıklarına göre sorgu yapma imkanı

sağladığı gibi Kendi REGULAREXPRESSION komutunuzu girerek sorgu oluşturabilirsiniz.

Excell,Pdf, butonlarına basılarak Excell ve Pdf fromatında raporlar alınabilir.

Cpu:Programın Kurulu olduğu bilgisayardaki işlemcinin (CPU) o an için ne kadar

kullanıldığını gösterildiği grafiktir.

Disk:Programın Kurulu olduğu bilgisayardaki diskin C dizinin kapasitesini gösterir.

RAM: Programın Kurulu olduğu bilgisayardaki anlık RAM kullanım oranını gösterir.

10

10

Ek olarak REGULAR-EXPRESSION örneği arayüzde mevcuttur.

11

11

BİLGİ

SİSTEM BİLGİSİ:

Lisanslama sonrası kullanıcının lisans ID siyle birlikte diğer lisanslama bilgilerini görebileceği sayfadır.

LOGOUT

LOGOUT:

Programda oturum açan kullanıcı bu TAB’ı kullanarak oturumunu sonlandırabilir.

12

12

MS EXCHANGE,ZIMBRA,POSTFIX,MERAK VB.. MAIL SUNUCU

Mail sunuculardan log toplamanın en kolay yolu mail sunucu log dosyalarını takip etmektir. Bu takip dosya

değişir değişmez dosyadaki değişiklikleri analiz edip kimin kime hangi server üzerinden mail attığını ilişkisel

veritabanında dijital imzalı olarak tutmak şeklinde gelişir. Aşağıdaki ekranda takip edilecek log dosyasının

sisteme eklenmesi gösterilmektedir.





MICROSOFT DHCP SUNUCU

Microsoft DHCP sunucusunun loglarını takip etmek ve analiz edebilmek için AYARLAR-TEXT LOG AYARLARI yolu

izlenerek DHCP sunucu log dosyaları sisteme tanıtılır

13

13





Bu işlemden sonra sistem logları analiz edip RAPORLAR altındaki DHCP raporları kısmına aktarır.

MICROSOFT ISA SERVER

Microsoft ISA SERVER loglarını takip etmek için AYARLAR-TEXT LOG AYARLARI yolu izlenerek ISA SERVER log

dosyaları sisteme tanıtılır





14

14

Bu işlemden sonra sistem logları analiz edip RAPORLAR altındaki FIREWALL ve URLLOG raporları kısmına aktarır.

SYSLOG MESAJLARININ GELİP GELMEDİĞİNİN KONTROLÜ

Bu sayfada Cihazlardan gelen logların Veritabanına kaydedilip kaydedilmeyeceği ayarı yapılır.”BÜTÜN LOGLARI

VERİTABANINA KAYDET” seçeneğini işaretlersek gelen tüm loglar geldikleri gibi işlenmemiş halleriyle

veritabanına işlenir.

Ayrıca DNS CONVERTER ayarında enable tıklanıp süre belirtilirse burada belirtilen periyotlarda Reverse DNS

yaparak HOSTNAME çözümlemesi yapar.

15

15

Bu ayarlar yapıldıktan sonra gelen bütün SYSLOG mesajları RAPORLAR-SYSLOG yoluyla görüntülenebilir veya

imzalanmış olarak Excel dosyasına indirilebilir.

TEXT DOSYALARININ TAKIBI

Text dosyalarının takibinde interval değeri kritiktir.

Takip edilecek dosya 200 M ise 3000 bu oran korunarak girilmelidir.3GB i7 bir sistemde 1500000 kayıt yaklaşık

40 dakikada rapor oluşturulabilir hale gelmektedir. Bu süreyi düşürmek için RAM arttırılmalıdır. Mesela aynı

sistem 6 GM ram ile 25 DK da işlemi bitirebilmektedir.Bu performansı yakalayabilmek için

1-Startdb.bat dosyasındaki değerler arttırılmalı

2-service configurasyonundaki –Xmx değeri arttıtılmalıdır

Technology

ANET Log Collector