14 Ağustos 2012 Salı

Windows DHCP loglarının EPILOG aracı ile Syslog Server'a gönderimi

Her uygulama ve aktif cihazlar loglarını doğrudan Syslog sunucuya gönderemez. Bu gibi durumlarda logların Syslog sunucuya uygun formatta gönderilmesi için aracı program kullanılır. Bu yazımızda DHCP sunucuya ait logları Epilog adlı aracı kullanarak Syslog sunucuya gönderilmesini uygulamalı olarak anlatacağım.

 

DHCP Ayarları:

- Öncelikle DHCP sunucumuzun denetim (audit) log ayarlarını kontrol yapalım. Daha sonra logların bulunduğu klasör ve dosyaları inceleyelim. DHCP penceresini açalım sunucu adı altında bulunan (Resim-1 -1- numaralı) IPv4 üzerinde fare ile sağ tıklayalım. Gelen menüden (Resim-1 -2- numaralı) 'Properties' seçelim.

[caption id="attachment_62" align="aligncenter" width="599"] Resim-1[/caption]

- Açılan pencerenin ilk sekmesinde bulunan 'Enable DHCP audit logging' kutucuğunun işaretli değilse işaretleyelim.

[caption id="attachment_63" align="aligncenter" width="404"] Resim-2[/caption]

- Daha sonra (Resim-3 -1- numaralı) 'Advanced' sekmesine geçelim. "Audit log file path:" alanı (Resim-3 -2- numaralı) logların bulunduğu klasördür. İsteğe göre 'Browse' butonuna tıklanarak değiştirilebilir.

[caption id="attachment_64" align="aligncenter" width="404"] Resim-3[/caption]

- Klasörde bulunan (Resim-4) "DhcpSrv-*.log" dosyaları IPv4'e aittir. "DhcpV6Srv-*.log" dosyaları da IPv6'ya aittir. Son bir haftanın günü için bir adet log dosyası tutulmuştur. Hareketlilik olmayan günlere ait log dosyası olmaz.

[caption id="attachment_65" align="aligncenter" width="701"] Resim-4[/caption]

 

Epilog Kurulumu:

Şimdi de Windows Epilog aracını indirelim ve kurulumunu yapalım. Download sayfası http://www.intersectalliance.com/projects/EpilogWindows/index.html şeklindedir. 32bit ve 64 bit ayrımı olmaksızın doğrudan Link1 veya Link2 'den indirebilirsiniz.

- Kurulumu başlatalım, hoş geldiniz ekranını 'Next' butonuna tıklayarak geçelim.

-Lisans sözleşmesini 'I accept the agreement' işaretleyerek kabul edelim ve 'Next' butonuna tıklayalım.

- Epilog servis bazlı çalışan bir uygulamadır. Gelen ekranda Epilog servisinin hangi kullanıcı  hakları ile çalışacağı belirtilmelidir. En yetkili kullanıcı "System Account" kullanıcısıdır. Aktif dizin için tanımlanmış özel bir kullanıcı var ise yazılır yoksa "Use System Account" seçeneğinde değişiklik yapılmadan 'Next' butonuna tıklanır.

- 'Remote Control Interface' ekranı Epilog uygulamasına erişimi belirlediğimiz ekrandır. Epilog uygulamasına web üzerinde erişim sağlamak için 'Enable Web Access' (Resim-5 -1- numaralı) kutucuğunu işaretleyelim. Erişimin şifreli mi yoksa şifresiz mi olacağını (Resim-5 -2- numaralı) belirleyelim. Şifresli olsunu yani 'Yes - Please enter a password' seçtiysek (Resim-5 -3- numaralı) alana şifremizi girelim. Son olarak ta Epilog'a erişim sadece lokal sunucudan mı olacak yoksa heryerden mi erişilecek ayarını yapalım. Sadece lokal sunucudan erişilebilmesi için (Resim-5 -4- numaralı) 'Local access only?' kutucuğunu işaretleyelim ve 'Next' butonuna tıklayarak bir sonraki adıma geçelim.

[caption id="attachment_66" align="aligncenter" width="501"] Resim-5[/caption]

Not:  Yapılan ayarlamalar sonradan değiştirilebilir.

- Epilog uygulamasının kurulacağı klasörde değişiklik yapmak istiyorsak 'Browse...' butonuna tıklayalım ve kurulacağı klasörü seçelim. 'Next' butonuna tıklayalım ve bir sonraki adıma geçelim.

- Gelen ekranda Epilog uygulamasının kısayollarını "Başlat" menüsünde hangi klasör altına koyması gerektiğini seçelim ve 'Next' butonuna tıklayalım.

- Kurulumu başlatmak için 'Install' butonuna tıklayalım.

- Kurulum tamamlandıktan sonra gelen bilgilendirme penceresini 'Next' butonuna tıklayarak geçelim ve 'Finish' butonuna tıklayarak kurulumu tamamlayalım.

 

Epilog Konfigürasyonu:

1- "Başlat \ Tüm programlar \ InterSect Alliance" altından "Epilog for Windows" simgesine tıklayarak Epilog uygulamasını açalım. Kurulum aşamasında şifreli erişimi işaretlendi ise (Resim-6) kullanıcı adı / şifre ekranı gelecektir. Default kullanıcı adı "SNARE" dir. Şifreyi de yazdıktan sonra 'Tamam' butonuna tıklayalım.

[caption id="attachment_67" align="aligncenter" width="437"] Resim-6[/caption]

 

2- Syslog sunucu ayarlarını yapmak için gelen sayfanın sol tarafında bulunan (Resim-7 -1- numaralı) 'Network Configuration' tıklayalım.

- Daha sonra sağ pencereye gelen alanları dolduralım. DNS kullanılıyor ise (Resim-7 -2- numaralı) 'Override detected DNS Name with:' alanına DNS sunucunun IP adresini yazalım.

- Syslog sunucunun IP adresini (Resim-7 -3- numaralı) 'Destination Snare Server address' alanına yazalım.

- Syslog sunucunun portunu (Resim-7 -4- numaralı) 'Destination Port' alanına yazalım.

Not: 514 tüm Syslog sunucuların varsayılan port numarasıdır.

- 'Enable SYSLOG Header?' (Resim-7 -5- numaralı) kutucuğunu işaretleyelim.

- Syslog sunucuya gönderilen logun kolon adını (Resim-7 -6- numaralı) seçelim.

- Gönderilen logun önemlilik seviyesini (Resim-7 -7- numaralı) seçelim.

- Son olarak ta yaptığımız ayarları uygulamak için (Resim-7 -8- numaralı) 'Change Configuration' butonuna tıklayalım.

[caption id="attachment_68" align="aligncenter" width="800"] Resim-7[/caption]

 

3- Yapılan değişiklikler başarılı şekilde uygulandı ise ekranımıza (Resim-8) 'Values have been changed.' mesajı gelecektir.

[caption id="attachment_69" align="aligncenter" width="800"] Resim-8[/caption]

 

4- Şimdi gelelim DHCP sunucusuna ait logları tanımlamaya. Sol menüden (Resim-9 -1- numaralı) 'Log Configuration' seçelim ve sağ pencereden (Resim-9 -2- numaralı) 'Add' butonuna tıklayalım.

[caption id="attachment_70" align="aligncenter" width="800"] Resim-9[/caption]

 

5- 'Select the Log Type' (Resim-10 -1- numaralı) alandan 'Custom Event Log' seçelim. Sağ alana ise (Resim-10 -2- numaralı) tanımlayıcı bir bilgi girelim.

- 'Multi-Line Format' (Resim-10 -3- numaralı) alanında 'Single line only' seçili kalsın.

- 'Log File or Directory' (Resim-10 -4- numaralı) alanına DHCP sunucumuzun (audit) denetim loglarının bulunduğu klasörün yolunu yazalım.

- 'Log Name Format:' (Resim-10 -5- numaralı) alanına da klasörde bulanan denetim log dosyalarını yazalım. Dosya adı yazma için 'Help' tıklanarak yardım alınabilir.

- 'Change Configuration' (Resim-10 -6- numaralı) butonuna tıklayarak yapılan değişiklikleri sisteme uygulayalım.

[caption id="attachment_71" align="aligncenter" width="800"] Resim-10[/caption]

 

6- Yapılan değişiklikler başarılı şekilde uygulandı ise (Resim-11) 'The log monitor has been modified/added.' mesajı görülür.

[caption id="attachment_72" align="aligncenter" width="800"] Resim-11[/caption]

 

7- Syslog sunucusuna gönderilecek başka dosyalar da var ise yine sol pencereden 'Log Configuration' seçilir ve sağ pencereden 'Add' butonuna basılarak gerekli tanımlamalar yapılır. Yapılan tanımlamalar aynı ekrandan (Resim-12) görülebilir.

[caption id="attachment_73" align="aligncenter" width="800"] Resim-12[/caption]

 

8- Konfigürasyonu tamamladık. İsteğe göre Syslog sunucuya gönderilen dosyaları calı olarak görebiliriz. Monitör etmek için ekranın sol tarafından 'Latest Events' seçeneğine tıklayalım ve (Resim-13) gönderilen verileri sağ pencereden izleyelim.

[caption id="attachment_74" align="aligncenter" width="800"] Resim-13[/caption]
zaman:
Etiketler: , , , , , , , , , , , , , ,

Hiç yorum yok:

Yorum Gönder

Kaydol: Kayıt Yorumları (Atom)