Bu makalede, log üreten kaynak hakkında anlık olarak daha fazla bilgi sahibi olabilmek için Logsign sunucusuna gönderilen tüm log bilgileri içerisinde kaynak ip (source ip) ifadesi bulunan tüm log kayıtlarına, aynı zamanda kaynak kullanıcı adı (source user name) bilgisini de eklemeyi nasıl yapabileceğimizi göreceğiz.
Mesela Fortigate firewall'da web filtre (web filter) tarafından üretilen bazı loglarda kaynak ip adresi bulunurken kaynak kullanıcı adı bilgisi görüntülenmez. Bu tür durumlarda kaynak kullanıcı adı bilgisine ulaşılabilmesi için ilgili web erişim logunun oluştuğu tarih/saatte oluşmuş olan active directory logon (event id: 4624) loglarına ayrıca bakılarak kaynak kullanıcı adı'nın öğrenilmesi gerekir. Bu durum zaman alıcı bir işlem olduğundan, bu makalede anlatılacağı gibi web filtre loglarına kaynak kullanıcı adı bilgisi logsign tarafından eklendiğinde tek ekranda tüm bilgilere ulaşılabilecektir.
Bunun için öncelikle "Alerts" sekmesindeki "Assets and behaviours" bölümüne giriş yapıyoruz. Bu sayfada "New List" tıklayarak açılan pencerede aşağıdaki ayarları yapacağız:
Sayfada "Advanced mode" aktif edildikten sonra aşağıdaki şekilde bilgi girişi yapalım:
Type: State Tracker
Severity: Information
Severity: Information
Entry conditions: Event.VendorID is 4624
Key Column: Source.IP (Source ip geçen logları bul diyoruz)
Collect Columns: Source.UserName (Bu loglardaki Source.UserName değerlerinden bir asset oluşturuyoruz)
Purge period: 36000 (10 saat)
Modifier bölümünde ise aşağıdaki ayarları yapacağız:
Key Field: Source.IP
Modify Field: Source.ADCorrUser (yeni bir veri alanı ekleyeceğiz ve bu alanın adı Source.ADCorrUser olacak)
Value:$add $value[Source.ADCorrUser]
Bu sayede, fortigate web filtre loglarında Source.ADCorrUser field'ını da görebilme, trafiği üreten kullanıcı adı (username) bilgisine de tek ekranda ulaşabilmekteyiz:
Umarım faydalı olmuştur.
Murat TAŞ
Hiç yorum yok:
Yorum Gönder