Bu makalede, log üreten kaynak hakkında anlık olarak daha fazla bilgi sahibi olabilmek için Logsign sunucusuna gönderilen tüm log bilgileri içerisinde kaynak ip (source ip) ifadesi bulunan tüm log kayıtlarına, aynı zamanda kaynak mac addresi bilgilerini de eklemeyi nasıl yapabileceğimizi göreceğiz.
Mesela Fortigate firewall'da web filtresi tarafından üretilen web erişim loglarında (web access log) varsayılan olarak kaynak ip adresi bulunurken kaynak mac adresi görüntülenmez. Bu tür durumlarda kaynak mac adresi bilgisine ulaşılabilmesi için ilgili web erişim logunun oluştuğu tarih/saatte oluşmuş olan dhcp loglarına da ayrıca bakılarak kaynak mac adresinin öğrenilmesi gerekir. Bu durum zaman alıcı bir işlem olduğundan, bu makalede anlatılacağı gibi web filtre loglarına kaynak mac adresi bilgisi logsign tarafından eklendiğinde tek ekranda tüm bilgilere ulaşılabilecektir.
Bunun için öncelikle "Alerts" sekmesindeki "Assets and behaviours" bölümüne giriş yapıyoruz. Bu sayfada "New List" tıklayarak açılan pencerede aşağıdaki ayarları yapacağız:
Sayfada "Advanced mode" aktif edildikten sonra aşağıdaki şekilde bilgi girişi yapalım:
Type: State Tracker
Severity: Information
Severity: Information
Entry conditions: Eventmap.Type is DHCP
Key Column: Source.IP (Source ip geçen logları bul diyoruz)
Collect Columns: Source.MAC ( Bu loglardaki source.mac değerlerinden bir asset oluştur dedik)
Purge period: 36000 (10 saat)
Modifier bölümünde ise aşağıdaki ayarları yapacağız:
Key Field: Source.IP
Modify Field: Source.CorrMAC (yeni bir veri alanı ekleyeceğiz ve bu alanın adı Source.CorrMAC olacak)
Value:$add $value[Source.MAC]
Bu sayede artık fortigate web filtre loglarında Source.CorrMAC field'ını da görebilmekteyiz:
Umarım faydalı olmuştur.
Murat TAŞ
Hiç yorum yok:
Yorum Gönder