Kullanım Kılavuzu · Sürüm 4.0.x

Log Kaynakları (Sürüm 4.0.x)

KLog Server 4.0.x; Syslog, SMB paylaşımları, Azure Dosyalar ve AWS S3 Bucket kaynaklarından log toplamayı ve imzalamayı desteklemektedir. Syslog hariç diğer üç tür, arayüzde toplu olarak "Paylaşılmış Klasör" adıyla anılır. Log kaynakları "Log Yönetimi" > "Log Kaynakları" bölümünden yönetilir.

Syslog

Syslog, ağ cihazlarının ve sunucuların ürettikleri olay kayıtlarını merkezi bir toplayıcıya iletmek için kullandıkları yaygın bir standart protokoldür. Güvenlik duvarları, yönlendiriciler, anahtarlar ve sunucular dâhil pek çok cihaz Syslog protokolünü destekler.

KLog Server marka ve model bağımsız, standart Syslog protokolü (UDP 514) ile log üreten tüm cihazlarla uyumlu çalışmaktadır. Her saatin sonunda o saate ait log dosyası kaydedilip yeni dosya oluşturulur. Dosya adı formatı: Archive_YYYY-AA-GG_SS-DD-SS.log. Günün sonunda saatlik dosyalar tek zip içinde sıkıştırılıp imzalanır.

Uyarı: Sisteme kayıtlı olmayan IP adreslerinden gelen Syslog kayıtları günün sonunda silinir.

Yeni Syslog Kaynağı Tanımlama

Kaynağı tanımlamadan önce cihazın UDP 514 üzerinden KLog Server’a log gönderdiğinden emin olunuz. KLog Server gelen logu tespit ettiğinde web arayüzde bildirim gösterir. Yeni Syslog kaynağı eklemek için:

  1. "Log Yönetimi" > "Log Kaynakları" bölümüne gidiniz.
  2. "Syslog Kaynakları" kutusundaki "Yeni Syslog Kaynağı" butonuna tıklayınız.
  3. "IP adresi" listesinden eklemek istediğiniz kaynağı seçiniz.
  4. "Takma Ad" alanına kaynağı tanımlayan bir isim giriniz (örn. Firewall-01).
  5. "Cihaz Tipi" listesinden cihazın tipini seçiniz. Listede yoksa "Diğer" seçeneğini kullanabilirsiniz.
  6. "Seri No" alanına cihazın seri numarasını giriniz.
  7. "Kaynak Sahibi" listesinden kaynağı atamak istediğiniz kullanıcıyı seçiniz.
  8. İmzalamayı etkinleştirmek için "İmzalama" seçeneğini açınız.
  9. Sophos veya WatchGuard cihazı ekliyorsanız "Log Analizi" seçeneğini açarak Analitik özelliğini etkinleştirebilirsiniz. Daha fazla bilgi için Analitik bölümünü gözden geçirebilirsiniz.
  10. Günlük imzalama sonrası otomatik aktarım için "Aktarım Hedefleri" listesinden hedefi seçiniz. Aktarım sonrası dosyayı silmek için "Başarılı Aktarım Sonrası Dosyayı Sil" seçeneğini etkinleştiriniz.
  11. "Ekle" butonuna basınız.
Not: "Yeni Syslog Kaynağı" butonu görünmüyorsa KLog Server herhangi bir IP adresinden log almıyor demektir. Kaynağın log gönderdiğinden emin olunuz.

Syslog Kaynağını Düzenleme

"Log Yönetimi" > "Log Kaynakları" bölümünde "Syslog Kaynakları" tablosundan düzenlemek istediğiniz kaynağın sağındaki açılır menüden "Düzenle" seçeneğine tıklayınız, bilgileri güncelleyip "Güncelle" butonuna basınız.

Not: Syslog kaynağının IP adresi değiştirilemez. IP adresi değişen cihaz için eski kaydı silip yenisini ekleyiniz.
Uyarı: Cihaz seri numarası değiştirildiğinde lisans durumu otomatik olarak güncellenir. Bu işlem için cihazın İnternet bağlantısı olması gerekmektedir.

Syslog Kaynağını Silme

"Log Yönetimi" > "Log Kaynakları" bölümünde silmek istediğiniz kaynağın açılır menüsünden "Sil" seçeneğine tıklayıp uyarı penceresinde onaylayınız.

Uyarı: Kaynak silindiğinde gün içinde ilgili kaynaktan alınan loglar da silinir. Ayrıca imzalanmayı bekleyen log dosyaları geçersiz kaynak olarak işaretlenerek silinir. Silmeden önce tüm logların imzalandığından emin olunuz.
Uyarı: Syslog kaynağı silindikten sonra Syslog hizmeti yeniden başlatılır ve anlık log alımında kısa süreli kesinti meydana gelebilir.

Paylaşılmış Klasör

KLog Server SMB paylaşımları, Azure Dosyalar ve AWS S3 Bucket’lardan dosya toplayabilir. Log toplama sıklığı dakikada bir ile günde bir arasında ayarlanabilir; gün içinde toplanan dosyalar günün sonunda sıkıştırılıp imzalanır.

Log Toplama AralığıLog Toplama Zamanı
24 saatSaat 23:00
12 saat11:00 ve 23:00
6 saat5:00, 11:00, 17:00 ve 23:00
2 saat1:00’den itibaren her 2 saatte bir
1 saatHer saatte bir
30 dakikaHer 30 dakikada bir
10 dakikaHer 10 dakikada bir
2 dakikaHer 2 dakikada bir
1 dakikaHer dakikada bir

KLog Server her dosyayı boyut ve son değiştirilme tarihi bilgisiyle takip eder; paylaşımda bırakılan dosyalar yalnızca boyutu veya değiştirilme tarihi farklılaştığında yeniden alınır. Dosya içeriği değişmeden boyutu aynı kalırsa tekrar indirilmez. Dosyaları topladıktan sonra paylaşımdan kaldırmak için “Log Toplama” modunu “Taşı” olarak ayarlayabilirsiniz; bu mod disk alanı tasarrufu sağlar ve dosyaların iki kez işlenmesini önler.

Uyarı: Geçerli lisans olmadığında paylaşılmış klasör log toplama işlemi durdurulur.

Yeni SMB Kaynağı Tanımlama

Tanımlamadan önce log dosyalarının bulunduğu klasörün paylaşılmış ve erişilebilir olduğundan, ilgili kullanıcı hesabının gerekli yetkiye sahip olduğundan emin olunuz.

  1. "Log Yönetimi" > "Log Kaynakları" bölümüne gidiniz.
  2. "Paylaşılmış Klasör Kaynakları" kutusundaki "Yeni Paylaşılmış Klasör" butonuna tıklayınız.
  3. "Lisans No" alanına çözüm ortağından temin ettiğiniz lisans numarasını giriniz. Deneme lisansı için Lisanslama — Deneme Lisansı bölümünü gözden geçirebilirsiniz.
  4. "Takma Ad" alanına bir isim giriniz.
  5. "IP Adresi/FQDN" alanına paylaşımın bulunduğu sunucunun adresini giriniz.
  6. "Paylaşım Adı" alanına SMB paylaşımının adını giriniz.
  7. "SMB Sürümü" listesinden uygun protokolü seçiniz.
  8. "Kullanıcı Adı" ve "Parola" alanlarını doldurunuz.
  9. Kullanıcı hesabı bir domain’e aitse "Domain Adı" alanını doldurunuz.
  10. "Log Toplama" modunu seçiniz: "Taşı" toplanan dosyaları paylaşımdan siler, "Kopyala" paylaşımda bırakır.
  11. "Kaynak Sahibi" listesinden bu kaynağı atamak istediğiniz kullanıcıyı seçiniz.
  12. "Ekle" butonuna basınız.
Uyarı: Paylaşılmış klasördeki dosyaların kullanımda olması durumunda sistem dosyaları topladıktan sonra silemeyebilir.

Windows Paylaşılmış Klasör Ayarları

Windows işletim sisteminde log dosyalarını içeren klasörü KLog Server’ın erişebileceği şekilde paylaşmak için aşağıdaki adımları izleyebilirsiniz. Bu adımlar yalnızca örnek niteliğindedir; Windows güvenlik ayarları ve en iyi uygulamalar için Microsoft belgelerine başvurunuz.

  1. Paylaşıma erişim için ayrı bir kullanıcı hesabı oluşturmanız önerilir ("Computer Management" > "Users" > "New User"). Hesabı oluştururken "User must change password at next logon" seçeneğini kapatınız.
  2. Log dosyalarını içeren klasöre sağ tıklayıp "Properties" > "Sharing" > "Advanced Sharing" bölümüne gidiniz.
  3. "Share this folder" seçeneğini etkinleştirip bir paylaşım adı tanımlayınız.
  4. "Permissions" bölümünde ilgili kullanıcıyı ekleyip gerekli yetkiyi veriniz. Log toplama modu "Kopyala" ise okuma yetkisi yeterlidir; "Taşı" ise tam erişim (değiştirme/silme) gereklidir.
  5. "Security" sekmesinde de aynı kullanıcıyı ekleyip aynı yetkiyi tanımlayınız.
Not: KLog Server paylaşım adında boşluk veya özel karakter kabul etmez.

Yeni Azure Dosyalar Kaynağı Tanımlama

  1. "Log Yönetimi" > "Log Kaynakları" bölümüne gidiniz.
  2. "Yeni Paylaşılmış Klasör" butonuna tıklayınız ve kaynak türü olarak "Azure Dosyalar" seçiniz.
  3. "Lisans No" alanına lisans numaranızı giriniz.
  4. "Takma Ad" alanına bir isim giriniz.
  5. "Depolama Hesabı Adı" ve "Paylaşım Adı" alanlarını doldurunuz.
  6. "Bağlantı Dizesi (Connection String)" alanına Azure portalından edindiğiniz değeri giriniz.
  7. "Log Toplama" modu, "Kaynak Sahibi" ve diğer seçenekleri yapılandırınız.
  8. "Ekle" butonuna basınız.

Yeni AWS S3 Kaynağı Tanımlama

  1. "Log Yönetimi" > "Log Kaynakları" bölümüne gidiniz.
  2. "Yeni Paylaşılmış Klasör" butonuna tıklayınız ve kaynak türü olarak "AWS S3" seçiniz.
  3. "Lisans No" alanına lisans numaranızı giriniz.
  4. "Takma Ad" alanına bir isim giriniz.
  5. "Bucket Adı" ve "AWS Bölgesi" alanlarını doldurunuz.
  6. "Access Key ID" ve "Secret Access Key" bilgilerini giriniz.
  7. Bucket içinde belirli bir klasör hedefliyorsanız "Prefix" alanını doldurunuz.
  8. "Log Toplama" modu, "Kaynak Sahibi" ve diğer seçenekleri yapılandırınız.
  9. "Ekle" butonuna basınız.

Paylaşılmış Klasör Kaynağını Düzenleme

"Log Yönetimi" > "Log Kaynakları" bölümünde ilgili kaynağın açılır menüsünden "Düzenle" seçeneğine tıklayınız, bilgileri güncelleyip "Güncelle" butonuna basınız. Bağlantıyı test etmek için açılır menüden "Bağlantıyı Test Et" seçeneğini kullanabilirsiniz.

Paylaşılmış Klasör Kaynağını Silme

İlgili kaynağın açılır menüsünden "Sil" seçeneğine tıklayıp uyarı penceresinde onaylayınız.

Uyarı: Kaynak silindiğinde log toplama durur ve gün içinde henüz sıkıştırılmamış veriler silinir.

Kayıtlı E-posta Adresi

Lisans oluşturulurken veya deneme lisansı talep edilirken bir kayıtlı e-posta adresi tanımlanır. Bu adres KLog Server sunucusuna değil, her bir log kaynağına ayrı ayrı atanır; dolayısıyla farklı log kaynakları farklı e-posta adreslerine kayıtlı olabilir. Lisans süresi dolum hatırlatmaları gibi önemli bildirimler bu adrese gönderildiğinden, adresin güncel tutulması önemlidir.

Bir log kaynağının kayıtlı e-posta adresini güncellemek için:

  1. "Log Yönetimi" > "Log Kaynakları" bölümüne gidiniz.
  2. İlgili kaynağın açılır menüsünden "E-posta Güncelle" seçeneğine tıklayınız.
  3. Yeni e-posta adresini giriniz ve kaydediniz.
Not: Tüm log kaynaklarının kayıtlı e-posta adresini bir kerede güncellemek için "Syslog Kaynakları" veya "Paylaşılmış Klasör Kaynakları" kutusunun üst kısmındaki "E-posta Güncelle" butonunu kullanabilirsiniz.
← ÖncekiLog Yönetimi ve İmzalamaSonraki →Analitik