Vous êtes sur la page 1sur 15

2010

AnetLogCollector

Ertuğrul AKBAS
[ANET YAZILIM]
19.01.2011
2

ALC: LOG TOPLAMA VE ANALİZ PROGRAMI

ALC :

Log toplama programı 01.11.2007 tarihli ve 26687 sayılı Resmi Gazete'de


yayımlanan İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönet melik’in 5 inci maddesi
birinci fıkrasının (e) bendine istinaden, (d) bendi gereğince, ticari amaçla internet
toplu kullanım sağlayıcılarının elektronik ortamda sistemlerine kaydetmelerini
sağlayan log kayıt programıdır.

Logarının doğruluğunun ve bütünlüğünün teyit edilebilmesi için


Telekomünikasyon İletişim Başkanlığı tarafından hazırlanan IP Log İmzalayıcı
programı ile birlikte kullanılmaktadır

ALC ile 5651 Nolu yasa kapsamında sistemde alınması gereken tüm logların merkezi
bir noktaya toplanmasını ve kanunda belirtilen Bilgilerin Doğruluğunu, Bütünlüğünü ve
oluşacak olan verinin dosya bütünlük değeri olan HASH bilgisinin zaman damgası ile
saklanmasını ve gizliliğinin temin edilmesini sağlayan bir sistemdir. Sistem : Firewall,
UTM sistemler, Sunucular, Aktif cihazlar, Database’ler ve kullanıcı
bilgisayarlarında üretilmiş olan logların merkezi bir noktaya toplanmasını,
HASH alınıp üzerine Zaman Damgası vurularak Bilgilerin Doğruluğunun ve
Bütünlüğünün korunmasını sağlayan bir uygulamadır. Sistem yapısında toplanan
loglar ve verilerde hiçbir değişiklik yapılmadan sistemin tanıyacağı formata çevrilir. ALC
web tabanlı bir arayüze sahiptir, dolayısı ile uzak bağlantı ile yönetim ve konfigurasyon
yapılabilir.

ALC Giriş Ekranı: Programa ilk kurulduğunda gelen ekrana Kullanıcı adı admin “Şifre
olarakta demo olacak şeklinde girip Login butonuna basınız.

2
3

AYARLAR

GENEL AYARLAR:

Bu sayfada Cihazlardan gelen logların Veritabanına kaydedilip kaydedilmeyeceği ayarı yapılır.”BÜTÜN LOGLARI
VERİTABANINA KAYDET” seçeneğini işaretlersek gelen tüm loglar geldikleri gibi işlenmemiş halleriyle
veritabanına işlenir.

Ayrıca DNS CONVERTER ayarında enable tıklanıp süre belirtilirse burada belirtilen periyotlarda Reverse DNS
yaparak HOSTNAME çözümlemesi yapar.

SYSLOG AYARLARI:

LOG AYARLARISYSLOG AYARLARI

Syslog standardında log kaydı yapabilen cihazlardan log toplayabilmek için SYSLOG
ayarlarının yapılması gerekir. Syslog ekranından birden fazla SYSLOG server
oluşturabilirsiniz.

3
4

Ekleme ekranında syslog server oluşturulacak ip ve syslog server a verilecek ad girilir.


Birden çok syslog oluşturmak için port ekle butonuna basmak yeterlidir.

Gelen ekrana port u “514” gibi sayı olarak ismi de alfanümerik bir değer girilmelidir.

SNMP-TRAP AYARLARI:

LOG AYARLARI SNMP-TRAP LOG AYARLARI

SNMP-TRAP standardında log kaydı yapabilen cihazlardan log toplayabilmek için SNMP-
TRAP ayarlarının yapılması gerekir. SNMP-TRAP ekranından birden fazla server
oluşturabilirsiniz.

Ekleme ekranında SNMP-TRAP server oluşturulacak ip ve SNMP-TRAP server a verilecek


ad girilir. Birden çok SNMP-TRAP oluşturmak için port ekle butonuna basmak yeterlidir.

Gelen ekrana port u “162” gibi sayı olarak ismi de alfanümerik bir değer girilmelidir.

TEXT-LOG AYARLARI:

LOG AYARLARITEXTLOG AYARLARI

Windows DHCP logları veya loglarını text olarak export eden cihazlardan log
toplayabilmek için TEXT LOG ayarlarının yapılması gerekir. TEXT LOG ekranından birden
fazla dosya yada dizinine aktarılan loglar sisteme alınır.

4
5

Takip edilecek olan dosyalar ara yüz kullanılarak sisteme tanıtılır.

Tipi: Takip edilecek sistem dosya mı dizin mi seçilir

Path: Dosyanın path i

File Başlangıcı: Takip edilecek dosyalarının adında başlangıcında geçmesini istediğiniz


kelime

FTP AYARLARI:

LOG AYARLARIFTPLOG AYARLARI

IP ARALIĞI AYARLARI:

Sisteminizde yasa kapsamında dinlenmemesi gereken cihazlar (Camera,Fax cihazı,vs..)varsa buradan Tek IP
panelini doldurarak dinlenmesi gerek IP adreslerini programa bildirebilirsiniz.

ÖRN:192.168.1.5 IP adresini dinle şeklinde komut verebilirsiniz.

AAAAA

Bununla birlikte IP aralığı şeklinde de ekleme yapabilirsiniz

ÖRN:192.168.1.25 ile 192.168.2.55 arasını dinle şeklinde programı yönlendirebilirsiniz.

LİSANS AYARLARI:

5
6

Anet Yazılım tarafından size verilen Lisans ID numarasıyla birlikte Kullanıcı bilgilerinizi girip Kaydet butonuna
tıklayarak Lisanslama yapabilirsiniz.

NOT:Lisans bilgileri eklerken Türkçe karakter kullanmadan ve boşluk bırakmadan kutucukları doldurmanız
gerekmektedir.

KULLANICI AYARLARI:

Bu ekranda kullanıcı ekleme, değiştirme ve silme ekranıdır. İki farklı kullanıcı tipi
oluşturabilirsiniz.

Administrator: Programda bütün değişiklikleri yapma, farklı konfigürasyonlar oluştura


bilme ve aynı zamanda tüm raporları görme hakkında sahiptir.

Sınırlı Kullanıcı: Bu statüdeki kullanıcı tamamen sınırlı olup ayarlara hiç ulaşmaz sadece
raporları görme hakkına sahiptir. Değiştirme Silme ve Ekleme hakkında sahip değildir.

6
7

YEDEKLEME AYARLARI:

ALC default olarak her ayın son günü aldığı tüm raporları yedekler ancak buradaki yedekleme ayarlarına
gelerek “Yedeklemeyi Şimdi Yap ” seçeneğini aktif ederseniz veri tabanının manuel olarak yedeğini almış
olursunuz.

RAPOR AYARLARI:

Oluşturulacak EXCELL ve PDF raporları için raporlama limit belirtebilirsiniz. Bu işlemi yapabilmeniz için rapor
ayarları sekmesine gelerek alfanümerik bir değer girmelisiniz.

Ek olarak bu sekmeden Özet ve Özel raporlama alternatiflerini kullanabilirsiniz.

7
8

Özet raporlarda

 Son bir saat


 Bugün
 Dün
 Son bir hafta
 Son iki hafta
 Son bir ay

Şeklinde seçenekler mevcuttur . özel raporlarda ise istediğiniz tarih aralığını seçerek rapor sorgusu
oluşturabilirsiniz.

RAPORLAR

DHCP RAPORLARI:

DHCP: 5651 Nolu yasa kapsamında sistemde alınması gereken tüm logların merkezi bir
noktaya toplanmasını ve kanunda belirtilen Bilgilerin Doğruluğunu, Bütünlüğünü ve
oluşacak olan verinin dosya bütünlük değeri olan HASH bilgisinin zaman damgası ile
saklanmasını ve gizliliğinin temin edilmesini sağlayan bir Ayrıca tarih aralıklarına göre
yada ip aralıklarına göre sorgu yapma imkanı sağlar. Excell, Pdf butonlarına basılarak
Excell ve Pdf formatında raporlar alınabilir.Ayrıca Kanunun istediği formata çevirimle
işlemi de yapılır.

Cpu:Programın Kurulu olduğu bilgisayardaki işlemcinin (CPU) o an için ne kadar


kullanıldığını gösterildiği grafiktir.

Disk:Programın Kurulu olduğu bilgisayardaki diskin C dizinin kapasitesini gösterir.

RAM: Programın Kurulu olduğu bilgisayardaki anlık RAM kullanım oranını gösterir.

8
9

SYSLOG RAPORLARI:

SYSLOG: Sistemde mevcut olan network kartlarını üzerinden geçen trafik gözetlenerek
log kayıtları tutulur. Bu raporda filtremle yapılmayarak tüm protokollerin logları kayıt
altına alınır.Ayrıca bütün loglar ve kayıtlar arasındaki ilişkinin sağlanması ve
değiştirilemeden sağlanması için HASH+zaman damgası kullanılarak tüm loglar
imzalanmış olur. Tarih aralıklarına göre yada ip aralıklarına göre sorgu yapma imkanı
sağladığı gibi Kendi REGULAREXPRESSION komutunuzu girerek sorgu oluşturabilirsiniz.
Excell,Pdf, butonlarına basılarak Excell ve Pdf fromatında raporlar alınabilir.

Cpu:Programın Kurulu olduğu bilgisayardaki işlemcinin (CPU) o an için ne kadar


kullanıldığını gösterildiği grafiktir.

Disk:Programın Kurulu olduğu bilgisayardaki diskin C dizinin kapasitesini gösterir.

RAM: Programın Kurulu olduğu bilgisayardaki anlık RAM kullanım oranını gösterir.

9
10

Ek olarak REGULAR-EXPRESSION örneği arayüzde mevcuttur.

10
11

BİLGİ

SİSTEM BİLGİSİ:

Lisanslama sonrası kullanıcının lisans ID siyle birlikte diğer lisanslama bilgilerini görebileceği sayfadır.

LOGOUT

LOGOUT:

Programda oturum açan kullanıcı bu TAB’ı kullanarak oturumunu sonlandırabilir.

11
12

MS EXCHANGE,ZIMBRA,POSTFIX,MERAK VB.. MAIL SUNUCU

Mail sunuculardan log toplamanın en kolay yolu mail sunucu log dosyalarını takip etmektir. Bu takip dosya
değişir değişmez dosyadaki değişiklikleri analiz edip kimin kime hangi server üzerinden mail attığını ilişkisel
veritabanında dijital imzalı olarak tutmak şeklinde gelişir. Aşağıdaki ekranda takip edilecek log dosyasının
sisteme eklenmesi gösterilmektedir.

LOG AYARLARITEXTLOG AYARLARI

Windows DHCP logları veya loglarını text olarak export eden cihazlardan log
toplayabilmek için TEXT LOG ayarlarının yapılması gerekir. TEXT LOG ekranından birden
fazla dosya yada dizinine aktarılan loglar sisteme alınır.

MICROSOFT DHCP SUNUC U

Microsoft DHCP sunucusunun loglarını takip etmek ve analiz edebilmek için AYARLAR-TEXT LOG AYARLARI yolu
izlenerek DHCP sunucu log dosyaları sisteme tanıtılır

12
13

LOG AYARLARITEXTLOG AYARLARI

Windows DHCP logları veya loglarını text olarak export eden cihazlardan log
toplayabilmek için TEXT LOG ayarlarının yapılması gerekir. TEXT LOG ekranından birden
fazla dosya yada dizinine aktarılan loglar sisteme alınır.

Bu işlemden sonra sistem logları analiz edip RAPORLAR altındaki DHCP raporları kısmına aktarır.

MICROSOFT ISA SERVER

Microsoft ISA SERVER loglarını takip etmek için AYARLAR-TEXT LOG AYARLARI yolu izlenerek ISA SERVER log
dosyaları sisteme tanıtılır

LOG AYARLARITEXTLOG AYARLARI

Windows DHCP logları veya loglarını text olarak export eden cihazlardan log
toplayabilmek için TEXT LOG ayarlarının yapılması gerekir. TEXT LOG ekranından birden
fazla dosya yada dizinine aktarılan loglar sisteme alınır.

13
14

Bu işlemden sonra sistem logları analiz edip RAPORLAR altındaki FIREWALL ve URLLOG raporları kısmına aktarır.

SYSLOG MESAJLARININ GELİP GELMEDİĞİNİN KONTROLÜ

Bu sayfada Cihazlardan gelen logların Veritabanına kaydedilip kaydedilmeyeceği ayarı yapılır.”BÜTÜN LOGLARI
VERİTABANINA KAYDET” seçeneğini işaretlersek gelen tüm loglar geldikleri gibi işlenmemiş halleriyle
veritabanına işlenir.

Ayrıca DNS CONVERTER ayarında enable tıklanıp süre belirtilirse burada belirtilen periyotlarda Reverse DNS
yaparak HOSTNAME çözümlemesi yapar.

14
15

Bu ayarlar yapıldıktan sonra gelen bütün SYSLOG mesajları RAPORLAR-SYSLOG yoluyla görüntülenebilir veya
imzalanmış olarak Excel dosyasına indirilebilir.

TEXT DOSYALARININ TA KIBI

Text dosyalarının takibinde interval değeri kritiktir.

Takip edilecek dosya 200 M ise 3000 bu oran korunarak girilmelidir.3GB i7 bir sistemde 1500000 kayıt yaklaşık
40 dakikada rapor oluşturulabilir hale gelmektedir. Bu süreyi düşürmek için RAM arttırılmalıdır. Mesela aynı
sistem 6 GM ram ile 25 DK da işlemi bitirebilmektedir.Bu performansı yakalayabilmek için

1-Startdb.bat dosyasındaki değerler arttırılmalı

2-service configurasyonundaki –Xmx değeri arttıtılmalıdır

15