نحوه تبدیل Windows Log به Syslog

دسته بندی : بلاگ بینا
نظرات : بدون نظر
تاریخ انتشار : فوریه 9, 2020

فهرست مطالب این مقاله:

لاگ‌های ویندوز، فایل‌هایی هستند که همه اتفاقات سیستم در آن‌ها ثبت می‌شود و تنها راه شناسایی تهدیدات داخلی سازمان، نظارت یکپارچه لاگ‌های OS می‌باشد. در این سند با نحوه تبدیل لاگ ویندوز به Syslog آشنا می‌شوید.

نظارت منظم و پیوسته لاگ های ویندوز بر روی سرورها یکی از وظایف اصلی راهبران و کارشناسان شبکه می باشد. در بسیاری از مواقع تنها راه آگاهی از مشکلات و تهدیدات امنیتی نظارت دائمی و بدون وقفه لاگ های سیستم عامل است.

مطالعات اخیر نشان داده است بیش از 70% نفوذ های امنیتی به کمک یک عامل داخلی در سازمان صورت گرفته است، این در حالی است که به کارگیری فایروال ها و سیستم های تشخیص نفوذ تنها به افزایش ضریب امنیت در خصوص حملات از خارج از سازمان کمک می کند، و تنها راه شناسایی تهدیدات داخلی سازمان نظارت یکپارچه لاگ های سیستم عامل می باشد.

لاگ های ویندوز (Event Logs) در واقع فایل هایی هستند که همه اتفاقات سیستم در آنها ثبت می گردد، برای نمونه خاموش و روشن کردن سیستم، استاپ و استارت کردن سرویس ها، نصب برنامه های کاربردی، تغییر پالیسی های امنیتی سیستم ،تلاش های موفق و نا موفق ورود به سیستم، تلاش برای حذف یا تغییر فایل های پر اهمیت و سایر رویداد های مهم. هر رویداد شامل اطلاعات بسیار مهمی است که جزئیات مورد نیاز برای عیب یابی و رفع مشکل را در اختیار ما قرار می دهد. بدون مطالعه دقیق لاگ ها علت بروز بسیاری از اشکالات مشخص نخواهد شد.

همانطور که می‌دانید در نرم افزارهای مانیتورینگ از طریق پروتکل WMI دسترسی به لاگها ویندوزی میسر خواهد بود. راه دیگری هم وجود دارد که کاربر می‌تواند بدون تعریف پروتکل WMI، لاگ های ویندوزی را مشاهده کند که آن استفاده از نرم افزار Datagram است.

Datagram چیست؟

Datagram نرم افزاری است که ورودی های event log در سیستم شما را به لاگ‌هایی با ویژگی‌های syslog تبدیل کرده و به syslog sever مرکزی می‌فرستد و شما می‌توانید با استفاده از نرم افزار مانیتورینگ بینا، syslog ها را بصورت زنده مشاهده کنید.

راهنمای نصب Datagram

برای دریافت فایل نصب نرم افزار می توانید با بخش پشتیبانی شرکت دانا پرداز تماس بگیرید.

این فایل ها در دو نسخه 64 بیت و 32 بیت است که با توجه به نسخه ویندوز نصب می‌گردد.

در این راهنمای آموزشی نسخه 32 بیت آن نصب می‌شود.

از پوشه نرم افزار، فایل syslogagentconfig را باز کنید (شکل (1-1)).

روی دکمه install کلیک کنید (شکل (2-1) ):

و بعد از وارد کردن آدرس IP سیستم مورد نظر (syslog server )، با کلیک روی دکمه start service سرویس آن را راه اندازی می‌کنیم. برای مثال IP ،192.168.3.76 وارد شده است که آدرس سروری است که تبدیل event log به syslog در آن صورت می‌گیرد.

توجه کنید که چراغ service status سبز شود.

از بخش event logs بطور پیش فرض Application انتخاب شده است که شما می‌توانید بر حسب event log مورد نظر از کشوی باز شونده این قسمت را تغییر دهید (شکل 1-4):

و با زدن دکمه configure event log پنجره تنظیمات syslog برای شما باز می‌شود شکل (5-1):

که مشخص کننده facility و severity ای است که بر اساس نوع event log فرستاده می شود.

برای مثال در گزینه اول اگر event log، موفق (success) باشد syslog از facility یِ system فرستاده شده و severity آن information می‌باشد که این مشخصات قابل تغییر است.

شما می‌توانید با توجه به اهمیت event log در تنظیمات severity یِ آن را تغییر دهید. مثلا گزینه آخر که Forward Audit Failure Events است برای شما اهمیت دارد به جای notice از کشوی باز شونده می‌توانید critical یا error را انتخاب کنید که در گزارش syslog با این severity نمایش داده شود.

مثال :
فرض کنید یک فایل یا فولدری دارید که آن را Share کرده اید و می‌خواهید اگر کاربری تلاش کرد که آن را delete یا تغییر در آن حاصل کند، شما از طریق سیسلاگ مطلع شوید.

برای مثال فایل financial ساخته شده است (شکل (1-2)).

با کلیک راست روی فایل وارد properties شوید.

از تب های بالا وارد تب security شوید.

با تب Edit از شکل (2-2) گروه یا کاربر مورد نظر که نمی‌خواهید به فایل دسترسی delete داشته باشد را اضافه کنید.

بعد از ok کردن و اضافه شدن گروه به لیست مطابق شکل زیر از تب advanced (پیشرفته)، permission های delete فایل را از کاربر یا گروه مورد نظر بگیرید. شکل های (3-2) و (4-2)

از تب های بالا وارد تب Audit شوید ( در تب advanced شکل (5-2)) و گروه خود را add کنید و تیک های زیر را بزنید:

Delete
Delete subfolders and file

بعد ازok کردن و بستن پنجره ها، وارد group policy شوید. در run دستور gpedit.msc را وارد کنید و از مسیر زیر:

Computer configure> windows setting > security setting > local policies > audit policy

روی audit object access، دوبار کلیک کرده و تیک success و failure آن را بزنید.

در RUN دستور gpupdate / force را تایپ کنید تا policy که set کردیم اعمال شود.

اکنون datagram را configure کنید.

مطابق دو شکل زیر:

توجه کنید که تلاش برای delete کردن فایل failed می شود و بصورت error در گزارش syslog ثبت می‌شود.

در بینا در منوی “مشاهده پیغام syslog بصورت زنده” از منوی مانیتورینگ لاگ می‌توانید آن را در لحظه مشاهده کنید.

سيستم مانيتورينگ بينا چيست؟

سيستم مانيتورينگ بينا نرم افزاري پيشرفته براي مانيتورينگ ديتاسنترها (Data Center) و شبکه هاي کامپيوتري مي‌باشد. اين سيستم کليه اجزاء موجود بر روي شبکه شامل سرورها، سرويس ها، پايگاه‌هاي داده، پهناي باند، شرايط محيطي مانند درجه دما و رطوبت، نرم افزارها و تجهيزات شبکه اي را به صورت 24 ساعته نظارت مي‌کند و در صورت رديابي هرگونه اختلال و يا کاهش کيفيت، با ارسال انواع اخطار، مسئولان شبکه و يا مديران مربوطه را از موضوع با خبر مي‌سازد. گزارشات سيستم مانيتورينگ بينا تصويري واضح از سطح کيفيت سرويس‌هاي موجود ارائه مي‌دهد.