cryptolog - anasayfaetkinlikte çalışan güvenlik ekipleri kurumun genel risk profilinin...
TRANSCRIPT
1
CRYPTOLOG
CryptTech Bilgi ve Olay Yönetim
Sistemi
Kullanım Kılavuzu
Haziran 2012
Doküman Sürüm 1.8.0
Alper C. YILMAZ, Ali İhsan UNALDI, Tarık KOBALAS
2
GENEL
Günümüzde iş yapış biçimlerinin değişmesi sonucu bilgilerin hızla dijital ortama taşınması ve internet
kullanımın yaygınlaşması ile birlikte bu bilgilerin güvenliğinin sağlanması konusu da önem
kazanmıştır. Bilgi güvenliğinin sağlanması için en öncelikli adımlardan biri sistem ve uygulamaların
kayıtlarının tutulmasıdır. Bilgi Güvenliği Bilgi ve Olay Yönetim Sistemi; güvenlik yazılımları, sistem ve
uygulamaların ürettikleri kayıtların merkezi bir ortamda toplanarak Normalizasyon (Normalization),
Konsolidasyon (Consolidation), Birleştirme (Aggregation), İlişkilendirme (Correlation) ve
Görselleştirme (Visualization) adımlarından sonra üzerinde tanımlanan kurallara göre güvenlik
ihlalleri ya da anormal aktiviteler için alarmlar üreterek proaktif önlemler alınmasını sağlayan bir
sistemdir.
Güvenlik Teknolojileri için önemli yatırım:
SIEM güvenlik log ve olay bilgilerinin daha efektif kullanımını sağlayarak bilgi güvenliği ekiplerinin
güvenlik sistemleri üzerindeki kullanımını artırır.
Güvenlik ihlallerini erken fark etmek:
Doğru uygulanan bir SIEM çözümü, güvenlik uzmanlarına onların etkinliklerini artıracak mükemmel bir
araç seti sunmaktadır. Daha etkin olarak çalışan güvenlik ekibi ise adreslenen güvenlik ihlallerini kurum
için etkileri büyümeden önce, erken durumda iken, yüksek olasılıkla yakalama şansına sahip olurlar. Bu
etkinlikte çalışan güvenlik ekipleri kurumun genel risk profilinin düşmesine yardımcı olurlar.
Kapsamlı ve Etkili Raporlama:
Kurumların kendi güvenlik analizi ve yasal düzenleyici kuruluşlar için raporlar hazırlamak ve teslim
etmek bir güvenlik yöneticisinin nerdeyse tüm zamanını almaktadır. Bir SIEM çözümü çok geniş bir
yelpazede yer alan sistemleri destekleyerek, log toplama işlemini kolaylaştırarak ve raporlama
işlemlerini otomatize edilmiş araçlar ve şablonlar ile yaparak günler alan işlemleri saatler
mertebesinde kısaltarak güvenlik yöneticisinin çok daha yüksek öneme sahip sorumluluklarına
odaklanmasını sağlar.
Düşük sermaye ve operasyonel maliyetler:
SEM, SIM, log yönetimi, analiz sistemleri ve veritabanı aktivite izleme (DAM) gibi sistemleri tek bir
SIEM çatısı alında birleştirme zaman ve para olarak ciddi kazanımlar sağlamaktadır. Birçok izleme ve
analiz sisteminin, satın alma bakım ve yürütme maliyetleri, tek bir SIEM çözümüne sahip olunarak
yüksek oranda azaltılabilir.
Yasal uyumlu olmayan riskleri azaltmak:
Bir denetleme ya da soruşturma esnasında kurumun ihtiyacı olan yasal uyumluluk ispatı ve raporları ya
da mevcut durum analizini SIEM sistemi kendi üzerinden vermektedir.
Bilgi güvenliği için geniş organizasyonel destek:
Bir efektif SIEM sistemi, SIEM sistemi tarafından adreslenen güvenlik ihlallerini kurum içi çapraz
fonksiyonel takımlar ile beraber değerlendirmek, rapor oluşturmak, aksiyon almak için üzerindeki
güvenlik ihlalleri yönetim modülü ile kurum üzerinde geniş bir katılım imkânı sağlamaktadır. Bu
aktiviteler kurumsal direnci azaltarak ve istikrarlı bilgi güvenliği kültürünü yerleştirerek toplam risk
yönetiminde ciddi katkı sağlar.
3
Döküman Hakkında
Cryptolog/CryptoSIM Kullanım Kılavuzu, Cryptolog Client programının kullanımı ve Cryptolog’un
işlevsel özellikleri hakkında detaylı bilgi sunmaktadır. Bu dökümanda sistem entegrasyonu
tamamlanmış bir log yönetim projesinin genel yönetiminin nasıl yapılacağı anlatılmıştır. Yeni bir log
kaynağı eklemek ya da yeni bir sistemi CryptoLog ile bütünleştirmek için kaynak değildir.
Entegrasyonu yapılan sistemlerin günlüklerini kontrol etmek, kayıtlarını izlemek, bu kayıtlardan
istatistik ve/veya rapor oluşturmak, sistemin kendi ayarlarını düzenlemek, kullanıcı hakları ile iş
bölümü yapmak, arşivleme ve yedekleme işlemleri için referans olarak kullanılabilir. Döküman içeriği,
İçindekiler kısmında detaylı başlıklar halinde sunulmuştur. CryptoLog ürününü yönetim programı olan
CryptoLog Client üzerinden her işlem için ekran görüntüleri alınarak, adım adım anlatılmıştır.
Döküman, CryptoLog 1.8.0 versiyonu baz alınarak oluşturulmuştur. Daha eski sürümlerde
bulunmayan özelliklere, yeri değiştirilen form ve ekranlara kaynaklık etmez. CryptoLog kurulumu,
CryptoLogClient Kurulumu, Plugin Ekleme, Sistem Entegrasyon için diğer dökümanlara başvurulması
gerekmektedir.
CryptoLog ile ilgili Dökümanlar
Bu dökümanın doğru kaynaklık edebilmesi için, CryptoLog Sunucusunun hazırlanması, Sistem
Entegrasyonunun yapılması gerekmektedir. Log Yönetim Projesi tamamlandıktan sonra
CryptoLogClient ile sistemi yönetebilirsiniz. Bu sebeple, aşağıda listenen dökümanlar sayesinde
kurulum ve ayarların yapılması önşarttır. Dökümanlara erişim için “Destek ve Çevrimiçi Erişim”
kısmında yazılan ftp adresi kullanılabilir.
CryptoLog Ubuntu 12.04 - 64 bitRaid 1 Kurulumu; CryptoLog.iso imajının kurulumunu anlatan
döküman.
CryptoLog Demo Dökümantasyonu; CryptoLog demo kurulumunun açıklandığı döküman.
CryptoLog Kullanım Kılavuzu; CryptoLog ürününün yönetimi ve CryptoLog Client programının
kullanımı hakkında detaylı bilgi sunar.
CryptoLog Uygulama Rehberi; Cryptolog sistem entegrasyonunun anlatıldığı döküman. CryptoLog log
toplayacağı sistemlerle aşağıdaki yöntemlerle iletişime geçer,
Syslog veri gönderen cihazlardan; udp(514), tcp, tls
Kendi dosya sistemi üzerindeki yerel günlük kayıtlarından
Unix/Linux işletim sistemlerinden SSH ile,
Windows sunucularından, CryptoLogAgent, WMI, ya da paylaşım (tcp 445) ile,
SNMP gönderen cihazlardan, SNMP trap ile,
4
FTP Sunucu ya da İstemcilerden, FTP ile,
Veritabanlarından ODBC/JDBC ile,
CheckPoint ürünlerinden OPSEC LEA ile,
Destekleyen Ağ Cihazlarından Flow ile
CryptoLog Windows Kurulum; CryptoLog Sunucusunun Windows üzerinde kurulumunun açıklandığı
döküman.
CryptoLog Agent Kurulum; CryptoLogAgent kurulumunun açıklandığı döküman.
CryptoLog Problem Çözme Kılavuzu; CryptoLog ürününde karşılaşılabilecek muhtemel problemler ve
bunların çözümleri hakkında detaylı bilgi sunar.
Destek ve Çevrimiçi Erişim
CryptTech Web Sitesi - http://www.crypttech.com
CryptTech Destek Portalı - http://support.crypttech.com
CryptTech Bilgi Havuzu - http://support.crypttech.com/index.php?/Knowledgebase/List
CryptTech Forum Sitesi - http://forum.crypttech.com
CryptTech Tüm Doküman ve Kurulumlar - ftp://ftp.crypttech.com
CryptTech Blog Sitesi - http://blog.crypttech.com
CryptTech Facebook Sayfası - http://www.facebook.com/kriptek
CryptTech Teknik Destek Mail Grubu - [email protected] , [email protected]
CryptTech Satış Mail Grubu - [email protected], [email protected]
CryptTech Eğitim Mail Grubu - [email protected], [email protected]
5
İçindekiler
CryptTech Bilgi ve Olay Yönetim Sistemi ................................................................................................ 1
1. Sisteme Giriş ................................................................................................................................... 8
2. Aramalar ....................................................................................................................................... 13
2.1. Arama ................................................................................................................................. 13
2.1.1. Arama Sayfası Özellikleri ....................................................................................... 13
2.1.2. Aranan Loglara Erişme .......................................................................................... 15
2.2. Gelişmiş Arama ................................................................................................................... 21
3. İstatistik ve Raporlar ..................................................................................................................... 25
3.1. İstatistik Raporlar ............................................................................................................... 25
3.1.1. İstatistik Raporları Üretme .................................................................................... 25
3.1.2. İstatistik Raporları İnceleme ................................................................................. 28
3.2. Anlık İstatistik ..................................................................................................................... 30
3.3. Raporlar .............................................................................................................................. 34
3.3.1. Rapor Şablonları.................................................................................................... 34
3.3.2. Rapor Çalışma Planı .............................................................................................. 40
3.3.3. Rapor Yöneticisi .................................................................................................... 44
4. Sistem Analizleri ........................................................................................................................... 46
4.1. Log Durumu ........................................................................................................................ 46
4.2. Sistem Durumu ................................................................................................................... 50
4.3. Disk Kullanımı ..................................................................................................................... 51
5. Sistem Uyarıları............................................................................................................................. 53
6. Depo ............................................................................................................................................. 56
6.1. Depo Genel Özellikler ......................................................................................................... 56
6.2. Depodan Al ......................................................................................................................... 61
6.3. Depoya Ekle ........................................................................................................................ 62
6
7. Ajan Yönetimi ............................................................................................................................... 64
7.1. Ajan Kurulumu .................................................................................................................... 64
7.2. Ajan Görev Yönetimi ........................................................................................................... 69
8. Yedekleme ve Arşivleme ............................................................................................................... 77
8.1. Yedekleme .......................................................................................................................... 77
8.2. Arşiv .................................................................................................................................... 78
9. Log Aktarma.................................................................................................................................. 81
10. Cryptolog Konfigürasyon .............................................................................................................. 84
10.1. Durum............................................................................................................................... 85
10.2. Sistem ............................................................................................................................... 86
10.3. Sistem(Diğer) .................................................................................................................... 88
10.4. Log Yazma ......................................................................................................................... 89
10.5. Yönetim Soketi.................................................................................................................. 91
10.6. Log Toplama Soketi........................................................................................................... 92
10.7. Log Sıkıştırma .................................................................................................................... 93
10.8. Syslog ................................................................................................................................ 93
10.9. Otomatik Arşivleme .......................................................................................................... 96
10.10. Disk Kontrol .................................................................................................................. 97
10.11. Paylaşım Kontrolü ......................................................................................................... 98
10.12. Sistem Sağlık Kontrolü .................................................................................................. 98
10.13. Otomatik IP Değişimi .................................................................................................... 99
10.14. Klasör / Dosya İmzalama ............................................................................................... 99
10.15. Korelasyon .................................................................................................................. 100
10.16. Sensör ......................................................................................................................... 100
10.17. Zaman Damgası .......................................................................................................... 102
10.18. Küme Modu ................................................................................................................ 103
10.19. DB Log Yazma ............................................................................................................. 103
10.20. Plugin Güncelleme (Ajan) ........................................................................................... 105
11. Genel Kontroller ......................................................................................................................... 106
11.1. Sunucu Yönetimi ............................................................................................................. 106
7
11.2. Pozisyon Yönetimi .......................................................................................................... 108
11.3. Sistem Logu .................................................................................................................... 110
12. Kullanıcı İşlemleri – Hak Yönetimi ............................................................................................... 114
12.1. Kullanıcı İşlemleri ............................................................................................................ 114
12.2. Kullanıcı Rolleri ............................................................................................................... 118
13. Düzenli İfadeler (Regular Expressions) ........................................................................................ 122
13.1. Düzenli İfade Elemanları ................................................................................................... 122
13.2. Düzenli İfade Nicelik Belirleyicileri .................................................................................... 122
13.3. Düzenli İfade İşleçleri ........................................................................................................ 122
13.4. Örnekler............................................................................................................................ 123
13.5. CryptoLog Düzenli İfade Yapısı ve Regex Yardımcısı ......................................................... 124
13.6. Düzenli İfade Yazarken Dikkat Edilmesi Gerekenler .......................................................... 126
14. Göstergeler ................................................................................................................................. 127
14.1. Özel Göstergeler Ekleme ................................................................................................ 129
Konu Fihristi
Resimler Fihrist
8
1. Sisteme Giriş
CryptoLOG sunucusu, CryptoLOG Client programı tarafından yönetilmektedir. Bu programın
kurulumu için “CryptoLOG – CryptoLOG Client Kurulumu.pdf” dokümanına başvurunuz. CryptoLOG
Client kurulduktan sonra başlatıldığında aşağıdaki CryptoLog Client Giriş (Login) Ekranı gelecektir.
Resim 1 - CryptoLogClient Giriş Ekranı
Öntanımlı olarak kullanıcı adı/şifre: admin/admin. Tamam dedikten sonra CryptoLOG Client
Göstergeler ekranı açılacaktır. Birden fazla yönetilecek CryptoLog sunucuları için soldaki sunucu menü
listesinden yönetilmek istenen sunucu seçilir ve kullanıcı bilgileri girilir. Bundan sonraki başlıklarda
her kısım ayrı ayrı anlatılacaktır.
CryptoLog Client ile birden fazla CryptoLog Sunucu yönetilebilir. Yeni bir sunucu ekleme
butonuna basılır. Burada sunucu ayarları yapılır. CryptoLog, veritabanı olarak MsSql ve Mysql ile
birlikte çalışabilmektedir. Sunucu eklenirken, veritabanına göre ayar yapılmalıdır.
9
Resim 2 - CryptoLog Sunucular
Yeni sunucu eklemek için butonu, var olan sunucuyu silmek için butonu kullanılır. Oklar ile
de sunucuların sırası değiştirilebilir. Yeni sunucu ekleme butonuna tıklandığında aşağıdaki formlar
açılır. Bu sayfalardan sunucular için ilgili bilgiler girilir.
Resim 3 - CryptoLog Sunucu Ekleme Ayarları (SqlServer)
Bağlantı Adı, CryptoLog sunucusunu tanımlamak için kullanılır. Açıklayıcı bir isim yeterlidir.
10
Veritabanı Bağlantı İfadesi, CryptoLog sunucusu kurulurken kullanılan veritabanı tipi. Linux/Unix
işletim sistemlerinde koşan CryptoLog MySQL, Windows işletim sistemi üzerinde koşan CryptoLog
MsSQL kullanır.
Data Source, CryptoLog sunucusunun veritabanı ip adresi ve olay (instance) adını tanımlamak için
kullanılır. Clien, sunucunun kurulduğu windows işletim sistemi üzerinde ise .\SQLEXPRESS ile
kendine(localhost) bağlanması sağlanır. CryptologClient farklı bir makineye kuruluyorsa ip adresi
yazılmalıdır.
Initial Catalog, CryptoLog veritabanı ismi. Öntanımlı olarak “cryptolog” dur.
Integrated Security, Evet seçilirse, CryptoLog, Windows Yetkilendirme ile veritabanına bağlanır.
SSPI (Security Support Provider Interface) kullanılır. Hayır seçilirse kullanıcı adı / şifre ile veritabanına
bağlanır. MsSQL Sunucu kurulurken Mixed Authentication seçilmiş olmalıdır.
User ID, CryptoLog veritabanına erişim yetkisi olan kullanıcı adı,
Password, CryptoLog veritabanına erişim yetkisi olan kullanıcın şifresi
ConnectionString, Yukarıdaki parametreleri elle vermek yerine, bağlantı katarı seçilerek de
yazılabilir. SQL Sunucu için örnek bağlantı katarları aşağıda verilmiştir.
Data Source=.\SQLEXPRESS;Initial Catalog=cryptolog;Integrated Security=True;
Data Source=cryptolog_sunucu_ip;Initial Catalog=cryptolog;User Id=sa;Password=sifreniz;
Resim 4 - CryptoLog Sunucu Ekleme Ayarları (Mysql)
11
Bağlantı Adı, CryptoLog sunucusunu tanımlamak için kullanılır. Açıklayıcı bir isim yeterlidir.
Veritabanı Bağlantı İfadesi, CryptoLog sunucusu kurulurken kullanılan veritabanı tipi. Linux/Unix
işletim sistemlerinde koşan CryptoLog MySQL, Windows işletim sistemi üzerinde koşan CryptoLog
MsSQL kullanır.
Server, CryptoLog sunucusunun veritabanı ip adresi yazılmalıdır.
Database, CryptoLog veritabanı ismi. Öntanımlı olarak “cryptolog” dur.
Integrated Security, Öntanımlı olarak Hayır seçili gelir.
User ID, CryptoLog veritabanına erişim yetkisi olan kullanıcı adı,
Password, CryptoLog veritabanına erişim yetkisi olan kullanıcın şifresi. CryptoLog kurulurken girilen
veritabanı şifresi girilmelidir.
ConnectionString, Yukarıdaki parametreleri elle vermek yerine, bağlantı katarı seçilerek de
yazılabilir. MySQL Sunucu için örnek bağlantı katarları aşağıda verilmiştir.
Server=cryptolog_sunucu_ip;Database=cryptolog;Uid=root;Pwd=sifreniz;
Sunucu Ayarlar yapıldıktan sonra Test butonuna tıklayarak, girilen bilgiler ile erişimin başarılı olup
olmadığı test edilir. Aşağıdaki “Bağlantı başarılı” çıktısı alındıysa Kaydet butonu ile CryptoLog
Sunuculara eklenmiş olur.
Resim 5 - Sunucu Ayarları Test Başarılı
Eğer Test butonu sonucu bağlantıda hatalar verilirse, hata detayına göre problemler giderilmelidir.
Ayarlar sayfasında yazılan ip adresi yanlış yazılmışsa ya da CryptoLogClient kurulu makineden
yazılan ip adresine erişimde engel varsa aşağıdaki hatayı verir. Veritabanı isminin, ya da kullanıcı
adı / şifre bilgisinin yanlış yazılması durumunun hata sonuçları da aşağıdadır.
12
Resim 6 - Test Başarısız - IP Adresi Engel
Resim 7 - Test Başarısız - Veritabanı İsmi Hatalı
Resim 8 - Test Başarısız - Kullanıcı Adı / Şifre Hatalı
13
2. Aramalar
Cryptolog, toplanmış kayıtlar içinde detaylı olarak arama yapma kabiliyetine sahiptir. Toplanan loglar
içinde istediğiniz değere sahip bilgiler için arama yapabilir, çıktıları bilgisayarınıza aktarabilirsiniz.
2.1. Arama
Formlar / Arama ile Arama sayfasına gidilir.
Resim 9 - Menü / Aramalar
2.1.1. Arama Sayfası Özellikleri
Arama sayfası açıldığında aşağıdaki sekme çıkacaktır. Birden fazla arama sekmesi açılabilir. Bu
sayfada kullanıcının karşısına gelen genel özellikler aşağıda açıklanmıştır.
Resim 10 - Arama Sayfası
Plugin, arama yapmak istediğimiz Plugin’i seçmek için kullanılır.
14
Resim 11 - Arama Plugin Seçimi
Normal, işaretlenirse bütün Pluginler liste halinde görülür.
Tüm Yapı, işaretlenirse Pluginler, Log Kaynakları ile birlikte ağaç yapısı şeklinde
listelenir.
Kategori Yapı, işaretlenirse Pluginler, daha önce tanımlandıkları Kategoriler haliyle
listelenir.
Sadece Aktif Olanları Göster, işaretlenirse Log Kaynaklarından Aktif olanları Plugin
açılır listesinde gösterir. İşaretlenmezse bütün Pluginleri, açılır listede gösterir.
butonu ağaç listesini genişletmek, butonu ağaç listesini küçültmek ve
butonu pluginler arasında arama yapmak için kullanılır. Metin kutusuna yazılan bir
metini içeren Log Kaynakları, Plugin ve Kategoriler arasında arama yapılır.
Hash / İmza Tarihi, Cryptolog logları aldığı zaman, o ana ait tarih adında dosya içine
yazmaktadır. Kaydedilen dosya imzalanıp saklanmaktadır. Örneğin 25.03.2010 tarihine ait
Cyberoam logları 14.07.2011 tarihinde alınmaya başlandıysa, Hash / İmza Tarihi 14.07.2011
ve sonrası için aranmalıdır. Bu bilgiler istenirse Takvim üzerinden, istenirse elle yazılarak
girilebilir. Tarih bilgisi Gün ve Saat içerir.
Resim 12 - Aramalar Hash/Imza Tarihi
15
Gerçek Log Tarihi, log kaydı içerisindeki tarihe göre arama yapmak istenirse bu seçenek
kullanılır. Önce işaretlenmeli sonra tarih seçilmelidir. Örneğin Log kayıtları içinde 25.03.2010
günü olan kayıtları aramak için aşağıdaki gibi yazılmalıdır.
Maks. Satır Sayısı, listelenecek log satır sayısını gösterir. “0” girilirse bütün kayıtlar getirilir.
Log Satırını Göster, Cryptolog Pluginleri yazılırken sadece istenen verilerin görüntülenmesi
yazılır. Log kaydının ham verisi görülmek istenirse bu seçenek işaretlenir.
2.1.2. Aranan Loglara Erişme
1. Arama sayfası özellikleri girildikten sonra butonuna basılarak arama başlatılır.
Aşağıda mesaj görülecektir.
2. Arama sonucu aşağıdaki gibi olacaktır.
Resim 13 - Arama Sonuçları
16
3. Bu arama sonucunda her sayfada 100 satır olacak şekilde 5 sayfadan toplamda 500
log kaydı getirilmiştir.
4. Sayfalar arası gitmek için paneli kullanılabilir.
5. Bu arama sonucunu Rapor olarak dışarı aktarmak için butonuna basılır.
6. Ekrana gelen Formdan istenen değerler girilip Rapor butonuna basılır.
Resim 14 - Sorgu Raporu
Rapor Tipi, çıkarılan raporun türünü belirler. PDF, XLS, DOC, CSV seçilebilir.
Kapak Sayfası, CryptoLog’a ait logo, tarih bilgilerinin bulunduğu kapak sayfasını
ekler.
Sayfa Boyutu, A4 veya A3 boyutunda sayfalar üretilebilir.
Yön, Yatay veya Dikey yönde sayfalar üretilebilir.
Rapor Sayfası, Tümü işaretlenirse arama sonucunun tamamı, Seçili işaretlenirse
arama sonucunda seçili satır ve sütunların raporlanmasını sağlar.
17
Kolonları Düzenle, istenen sütunları görünürlüğünü, sırasını ve genişliğinin
ayarlanmasını sağlar.
7. Raporların kaydedilmesi için Windows arayüzü gelir.
8. Raporu açmak için gelen uyarı mesajı.
18
9. İstenen kriterlere göre aramak için Sütün ve Op değerleri.
Resim 15 - Arama Şartları
10. Kolon’dan istenen sütun ve Operatör İşlemi seçilir. Operatör, Arama Koşulunu
belirtir, 17 kriter değeri vardır. Arama koşulu Değer ile kıyaslanır. Birden fazla arama
koşulu yapılabilir. Filtreleme yapmak için filtre bölümüne değerler girilmelidir. Burada
Kolon, Operatör ve Değer parametreleri belirlenmelidir. Kolon nesnesi tıklanarak
hangi alan filtrelenmek isteniyorsa seçilir. Değer kısmına da aranmak istenen değer
girilir.
19
Resim 16 - Arama Operatörleri
= ; Değer ile tam olarak eşitlik durumu. Büyük küçük harf duyarlıdır.
!=(Esit Degil) ; Değer ile eşitsizlik durumu. Büyük küçük harf duyarlıdır.
(Metin icinde ara) ; Seçilen kolon verisinin, verilen Değer listesi içinde olması
durumu. Büyük küçük harf duyarsızdır.
(Liste [,]) ; Seçilen kolon verisinin, verilen Değer listesi içinde olması durumu. Değer
listesi “,” ile ayrılmış verilerden oluşur. Verilen değerler tam olarak eşleşmelidir.
Büyük küçük harf duyarlıdır.
(Liste [,]) (Metin icinde ara) ; Seçilen kolon verisinin, verilen Değer listesi içinde
olması durumu. Değer listesi “,” ile ayrılmış verilerden oluşur. Büyük küçük harf
duyarsızdır.
(Listede olmayanlar [,]) ; Seçilen kolon verisinin, verilen Değer listesi içinde birebir
eşleşmeme durumu. Değer listesi “,” ile ayrılmış verilerden oluşur. Büyük küçük harf
duyarlıdır. Değer listesi içindeki virgülle ayrılmış verilerden herhangi birinin tam
olarak eşleşmediği durumları getirir.
(Listede olmayanlar [,]) (Metin icinde ara) ; Seçilen kolon verisinin, verilen Değer
listesi içinde olmaması durumu. Değer listesi “,” ile ayrılmış verilerden oluşur. Değer
listesi içindeki virgülle ayrılmış verilerden herhangi birinin kolon verisinin içermediği
durumları getirir. Büyük küçük harf duyarsızdır.
> ; Seçilen kolon verisinin, verilen değerden büyük olması durumu. (Katar
karşılaştırma - string comparison). Genelde sayısal değerler için kullanılır. Büyük
küçük harf duyarsızdır.
>= ; Seçilen kolon verisinin, verilen değerden büyük ve eşit olması durumu. (Katar
karşılaştırma - string comparison). Genelde sayısal değerler için kullanılır. Büyük
küçük harf duyarsızdır.
< ; Seçilen kolon verisinin, verilen değerden küçük olması durumu. (Katar
karşılaştırma - string comparison). Genelde sayısal değerler için kullanılır. Büyük
küçük harf duyarsızdır.
20
<= ; Seçilen kolon verisinin, verilen değerden küçük ve eşit olması durumu. (Katar
karşılaştırma - string comparison). Genelde sayısal değerler için kullanılır. Büyük
küçük harf duyarsızdır.
(Başlıyorsa) ; Seçilen kolon verisinin, verilen değer ile başlaması durumu. Büyük
küçük harf duyarlıdır.
(Bitiyorsa) ; Seçilen kolon verisinin, verilen değer ile bitmesi durumu. Büyük küçük
harf duyarlıdır.
(Başlıyorsa, liste) ; Seçilen kolon verisinin, verilen Değer listesi elemanlarından
herhangi biri ile başlaması durumu. Büyük küçük harf duyarlıdır.
(Bitiyorsa, liste) ; Seçilen kolon verisinin, verilen Değer listesi elemanlarından
herhangi biri ile bitmesi durumu. Büyük küçük harf duyarlıdır.
(Başlamıyorsa, liste) ; Seçilen kolon verisinin, verilen Değer listesi elemanlarından
herhangi biri ile başlamaması durumu. Büyük küçük harf duyarlıdır.
(Bitmiyorsa, liste) ; Seçilen kolon verisinin, verilen Değer listesi elemanlarından
herhangi biri ile bitmemesi durumu. Büyük küçük harf duyarlıdır.
Örnek: subtype değeri denied olan, src_ip değeri 192.168.2.51 ya da 192. 168.15.6
olan log kayıtlarını getirmek için aşağıdaki koşullar yapılır.
Resim 17 - Arama Şartları
11. Sorgu şartları kaydedilmek istenirse butonu kullanılır.
12. Kayıtlı sorgu şartlarını getirmek için butonu kullanılır. Önceden kayıtlı sorgu
şartları buradan seçilerek, kaydedilmiş filreler getirilmiş olur.
21
Resim 18 - Kayıtlı Sorgu Şartları
13. Kayıtlı sorgu şartlarını silmek için butonu kullanılır.
14. Herhangi bir arama koşulunu silmek, o koşul seçilir ve klavyeden “Delete”, “Del”
tuşuna basılır.
2.2. Gelişmiş Arama
Cryptolog ile arama yaparken pluginlerin sütunları eşleştirilebilir. Örneğin dhcp loglarında ip
dağıtılan MAC adresi ile firewall loglarından gelen MAC adreslerini eşleştirerek görmek için
Gelişmiş Arama kullanılır. Bunun için aşağıdaki işlemler sırası ile yapılır. Gelişmiş aramada amaç
en fazla üç adet log kaynağından belirtilecek log kaynaklarını eşlemektir.
1. Cryptolog Client üzerinde Formlar / Gelişmiş Arama seçilir.
22
2. Gelen ekranda butonuna basarak yeni bir Gelişmiş Arama tanımı yapılır.
3. Gelen ekranda eşleştirilecek sütun ve şart koşulları girilmelidir.
Resim 19 - Gelişmiş Arama
Sorgu Adı; Gelişmiş arama bu isimle kaydedilecektir. Daha sonra aynı sorgu adı
seçilerek gelişmiş arama yapılabilir.
Plugin (p1); Eşleştirme yapılacak 1. log kaynağı
Plugin (p2); Eşleştirme yapılacak 2. log kaynağı
Plugin (p3); Eşleştirme yapılacak 3. log kaynağı
Maks. Satır Sayısı; Her log kaynağı için satır sayısı ayrı tanımlanır. Bu sayıda log
satırı gösterilir.
Log Satırını Göster; İşaretlenirse log satırın tamamı ekranda çıkar.
23
Şartlar; Sütunlar arası eşleştirme burada yapılır. Kolon ile bir değer eşleştirmek
istenirse Kolon ve Değer verileri seçilir. İki kolon arası eşleştirme yapılmak istenirse
Kolon ve Değer(Kolon) verileri seçilir. Kolon ve Değer(Kolon) verileri, üst kısımda
seçilen log kaynaklarının sütunlarından oluşur. Operatör değeri “=” ve “in”
değerlerinden oluşur. “=”, birebir eşleşme, “in” içinde geçen değerle eşleşme için
kullanılır.
4. Kaydet seçilir ve aşağıdaki uyarı ekrana gelir.
5. Tamam seçilir.
6. Arama butonuna basılır ve sonuçlar gelir.
24
Resim 20 - Gelişmiş Arama Sonuçları
25
3. İstatistik ve Raporlar
Bu bölümde Cryptolog ile toplanan loglar üzerinden İstatistik ve Rapor üretme ayrıntılı olarak
anlatılacaktır. Cryptolog, kayıtların sayısına, şart koşullarına göre İstatistik ve Rapor
üretebilmektedir. İstatistik ile Rapor arasındaki farklar aşağıda tabloda verilmiştir.
İSTATİSTİK RAPOR
“En Çok … Verileri” Üretir. ÖRNEK: Juniper’da en çok trafik yapan
20 kaynak ip Exchange’de en çok mail
gönderen 10 kullanıcı
Planlanmış Zamanlarda Çalışan, istenen sütunların verisini üretir. ÖRNEK: Her gün saat 00.40 ta Windows
Event Security ‘de başarısız giriş kayıtları
Tek Plugin’e özgüdür
Bir ve/veya Birden Fazla Plugin üzerinden rapor üretilebilir. Plugin sütunları arası ilişkilendirme yapılabilir.
Manuel olarak sistem yöneticisi tarafından oluşturulur.
Tanımlanan plan zamanlarında sistem tarafından üretilir
PDF, XLS, DOC, CSV formatlarını destekler
Sadece PDF formatını destekler
Mail ile gönderilemez Mail olarak gönderilebilir.
Tablo - İstatistik/Rapor Karşılaştırma 1
3.1. İstatistik Raporlar
Cryptolog bazı pluginler için öntanımlı olarak istatistik raporlarını eklemiştir. Örneğin, Exchange
Plugininde “en çok mail gönderen 10 kullanıcı”, URL Collector Plugininde “en çok erişilen 10 web
sitesi” gibi. Cryptolog yöneticisi özel istatistik raporları oluşturmak isterse 2.1.1 bölümünü
uygulamak zorundadır. Daha sonra bu istatiksel raporları 2.12 bölümü ile görüntüleyebilir.
3.1.1. İstatistik Raporları Üretme
1. Tanımlanan plugine istatistik eklemek için Formlar / Plugin açılır. Plugin üzerine
fare ile sağ tıklanır ve İstatistik Ekle seçilir.
26
Resim 21 - Plugin'e İstatistik Ekleme
2. Gelen ekranda gerekli bilgiler girilir.
27
Resim 22 - İstatistik Ekleme Formu
Adı; İstatistik için bir isim tanımlamak için kullanılır.
Kolon; İstatistik tutulacak sütunu tanımlamak için kullanılır. Seçilen sütun içindeki
verileri sayarak sıralama yapar.
Toplam Kolonu; Burada seçilen sütun değeri toplanabilir (sayı) olmalıdır. Seçilen
sütun verisinin toplamını elde ederek istatiksel veri üretmek için kullanılır. Örneğin;
toplamda mail boyutu en fazla olarak mail gönderen 20 kullanıcı için, Kolon; User,
Toplam Kolon; Length olmalıdır.
Maks. İstatistik Sayısı; Listelenecek veri sayısını tanımlamak için kullanılır,
Şartlar; Özel olarak sağlanması gereken koşulları tanımlamak için kullanılır.
3. Kaydet seçilir.
4. Plugin altında istatistik görülür ve değerleri Cryptolog’a göndermek için kaydet
butonuna basılır.
28
5. Sonraki ekran değişiklikleri Cryptolog’a göndermek ve yeniden başlatmak içindir.
6. Evet, seçilerek işlem tamamlanır.
7. İstatistik Raporları Cryptolog’un 30 dakikada bir çalıştırdığı modüldür. Bu sebeple
eklenen istatistik, plugin için tanımlandıktan sonra gelen loglar için üretilecektir.
3.1.2. İstatistik Raporları İnceleme
İstatistikler tanımlandıktan sonraki 30 dakikalık zaman dilimi için Cryptolog verileri saymaya
ve istatistik bilgilerini çıkarmaya başlar. Bu değerler hesaplandıktan sonra istatiksel raporlar
incelenmeye başlanabilir.
1. CryptologClient üzerinde Formlar / İstatistik Raporlar seçilir.
29
Resim 23 - İstatistiksel Raporlar
İstatistik; Tanımlanan istatistik şablonları açılır menüden seçilir.
Sadece aktif olanları göster; İşaretlenirse sadece aktif olan pluginlere ait istatistik
bilgiler, açılır menüde görünür.
Eski istatistikleri göster; İşaretlenirse eskiden oluşturulmuş olan daha sonra silinen
pluginlere ait istatistik bilgileri, açılır menüde görünür. İstatistik verileri Cryptologun
kendi veritabanında tutulduğu için, pluginler silinse de istatistik verileri saklanmaya
devam eder.
Gruplama; Günlük, Aylık ve Toplam sayı cinsinden istatistik çıkarır.
Tarih Aralığı; Gruplama çeşidine göre Tarih aralığı tanımlamak için kullanılır
Veri Tarihleri; Gruplama aylık seçilirse, istatistik tutulan ayların isimleri bu kısımda
görülür.
Kayıt Sayısı; İstatistik tutulacak kayıt sayısı.
2. Bu istatistik sonucunu Rapor olarak dışarı aktarmak için butonuna basılır.
3. X değeri: İstatistik tutulan veriyi, Y değeri: Bu verinin kaç adet oluştuğunu gösterir.
30
3.2. Anlık İstatistik
Cryptolog her hangi bir zaman aralığı için istenilen plugin ve detayda analiz ve raporlama imkânı
sunmaktadır. Anlık İstatistik modülü, istatistik raporlardan farklı olarak istenilen bir zaman
aralığında çalışabilir ve plugin üzerine tanımlı olan istatistik sayaçlarından bağımsız olarak
istenilen alan üzerinden analizler yapılmasını sağlar. Cryptolog üzerinde bir defalık istatistik
oluşturmak için bu kısım kullanılır. Verilen tarih aralıklarında, istenen pluginin istatistik değerleri
Anlık İstatistik üzerinden üretilir.
1. Formlar / Anlık İstatistik seçilir.
2. Gelen ekranda, Anlık İstatistik sayfasının özellikleri girilir. Bu özelliklerin detaylı
açıklaması aşağıda verilmiştir.
Plugin; İstatistik üretilmesi istenen pluginin seçilmesi için kullanılır.
Tarih Aralığı; İstatistik verisi seçilen tarih aralığındaki loglar üzerinden üretilecektir.
Kolon; İstatistik tutulacak sütunu tanımlamak için kullanılır. Seçilen sütun içindeki
verileri sayarak sıralama yapar.
Toplam Kolonu; Burada seçilen sütun değeri toplanabilir (sayı) olmalıdır. Seçilen sütun
verisinin toplamını elde ederek istatiksel veri üretmek için kullanılır. Örneğin; toplamda
mail boyutu en fazla olarak mail gönderen 20 kullanıcı için, Kolon; User, Toplam Kolon;
Length olmalıdır.
Adet; Listelenecek veri sayısını tanımlamak için kullanılır.
Tek İstatistik Oluştur; İşaretlenmezse istatiksel veriler 30 dakikalık zaman dilimleri
halinde gösterilir. İşaretlenirse bütün verilerden oluşan istatistik raporları oluşturulur.
İşaretlenmediğinde istatistik rapor üretme sonucunda, İstatistik tarih aralığında
31
aşağıdaki gibi çıktı oluşur. Buna göre istenen 30 dakikalık zaman aralığı seçilerek
görüntülenebilir.
Şartlar; Anlık istatistikte 3 adet şart eklenebilir. İstatistiksel raporlar, koşulların
sağlandığı veriler üzerinden üretilecektir. Pluginin ilgili sütununun değerinin eşit,
içerisinde, liste içerisinde olma ya da olmama koşullarını sağlayacak veriler eklenebilir.
Resim 24 - Anlık İstatistik Şartları
3. Anlık İstatiksel Raporları üretmek için butonuna basılır.
32
4. İstatistik Sonucunda aşağıdaki gibi ekran ve grafik gelecektir karşımıza. Bu ekranda sol
paneldeki X değeri, seçtiğimiz sütun verileri; Y değeri seçilen veriden kaç adet
oluştuğunu gösterir. Sağ paneldeki kısım ise bu verilerin grafiğe dökülmüş halidir.
Resim 25 - Anlık İstatistik Sonuçları
5. Bu Anlık İstatistik verisini, rapor olarak dışarı aktarmak için butonuna basılır.
6. Ekrana gelen Formdan istenen değerler girilip Rapor butonuna basılır.
Rapor Tipi, çıkarılan raporun türünü belirler. PDF, XLS, DOC, CSV seçilebilir.
33
Kapak Sayfası, CryptoLog’a ait logo, tarih bilgilerinin bulunduğu kapak sayfasını
ekler.
Sayfa Boyutu, A4 veya A3 boyutunda sayfalar üretilebilir.
Yön, Yatay veya Dikey yönde sayfalar üretilebilir.
Rapor Sayfası, Tümü işaretlenirse arama sonucunun tamamı, Seçili işaretlenirse
arama sonucunda seçili satır ve sütunların raporlanmasını sağlar.
Kolonları Düzenle, Anlık İstatistik kısım için aktif değildir. Kullanılamaz.
7. Raporların kaydedilmesi için Windows ara yüzü gelir.
8. Raporu açmak için gelen uyarı mesajı.
34
3.3. Raporlar
Cryptolog Rapor Modülü, tanımlanan kriterler çevresinde, istenen plugin ve/veya pluginlerin,
istenen sütunlarının, istenen koşullar sağlanması doğrultusunda düzenli olarak rapor üretilmesini
sağlar. Rapor oluştururken sırası ile Şablon ve Çalışma Planı yapılır ve Rapor Yöneticisinden
üretilen raporlar, görüntülenebilir, indirilebilir ya mail yoluyla iletilebilir
3.3.1. Rapor Şablonları
Rapor Şablonları, raporlarda görüntülenmek istenen pluginin seçildiği, sütunlarının
tanımlandığı kısımdır. Raporu oluşturacak verileri bu kısımda belirtilir.
1. Cryptolog Client üzerinde Rapor / Rapor Şablonları seçilir.
2. Yeni bir Rapor Şablonu oluşturmak için butonuna basılır.
Resim 26 - Rapor Şablonları
35
3. Aşağıda gelen Rapor Şablonu oluşturma ekranında istenen değerler seçilmelidir.
Rapor Oluşturma ekranın özellikleri aşağıda açıklanmıştır.
Resim 27 - Yeni Rapor Şablonu Ekleme Formu
Şablon Adı; Üretilecek Rapora şablon ismi vermek için kullanılır.
Plugin; Raporun hangi plugin üzerinden üretileceğini tanımlamak için kullanılır.
Rapor (Sorgu) Başlığı; Rapora alt başlık vermek için kullanılır.
Adı; O satırdaki Kolon Adının, Raporda görüntüleneceği şekilde tanımlama burada
yapılır.
Seçim Kolonu; İşaretlenen sütunların rapora eklenmesini sağlar.
Sıralama Kolonu; İşaretlenen sütunlar üzerinden sıralama yapılmasını sağlar.
Sıra No; Burada verilen sayı değerleri sırasında raporda tablo sütunları oluşur. 1, 2, 3,
sıra numaralı sütunlardan oluşan rapordaki tabloda ilk önce 1 numaralı sütun, daha
sonra sırasıyla 2, 3, 4 numaralı sütunlar listelenir.
Şart Kolonu; İşaretlenen şart sütunlarının kıyaslama yapmasını sağlar.
36
Değer; Şart kolonu işaretlenen satırların kıyaslanacağı verinin girilmesi için kullanılır.
Tüm seçilen kolonlara göre grupla; Şart kolonu işaretlenen satırların
kıyaslanacağı verinin girilmesi için kullanılır.
4. Rapor Şablonunu sihirbaz ile oluşturmak için butonuna basılır.
4. Sonraki butonuna tıklanarak yeni rapor şablon üretme arayüzüne geçilir.
37
5. Şablon adı tanımlandıktan sonra Sorgu Tipi seçilir. Tablo sorgusu sadece verilerin
Tablolar halinde gösterileceğini belirtir. Grup sorgusunda verilen kolonlara göre
gruplama, sayma, toplama, ortalama değer alma gibi işlemler tanımlanabilir. Bu
tanımlamalara göre Grafikler üretilir ve Rapor’a eklenir.
i. Tablo Sorgusu Seçilirse
ii. Grup Sorgusu Seçilirse
38
6. Sorgu tipi seçildikten sonra, Sorgu detayları tanımlaması yapılır. Bu formda hangi
eklenti üzerinden rapor oluşturulacağı, Rapor Sorgu adı ve Maksimum Kayıt Sayısı
belirtilecektir.
7. Grup kolonları istatistik üretilecek verilerin seçimi için kullanılır. Grafikler bu veriler
üzerinden oluşturulur.
39
8. Grup Kolonları seçildikten sonra, kolon genişlikleri, sıra ve sıralama yönünü ayarlama
ekranı gelir. Bu form üzerinden fare ile kolonun genişliği sütun aralarındaki çizgini
sağa sola çekilmesi ile düzenlenir. Kolonların hangi sırada gösterileceğini yine fare ile
sürükle bırak yöntemi ile yapılabilir.
9. Sonraki butonuna basılarak Rapor Şablonu tamamlama formuna geçilir. Bu kısımda
Şablon’a bir çalışma planı tanımlanması için Evet seçilerek devam edilir. Rapor
Çalışma Planı bir sonraki bölümde anlatılacaktır.
40
3.3.2. Rapor Çalışma Planı
Rapor çalışma planı, daha önce oluşturulan Rapor Şablonlarının hangi zamanlarda
üretileceğinin ayarlandığı modüldür. Bu kısımda Raporların çalışma tarihleri atanarak, plan
oluşturulur.
1. Cryptolog Client üzerinden Rapor / Rapor Çalışma Planı seçilir.
2. Gelen ekranda butonuna basılarak yeni bir Rapor Çalışma Planı oluşturulur.
3. Aşağıdaki ekran Rapor Çalışma Planı Düzenleme ekranıdır. Burada verilen
parametreler detaylı olarak açıklanmıştır.
Resim 28 - Rapor Çalışma Planı Düzenleme Formu
Rapor Adı; Rapor için isim tanımlamak için kullanılır.
41
Rapor Şablonu; Daha önce tanımlanan Rapor Şablonları’nı seçmek için kullanılır.
Aktif; İşaretlenirse aktif olarak rapor üretimi başlatılır.
Çalışma Planı Sekmesi
Tarih Aralığı; Raporun üretileceği tarih aralığını seçmek için kullanılır.
Saat; Raporun üretileceği saati seçmek için kullanılır.
Planlama Tipi; Seçilen türe göre zamanlama değişir. Seçenekler; Bir kez, Günlük,
Haftalık, Aylık (bir gün), Aylık (rölatif)
Bir kez seçilirse; ile verilen tarihte bir
kez rapor üretir.
Günlük seçilirse; verilen tarih aralığında her gün rapor üretir.
Haftalık seçilirse;
ile verilen günlerde rapor üretir.
Aylık (bir gün) seçilirse; ile verilen günde rapor üretir.
Aylık (rölatif) seçilirse; ile
verilen günde rapor üretir.
Parametreler Sekmesi
42
Tarih tipi; Rölatif seçilirse, göreceli olarak verilen süre dilimine ait Rapor
oluşturulur. Normal seçilirse, tanımlanan tarih aralığı için Rapor üretilir.
Hash/Imza Tarihi; Logların toplandığı ve imzalandığı tarih verileri üzerinden Rapor
oluşturulur.
Gerçek Log Tarihi; Toplanan kayıtların içindeki tarih verileri üzerinden Rapor
oluşturulur.
Sayfa Yapısı Sekmesi
Rapor Tipi, çıkarılan raporun türünü belirler. PDF, XLS, DOC, CSV seçilebilir.
Kapak Sayfası, CryptoLog’a ait logo, tarih bilgilerinin bulunduğu kapak sayfasını
ekler.
Sayfa Boyutu, A4 veya A3 boyutunda sayfalar üretilebilir.
Yön, Yatay veya Dikey yönde sayfalar üretilebilir.
E-Posta Sekmesi
43
E-posta Ayarları; Sistem uyarıları bölümünde anlatılmıştır.
E-posta Adresi; Alıcı kişinin e-posta adresi veya adresleri için kullanılır.
Tamamlandığında E-posta Gönder; Raporun üretildiğine dair alıcı kişiye ileti
göndermek için işaretlenir.
Hata Oluştuğunda E-posta Gönder; Raporun üretilirken hata oluşursa, bu konu ile
ilgiliyi iletiyi alıcı kişiye göndermek için işaretlenir.
E-Postaya Rapor Dosyasını Ekle; Raporu e-postaya eklemek için işaretlenir.
4. Kaydet seçilir ve Rapor Çalışma Planı oluşturulmuş olur.
5. Rapor çalışma planı sekmesinde sol panelde planlar listelenir. Düzenlenmek istenen
Çalışma Planı seçilir ve butonuna basılır.
6. Çalışma planını silmek için butonuna, o an çalıştırıp rapor üretmek için
butonuna basılır.
44
7. Kaydet seçilir.
3.3.3. Rapor Yöneticisi
Rapor Yöneticisi, oluşturulan raporların izlenmesi için oluşturulmuş modüldür. Bu kısımda
üretilmiş raporu gözlemleme (başlangıç tarihi, bitiş tarihi, dosya tipi, boyutu), indirme, rapor
tarihçesine bakma(hangi kaynaklardan veri aldığı) ve silme işlemleri yapılır.
1. Cryptolog Client üzerinde Rapor / Rapor Yöneticisi seçilir.
2. Gelen ekranda bu zamana kadar üretilmiş raporları görebilirsiniz.
45
Resim 29 - Rapor Yöneticisi Ekranı
3. Belirli tarihten sonrakileri filtrelemek için Takvimden bir tarih seçilir.
4. Formu yenilemek için butonuna, seçilen raporu indirmek için butonuna,
seçilen raporu silmek için butonuna basılır.
5. Raporun tarihçesini görmek için butonuna basılır. Bu sayfada raporun başladığı
bittiği, log işlediği dosyalar ve işlem tarihleri görülebilir.
Resim 30 - Rapor Tarihçesi
46
6. Çalıştırılacak Raporlar panelinde, Cryptolog’un bundan sonra üreteceği raporlar
görülebilir.
4. Sistem Analizleri
Cryptolog üzerinden, log toplanılan sistemlerin log durumlarını, akışlarını anlık olarak analiz edilebilir.
Üretilen grafiklerle log sayıları ile sunucuların tutarlılıkları kontrol edilebilir.
4.1. Log Durumu
Log Durumu ekranında toplanan tüm logların adet bazında grafikleri gösterilir. Bu veriler sistem
tarafından saatlik olarak tutulur. Ekran üzerinde ise günlük ve aylık olarak gruplanması
sağlanabilir. Ayrıca toplam, log kaynağı ve/veya plugin bazında hangi grafiklerin birlikte alınacağı
seçilebilir ve rapor olarak ta basılması sağlanabilir. Böylece sistemin ne kadar log topladığı
incelenebilir. Sırasıyla aşağıdaki işlemler yapılarak log durumu gözetlenebilir.
1. CryptologClient üzerinden Formlar / Log Durumu seçilir.
2. Gelen ekranda Log Durumu için istenen parametreler aşağıda detaylı olarak anlatılmıştır.
47
Resim 31 - Log Durumu Ekranı
Gruplama; Log durumunun zaman dilimini seçmek için kullanılır. Yok, işaretlenirse
sadece o güne ait; Günlük işaretlenirse Tarih Aralığı zaman diliminde her güne ait, Aylık
işaretlenirse o aya ait log durumunu ve grafiğini üretir.
Tarih Aralığı; Zaman dilimini seçmek için kullanılır.
Log kaynakları ve Pluginler; Plugin ya da Log kaynaklarını seçmek için kullanılır.
Birden fazla seçenek işaretlenebilir. Toplam işaretlenirse o zaman dilimindeki toplam log
durumu üretilir.
Eskileri Göster; Daha önce kullanılmış, şu an aktif olmayan pluginler göstermek için
kullanılır. Bu pluginlerin geçmişe ait log durumunu görmek için bu seçenek işaretlenir.
3. Log durumunu kontrol etmek için butonuna basılır. Aşağıdaki ekranda sonuç
gözükmektedir.
48
Resim 32 - Log Durumu Sonuçları
4. Bu log durumu sonucunu Rapor olarak dışarı aktarmak için butonuna basılır.
5. Ekrana gelen Formdan istenen değerler girilip Rapor butonuna basılır.
49
Rapor Tipi, çıkarılan raporun türünü belirler. PDF, XLS, DOC, CSV seçilebilir.
Kapak Sayfası, CryptoLog’a ait logo, tarih bilgilerinin bulunduğu kapak sayfasını ekler.
Sayfa Boyutu, A4 veya A3 boyutunda sayfalar üretilebilir.
Yön, Yatay veya Dikey yönde sayfalar üretilebilir.
Rapor Sayfası, Tümü işaretlenirse arama sonucunun tamamı, Seçili işaretlenirse arama
sonucunda seçili satır ve sütunların raporlanmasını sağlar.
Kolonları Düzenle, istenen sütunları görünürlüğünü, sırasını ve genişliğinin
ayarlanmasını sağlar.
6. Raporların kaydedilmesi için Windows ara yüzü gelir.
50
7. Raporu açmak için gelen uyarı mesajı. Evet seçilerek Rapor açılır.
4.2. Sistem Durumu
Sistem durumu ekranında saniye bazında sistemin topladığı logların durumu görülebilmektedir.
Burada toplam, log kaynağı, plugin, deyim bazında grafikler seçilebilmektedir. Ayrıca gelen
loglardan örnekler de incelenebilmektedir.
1. CryptologClient üzerinden Formlar / Sistem Durumu seçilir.
51
2. Gelen ekranda sistem durumlarını izlemek için istenen pluginler seçilir. Toplam seçilirse
bütün log satır sayıları hesaplanır. Butonuna basıldığında sistem izlenmeye başlanır,
anlık olarak kayıt sayılarına göre grafik üretilir. Grafik tipinden Çizgi, Nokta ya da SP Çizgi
seçilebilir.
Resim 33 - Sistem Durumu Ekranı
3. İzlemeyi durdurma için butonuna basılır.
4.3. Disk Kullanımı
Disk kullanımı, Cryptolog üzerine toplanan logların, plugin bazında sunucu üzerinde ne kadar alan
kullandıklarını gösteren modüldür. Cryptolog üzerindeki logların maksimum 1 aylık zaman
dilimine ait boyutlarını kullanıcıya grafik halinde sunar. Bu modül sayesinde kullanıcının kendi
sistemi üzerine yapacağı tahminler kolaylaşır.
1. CryptologClient üzerinden Formlar / Disk Kullanımı seçilir.
52
2. Gelen ekranda disk kullanımını görmek için istenen pluginler seçilir. Verilen Tarih aralığı
en fazla 1 ay olmalıdır. 1 ay içerisinde seçilen loglar için toplanan logların disk üzerinde
ne kadar log toplandığını görmek için butonuna basılır. Sıkıştırılmış işaretlenirse,
seçilen pluginlerin sıkıştırılmış dosyalarının da boyutları grafiğe eklenir. Grafik
DiskBoyutu – Zaman grafiğidir. Grafik tipinden Yığın, Kolon ya da Çizgi seçilebilir.
Resim 34 - Disk Kullanımı
53
5. Sistem Uyarıları
Sistem uyarıları ekranında sunucu programın ne zaman açılıp kapandığı ve sistemin ürettiği uyarı
mesajları takip edilebilmektedir. Sistemin sağlıklı çalışması açısından buradaki mesajları takip etmek
çok önemlidir. Bu ekranda pluginler için log gelip gelmediği, kullanıcı tanımlı uyarılar ve kritik hatalar
listelenmektedir. Böylece sistemde oluşan hatalara erken müdahale edilebilir.
1. CryptologClient üzerinde Formlar / Sistem Uyarıları seçilir.
2. Gelen ekran üzerinde sistemin ürettiği uyarı kayıtları görüntülenecektir.
Resim 35 - Sistem Uyarıları
54
Uyarı Tipi; Hepsi, Bilgi, Uyarı, Kritik, Kullanıcı tipindeki uyarıları filtrelemek için
kullanılır.
Başlangıç Tarihi; Uyarıların oluştuğu tarihin başlangıcını filtrelemek için kullanılır.
Bitiş Tarihi; Uyarıların oluştuğu tarihin bitişini filtrelemek için kullanılır.
Kayıt Sayısı; Gösterilecek kayıt sayısını tanımlamak için kullanılır.
3. Uyarı kayıtları üzerinde işlem yaparken sağdaki butonlar kullanılır.
- Kayıt formunu yenilemek için kullanılır.
- İlgili kayıt satırını Çözüldü olarak işaretlemek için kullanılır.
- İlgili kayıt satırını silmek için kullanılır.
4. Cryptolog üzerinde, Sistem Uyarıları elektronik posta ile ilgili kişiye gönderilebilir.
Resim 36 - Uyarı Eposta Ayarları
Uyarıları E-posta olarak gönder; sistem uyarılarını e-posta ile göndermek için
işaretlenmelidir.
Uyarı Tipi; hangi türde uyarıların gönderileceğinin tanımlandığı kısım.
55
E-Posta Sunucu / Port; Zorunlu alandır. Burada E-posta sunucusu ve gönderilecek port
tanımlanmalıdır.
Gönderen; Zorunlu alandır. Burada gönderen hesap için e-posta adresi girilmelidir.
Cryptolog için e-posta hesabı açılması tavsiye edilir.
Alıcı; Zorunlu alandır. Burada alıcı için e-posta adresi girilmelidir.
Kullanıcı Adı; Gönderen hesap için e-posta kullanıcı adı girilmelidir.
Şifre; Gönderen hesap için e-posta şifresi girilmelidir.
Sunucudan test mesajı gönder linkine tıklanarak uyarı eposta hesabının testi
yapılabilir.
56
6. Depo
Depo modulü CryptoLog bileşenlerinin sunucu tarafında yönetimi için kullanılır. Bileşenleri; Log
Kaynağı, Plugin, Deyim, Korelasyon Kategori vb. önceden oluşturulmuş nesneler olarak sıralayabilliriz.
Bu nesneleri daha sonra kullanmak üzere depodan çağırabiliriz.
6.1. Depo Genel Özellikler
Depo seçeneği altında bulunan nesneler üzerinde yapılabilecek işlemler aşağıda anlatılmıştır.
1. Cryptolog Client üzerinde Formlar / Depo seçilir.
2. Gelen ekrandaki, Tip alanından görüntülemek istediğimiz nesneyi seçebiliriz.
57
Resim 37 - CryptoLog Depo
Log Kaynağı, Log toplanan sistemin genel kaynak detaylarını kaydetmek için seçilir.
Plugin, Plugin yapısının (deyim, istatistik, normalizasyon yapısı ile birlikte) detaylarını
kaydetmek için kullanılır.
Deyim, içerisindeki (regex,code,ayıraç ya da sorgu) detaylarının kaydedilmesi için
kullanılır.
Korelasyon Plugin, korelasyon kullarını içeren bileşen.
Korelasyon Kategori, korelasyon kurallarındaki plugin altkimlik numarasına göre
yapılan kategorizasyon bileşeni.
Log Kaynağı ( Ajan ), Ajan üzerinde log toplanan sistemin genel kaynak detaylarını
kaydetmek için seçilir.
Yedek Plugin ( Ajan ), Ajan plugin yapısının detaylarını kaydetmek için seçilir.
Yedek Konfigürasyon (Ajan ), Ajan konfigurasyon detaylarını (log göndereceği ve
yönetileceği cryptolog sunucusu, port bilgileri) kaydetmek için kullanılır.
Sorgu, Gelişmiş aramalar sorgu bileşeni.
Rapor Şablonu, Rapor sorgularından oluşan bileşen. Örn: Exchange günlük istatistik
raporlar. Bir rapor şablonu en az bir rapor sorgusundan oluşur.
Rapor Sorgusu, Rapor sorgu bileşeni. Rapor şablonu içerisinde log kaynağından hangi
türde rapor çıkarılacağını ifade eder. Örn: Exchange günlük en çok mail gönderen 10 kişi.
Rapor Paketi, Rapor şablonu ile Plugin bileşeninin ilişkilendirildiği nesne.
Kod Tablosu, Rapor şablonlarındaki ilgili kolon satırına karşılık gelecek değer bileşeni.
Yedek Plugin, CryptoLog Sunucusunun otomatik olarak aldığı Plugin yedeğini içerir. Log
kaynağı ile birlikte tüm yapıyı içerir.
Yedek Korelasyon Plugin, CryptoLog Sunucusunun otomatik olarak aldığı Korelasyon
Plugin yedeğini içerir.
58
Yedek Konfigürasyon, CryptoLog Sunucusunun otomatik olarak aldığı Konfigürasyon
yedeğini içerir. Ayarlar / CryptoLog Konfigürasyon detaylarının bulunduğu bileşendir.
Yedek Kategori, CryptoLog Sunucusunun otomatik olarak aldığı korelasyon kategori
yedeğini içerir.
3. Depoda ekli tüm pluginler görüntülenmektedir.
Resim 38 - Plugin Deposu
4. butonları sırasıyla, “Seçili nesne üzerinde arama yapmak” ,
“Depoya dışarından nesne eklemek”, “Depodaki nesneleri dışarıya aktarmak”, “Webten
depoya nesne eklemek” ve son olarak “Seçili nesneyi silmek” için kullanılır.
4.1. Depo içerisinde arama yapmak için, “Ara” kısmına aranacak olan kelime yazılır. Ardından
butonuyla tüm nesneler listelenir. Aşağıdaki resimde Dhcp pluginleri listelenmiştir.
59
4.2. Depoya dışarıdan nesne eklemek için; Öncelikle butonuyla dosya seçilir. Nesne adı
girildikten sonra “Kaydet” seçeneğiyle depoya nesne eklenmiş olur.
Resim 39 - Depoya Ekleme
4.3. Depoya update.crypttech.com üzerinden nesne eklemek için; butonuyla tüm
nesneler internetten çekilerek listelenir. butonuyla istediğimiz nesnenin ismini
60
yazarak arama yapabiliriz. Listelenen nesnelerden işaretleme yaparak “Tamam”
seçeneğiyle depoya ekleriz.
Resim 40 - Web Deposu
5. Ekranın alt kısımda, seçili nesne ile alakalı detay bilgiler görüntülenmektedir.
61
6.2. Depodan Al
1. Plugin Tanım ekranında, plugin üzerine gelip depodan deyim ekleyebiliriz. Bunun için
“Depodan Al” seçeneği seçilir.
2. Depodan Nesne Al Ekranı’nda; butonuyla depodaki deyimler içerisinden arama
yaparak, ihtiyacımız olan deyime ulaşabiliriz. Deyimi seçtikten sonra butonuyla
depoya ekleriz.
62
Resim 41 - Depodan Alma
3. Eklenen Deyim seçili plugin altında şu şekilde görünecektir;
6.3. Depoya Ekle
Plugin Tanım ekranında, “Depoya Ekle” seçeneği ile tanımlamış olduğumuz nesneyi depoya
ekleyebiliriz.
1. Aşağıda, CheckPoint Firewall, Log Kaynağı olarak depoya eklenmiştir.
63
2. “Depoya Nesne Ekle” ekranında, Adı alanı girildikten sonra “Kaydet”
butonuylaCheckPoint, Log kaynağı olarak depoya eklenmiş olur.“Tüm Yapıyı Ekle”
seçilmiş olursa Log kaynağı içerisinde var olan plugin, deyim, istatistik vb. nesnelerle
birlikte kaydedilir. Tüm yapıyı ekleme seçeneği, bağlı bulunan bileşen varsa bu nesnenin
tamamıyla birlikte eklemek için kullanılır.
64
7. Ajan Yönetimi
Cryptolog Client yazılımı ile ajan kurulabilir ve yönetilebilir. Ajanın üzerinde bulunan log kaynakları
üzerinde düzenlemeler yapılabilir.
7.1. Ajan Kurulumu
CryptologClient üzerinden uzak makineler CryptologAgent uygulaması kurulabilir. CryptoLog
Agent sadece windows işletim sistemlerinde çalışır. Bu özelliğin kullanılabilmesi için Program Files
/ CryptoLog Client dizininde CryptoLogAgentSetup.msi dosyasının bulunması gerekmektedir.
Uzak Bilgisayar Ajan kurulumu ve kaldırma işlemlerinin çalışabilmesi için de Uzak Bilgisayarda RPC
(Remote Procedure Call) ve WMI (Windows Management Instrumentation) servislerinin kurulu
ve çalışıyor olması gerekmektedir. Ayrıca bu sunucularda .NET Framework 3.5 SP1 ve/veya üstü
kurulu olması gerekmektedir.
1. CryptologClient ile Ayarlar / Ajan Kurulumu arayüzüne erişilir.
Ajan Uzaktan Kurulum Gereksinimler
CryptoLogClient yüklü bilgisayarda
ProgramFiles/CryptologClient/CryptoLogAgentSetup.msi
Windows İşletim Sistemi Uzak Bilgisayar (2000, XP, Server 20003, Vista, 7)
Çalışan RPC ve WMI servis (Hedef Bilgisayarda)
.NET Framework 3.5 SP1 ve/veya üstü (Hedef Bilgisayarda)
Yönetici yetkisinde bir kullanıcı hesabı (Hedef Bilgisayarda)
65
2. Gelen ekranda Ajan Yüklemek için butonu, yüklenmiş ajanı kaldırmak için
butonu kullanılır.
3. Ajan kurulacak ya da kaldırılacak hedef bilgisayarın ayarları gelen formda girilir.
Hedef Bilgisayar; Zorunlu alandır. Ajan kurulacak bilgisayarın IP adresi girilir.
Kullanıcı Adı; Hedef bilgisayarda kurulum yetkisi olan hesabın kullanıcı adı.
Şifre; Hedef bilgisayarda kurulum yetkisi olan hesabın şifresi.
Etki Alanı; Hedef bilgisayarda kurulum yetkisi olan hesabın etki alanı (domain).
4. Ayarlar girilip “Yükle” butonuna basıldıktan sonra aşağıdaki bilgilendirme detayları
gelecektir.
Resim 42 - Uzaktan Ajan Yükleme
66
Resim 43 - Uzaktan Ajan Yükleme Başarılı
Resim 44 - Uzak Ajan Kaldırma
67
Resim 45 - Uzak Ajan Kaldırma Başarılı
5. Çoklu olarak birçok uzak bilgisayara ajan kurmak ya da kaldırmak için Hedef Bilgisayar
metin alanına “;” ile ayrılmış ip adresleri ya da domain adları girilibilir veya
butonu kullanılır. Hedef Bilgisayarlar formunda ağda bulunmuş bilgisayarlar
listelendikten sonra seçilebilir.
68
Resim 46 - Ajan Uzaktan Çoklu Bilgisayarlardan Kaldırma
6. Ajanı uzaktan kurarken ya da kaldırırken aşağıdaki hatalardan biriyle karşılaşılabilir.
Ajan Uzaktan Kurulum Gereksinimler yerine getirilirse bu hatalar alınmayacaktır.
69
7. Hata sonuçları Kapatılır ya da İşlem Tekrar Denenir.
7.2. Ajan Görev Yönetimi
CryptologClient üzerinde uzak makinelere kurulmuş ajanları yönetmek mümkündür. Ajan
konfigürasyonu uzaktan değiştirilebilir, ajan log dosyaları kontrol edilebilir, ajanlara yeni log
kaynakları tanımlanabilir.
1. CryptologClient üzerinden Ayarlar / Ajan Görev Yönetimi arayüzüne erişilir.
2. Bu ekranda Cryptolog'a bağlı ajanlar sol panelde listelenir.
70
Resim 47 - Ajan Görev Yönetimi
3. Ajan Görev Yönetimi ile yapılacak işlemler listesi aşağıda verilmiştir.
Resim 48 - Ajan Görev Listesi
71
Ajan Kayıt
a. Ajan Kayıt Listesine yeni bir ajan kaydetmek için butonuna basılır.
b. Gelen ekranda panelini kullanılır. Butonlar sırasıyla “Ajan Kaydı
Ekleme”, “Ajan Kaydı Düzeltme” ve “Ajan Kaydı Silme” görevlerini görür. Yeni
ajan ekleme için “+” butonuna basıldığında aşağıdaki ekran gelecektir.
c. Kaydet butonuna basılır ajan kayıt listesine ajan eklenir.
Yeni Bilgi Getirme
a. Bu kısım ajandan yeni bilgi getirmek için kullanılır. Butonuna basıldığında
aşağıdaki ekran gelir.
72
Resim 49 - Ajan Görev Detayları
b. Ajandan getirilebilecek bilgiler yukarıdaki şekilde görülmektedir.
Plugin bilgisi; ajan üzerinde tanımlı log kaynaklarını görmek ve üzerinde
değişiklik yapmak için getirilebilir.
Konfigürasyonu getir; ajan konfigürasyon dosyasını getirmek için kullanılır.
Ajan log içeriği getir; Ajanın yaptığı işlemler yazdığı log dosyasının son 100 KB
lık kısmını getirmek için kullanılır. Bu bilgi problem çözmede faydalıdır. Ajandan
log gelmemesi gibi problemlerde kullanılır.
Yeniden başlat; ajan servisini yeniden başlatmak için kullanılır.
Sağ üstteki buton yardımı ile daha önce isim verdiğimiz ajanlardan biri
seçilebilir veya ajanın ip si girilerek ajana yeni göre atanabilir.
c. Yeni görev verildikten sonra görevin durumu ekranın sağ kısmından takip
edilebilir.
73
d. Durum kısmında Bitti uyarısı varsa görev tamamlanmış demektir. Görev kısmında
tamamlanan görev görülebilir. Daha sonra gelen bilgiler görüntülenebilir veya
değiştirilebilir.
Gelen Bilgileri Değiştirme
a. Bu kısımda “Yeni Bilgi Getirme” bölümünde anlatılan, ajan üzerinden gelen
bilgiler değiştirme anlatılacaktır.
b. CryptologClient üzerinden daha önce tanımlanmış log kaynaklarının detayları
değiştirilebilir, log kaynakları silinebilir veya yeni log kaynağı eklenebilir.
c. Ajan bilgilerini değiştirmek için butonuna basılır.
d. Aşağıda gelen ekranda, var olan log kaynakları sol kısımda ve bu kaynaklardan
seçili olanın detayları da sağ kısımda gözükmektedir. Log kaynağı üzerinde
değişiklik yapmak için sağ tıklayıp düzenle ekranına geçmek gerekir
74
Resim 50 - Ajan Görev Değiştirme
e. Burada tıpkı ajana kurulu olduğu makine üzerinde müdahale eder gibi çalışılabilir.
Yapılan değişiklikler kaydedildikten sonra Kaydet düğmesi ile bu ekran kapatılır.
Daha sonra gelen ekrandan Gönder düğmesi ile yapılan değişiklikler ajana
gönderilir.
75
f. Ajan Konfigürasyonu üzerinde değişiklik yapmak için ise aşağıdaki ekran kullanılır.
Verilecek yeni değerler için “Yeni Değer” Sütunun kullanılır.
76
g. Sırasıyla Kaydet ve Gönder butonlarına basılır.
h. Ajan Görev Yönetimi ekranında Ajan Bilgi Değiştirme görevi görülecektir.
Detay Görüntüleme
Ajan görev yönetimi kısmında tanımlanan görevlerin detaylarını görüntülemek için kullanılır.
Tamamlanmış ve bekleyen görevler listesindeki görevlerin detaylarını görmek için
butonuna basılır.
İptal Etme
Ajan görev yönetimi kısmında tanımlanan görevlerin detaylarını iptal etmek için kullanılır.
Tamamlanmış ve bekleyen görevler listesindeki görevler iptal etmek için butonuna
basılır.
77
8. Yedekleme ve Arşivleme
Yedekleme sekmesi sistem yapılandırma ayarları ve dosyalarının yedeklenmesini sağlamaktadır.
Yedekleme Cryptolog Depo(repository) ya da dosya sistemine yapılabilmektedir. Arşiv ekranından
eski tarihli log kayıtlarının arşivlenmek üzere başka bir klasöre taşınması sağlanabilir. Böylece aşırı
veri ile diskin dolması önlenir. Ancak arşivlenen dosyalar üzerinde arama yapılamayacağı
unutulmamalıdır. Bu nedenle kullanılmayacak eski tarihli veriler arşivlenmelidir.
8.1. Yedekleme
1. CryptologClient üzerinden Ayarlar / Yedekleme-Arşiv seçilir. Aşağıdaki ekran
gelecektir. Yedekleme sekmesi açılır.
Saklama Yeri; Depo işaretlenirse Cryptolog Sunucusu üzerine, Klasör işaretlenirse
yerel bilgisayarda belirtilen dizine yedeklenir.
Saklanacak Nesneler; Sunucu ayarları Crypolog Konfigürasyon dosyasını, Plugin
Dosyası, log kaynaklarını, Korelasyon Dosyası, ilişkilendirme dosyasını saklamak için
kullanılır.
Saklama Adı; Yedeklenecek dosyanın adını vermek için kullanılır. Klasör
işaretlendiğinde butonu aktif duruma gelir. Buradan yerel bilgisayar üzerindeki bir
dizin seçilebilir.
2. Kaydetmek için butonuna basılır.
3. Ekrana gelen mesajda “Tamam” seçilir.
78
8.2. Arşiv
1. CryptologClient üzerinden Ayarlar / Yedekleme-Arşiv seçilir. Aşağıdaki ekran
gelecektir. Arşiv sekmesi açılır.
2. Belirli tarihten önceki log dosyaların tamamı “Arşiv Yolu” olarak belirtilen sunucu
ulaşabileceği bir dizine kopyalanabilir. Bu dizin Cryptolog sunucusuna bağlanmış bir
disk, veri deposu (data storage) olabilir.
3. Arşivlemeyi yapmak için butonuna basılır. Gelen uyarı mesajı Evet ile geçilir.
79
4. Daha sonra sırasıyla aşağıdaki ekranlar gelecektir. Son olarak Tamam seçilir ve
arşivleme tamamlanır.
5. Arşiv listesini görmek için “Arşiv Listesi” butonuna basılır. Aşağıdaki ekran bu
zamana kadar yapılmış arşivlerin gösterildiği ekrandır.
80
6. Log dosyalarını görmek için butonuna basılır. Aşağıdaki ekran belirtilen Tarih
aralıklarında Cryptolog’un yazdığı log dosyalarıdır. Log kaynağın açılır menüsünden, bu
zamana kadar log alınmış bütün kaynakları görebilirsiniz. Bu kaynaklardan toplanan
logların hangi log dosyasına yazıldığını görmek için Log Kaynağı ve Tarih Aralığı seçilir,
butonuna basılır.
81
9. Log Aktarma
Cryptolog arama ile gelen sonuçları ya da bütün log kaynaklarından gelen logları dışarı başka bir
bilgisayara aktarabilir. Gelen Dosya Aktar menüsündeki butonuna tıklayarak yapabilirsiniz.
1. Cryptolog Client üzerinde ister arama ile gelen sonuçları butonuna basarak, ister
Ayarlar / Kontrol ile belirli tarih aralığındaki hashlenen ve imzalanan log dosyaları ve
imza dosyaları dışarıdaki bir ortama aktarmak mümkündür.
2. Gelen ekranda “Seçilen dosyaları yasal sorgu içi dışarı aktar” linkine tıklanarak yerel
ortama aktarılabilir. Bu bağlantı 5651 sayılı bilişim yasaları gereği kullanılabilir.
82
3. Aktarma işlemi tamamlandıktan sonra uyarı mesajı verecektir.
83
4. Sistem bu logları aktarmadan önce doğruluğunu butonuna basılarak kontrol
edilebilir.
84
10. Cryptolog Konfigürasyon
Cryptolog Sunucu ayarlarını görmek, değiştirmek; sunucuyu kapatmak, yeniden açmak için bu modül
kullanılır. “cadmin” kullanıcısı bu ayarların hepsini değiştirme yetkisine sahiptir. “admin” kullanıcısı
ise Yönetim Soketi, Log Toplama Soketi, Log Sıkıştırma, Otomatik Arşivleme, Sistem Sağlık Kontrolü ve
Otomatik IP Değişimi ayarlarını düzenleme yetkisine sahiptir.
1. CryptologClient üzerinde Ayarlar / Cryptolog Konfigürasyon seçilir.
2. Açılan ekranda aşağıdaki özellikler çıkmaktadır. Bu ayarların hepsi detaylı olarak
anlatılmaktadır.
85
Resim 51 - Sistem Konfigurasyon
10.1. Durum
Sunucuyu kapatma, yeniden başlatma işlemlerinde kullanılır.
Resim 52 - Sistem Konfigurasyom - Durum
86
1. Cryptolog’u yeniden başlatmak için butonuna basılır
2. Evet, seçilir ve aşağıdaki uyarı ekranı gelir.
3. Evet seçilir.
4. Cryptolog sunucusunu kapatmak için butonuna basılır.
10.2. Sistem
Sistemin genel ayarlarını düzenlemek için kullanılır. Sistem’e tıklandığında aşağıdaki form açılır.
Bu form üzerinde gelen öntanımlı özellikler cadmin kullanıcısı tarafında değiştirilebilir. Özelliklerin
detaylı açıklamaları aşağıda yapılmıştır.
87
Resim 53 - Sistem Konfigurasyom - Sistem
İç kontrol yap; İşaretlenirse, CryptoLOG başlarken CryptologFile.log imzasını kontrol eder, imza
yanlışsa başlamaz.
Sistem yalnızca okuma modunda çalışsın; CryptoLOG dağıtık olarak çalışabilmektedir.
İşaretlenirse sadece logları toplayan bir sunucu tanımlanmış olur. Dağıtık yapıda çalışan
sistemlerde Raporlama, İstatistik, Log toplayan, Arama Yapılan sunucular ayrıştıralabilir.
Sistem veritabanı tipi; CryptoLOG, kullanıcı, alarm, görev, istatistik bilgilerini kendi üzerindeki ya
da uzak sunucudaki veritabanında tutar. Veritabanı tipi olarak mysql veya sqlserver seçilir.
Sistem veritabanı bağlantı ifadesi; Veritabanı bağlantı ifadesi (Connection String) girilir.
Rapor sunucusu çalışsın; CryptoLOG Rapor Modülünü çalıştırmak için işaretlenir. Rapor Modülü
tanımlanan şablonları zamanlı olarak çalışıtırıp, rapor üreten modüldür. Raporlama, Raporlar
kısmında detaylı olarak anlatılmıştır.
Görevleri çalıştır; CryptoLOG üzerinde, Ajan Yönetimi, Arama gibi süreçler görevler üzerinden
yapılır. Bu işlemlerin aktif edilebilmesi için işaretlenmesi gerekir.
İstatistikleri oluştur; CryptoLOG topladığı kayıtlar üzerinden anlamlı istatistikler üretebilmektedir.
Tanımlanmış “En Çok N… Değerleri” bilgilerini görebilmek için işaretlenmesi gerekir.
88
İstatistik kayıt zaman aralığı (dk); İstatistikler burada belirtilen zaman aralıkları üzerinden
hesaplanır. Öntanımlı olarak 30 dakika ayarlanmıştır. 30 dakikalık zaman dilimine ait log
kayıtlarına ait istatistik değerleri hesaplanır. Örneğin; saat 12.00-12.30 arasında en çok
facebook.com’a erişen 10 kullanıcı.
İstatistik oluşturma bakma süresi (sn); İstatistikler, burada belirtilen süre içerisinde kontrollerini
yapar. Öntanımlı olarak 300 sn olarak ayarlanmıştır. 10 dakikada bir verilen istatistik tanımları
ölçüsünde kayıtları işler ve hesaplarını yapar.
Atılan logları yaz (debug); CryptoLOG topladığı logları, plugin bilgilerine göre işler. Plugin’e
uymayan kayıtları saklamak için işaretlenir.
Kendi log yolu; CryptoLOG sunucusunun, kendi uygulama logunun tutulacağı dizini belirtmek için
kullanılır.
Hata detaylarını loga yaz; CryptoLOG sunucusunun günlüklerinde hata detaylarını görmek için
işaretlenir.
Maksimum log dosya boyutu (MB); Log dosyasının boyutu burada belirtilen değere ulaştığında
günlük dosyası dönüşür (log rotate).
İstemci kullanıcı logunu tut; CryptoLOG, istemci üzerinden yapılan kullanıcı işlemlerinin de
günlüklerini tutabilir.
Thread çalışma modu; CryptoLOG sürecinin o sunucu üzerinde çalışma önceliğini belirler. Lowest
Below Normal, Normal, Above Normal, Highest şeklinde 5 dereceye ayrılmıştır.
10.3. Sistem(Diğer)
Bu kısımda daha çok sistem ayarlarından log, plugin, sertifika, kontrol dosyalarının hangi dizinle
tutulduğu bilgileri düzenlenir. Aşağıda detaylar açıklanmıştır.
Resim 54 - Sistem Konfigurasyom - Sistem(Diğer)
89
Log dosya adı; CryptoLOG, günlüklerinin tutulacağı dizinini ve dosya ismini ayarlamak için
kullanılır.
Pozisyon dosya adı; CryptoLOG, topladığı logları işlerken en son kaldığı pozisyon bilgisini de
saklar. Bu bilgilerin tutulacağı dizini ve dosya ismini ayarlamak için kullanılır.
Plugin dosya adı; CryptoLOG, tanımlanan log kaynakları ve plugin bilgilerini burada belirtilen
dosyada saklar.
Kontrol dosya adı; CryptoLOG, toplayıp işlediği log dosyaları isimlerini burada belirtilen dosya
içinde tutar.
Sertifika dosya adı; CryptoLOG, burada belirtilen elektronik sertifika ile birlikte dosyaların digital
imzasını oluşturur. Öntanımlı olarak CryptTech tarafından geliştirilmiş elektonik sertifika kullanılır,
istenirse Nitelikli Elektronik Sertifika dizini eklenebilir.
Lisans dosya adı; CryptoLOG, çalışması için gerekli lisans dosyasını burada belirtilen dizinden alır.
10.4. Log Yazma
CryptoLOG topladığı kayıtları işleyip kendi yapısına göre yazarken aşağıdaki ayarları kullanır.
Dosya ve/veya satırların hash ve imza değerlerinin hangi algoritmaya göre üretileceği bu kısımda
ayarlanır.
90
Resim 55 - Sistem Konfigurasyom - Log Yazma
Yazma blok boyutu (adet); CryptoLOG, burada belirtilen sayı kadar satırda kaydı işler. Bu satırdan
fazla sayıda kayıt gelmişse kalan kısmı kuyruğa atar. Burada belirtilen sayıyı lisanstaki EPS kadar
tutmakta fayda vardır.
Dosyaların yazılacağı yol; Toplanan loglar işlendikten sonra burada belirtilen dizine yazılır.
İşlenen log dosya isimleri CL_201201120245_10001.log şeklindedir.
Maksimum dosya boyutu (kb); İşlenip yazılan loglar, Maksimum dosya boyutuna ulaştığı zaman
isim değiştirir (log rotate) ve o zamanın yıl, ay, gün, saat, dakika ve plugin numarasını içeren isme
sahip olur.
Log satırında alan isimleri olsun; İşaretlenirse, sütun isimleri, kaydın içerisinde yer alır.
Çıkış ayıracı; Kayıtlarda, kayıt numarasında sonra kullanılacak olan ayraç.
Kolon ayıracı; İşlenen logları kolon bazlı ayırırken kullanılacak olan ayraç.
Dosya hash algoritması; Dosya hash özetini alırken kullanılan algoritma. Seçenekler; MD5, SHA1,
SHA216, SHA384, SHA512. Hash Algoritmaları hakkında detaylı bilgi almak için lütfen tıklayınız.
91
İmza hash algoritması; Dosya için atılan imzayı oluştumak için kullanılan algoritma. Seçenekler;
MD5, SHA1
İmza algoritması; İmza hash özetinin saklandığı algoritma.
Satır bazında imzalama kullan; CryptoLOG’a gelen her kayıt için imzalama yapmak istenirse
işaretlenir. Bu özelliği kullanmak için performansı yüksek donanımlar kullanmak gerekir. Ayrıca
satır hash özetlerini üretmek için HSM (Hardware Security Module) ya da Kripto Kartlar
kullanılmalıdır.
Satır hash’ini yaz; İşaretlenirse her kayıt için hash bilgisi tutulur.
Hash algoritması; Hash özeti alınan kayıt için kullanılan algoritma. Seçenekler; MD5, SHA1.
Satır imzasını yaz; İşaretlenirse oluşturulan hash ile birlikte imza bilgisi tutulur.
İmza Algoritması; Oluşan hash + imza bilgisini imzalamak için kullanılan algoritma. Seçenekler;
RSA.
10.5. Yönetim Soketi
CryptoLOG, kendi istemci programı olan CryptoLog Client tarafından yönetilebilmektedir. Ön
tanımlı olarak yönetim soket portu TCP 39889 dur. Bu değer burada değiştirilebilir.
Resim 56 - Sistem Konfigurasyom - Yönetim Soketi
Bu özelliği kullan; İşaretlenirse, CryptoLog burada belirtilen ip ve port üzerinden yönetilebilir
duruma gelir.
IP (ler); Yönetim IP değeri. Birden fazla IP üzerinden yönetilmesi için sunucunun her ağ arabirimi
IP değeri eklenebilir.
92
Port; Yönetim Port değeri. Öntanımlı olarak 39889 atanmıştır.
SSL; Yönetimin güvenli olarak şifreli yapılması istenirse işaretlenir.
Soket iç çalışma testi (sn); Burada verilen saniyede bir portun açık olup olmadığı kontrol edilir.
10.6. Log Toplama Soketi
CryptoLOG, kendi ajan programı olan CryptoLog Agent tarafından topladığı logları 39876 portu
üzerinden almaktadır. Ajanlar üzerinden log toplanacaksa bu özellik aktif edilmelidir.
Resim 57 - Sistem Konfigurasyom - Log Toplama Soketi
Bu özelliği kullan; İşaretlenirse, CryptoLog burada belirtilen ip ve port üzerinden ajanlardan log
toplar.
IP (ler); Log Toplama IP değeri. Birden fazla IP üzerinden ajanlardan log toplamak için sunucunun
her ağ arabirimi IP değeri eklenebilir.
Port; Ajanlardan Log Toplama Port değeri. Öntanımlı olarak 39876 atanmıştır.
SSL; Ajanlardan log toplama, güvenli olarak şifreli yapılması istenirse işaretlenir.
Çıkış dosya adı; Ajanlardan toplanan loglar burada belirtilen dizinde ve dosya ismiyle kaydedilir.
Log ismi CL_agent_afn{AjanDosyaNumarası}_{DosyaNumarası}.log şeklindedir.
Maksimum dosya boyutu (KB); İşlenip yazılan loglar, Maksimum dosya boyutuna ulaştığı zaman
isim değiştirir (log rotate) ve {DosyaNumarası} nın bir fazla değerini içeren isme sahip olur.
93
Sertifika; SSL işaretlenirse şifreli iletişim için buradaki Sertifika kullanılır.
10.7. Log Sıkıştırma
İşlenen logları sıkıştırma işlemi burada aktif edilir.
Resim 58 - Sistem Konfigurasyom - Log Sıkıştırma
Bu özelliği kullan; İşaretlenirse, toplanıp işlenen log dosyaları sıkıştırılmaya başlanır.
Bu günden eski dosyaları sıkıştır (gün); Burada belirtilen günden önceki dosyalar sıkıştırılır.
Sıkıştırmanın başlayacağı saat; Sıkıştırma işlemi burada tanımlanan saatte başlar. Sıkıştırma
işlemi log akışının yoğun olmadığı saatlerde yapılırsa sistem kaynakları verimli kullanılmış olur.
Sıkıştırmanın çalışacağı maksimum saat; Sıkıştırma burada tanımlanan saat kadar çalışır.
Yukarıda verilen örneğe göre, 02:00 – 06:00 saatleri arasında yapılır.
10.8. Syslog
CryptoLOG’un kendi syslog sunucusu kullanılmak istenirse bu kısım düzeltilmelidir. Genelde Linux
tabanlı işletim sistemleri üzerinde çalışan CryptoLOG sunucusu için rsyslog kullanılır. Rsyslog’a
alternatif olarak CryptoLOG’un kendi syslog sunucusu kullanılabilir.
94
Resim 59 - Sistem Konfigurasyom - Syslog
Bu özelliği kullan; İşaretlenirse, CryptoLOG syslog toplama sunucu kullanılır.
IP / Port / Tipi ; Syslog sunucusu ip ve port değeri burada tanımlanır. Syslog standardına göre
öntanımlı olarak 514 UDP portu tanımlanmıştır. İstenirse TCP üzerinden başka bir port açılabilir.
Çıkış dosya adı (Yol ile birlikte); Syslog üzerinden toplanan loglar burada belirtilen dizin ve
dosyada saklanır.
Maksimum dosya boyutu (KB); Toplanan log dosyası, Maksimum dosya boyutuna ulaştığı zaman
isim değiştirir (log rotate) ve {DosyaNumarası} nın bir fazla değerini içeren isme sahip olur.
Csyslog0.log, Csyslog1.log, Csyslog2.log…
Çıkış formatı; Syslog başlığı buradan seçilir.
Kuyruk kullan (queue); Syslog akışı fazla olan sistemlerde işaretlenmelidir.
Gruplama Tipi; None, facility, ip seçeneklerinden biri seçilir. None; Gruplama yapılmayacaksa
seçilmelidir. Gelen logların hepsi csyslog0 loglarına yazılır. Facility; Gruplama, syslog auth,
authpriv, daemon, cron, ftp, lpr, kern, mail, news, syslog, user, uucp, local0, ... , local7. IP;
Gruplama, verilen ip adresi gruplarına göre yapılır.
95
Gruplar; Oluşturulan gruplar bu kısımda tanımlanır. Yeni bir grup eklemek için “Grup Ekle”
butonuna basılır. Grup ismi verilir ve Tamam tıklanır.
Eklenen gruba yeni eleman eklemek için butonuna basılır. Eleman olarak Gruplama tipi
seçilen tür hakkında bilgi girilir.
Gruplama bittiği zaman aşağıdaki bir yapı oluşacaktır. Bu yapıya göre 172.17.7.24 ve 172.17.7.25
ip adresli makinelerden gelen loglar CL_csyslog_Webservers_0.log dosyasına, 10.1.2.66 ve
10.1.2.67 ip adresli makinelerden gelen loglar CL_csyslog_CitrixLoader_0.log dosyasına
yazacaktır. Maksimum dosya boyutuna oluşan dosyalar dosya ismini 0 dan başlayıp artan değer
olarak kaydedecektir.
Eklenen grup ya da elemanı silmek için, silinecek dal seçilir ve butonuna basılır. Aşağıda
gelen ekranda Tamam’a tıklanır.
96
Özel Gruplama Kullan (iç kullanım içindir); Syslog gruplama için şablon bazlı ayrıştırmada
kullanılır.
10.9. Otomatik Arşivleme
CryptoLOG belirli günden eski log dosyalarını başka bir dizine arşivleyebilir. Arşivlemenin
ayarlandığı bu kısımın detayları aşağıda verilmiştir.
Resim 60 - Sistem Konfigurasyom - Otomatik Arşivleme
Bu özelliği kullan; İşaretlenirse, Otomatik Arşivleme aktif edilmiş olur. Aşağıdaki parametrelere
göre arşivleme yapılır.
Tip, Arşivle; Dosyaların sunucudan, belirtilen dizine taşınması işlemi için, Yedekle; Dosyaların
belirtilen dizine yedeklenmesi için, Arşivle ve Yedekle her iki işlemin beraber yapılması için seçilir.
Bu günden eski dosyaları arşivle (gün); Burada belirtilen günden önceki loglar, “Dosyaların
taşınacağı yol” da belirtilen dizine taşınır.
97
Arşivlemenin başlayacağı saat; Arşivleme süreci burada belirtilen saatte başlar.
Arşivlemenin çalışacağı maksimum saat; Arşivleme süreci burada belirtilen saat kadar çalışır.
Dosyaların taşınacağı/ kopyalanacağı yol; Arşivlenen dosyalar burada belirtilen dizine taşınır ya
da kopyalanır.
Dosyaların yedekleneceği yol; Yedekleme yapılacak dizin yazılır.
Arşivlenen dosyalar üzerinde arama yapılabilsin; İşaretlenirse, arşiv dosyaları içinde de arama
yapılabilir.
Bu aydan eski olan dosyalarını sil (ay); Burada belirtilen sayı kadar aydan önceki loglar diskten
tamamen silinir. “0” yazılırsa silme işlemi yapılmaz.
10.10. Disk Kontrol
Diskin doluluk oranı verilen eşik değerinin altına düştüğü zaman CryptoLOG uyarı verir. Bu özellik
sayesinde log kaybı yaşama riski azaltılmış olur.
Resim 61 - Sistem Konfigurasyom - Disk Kontrol
Bu özelliği kullan; İşaretlenirse, Diskin doluluk oranı kontrol edilir.
98
Kontrol etme sıklığı (dk); Burada belirtilen sayı kadar dakikada bir diskin doluluk oranı kontrol
edilir.
En düşük boş alan oranı (%); Disk doluluk eşiği burada tanımlanır. Diskin doluluk oranı (yüzde
olarak) bu değerin altına düşerse sistem uyarı verir.
Kontrol edilecek diskler(yollar); Kontrol edilmesi istenen farklı dizin ve/veya bölümlemeler varsa
burada tanımlanabilir.
10.11. Paylaşım Kontrolü
Linux tabanlı sistemlerden SSH ile bağlanan disklerin kontrolü bu kısımda yapılır. Bağlantı
noktalarının kontrolünü aktif edilmesi için “Bu özelliği kullan” kutucuğu işaretlenir. Kontrol etme
sıklığı burada tanımlanır.
Resim 62 - Sistem Konfigurasyom - Paylaşım Kontrol
10.12. Sistem Sağlık Kontrolü
CryptoLOG kendi iç süreçlerinin kontrolünü yapabilir. Log kaynağının çok fazla (100den fazla) ve
log akışının yüksek (10000 EPS üzeri) olduğu sistemlerde bu özellik kullanılmalıdır. Kontrol etme
sıklığında threadlar konrol edilir. Çalışmayan threadlar sonlandırılır yeni bir tanesi açılır. Bu
threadlerin yeniden başlama aralığı dakika olarak buradan ayarlanır.
Resim 63 - Sistem Sağlık Kontrolü
99
10.13. Otomatik IP Değişimi
CryptoLOG, yönetim, log toplama ve syslog ayarları aktif edilirse belirlenen ip ve port değerleri
için soket açar. IP adresleri elle verilebilir ya da bir arabirime (eth0, eth1, .. ) atanabilir. Arabirimin
ip değeri değişirse, otomatik olarak değişen değer için soketler yeniden açılır. Kritik bir ayardır.
Değerin değiştirilmesi sonunda eski ip adresine log gönderen sistemler üzerinden yeniden
tanımlama yapmak gerekir.
Resim 64 - Otomatik Ip Değişimi
10.14. Klasör / Dosya İmzalama
CryptoLOG, belirtilen klasör ve/veya dosyaları sadece imzlayabilir. Bazı sistemlerde ikili olarak
(binary) olarak tutulan log veya klasörün imzasını saklayabilir. Bu durumlarda bu özellik kullanılır.
Kaç sn aralıkla kontrol yapılacağı ve hangi dizin ya da dosyanın imzalanacağı burada ayarlanır.
Resim 65 - Klasör Dosya İmzalama
100
10.15. Korelasyon
Korelasyon (İlişkilendirme, Correlation) farklı kaynaklardan gelen farklı özelliklerde kayıtlar
arasındaki ilişkileri ortaya çıkarma yeteneğidir. Korelasyon kuralları olaylar arasındaki eğilimleri ve
örüntüleri ortaya çıkarır. Bu modülün kullanıldığı ürün CryptoSIM olarak adlandırılmaktadır. SIM
(Security Information Management) olarak geçen bu sistemin aktif edilebilmesi için bu özelliğin
kullanılması gerekmektedir. Korelasyon Modülü CryptoSIM – Kullanım Kılavuzu dökümanın
detaylı anlatılmaktadır.
Resim 66 - - Sistem Konfigurasyom - Korelasyon
Bu özelliği kullan; İşaretlenirse, Korelasyon modülü aktif edilir.
Korelasyon dosya adı; İlişkilendirme kurallarının tutulduğu dosya ismi burada belirtilir.
Alarmlar için saklanacak log sayısı; İlişkilendirme kuralına takılan her kayıt için kaç adet log
tutulacağını belirtir.
Minimum alarm risk seviyesi; Burada belirtilen seviye ve üstündeki seviyelerden gelen kayıtlar
için alarm üretilir.
10.16. Sensör
CryptoLog, dağıtık mimari çalışabilecek yapıda tasarlanmıştır. Bu özellik sayesinde, ağınızın ve
kaynaklarınızı büyüklüğüne göre log toplama sisteminizi ölçeklendirebilir duruma getirebilirsiniz.
Birden fazla CryptoLOG’u sistemlere ayrıştırabilir, bazılarını sadece raporlama, bazılarını da
istatistik sunucusu olarak çalıştırabilirsiniz. Bu mimaride performansı yüksek bir yapı tasarlanmış
olur. Dağıtık mimari detaylı bilgi için CryptoLOG – DağıtıkMimari dökümanına bakabilirsiniz.
CryptoLOG sensör – merkez ilişkisiyle çalışır bu durumda. Sensör üzerinde toplanan loglar belirli
zaman diliminde merkeze gönderilir. Sensör konfigürasyonunun detayları aşağıda açıklanmıştır.
101
Resim 67 - Sistem Konfigurasyom - Sensör
Bu özelliği kullan; İşaretlenirse, CryptoLOG sensör olarak çalışır.
Sensör ID; Sensör için tanımlanan tekil kimlik numarası. Her sensöre farklı kimlik numarası
verilmelidir.
Merkez sunucu IP / Port; CryptoLOG merkez sunucusunun IP / Port değeri. Loglar bu ip adresine
gönderilecektir.
Merkez sunucu Port; Port değeri Log Toplama Soketinde verilen değerle aynı olmalıdır. Öntanımlı
39876
Merkez Sunucu SSL; Sensör ile Merkez arasında iletişim SSL ile olacaksa işaretlenmelidir.
Merkeze log göndermenin başlayacağı saat; Sensör, topladığı logları burada belirtilen saatte
merkeze göndermeye başlar.
Merkeze log göndermenin çalışacağı maksimum saat; Sensör, topladığı logları burada belirtilen
saat kadar gönderir. Gönderme işlemi bu süre içinde bitmediyse ertesi güne kalır. Bu sebeple
optimum süre verilmesi için log aktarma süresinin kontrol edilmesi gerekir.
Merkeze gönderilen eski dosyaları sil (gün); Sensör üzerinde, burada belirtilen günden önceki
loglar silinir. Silme işlemi olmaması için “0” seçilmelidir.
Veritabanı kullan; Sensörün kendi istatistik kayıtlarını merkezin veritabanına eklemesi için
işaretlenmelidir.
102
10.17. Zaman Damgası
CryptoLOG, zaman damgası için Yerel Ağda tanımlanan zaman sunucusu ile eşleştirilebilir. 30
Kasım 2007 tarih ve 26716 sayılı Resmi Gazete'de yayınlanan "İnternet Ortamında Yapılan
Yayınların Düzenlenmesine Dair Usul Ve Esaslar Hakkında Yönetmelik" gereğince yer sağlayıcılar,
"Yer sağlayıcı trafik bilgisini altı ay saklamakla, bu bilgilerin doğruluğunu, bütünlüğünü oluşan
verilerin dosya bütünlük değerlerini zaman damgası ile birlikte saklamak ve gizliliğini temin
etmekle" yükümlüdürler. CryptoLOG Yazılım Abonelik (Software Subscription) sözleşmesi yapılan
sistemlerde Tubitak Uekae Zaman Damgası Sunucusu’ndaki atom saatinden alınan zaman ile
dosya özetinin birleştirilmesiyle veri oluşturulur. Bu veri CryptoLog sertifikası ile birleştirilip
dosyaya özel damga üretilir. Eğer Yazılım Abonelik yapılmamışsa, Kamu Sertifikasyon Merkezi
‘den alınan hizmet sonrasında sağlanan bilgiler aşağıdaki forma girilir.
Zaman Damgası kullanımı zorunluluğu ile ilgili kanun ve yönetmelikler
04/05/2007 Tarihli ve 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve
Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun için tıklayınız.
24/10/2007 tarihli ve 26680 sayılı Resmi Gazetede yayımlanan Telekomünikasyon
Kurumu Tarafından Erişim Sağlayıcılara ve Yer Sağlayıcılara Faaliyet Belgesi Verilmesine
İlişkin Usul ve Esaslar Hakkında Yönetmelik için tıklayınız.
30/11/2007 tarihli 26716 sayılı Resmi Gazetede yayımlanan İnternet Ortamında Yapılan
Yayınların Düzenlenmesine Dair Usul ve Esaslar Hakkında Yönetmelik için tıklayınız.
Resim 68 - Sistem Konfigurasyom - Zaman Damgası
Bu özelliği kullan; İşaretlenirse, Tübitak Zaman Sunucusu kullanılır.
Kullanıcı ID; Kamusm hizmeti için verilen kimlik numarası.
Şifre; Kamusm hizmeti için verilen şifre.
103
Çalışma zamanı; CryptoLOG, tooplanan bütün logların hash bilgilerini burada belirtilen saatte
aldığı atom saati üzerine damgalar.
Şifre; İşaretlenirse, şifre ham veri halde tutulur.
Çalışma Tipi; Daily seçilirse günlük olarak zaman alınır.
10.18. Küme Modu
CryptoLOG, Küme Modunda (Cluster Mode), felaket durumlarında yedekli yapıda (aktif-aktif,
aktif-pasif) çalışabilmektedir. Bu yapının genel ayarları burada yapılmaktadır. Detaylı bilgi için
“CryptoLOG – Yüksek Erişilebilirlik” dökümanına bakınız.
Resim 69 - Sistem Konfigurasyom - Küme Modu
Bu özelliği kullan; İşaretlenirse, Küme Modunda çalışır.
Genel pozisyon dosya yolu; Burada belirtilen dizinde, ortak tanımlanan log kaynakları ve
eklentileri en son kaldıkları pozisyonların tutulduğu dosyalar kaydedilir.
Özel pozisyon dosya yolu; Eğer eklenti üzerinde tanımlanan kaydedileceği yol ortak değilse
burada belirtilen dizine kaydedilir.
10.19. DB Log Yazma
CryptoLOG, topladığı logları varsayılan olarak dosya sisteminde tutmaktadır. Yüzlerce sistemden
milyarlarca günlük kaydı ilişkisel veritabanları üzerinde saklamak performans açısından sisteme
yük bindiren durumdur. Ancak 100 EPS’e kadar olan sistemlerde bunu veritabanı üzerinde tutmak
sisteme performans ve hız sağlayan bir durumdur. Bu sebeple log yönetim sisteminin
büyüklüğüne göre loglar istenirse veritabanı üzerine tutulabilir. Detaylı özellik açıklamaları
aşağıda verilmiştir.
104
Resim 70 - Sistem Konfigurasyom - DB Log Yazma
Logları veritabanına yaz; İşaretlenirse, işlenen kayıtlar veritabanı üzerinde tutulur.
Veritabanı loglarını imzala; Kayıtların imzalanması istenirse işaretlenmelidir.
İmzalama periyodu; Burada belirtilen süre aralıklarında imzalama yapılır.
Logları dosyadan veritabanına yaz (offline); İşaretlenirse dosya sistemi üzerinden saklanan
logları Bakma aralığı süresi aralıklarında dosyadan veritabanına aktarılır.
Bakma aralığı (offline)(sn; Burada belirtilen süre aralıklarında dosyadan veritabanına aktarılır.
Tablo adı; Veritabanı üzerinde tutulacak log tablosu ismi.
Eski veritabanı loglarını sil; İşaretlenirse, aşağıda belirtilen parametreler için eski log dosyalarını
siler.
Satır imzasını yaz; Seçenekler: off; satır imzası kullanılmaz, day: günlük kaydın imzası yazılır,
rowcount: satır sayısı kadar imza kullanılır.
Bu günden eski olanları sil (gün); Verilen günden önceki log kayıtları silinir.
Kayıt sayısı aşıldığında silmeye başla; Verilen sayı değerine ulaşan durumlarda silme işlemi
başlar.
Silme işlemi bu kadar kayıtta dursun; Burada belirtilen sayı kadar kayıt silindiğinde silme işlemi
sonlanır.
105
10.20. Plugin Güncelleme (Ajan)
IIS gibi sistemlerde bir Sunucu üzerinde birden fazla domain için, log dizinleri tutulur. Örneğin;
W3SVC1, W3SVC2, W3SVC4 gibi. Bu özellik sayesinde aynı türde kayıtlar için birden fazla dizinde
log tutuluyorsa bu dizinlerdeki değişikliği CryptoLOG otomatik olarak algılar. Bu dosyalar da ajan
üzerinden gönderilir.
Resim 71 - Plugin Güncelleme (Ajan)
106
11. Genel Kontroller
CryptoLOG’da yaşanan problemleri (sistemsel, log kaynaklarına ait) gidermek için kullanılacak
arabirimler mevcuttur. Bu kısımda Sunucu Yönetimi, Pozisyon Yönetimi ve Sistem Logu
arabirimlerinin kullanımı hakkında detaylı bilgi verilecektir. Ağ ve erişime dair problemlerin kontrolü
için Sunucu Yönetimi, logkaynaklarının son okuma yaptıkları dosyaları kontrol etmek için Pozisyon
Yönetimi ve sistemin kendine ait logları kontrol etmek için de Sistem Logu modülleri kullanılır.
11.1. Sunucu Yönetimi
CryptologClient üzerinden birden fazla CryptoLog Sunucusu yönetilebilir. CryptoLog Sunucusuna
erişim ipsi, erişim portu ve veritabanı bilgileri buradan düzenlenip değiştirilebilir. Bu
sunuculardan küme modunda, dağıtık yapıdaki herhangi bir sensör ya da ayr bir CryptoLog
sunucusu olabilir. Bu sunucuların eklendiği, düzenlendiği modül Sunucu Yönetimidir.
11.1.1. CryptologClient üzerinde Ayarlar / Sunucu Yönetimi seçilerek sunucu işlemlerinin
yapılacağı ekrana gidilir.
11.1.2. Gelen ekranda yönetilen CryptoLog Sunucusunun ayarları tanımlıdır. Yeni bir sunucu
eklemek için butonu, kayıtlı sunucuyu düzenlemek için butonu kullanılır.
107
Resim 72- Sunucu Yönetimi
11.1.3. Yeni sunucu eklemek için aşağıdaki form doğru verilerle doldurulmalıdır.
Resim 73 - Sunucu Ekleme
108
11.1.4. Kaydedilir.
11.2. Pozisyon Yönetimi
Pozisyon Yönetimi, CryptoLog Çekirdeğinin, log toplanan kaynaklardan en son okudukları
dosyalarda kaldığı yerlerin gösterildiği, düzenlendiği ve silindiği yerdir. CryptoLog Mimarisine
göre, logu toplayan modül (tooplayıcı - collector, controller) ile logu işleyen modül (çekirdek -
core) farklıdır. Logun toplandığı ham verinin bulunduğu dosyalar, tanımlı plugin ve ayrıştırıcalara
tabî tutularak imzalanmış dosyaların bulunduğu dizine atılır. Logun okunduğu, ham verinin
bulunduğu dosyalarda en son kalınan sekizlik (byte) değeri Pozisyon Yönetiminde gösterilir veya
değiştirilir.
11.2.1. CryptologClient üzerinde Ayarlar / Pozisyon Yönetimi seçilmelidir.
11.2.2. Gelen ekranda tanımlı log kaynaklarının son kaldıkları pozisyon değerleri
yenileme butonunu tıkadıktan sonra gelir.
109
Resim 74 - Pozisyon Yönetimi
Lgs ID; Log Kaynağı ID numarası. Formlar / Plugin Tanımında daha önce eklenmiş ve
günlük kayıtlarını işlemeye başlamış Log Kaynağının belirleyicisidir.
Lgs Adı; Log Kaynağı adı. Formlar / Plugin Tanımında daha önce eklenmiş ve günlük
kayıtlarını işlemeye başlamış Log Kaynağının ismidir.
Lgs Tipi; Log Kaynağının tipi. Dosya (file), Veritabanı (sqlserver) olabilir.
Lgs Atkif; İşaretliyse log kaynağının aktif olduğunu gösterir.
Dosya Var; İşaretliyse, Formlar / Plugin Tanımında ilgili log kaynağında ait son okuduğu
dosyanın bulunduğunu gösterir. İşaretli olmayan log kaynakları için Log Kaynağında
belirtilen ilk dosyayı kontrol etmek gerekir. Belirtilen log kaynağından da log gelmiyor
Son Yazma Tarihi; Son Dosya Adı kısmında görünen dosyadan ne zaman log
okuduğunu gösterir. Bu tarihlerin bütün aktif sunucular için güncel saat içeriyor olması
gerekmektedir.
Pos1; Pozisyon 1’in kısaltmasıdır. Dosyanın okunduğu ilk byte değerini gösterir.
Pos2; Pozisyon 2’in kısaltmasıdır. Dosyanın okunduğu son byte değerini gösterir.
Son Dosya Adı; En son okunan dosya adının gösterir. Günlük dosyaları genelde tarihsel
ya da sayısal artırımlı olarak döndürülür. CryptoLog, Log Kaynağında belirtilen dosya adı
formatına uygun olarak bu döndürülen dosyaları otomatik olarak bulur.
11.2.3. Pozisyon dosyalarında arama yapmak için metin alanına arama sözcükleri yazılır ve
butonuna basılır.
110
Resim 75 - Poziyon Yönetimi Arama
11.2.4. Pozisyon Dosyasını düzenlemek için, düzenlenmek istenen satır seçilir ve
butonuna basılır. Burada Pos2 ve Son Dosya Adında yanlışlık varsa düzenlenmelidir.
Pos2 değeri “0” (Sıfır) olarak ayarlanırsa, Son Dosya baştan okunur ve işlenir.
Resim 76 - Pozisyon Düzenleme
11.2.5. Pozisyon Dosyasını silmek için butonu kullanılır. Bu durumda, pozisyonu silinen
log kaynağında tanımlanan ilk dosyadan itibaren loglar tekrar işlenir.
11.3. Sistem Logu
CryptoLog kendi çalışmasına ait günlüklerini bir dosyaya kaydeder. Bu dosyanın içeriğini, log
kaynaklarına ait bilgiler, hatalar, istisnalar, çalışma ve sistem durumları oluşturur. Sistemin genel
çalışması, log kaynaklarından gelen kayıtların düzgün işlenip işlenmediği bilgisi buradan kontrol
edilir.
11.3.1. CryptologClient üzerinde Ayarlar / Sistem Logu tıklanarak CryptoLog’a ait logları
görüntüleyebilirsiniz.
111
11.3.2. Gelen sayfada yenileme butonuna tıklayarak sistem logu getirilebilir. Kayıtların
son bölümü kısmına getirilecek son günlük verisinin boyutu KB cinsinden yazılabilir. Bu
değer en düşük 100 olabilir.
Resim 77 - Sistem Logu
112
11.3.3. Sistem logu içerisinde CryptoLog Konfigürasyan değerleri, Log Kaynaklarında ait log
yazma durumları, hatalar bulunur.
CryptoLog.log Sistem Logu İçeriği
2012.03.21 19:30:40 ...............................
2012.03.21 19:30:40 .......CryptoLog Basladi.......
2012.03.21 19:30:40 ...............................
2012.03.21 19:30:40 Ver:1.8.0.34727
2012.03.21 19:30:40 Lisans bilgilerini yukluyorum....
2012.03.21 19:30:41 (CONF) Calisma Modu: NORMAL
2012.03.21 19:30:41 (CONF) WriteToFile var
2012.03.21 19:30:41 (CONF) WriteToDB KULLANILMIYOR
2012.03.21 19:30:41 (CONF) UseDBsign KULLANILMIYOR
2012.03.21 19:30:41 (CONF) UseLogDeleter KULLANILMIYOR
2012.03.21 19:30:41 (CONF) UseTasks var
2012.03.21 19:30:41 (CONF) UseStatistics var
2012.03.21 19:30:41 (CONF) UseLineSign KULLANILMIYOR
2012.03.21 19:30:41 (CONF) UseSelfControl KULLANILMIYOR
2012.03.21 19:30:41 (CONF) UseLogReaderTCPIP var
2012.03.21 19:30:41 (CONF) UseLogReaderOfflineForDB KULLANILMIYOR
2012.03.21 19:30:41 (CONF) UseCorrelation KULLANILMIYOR
2012.03.21 19:30:41 (CONF) UseTimestampServer var
2012.03.21 19:30:41 (CONF) UseSyslogd KULLANILMIYOR
2012.03.21 19:30:41 (CONF) UseFileSigner KULLANILMIYOR
2012.03.21 19:30:41 (CONF) UseLogCompress var
2012.03.21 19:30:41 (CONF) UseReportServer var
2012.03.21 19:30:41 (CONF) UseShareController KULLANILMIYOR
2012.03.21 19:30:41 (CONF) UseDiskController var
2012.03.21 19:30:41 (CONF) AutoArchive KULLANILMIYOR
2012.03.21 19:30:41 (CONF) UseCategorization KULLANILMIYOR
2012.03.21 19:30:41 Platform: Unix, Version:Unix 3.2.0.23
2012.03.21 19:43:30 NTP Time: 2012-03-21 19:43:30.048 (tr.pool.ntp.org)
2012.03.21 19:43:30 Ic test YAPILMADI.
2012.03.21 19:43:30 (ManagementTCPIP) 192.168.146.128:39889 den dinleme basladi.
2012.03.21 19:43:30 (LogReaderTCPIP) 192.168.146.128:39876 den dinleme basladi.
2012.03.21 19:43:30 (StatsManager) Basladi
2012.03.21 19:43:30 (StatsManager) Pozisyon bilgileri, Son Dosya:
/opt/cryptolog/log/CL_20120321_143026_000_10045.log
2012.03.21 19:43:31 Plugin bilgilerini yukluyorum....
2012.03.21 19:43:31 /opt/cryptolog/bin/plugins.plg dosyasindan 7 log kaynagi 7 plugin
bilgisi
yuklendi.
2012.03.21 19:43:31 (LGS:10004) Hata: Dosyasi bulunamadi.
2012.03.21 19:43:31 (LGS:10047) Pozisyon bilgileri, Dosya: /var/log/isalog.txt Dosya
boyutu: 7560
113
2012.03.21 19:43:31 (LGS:10048) Pozisyon bilgileri, Dosya: /var/log/isalogfws.txt Dosya
boyutu: 15432
2012.03.21 19:43:31 (LGS:10050) Pozisyon bilgileri, Dosya:
/root/[email protected] Dosya boyutu: 11721954
2012.03.21 19:44:19 (LGS:10050)
/opt/cryptolog/log/CL_20120321_194412_000_10050.log dosyasina 500 satir yazildi
(A:0).
2012.03.21 19:44:19 (LGS:10050) Eps:457ms
2012.03.21 19:44:20 (LGS:10050)
/opt/cryptolog/log/CL_20120321_194412_000_10050.log dosyasina 500 satir yazildi
(A:0).
2012.03.21 19:44:20 (LGS:10050) Eps:138ms
2012.03.21 19:44:21 (LGS:10050)
/opt/cryptolog/log/CL_20120321_194412_000_10050.log dosyasina 500 satir yazildi
(A:1).
11.3.4. Bu loglardan sistem hakkında genel inceleme yapılabilir. Hata durumlarında kontrol
edilmesi gereken temel noktalardan biridir.
114
12. Kullanıcı İşlemleri – Hak Yönetimi
Client kullanımı için varsayılan olarak gelen yönetici “admin” kullanıcısının dışında kullanıcılar
oluşturup, bu kullanıcıların hakları düzenlenebilir. Örneğin bir kullanıcının sadece DHCP loglarını diğer
bir kullanıcının ise sadece Firewall loglarını görmesi sağlanabilir ve kullanıcıların yapılandırma
üzerinde değişik yapması ile ilgili kısıtlar verilebilir.
12.1. Kullanıcı İşlemleri
Kullanıcı ekleme/düzeltme/silme, rol tanımlama ve atama işlemleri Hak Yönetimi modülü
üzerinden yapılır.
12.1.1. CryptologClient üzerinde Ayarlar / Hak Yönetimi seçilerek kullanıcı işlemlerinin
yapılacağı ekrana gidilir.
12.1.2. Gelen ekranda Kullanıcı ve Sahip olunan roller görülür. Bunlar üzerindeki değişiklikler
bu ekran üzerinden yapılır.
115
Resim 78 - Kullanıcı Tanımlama Ekranı
12.1.3. Hak yönetimi ekranında butonuna tıklayarak yeni kullanıcı ekleme ekranına
geçilir.
Resim 79- Kullanıcı Ekleme
Kullanıcı ekleme ekranında gerekli bilgiler doldurulduktan sonra “Kaydet” butonuna
basarak kullanıcı kaydedilir.
116
12.1.4. Var olan bir kullanıcının kimlik bilgilerini değiştirmek için Hak Yönetimi ekranındaki
butonu kullanılır.
12.1.5. Kullanıcı hesabını silme işlemi Kullanıcı Düzenleme ekranından “Silinmiş” seçilerek
yapılır.
12.1.6. Kullanıcıya rol atamak için, Hak Yönetimi ekranında Kullanıcı sekmesine gelinir.
Burada Kullanıcı Rolleri kısmında butonuna tıklanarak rol düzenleme ekranına
ulaşılır.
Resim 80 - Kullanıcı Rol Atama
Sağ tarafta tanımlanmış olan rol profilleri görülmektedir. Profil seçilip sol tarafa aktarılır
ve kaydedilir. Artık kullanıcı rol profilinin sahip olduğu yetkilere sahiptir.
12.1.7. Arama ekranlarının dışında Anlık İstatistik, İstatistik Raporlar, Sistem Uyarıları gibi
faydalı ekranlar vardır. Kullanıcıya hakları verildikten sonra aşağıdaki gibi bir ekran gelir.
117
Resim 81 - Kullanıcıya Atanmış Roller
Kullanıcı, tanımlanan firewall kaynakları üzerinde arama ve gelişmiş arama yapabilir,
istatistiksel raporları görebilir ve anlık istatistik hesaplatabilir.
Bir kullanıcıya tüm hakları vermek gerekiyorsa Rol ekranındaki bütün Görme ve
Değiştirme kutucukları işaretlenir.
12.1.8. Giriş yapmış olan kullanıcı şifresini değiştirmek için Dosya/Şifre Değiştir yardımı ile
şifre değiştirme ekranına ulaşabilir.
12.1.9. Mevcut ve Yeni Şifre değerleri girilir ve Tamam’a tıklanır.
118
Resim 82 - Şifre Değiştirme
12.2. Kullanıcı Rolleri
Yeni tanımlanan kullanıcı herhangi bir role sahip değildir. Sadece sisteme giriş hakkı vardır.
Kullanıcının diğer işlemleri de gerçekleştirebilmesi için kullanıcıya hak vermek gerekir.
12.2.1. Ayarlar / Hak Yönetimi / Rol sekmesine tıklayarak kullanıcı rollerinin belirleneceği
ekrana ulaşılabilir.
Resim 83 - Hak Yönetimi Roller
119
12.2.2. Kullanıcıya rol eklemeden önce bir rol profili oluşturmak gerekir. butonuna
tıklayarak rol profili oluşturulabilir.
12.2.3. Haklar bölümünden kullanıcının hangi sayfalara, log kaynaklarına veya pluginlere
erişebileceği belirtilir.
Açılır menünün Hepsi seçeneği düzenlenebilecek bütün hakların alt kısımda
görüntülenmesini sağlar. Sayfa kısmında rol profilinin görebileceği sayfalar belirlenir.
Örneğin kullanıcının arama yapabilmesi için alt kısımda Değer sütununda Arama yazan
satırı düzenlemek gerekir. Görme ve Değiştirme olmak üzere düzenlenebilecek 2 değer
vardır. Kullanıcının bir sayfa üzerinde değiştirme yapması istenmiyorsa Değiştirme alanı
işaretlenmemelidir.
12.2.4. Düzenlenme tamamlandıktan sonra butonuna tıklayarak değişiklikler kaydedilir.
Arama hakkı verildikten sonra kullanıcı arama ekranlarını görse de hangi kaynaklarda
arama yapılacağı belirtilmediği için arama ekranları boş gelecektir.
120
12.2.5. Arama hakkı verildikten sonra rol profilinin hangi kaynaklarda arama yapacağını
belirtmek gerekir. Haklar menüsünün Log Kaynağı kısmında log kaynakları görülebilir.
Resim 84 - Hak Yönetimi Rolleri - Log Kaynağı
12.2.6. Firewall için arama hakkı verildikten sonra değişiklikler kaydedilir. Daha sonra bu log
kaynakları için tanımlanan pluginleri görme hakkı verilmelidir. Rol / Haklar Açılır Menü /
Plugin seçeneği sistem üzerinde tanımlı log kaynaklarına ait pluginleri gösterir. Buradan
seçilen firewall kaynakları için tanımlanmış pluginler seçilmelidir.
121
Resim 85 - Hak Yönetim Rolleri - Plugin
12.2.7. Değişiklikler kaydedildikten sonra tanımlanan rol profili firewall logları üzerinde
arama ve gelişmiş arama yapabilir. Bir kullanıcının bu profilin sahip olduğu yetkilere
sahip olması için profilin kullanıcıya atanması gerekir. Bu işlem “9.1 Kullanıcı İşlemleri”
bölümünde anlatılmıştır.
122
13. Düzenli İfadeler (Regular Expressions)
Bir metin üzerinden belirli katar dizilerini tanıyacak yapıdır. Düzenli ifadeler ile belirli kalıp ve
şablonlara göre bir cümleyi alanlara bölebilirsiniz. Birçok programlama dilinde farklı gramer yapısında
kullanılır. CryptoLog’da bu yapı standartların dışında birkaç parametre ile alanlar belirtilir. Bu
döküman, logların ayrıştırılması için kullanılan düzenli ifadelerinin oluşturulması ve kullanımını
anlatmaktadır.
13.1. Düzenli İfade Elemanları
Bu karakterleri CryptoLog’da tanımlı temel düzenli ifade karakterleridir. Bunlar ile birlikte bir
sonraki tablolarda belirtilen nicelik belirleyici ve işleçler kullanılırsa daha doğru sonuçlar elde
edilir.
Karakter Açıklama Eşlenik
\w Harf, rakam ya da ‘_’ karakterleri [A-Za-z0-9_] \W Harf, rakam ya da ‘_’ olmayan karakterler [^A-Za-z0-9_] \d Rakam karakterleri [0-9] \D Rakam olmayan karakterler [^0-9] \s Boşluk karakterleri (boşluk, tab, yeni satır) [ \t\r\n\v\f] \S Boşluk olmayan karakterler [^ \t\r\n\v\f] . Bütün karakterler (Yeni satır karakteri hariç)
13.2. Düzenli İfade Nicelik Belirleyicileri
Nicelik belirleyicileri bir elemandan ne kadar sayıda olacağını belirtir. Bu karakterlerin
kombinasyonlarını kullanarak farklı algoritmalar elde edebilirsiniz.
Karakter Açıklama Eşlenik
? Önceki elemanı 0 ya da 1 kez tekrarlar {0,1} + Önceki elemanı 1 yada daha fazla tekrarlar {1,} * Önceki elemanı 0 ya da daha fazla tekrarlar
13.3. Düzenli İfade İşleçleri
İşleçler mantıksal ayrımları, gruplamayı, belirli sayıda tekrarlamaları kontrol etmek için kullanılır.
Bu operatörler ile düzenli ifadeler içinde ufak algoritmik ayrıştırıcılar yazmak daha kolay
olmaktadır.
Karakter Açıklama
{n} Önceki elemanı en az n kez tekrarlar. n >= 1 {m,n} Önceki elemanı en az m en çok n kez tekrarlar. m>=0 ve n>=m | Önceki veya sonraki eleman ile eşleşebilir [...] İçindeki karakter ya da elemanlar ile eşleşebilir [^...] İçindeki karakter ya da elamanlar ile eşleşmez. Olumsuz, değil karakteri () Gruplama işleci. CryptoLog kolon isimlerini vermek için kullanılır ^ Satır başı karakteri
123
$ Satır sonu karakteri \ Sonraki karakteri tanımlamak için kullanılır. Örneğin dolar karakteri ile
eşlemek için “\$” kullanılır.
13.4. Örnekler
Cümleleri ayrıştırmak için kullanılan düzenli ifadelerin birden fazla alternatifleri olabilir. En uygun
ve en hızlı düzenli ifadeyi yazabilmek için ayrıştırılan alana gelebilecek seçenekleri bilmek gerekir.
Düzenli İfade Açıklama Örnek(ler)
\w+ Birden fazla alfanumerik
karakterler ile eşleşir. aaBBcc_123
\d{4} Dört basamaklı sayı ile eşleşir. 1998,2012
Ab+c Nicelik belirleyici kullanımı.
A’dan sonra 1den fazla b ve c karakteri ile eşleşir.
Abc, Abbbc, Ac(eşleşmez)
\w+\s+\d+ Sırasıyla Alfanumberik boşluk sayısal karakterlerden oluşan
katar ile eşleşir. Mart 14, Syslog 12351457
a|b* a ya da b nin 0 dan fazla tekrarı
ile eşleşir. a, b, bb, bbb
(a|b)+ İçerisinde sadece a ve/veya b karakterlerinden en az 1 adet
içeren katar ile eşleşir.
a,b,aab,bba,bbbaba, abbbab
ab(X|Y|Z)cd Alternatif karakterler
kullanılabilir. abXcd, abYcd, abZcd
[^,]+ Virgül olmayan karakterler ile
eşleşir. Xyzasd4452
\d{1,3}.\d{1,3}.\d{1,3}.\d{1,3} IP versiyon 4 ile eşleşir. 10.10.4.251
\d{2}-\d{2}-\d{2,4} Tarih bilgisi ile eşleşir. 01-05-2012, 01-05-12
[A-Z0-9._%+-]+@[A-Z0-9.-]+\.[A-Z]{2,4}
Mail adresi ile eşleşir. [email protected]
*?
Tembel nicelik belirleyiciler olarak tanımlanır. Kendisinden önceki elemanın 0 ya da daha
fazla tekrarı ile eşleşir. İlk eşleştiği katar ile sonlanır,
eşleştikten sonra diğer permutasyonları denemez.
-.*?- düzenli ifadesi “abc -def- -ghi- jkl”
içerisindeki -def- ile eşleşir
+?
Tembel nicelik belirleyiciler olarak tanımlanır. Kendisinden önceki elemanın 1 ya da daha
fazla tekrarı ile eşleşir. İlk eşleştiği katar ile sonlanır,
eşleştikten sonra diğer permutasyonları denemez.
-.+?- düzenli ifadesi “abc -def- -ghi- jkl”
içerisindeki -def- ile eşleşir
124
13.5. CryptoLog Düzenli İfade Yapısı ve Regex Yardımcısı
Toplanan log kayıtlarını düzgün alanlara ayrıştırmanın temel yollarından biri düzenli ifadelerdir.
Log dosyaları satır satır işlenir ve plugin yapısı içerisinde ayrıştırıcı olarak kullanılan deyim
bileşenine göre kolonlara ayrılır. CryptoLog deposunda öntanımlı olarak yazılmış 400’den fazla
sistemin plugini hazır bulunmaktadır. Bu pluginlerin birçoğu düzenli ifadeler (regex) içeren
deyimlerden oluşur. İşlenen log satırı için, pir plugin altındaki deyimler id numarasına göre
büyükten küçüğe olarak sırası ile denenir. Düzenli ifade ile eşleşen satırlar, CryptoLog
çekirdeğinin anlayacağı şekilde dosya sistemine kaydedilir. Ancak sistemlerin sayısının fazla
olması, versiyonlar arası log tiplerinini değişmesi, özel uygulama loglarının farklı yapıda olması
son kullanıcıyı düzenli ifade yazarak plugin geliştirmeye itmektedir.
CryptoLog Düzenli İfadeler Yapısı
(?<KolonAdı1>düzenli_ifade1)düzenli_ifade(?<KolonAdı2>düzenli_ifade2)...
CryptoLog düzenli ifadesi oluştururken aşağıdaki adımlar dikkate alınmalıdır.
1. Düzenli ifadenin tamamı örnek log satırı ile uyuşmalıdır. Aksi takdirde gelen loglar
ayrıştırılmayacaktır.
2. İşlenmesi istenen veriler parantez içine alınıp gruplama yapılır. Kolon ismi ?<...>
ifadesinin içine yazılır. Gerçek log tarihi üzerinden arama yapılabilmesi için log içinde
geçen tarih için date1 parametresi kullanılır. Örn: (?<date1>\S+). Standart kolon isimleri
kullanılmasında fayda vardır.
(?<src_ip>\d{1,3}.\d{1,3}.\d{1,3}.\d{1,3})
(?<dst_ip>\d{1,3}.\d{1,3}.\d{1,3}.\d{1,3})
(?<src_port>\d+)
(?<dst_port>\d+)
(?<plugin_sid>\d+)
3. Log içerisinde göz ardı edilecek veriler gruplama (parantez) dışında tutulur.
Regex Yardımcısı
CryptoLog Client üzerinden Regex Yardımcısı ile yazılan düzenli ifadelerin testleri yapılabilir.
Ayrıştırılan kolonların detayları incelenebilir.
1. Ayarlar / Regex Yardımıcı seçilir.
125
2. Açılan formda üstteki alana düzenli ifade ortadaki alana örnek log satırları yapıştırılır.
butonu tıklanarak test başlatılır. Test satırları alanındaki veriler uygun kolon
alanlarına göre ayrışıtılır ve farklı renklerle işaretlenir. Alttaki alan test sonuçlarını verir.
Ayrışıtırılan log alanları gösterilir, bu alandaki herhangi bir kolona tıklandığında log
satırları içerisindeki yerini gösterir.
Resim 86 - Düzenli İfadeler Yardımcısı
126
13.6. Düzenli İfade Yazarken Dikkat Edilmesi Gerekenler
Yazılan düzenli ifadelerin hem bütün log satırlarını işlemesi hem de işleme performansı açısından
uyulması gereken kurallar vardır.
1. Düzenli ifadenin tam eşleşmesi için en uygun düzenli ifade ve nicelik belirleyicisi kullanmak
gerekir. Bilgisayar adı kısmına gelebilecek olan ip adresi değeri için ortak bir düzenli ifade
yazılmalıdır. Düzenli ifade alanları esnek olmalıdır. (?<bilgisayar_adi>\w+) değeri
database_server ile eşleşirken başka satırda bu kısıma gelen 172.17.7.2 değeri ile
eşleşmeyecektir. Bu sebeple \w+ yerine \S+ kullanmak daha doğru olacaktır. Bu durumda
işlenmemiş log satırı olmayacaktır. 2. Gereksiz alanlar ayrıştırılmamlıdır. Log içinde kullanılmayacak alanları ayrıştırmak sistem
kaynaklarının gereksiz yere tüketilmesine neden olur. 3. Tembel niceleyiciler kullanmaktan mümkün olduğunca kaçınılmalıdır. Bunların yerine daha
anlamlı niceleyiciler kullanılabilir. Aşağıda “,1234,” verisini tembel niceleyici ve farklı düzenli
ifade ile eşleşme adımlar gösterilmektedir. Tembel Niceleyici
,.*?, düzenli ifadesi kullanılacaktır. Her adımda eşleşme durumları gösterilecektir.
1) , - tamam
2) , - geri dön
3) ,1 - tamam
4) ,1 - geri dön
5) ,12 - tamam
6) ,12 - geri dön
7) ,123 - tamam
8) , 123 - geri dön
9) ,1234 - tamam
10) ,1234 - geri dön
11) ,1234, - tamam
^Düzenli İfadesi
,[^,]+, düzenli ifadesi kullanılacaktır. Her adımda eşleşme durumları gösterilecektir.
1) , - tamam
2) ,1234 - tamam
3) ,1234, - tamam
127
14. Göstergeler
Giriş yapıldıktan sonra, göstergeler ekranı açılır. Bu sayfada, işlemler ile ilgili ilk aşamada gerekli
olabilecek bilgilere ulaşılması amaçlanmıştır. Ekranda logların kaynaklarına göre dağılımı, son 6 aylık,
son 1 aylık ve gün içindeki toplam log sayısını sırasıyla aylık, haftalık ve saatlik olarak kategorize eden
grafikler, Cryptolog Dashboard programının sistem kaynaklarını kullanım oranını, EPS (Event Per
Second) değerini gösteren diyagramlar yer alır.
Resim 87 - Göstergeler
Bu diyagramlar üstüne fare ile çift tıklayarak yeni bir form ekranında daha büyük pencerede, ayrıntılı
biçimde incelenebilir.
128
Resim 88 - Günlük Log Durumu Göstergesi
Resim 89 - Maks EPS (Event Per Second) Göstergesi
Resim 90 - Log Kaynağına Göre Dağılım Göstergesi
Resim 91 - Saatlik Log Sayısı Göstergesi
Resim 92 - Log Durumu Göstergesi
Resim 93 - Sistem Kaynakları(CPU) Göstergesi
129
14.1. Özel Göstergeler Ekleme
CryptologClient yöneticisi izlemek istediği sistemlere has özel göstergeler üretebilir. Bu
göstergeler grafik türlerini kendi tanımlayabilir.
1. CryptologClient üzerinde Dosya / Göstergeler seçilir.
2. Gelen ekranda açılır menüde kayıtlı göstergeler bulunur.
3. Yeni gösterge eklemek için sağ taraftaki “Özel Göstergeleri Düzenle” butonu
kullanılır.
4. Özel göstergeleri düzenleme ekranı aşağıdaki gibidir. Parametreleri aşağıda açıklanmıştır.
130
Resim 94 - Özel Göstegeler Düzenleme Ekranı
Satır / Sütun Sayısı; Gösterge panelinde kaç satır ve sütun olacağını ayarlamak için
kullanılır.
Grafikler; Göstergelerde hangi grafiklerin olacağını gösteren paneldir.
Özel göstergeler zamanlama ; Göstergeler arası otomatik geçiş süresi tanımlamak için
butonu kullanılır. Açılan ekranda süre ayarlanır.
131
5. Satır/Sütun kısmındaki Tablonun Hücrelerini fare ile seçerek birleştirilebilir, tablo yapısını
değiştirilebilir.
6. Yeni grafik eklemek için “Yeni Grafik Ekle” butonuna basılır.
7. Grafik Ekleme Ekranı aşağıdaki gibidir.
132
Resim 95 - Özel Göstergeler Grafik Ekleme (Standart Grafikler)
Grafik Adı; Grafiğe isim vermek için kullanılır.
Açıklama; Tanımlanan grafik için açıklama eklemek için kullanılır.
8. Üç çeşit Nesne tipi tanımlanmıştır.
i. Standart Grafikler için Grafik Tipleri aşağıdaki gibidir. Bu grafikler Cryptolog
kurulduğunda ön tanımlı olarak gelmektedir.
Log Kaynağına Göre Dağılım; Pasta grafik türünde, logların plugine göre dağılımını
gösteren diyagram.
133
Son 1 Hafta Toplam; Sütun grafik türünde, son haftanın günlük toplam log sayısını
gösteren diyagram.
Son 6 Ay Toplam; Sütun grafik türünde, son 6 ayın, aylık toplam log sayısını gösteren
diyagram.
Bugün Saatlik; Sütun grafik türünde, o güne ait, saat bazında toplam log sayısını
gösteren diyagram
Disk CPU RAM; Cryptolog sunucusunun disk, işlemci ve bellek kaynaklarının kullanım
oranını anlık gösteren diyagram.
EPS (Dakika); Sistemin dakikalık ortalama EPS(Event Per Second) değerini gösteren
diyagram.
EPS (Saniye); Sistemin o saniyedeki EPS(Event Per Second) değerini gösteren diyagram.
EPS (Maks); Sistemin en yüksek EPS(Event Per Second) değerini gösteren diyagram.
EPS (Ay); Sistemin aylık ortalama EPS(Event Per Second) değerini gösteren diyagram.
Uyarılar; Sistem uyarılının gösterildiği diyagram.
Korelasyon Uyarıları; İlişkilendirme uyarılının gösterildiği diyagram.
Disk; Sistem farklı bölümlenmiş diskin doluluk oranının gösterildiği diyagram.
Web Sayfası (URL); CryptoLog Client Gösterge paneline, burada belirtilen web sayfası
görünüsü eklenebilir. Yerel ağda kullanılan herhangi bir sistemin web yönetim panelini,
ya da alarm, grafik gibi kısımları da olabilir.
ii. Plugin İstatistik Grafikler için Grafik Tipleri aşağıdaki gibidir. Burada Plugin için
tanımlanan İstatistik Raporları için Grafikler oluşturulmaktadır.
134
Resim 96 - Özel Göstergeler Grafik Ekleme (İstatistik)
Grafik Adı; Grafiğe isim vermek için kullanılır.
Açıklama; Tanımlanan grafik için açıklama eklemek için kullanılır.
Grafik Tipi; Pluginler için tanımlanan istatistiklerden birini seçmek için tanımlanır.
; Formlar / İstatistik Raporlar modülüne bağlantı yoludur.
Gruplama; Son, Günlük ya da Aylık seçeneklerinden biri seçilir.
Kayıt Sayısı; İstatistik için getirilecek satır sayısını belirler.
iii. Log Durumu Grafikleri için Grafik Tipleri aşağıdaki gibidir. Burada Pluginlerin
ve/veya Log Kaynaklarını Log Durumları için Grafikler oluşturulmaktadır.
135
Resim 97 - Özel Göstergeler Grafik Ekleme (Log Durumu)
9. Kaydet seçilir ve Özel Göstergeler 1 panelinde Grafikler izlenecek duruma gelir. Aşağıda
örnek özel göstergeler ekranları gösterilmektedir.
Resim 98 - Özelleştirilmiş Grafikler (Log Durumu)
136
Resim 99 - Özelleştirilmiş Grafikler (Genel)
Resim 100 - Özelleştirilmiş Grafikler (Genel)
137
Sözlük
CryptoLog Server - Cryptolog Core yazılımının üzerinde çalıştığı sunumcudur. Desteklediği sistemler
Ubuntu, OpenSuse, SLES, RedHat, Sentos, Solaris, Windows 2000, 2003, XP, 2008, Vista, 7
Cryptolog Client – Cryptologun yönetildiği yönetim arayüzüdür. Sadece windows üzerinde çalışır..Net
Framework 3.5 veya üstü gereklidir.
Cryptolog Agent – CryptoLog sunucusuna log gönderen, Windows işletim sistemi üzerinde çalışan
servistir.
EPS – Event Per Second. Saniye başına işlenen kayıt sayısıdır.
Hash – Büyük veri kümelerinin belirli algoritmalara göre üretilmiş özetidir. Veri doğrulamada
kullanılır.
Log Yönetim Sistemleri – Çeşitli ürün ve sistemlerin kayıtları, farklı metot ve protokollerle üzerinde
toplayan, gösteren sistemlere verilen genel addır.
Zaman Damgası – Bir olayın oluştuğu tarihi gösteren karakter dizisidir. Veri bütünlüğü sağlamak
amacıyla sertifika ve belirli zaman sunucularından alınan zaman ile üretilir.
Plugin - Deyim ve istatisliklerden oluşan yapıdır.
Deyim – Logu ayrıştıran yapıdır. Code veya Regex den oluşabilir.
138
Konu Fihristi
A, Ajan Görev Yönetimi ............................ 69 Ajan Kurulumu ..................................... 64 Ajan Yönetimi ...................................... 64 Anlık İstatistik ...................................... 30 Arama Filtreleme ................................. 18 Arama Sonuçlarını Raporlama .............. 16 Aramalar .............................................. 13 Arşivleme ............................................. 78 C,Ç, Cluster ............................................... 103 CryptoLog Düzenli İfade ..................... 124 Cryptolog Genel Bilgi .............................. 2 CryptoLog ile İlgili Dökümanlar ............... 3 Cryptolog Konfigürasyon ...................... 84 CryptoLog Regex Yapısı ...................... 124 Cryptolog Syslog Ayarları...................... 93 Cryptolog Syslog Sunucusu ................... 93 Çevrimiçi Erişim ...................................... 4 D, Depo .............................................. 56, 77 Depo Genel Özellikler ........................... 56 Depodan Alma ..................................... 61 Depoya Ekleme .................................... 62 Disk Kontrol ......................................... 97 Disk Kullanımı ...................................... 51 Dosya Hash Algoritması ........................ 90 Döküman Hakkında ................................ 3 Düzenli İfade Elemanları ..................... 122 Düzenli İfade İşleçleri ......................... 122 Düzenli İfade Nicelik Belirleyicileri ...... 122 Düzenli İfade Örnekler ....................... 123 Düzenli İfade Performans ................... 126 Düzenli İfadeler .................................. 122 E, Ek Dökümanlar ....................................... 3 Ekran Görüntüleri ........................ 128, 136 Gelişmiş Arama .................................... 21 Genel ..................................................... 2 Genel Kontroller ................................. 106 Göstergeler ........................................ 127
H, Hak Yönetimi .......................106, 114, 118 Hakkında ............................................... 3 Hash ............................................... 14, 81 I,İ, İçindekiler .............................................. 5 İlişkilendirme ...................................... 100 İmza Hash Algoritması ......................... 91 İstatistik.................................... 25, 28, 30 İstatistik Raporlar ................................ 25 K, Klasör İmzalama .................................. 99 Korelasyon.......................................... 100 Kullanıcı İşlemleri ....................... 106, 114 Kullanıcı Rolleri ................................... 118 Kümeleme .......................................... 103 L, Lisans Dosyası ...................................... 88 Log Aktarma ........................................ 81 Log Durumu ......................................... 46 Log Okuma TCP .................................... 92 Log Sıkıştırma ...................................... 93 Log Toplama Soketi Ayarları ................ 92 Log Toplama Yöntemleri ........................ 3 Log Yazma Ayarları .............................. 89 N, Nicelik Belirleyicileri ........................... 122 O,Ö, Otomatik Arşivleme ............................. 96 Otomatik IP Değişimi ........................... 99 Önbilgi ................................................... 2 Özel Göstergeler ................................. 129 P, Paylaşım Kontrolü................................ 98 Plugin Dosyası ..................................... 88 Pozisyon Dosyası ................................. 88 Pozisyon Yönetimi .............................. 108
139
R, Rapor .............................16, 25, 32, 48, 49 Rapor Çalışma Planı .............................. 40 Rapor Yöneticisi ................................... 44 Raporlar ............................................... 34 Regex ................................................. 122 Regex Örnekler .................................. 123 Regex Performans .............................. 126 Regex Yardımcısı ................................ 125 Regex Yardımıcısı ............................... 124 S,Ş, Sensör ................................................ 100 Sertifika ............................................... 89 Sistem Analizleri ................................... 46 Sistem Ayarları ..................................... 86 Sistem Durumu .................................... 50 Sistem Logu ................................. 110, 112 Sistem Sağlık Kontrolü .......................... 98 Sistem Uyarıları .................................... 53 Sistem Yeniden Başlatma ..................... 85 Sunucu Yönetimi ................................ 106
Syslog .................................................. 93 Şifre Değiştirme .................................. 117 U, Uyarı E-posta Ayarları .......................... 54 Uzaktan Ajan Kurulumu ....................... 64 V, Veritabanı Bağlantı İfadesi ................... 87 Veritabanına Log Yazma ..................... 103 W, Web Deposu ........................................ 59 Y, Yardımcı Dökümanlar ............................ 3 Yedekleme ........................................... 77 Yönetim Soketi Ayarları ....................... 91 Z, Zaman Damgası .................................. 102
140
Resimler Fihristi
Resim 1 - CryptoLogClient Giriş Ekranı ................................................................................................... 8
Resim 2 - CryptoLog Sunucular ............................................................................................................... 9
Resim 3 - CryptoLog Sunucu Ekleme Ayarları (SqlServer) ....................................................................... 9
Resim 4 - CryptoLog Sunucu Ekleme Ayarları (Mysql) .......................................................................... 10
Resim 5 - Sunucu Ayarları Test Başarılı ................................................................................................. 11
Resim 6 - Test Başarısız - IP Adresi Engel .............................................................................................. 12
Resim 7 - Test Başarısız - Veritabanı İsmi Hatalı ................................................................................... 12
Resim 8 - Test Başarısız - Kullanıcı Adı / Şifre Hatalı ............................................................................. 12
Resim 9 - Menü / Aramalar .................................................................................................................. 13
Resim 10 - Arama Sayfası ..................................................................................................................... 13
Resim 11 - Arama Plugin Seçimi ........................................................................................................... 14
Resim 12 - Aramalar Hash/Imza Tarihi ................................................................................................. 14
Resim 13 - Arama Sonuçları .................................................................................................................. 15
Resim 14 - Sorgu Raporu ...................................................................................................................... 16
Resim 15 - Arama Şartları ..................................................................................................................... 18
Resim 16 - Arama Operatörleri............................................................................................................. 19
Resim 17 - Arama Şartları ..................................................................................................................... 20
Resim 18 - Kayıtlı Sorgu Şartları ............................................................................................................ 21
Resim 19 - Gelişmiş Arama ................................................................................................................... 22
Resim 20 - Gelişmiş Arama Sonuçları ................................................................................................... 24
Resim 21 - Plugin'e İstatistik Ekleme .................................................................................................... 26
Resim 22 - İstatistik Ekleme Formu ...................................................................................................... 27
Resim 23 - İstatistiksel Raporlar ........................................................................................................... 29
Resim 24 - Anlık İstatistik Şartları ......................................................................................................... 31
Resim 25 - Anlık İstatistik Sonuçları ...................................................................................................... 32
Resim 26 - Rapor Şablonları ................................................................................................................. 34
Resim 27 - Yeni Rapor Şablonu Ekleme Formu ..................................................................................... 35
Resim 28 - Rapor Çalışma Planı Düzenleme Formu .............................................................................. 40
Resim 29 - Rapor Yöneticisi Ekranı ....................................................................................................... 45
Resim 30 - Rapor Tarihçesi ................................................................................................................... 45
Resim 31 - Log Durumu Ekranı ............................................................................................................. 47
Resim 32 - Log Durumu Sonuçları......................................................................................................... 48
Resim 33 - Sistem Durumu Ekranı ........................................................................................................ 51
Resim 34 - Disk Kullanımı ..................................................................................................................... 52
Resim 35 - Sistem Uyarıları ................................................................................................................... 53
Resim 36 - Uyarı Eposta Ayarları .......................................................................................................... 54
Resim 37 - CryptoLog Depo .................................................................................................................. 57
Resim 38 - Plugin Deposu ..................................................................................................................... 58
141
Resim 39 - Depoya Ekleme ................................................................................................................... 59
Resim 40 - Web Deposu ....................................................................................................................... 60
Resim 41 - Depodan Alma .................................................................................................................... 62
Resim 42 - Uzaktan Ajan Yükleme ........................................................................................................ 65
Resim 43 - Uzaktan Ajan Yükleme Başarılı ............................................................................................ 66
Resim 44 - Uzak Ajan Kaldırma ............................................................................................................. 66
Resim 45 - Uzak Ajan Kaldırma Başarılı ................................................................................................ 67
Resim 46 - Ajan Uzaktan Çoklu Bilgisayarlardan Kaldırma .................................................................... 68
Resim 47 - Ajan Görev Yönetimi ........................................................................................................... 70
Resim 48 - Ajan Görev Listesi ............................................................................................................... 70
Resim 49 - Ajan Görev Detayları ........................................................................................................... 72
Resim 50 - Ajan Görev Değiştirme ........................................................................................................ 74
Resim 51 - Sistem Konfigurasyon ......................................................................................................... 85
Resim 52 - Sistem Konfigurasyom - Durum .......................................................................................... 85
Resim 53 - Sistem Konfigurasyom - Sistem ........................................................................................... 87
Resim 54 - Sistem Konfigurasyom - Sistem(Diğer) ................................................................................ 88
Resim 55 - Sistem Konfigurasyom - Log Yazma .................................................................................... 90
Resim 56 - Sistem Konfigurasyom - Yönetim Soketi ............................................................................. 91
Resim 57 - Sistem Konfigurasyom - Log Toplama Soketi ...................................................................... 92
Resim 58 - Sistem Konfigurasyom - Log Sıkıştırma ............................................................................... 93
Resim 59 - Sistem Konfigurasyom - Syslog ........................................................................................... 94
Resim 60 - Sistem Konfigurasyom - Otomatik Arşivleme...................................................................... 96
Resim 61 - Sistem Konfigurasyom - Disk Kontrol .................................................................................. 97
Resim 62 - Sistem Konfigurasyom - Paylaşım Kontrol .......................................................................... 98
Resim 63 - Sistem Sağlık Kontrolü ........................................................................................................ 98
Resim 64 - Otomatik Ip Değişimi .......................................................................................................... 99
Resim 65 - Klasör Dosya İmzalama ....................................................................................................... 99
Resim 66 - - Sistem Konfigurasyom - Korelasyon ............................................................................... 100
Resim 67 - Sistem Konfigurasyom - Sensör ........................................................................................ 101
Resim 68 - Sistem Konfigurasyom - Zaman Damgası .......................................................................... 102
Resim 69 - Sistem Konfigurasyom - Küme Modu ................................................................................ 103
Resim 70 - Sistem Konfigurasyom - DB Log Yazma ............................................................................. 104
Resim 71 - Plugin Güncelleme (Ajan).................................................................................................. 105
Resim 72- Sunucu Yönetimi ................................................................................................................ 107
Resim 73 - Sunucu Ekleme ................................................................................................................. 107
Resim 74 - Pozisyon Yönetimi ............................................................................................................. 109
Resim 75 - Poziyon Yönetimi Arama ................................................................................................... 110
Resim 76 - Pozisyon Düzenleme ......................................................................................................... 110
Resim 77 - Sistem Logu....................................................................................................................... 111
Resim 78 - Kullanıcı Tanımlama Ekranı ............................................................................................... 115
Resim 79- Kullanıcı Ekleme ................................................................................................................. 115
Resim 80 - Kullanıcı Rol Atama .......................................................................................................... 116
Resim 81 - Kullanıcıya Atanmış Roller................................................................................................. 117
Resim 82 - Şifre Değiştirme ................................................................................................................ 118
Resim 83 - Hak Yönetimi Roller .......................................................................................................... 118
142
Resim 84 - Hak Yönetimi Rolleri - Log Kaynağı.................................................................................... 120
Resim 85 - Hak Yönetim Rolleri - Plugin ............................................................................................. 121
Resim 86 - Düzenli İfadeler Yardımcısı................................................................................................ 125
Resim 87 - Göstergeler ....................................................................................................................... 127
Resim 88 - Günlük Log Durumu Göstergesi ........................................................................................ 128
Resim 89 - Maks EPS (Event Per Second) Göstergesi .......................................................................... 128
Resim 90 - Log Kaynağına Göre Dağılım Göstergesi ........................................................................... 128
Resim 91 - Saatlik Log Sayısı Göstergesi ............................................................................................. 128
Resim 92 - Log Durumu Göstergesi .................................................................................................... 128
Resim 93 - Sistem Kaynakları(CPU) Göstergesi ................................................................................... 128
Resim 94 - Özel Göstegeler Düzenleme Ekranı ................................................................................... 130
Resim 95 - Özel Göstergeler Grafik Ekleme (Standart Grafikler) ........................................................ 132
Resim 96 - Özel Göstergeler Grafik Ekleme (İstatistik) ....................................................................... 134
Resim 97 - Özel Göstergeler Grafik Ekleme (Log Durumu) ................................................................. 135
Resim 98 - Özelleştirilmiş Grafikler (Log Durumu) .............................................................................. 135
Resim 99 - Özelleştirilmiş Grafikler (Genel) ........................................................................................ 136
Resim 100 - Özelleştirilmiş Grafikler (Genel) ...................................................................................... 136
143
CryptoLOG
CryptoLOG, CryptTECH Kripto ve Bilişim Firması tarafından üretilmiş her türlü LOG formatını sisteme
tanıtabildiğiniz ölçeklenebilir, güvenilir, ideal KAYIT TUTMA Sistemidir. Günümüzde iş yapış
biçimlerinin değişmesi sonucu bilgilerin hızla dijital ortama taşınması ve internet kullanımın
yaygınlaşması ile birlikte bu bilgilerin güvenliğinin sağlanması konusu da önem kazanmıştır. Bilgi
güvenliğinin sağlanması için en öncelikli adımlardan biri sistem ve uygulamaların kayıtlarının
tutulmasıdır. Bilgi Güvenliği Bilgi ve Olay Yönetim Sistemi; güvenlik yazılımları, sistem ve
uygulamaların ürettikleri kayıtların merkezi bir ortamda toplanarak Normalizasyon (Normalization),
Konsolidasyon (Consolidation), Birleştirme (Aggregation), İlişkilendirme (Correlation) ve
Görselleştirme (Visualization) adımlarından sonra üzerinde tanımlanan kurallara göre güvenlik
ihlalleri ya da anormal aktiviteler için alarmlar üreterek proaktif önlemler alınmasını sağlayan bir
sistemdir.
www.crypttech.com