OzzTech - Fortinet Best Practice-En İyi Öneriler Serisi-15

Fortinet Best Practice-En İyi Öneriler Serisi-15

Logging ve raporlama

Logging ve Raporlama

Logging ve raporlama uygulamlarınıza başlamak için öncelikle varsayılan log ayarları, sistem performansını sınırlandırmayacak şekilde değiştirilmelidir. FortiGate birimi, varsayılan olarak, trafik logu (kaydı) alınması dışında tüm FortiGate özelliklerinin loglanmasına (günlüğe kaydedilmesine) yapabilmektedir. Varsayılan logging konumu, modele bağlı olarak FortiGate biriminin sistem belleği veya sabit diskidir. Flash diskli üniteler disk loggingi için önerilmemektedir.

Logging ve raporlama- Log Yönetimi

FortiGate birimi FortiGate etkinliklerini kaydederken, network trafiğinin kötüye kullanımı ve suistimali de dahil saldırılara karşı nasıl daha iyi korunabileceğine dair fikirler veren önemli bilgiler toplanır. FortiGate biriminde oturum açmayı etkinleştirmeden önce, hangi FortiGate etkinliklerinin etkinleştirileceği ve ağınızın logging ihtiyaçları için hangi log aygıtının daha uygun olabileceğine dikkat etmeniz gerekmektedir. Önceden hazırlayacağınız bir plan, logging yapılacak FortiGate etkinliklerine, bir log aygıtına ve log aygıtının arızalanması durumunda bir yedekleme çözümü bulmanıza yardımcı olur.

Bir plan size aşağıdakine benzer bir taslak sağlamalıdır:

  • Kaydedilmesini istediğiniz veya gerek duyduğunuz FortiGate etkinlikleri. Örneğin, güvenlik özellikleri
  • Ağ yapınıza en uygun logging aygıtı
  • İsterseniz veya gerekiyorsa günlük dosyalarının arşivlenmesi
  • Bir arıza oluştuğunda logların kaybolmamasını sağlamak.

Plan uygulandıktan sonra, logları yönetmeniz ve mevcut log gereksinimleri aşıldığında log setup (günlük kaydınızın kurulumunu) genişletmeye hazır olmalısınız.

Log yönetimi uygulamaları, logging gereksinimlerini iyileştirmenize ve yönetmenize yardımcı olur. Logging işlemi yönetilmesi zor bir görev olarak görülen, sürekli genişleyen bir araçtır. Aşağıda verilen yönetim uygulamaları,bir sorun oluştuğunda veya log kurulumunuzun genişletilmesi gerektiğinde işinize yarayacaktır.

  • Log gereksinimlerinizin mevcut log kurulumunuz tarafından karşılanıp karşılanmadığını görmek için planınızı yıllık olarak kontrol etmelisiniz. Örneğin, şirketiniz veya kuruluşunuz arşiv kaydı gerektirebilir ancak ağınızın ilk zamanlarında gerekmez. Arşiv logları, FortiGate biriminin yerel sabit sürücüsünde, bir FortiAnalyzer biriminde veya bir FortiCloud sunucusunda boyutun artma sırasına göre depolanmaktadır.
  • Unutmamanız gereken etkinlikler hakkında sizi bilgilendirecek bir uyarı mesajı yapılandırın. Örneğin: bir şube ofisinin bir FortiGate yöneticisi yoksa, IPsec VPN tünelinin hala çalışır durumda olduğunu her zaman bilmeniz gerekmektedir. Yalnızca IPsec tünel hataları meydana geldiğinde, uyarı e-posta bildirim mesajı gönderilecek şekilde yapılandırma yapabilirsiniz.
  • Kuruluşunuz veya şirketiniz Skype veya diğer anlık mesajlaşma yazılımları gibi eşler arası (peer to peer) programlar kullanıyorsa, bu tür anlık mesajlaşma yazılımları için IM kullanım panosu widgetını veya Yönetici Özeti'nin rapor widgetını kullanın. Bu widget'lar, herhangi bir kötüye kullanım ve istismarın olup olmadığı da dahil, bu uygulamaların nasıl kullanıldığını belirlemenize sağlayabilir. Bilgiler application log mesajlarından alınır; ancak application log mesajlarının en detaylı bilgileri içerdiğine bakılmalıdır.
  • Yedekleme çözümünüz mutlaka güncel olmalıdır. Log kurulumunuzu yakın zamanda genişlettiyseniz, yedekleme çözümünüzü tekrar kontrol etmelisiniz. Yedekleme çözümü, log aygıtının arızalanması veya log aygıtının kendisiyle ilgili sorunların ortaya çıkması durumunda tüm logların kaybolmamasını sağlayan bir çözüm üretir.
  • Log mesajlarını indirirken ve bir bilgisayarda görüntülerken, log dosyası diğer dosyalar gibi indirilecektir. Log dosyası adları, logların türlerini ve tarihlerini içerir. Size önerimiz log mesajlarınızı arşivleyeceğiniz bir klasör oluşturun böylece hepsi kolayca sıralanabilecektir.

Tüm bu işlemler sonucunda logging raporlama yapmış olacaksınız. Raporlama için aşağıdaki önerilerimizi okumaya devam edin.

Sistem belleği ve sabit diskler

FortiGate biriminin sabit diski, logları depolamak için varsayılan olarak etkindir. Varsayılan olarak etkin olması aynı zamanda, bunu etkinleştirmenize ve sabit diskte oturum açma ayarlarını yapılandırmanıza gerek kalmaz. Ancak, bu ayarları network logu gereksinimleriniz için yapılandırılacak şekilde değiştirmeniz gerektiği anlamına gelir.

FortiGate biriminin sadece flash belleği varsa, önerilmediği için, disk günlüğü varsayılan olarak devre dışı bırakılır. Flash sürücülere sürekli yeniden yazma işlemi belleğin ömrünü ve verimliliğini azaltabilmektedir. Yapılandırma logu disk ayarı altındaki CLI'de etkinleştirilmelidir.

Bazı düşük kaliteli modeller için disk logu kullanılamaz. Daha fazla bilgialmak isterseniz ürünün Özellik Matrisine bakabilirsiniz. Her iki durumda da Fortinet, FortiAnalyzer birimi veya FortiCloud hizmetinin kullanılmasını önerir.

Konsol çıktısını kaydetme

Bazı FortiGate donanım modellerinde, konsol çıktı günlüğü (COMlog) etkinleştirildikten sonra 4 MB'a kadar konsol çıktısı kaydedebilmektedir.

İstenmeyen sorunlar ortaya çıkmaya başlarsa bu bilgiler sorun giderme için kullanılabilir. Örneğin, cihazda bir donma, kernel panic veya yeniden başlatma sorunları oluşursa, COMlog sorunun nedenini araştırmaya yardımcı olabilir.

Yakalanan loglar, FortiGate'in ana sürücülerinden fiziksel olarak bağımsız olan flash belleğe kaydedilir. Bu da, bilgilerin yeniden başlatma, yükseltme ve BIOS yeniden biçimlendirme yoluyla devam edebileceğini göstermektedir.

Konsol bağlantı hızı sınırlı olduğundan ve logun görüntülenmesi çok fazla zaman alabileceğinden dolayı sizlere en iyi önerimiz COMlog'u okumak için bir SSH bağlantısı kullanmanız olacaktır.

COMlog bir konsol bağlantısı üzerinden görüntüleniyorsa, konsolda görüntülenerek logun üzerine yazılmasını önlemek için log işlevi devre dışı bırakılır. Çıkış bittikten veya kesintiye uğradıktan sonra otomatik olarak yeniden etkinleştirilir.

COMlog'a etkinleştirmek için:

Logging ve raporlama

Hız, dosya boyutu ve günlük başlangıcı ve bitişi dahil olmak üzere COMlog durumunu görüntülemek için:

Logging ve raporlama

COMlog'u sistem yönetimi denetleyicisinden (SMC) temizlemek için:

Fortinet Best Practise-En İyi Öneriler Serisi-15

SMC'den COMlog'u okumak için:

Fortinet Best Practise-En İyi Öneriler Serisi-15

Fortigate en iyi öneriler (fortigate best practise) serimizin son bölümüne geldik. Okuduğunuz için teşekkür ederiz. Umarız bu serimizde paylaştığımız bilgiler işinize yarayacaktır.

Fortinet Best Practice serimizin bir önceki bölümü olan CAPWAP yapılandırmasında Statik IP kullanılması konulu yazımıza ulaşmak için tıklayabilirsiniz.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.