نحوه مانیتورینگ لاگ ویندوز در بینا

این مورد را ارزیابی کنید
(3 رای‌ها)

 

در این مقاله به معرفی نحوه عملکرد بینا برای نظارت بر لاگ سیستم عامل های ویندوز می پردازیم، برای آشنایی با ساختار و مفاهیم لاگ در سیستم عامل ویندوز این مقاله را دنبال نمائید.

فهرست مطالب

معرفی اجمالی سیستم مانیتورینگ لاگ "بینا"

لاگ های ویندوز همه اتفاقات مهم سیستم را ثبت کرده و در بسیاری از موارد تنها روشی است که با استفاده از آن می توانیم از حملات امنیتی و یا مشکلات نرم افزاری و سخت افزاری سیستم آگاه شویم. با توجه به تعداد سرورها و نیز حجم زیاد لاگ ها ، نظارت دستی و یک به یک رویداد ها برای راهبران و کارشناسان شبکه فرآیندی طاقت فرسا و فرسایشی می باشد. امکان مانیتورینگ لاگ سرورها از یک نقطه مرکزی و به صورت خودکار و یکپارچه موجب صرفه جویی در زمان و هزینه و همچنین کاهش خطای انسانی می گردد. 
راهکار پیشرفته مانیتورینگ لاگ شرکت دانا پرداز، به صورت یک زیر سیستم اختیاری به سیستم جامع مانیتورینگ شبکه و دیتا سنتر بیناافزوده شده و یک سیستم یکپارچه مانیتورینگ را در اختیار راهبران و مدیران شبکه قرار می دهد. 
با استفاده از سیستم مانیتورینگ لاگ ویندوز بینا دیگر نیاز به بررسی لاگ سیستم عامل ها به صورت دستی نخواهید داشت، این سیستم به صورت خودکار و شبانه روزی همه لاگ های سرورها موجود بر روی شبکه را بررسی کرده و در صورت شناسایی رویداد های مهم با ارسال انواع اخطار مانند (SMS, Email, Popup) شما را از موضوع با خبر خواهد ساخت.

سیستم مانیتورینگ لاگ بینا چگونه کار می کند

  • سیستم مانیتورینگ لاگ بینا دارای تعداد زیادی رویداد از پیش تعریف شده است، برای مثال تلاش های ناموفق ورود به سیستم عامل، و یا رویداد ایجاد بدسکتور بر روی دیسک، علاوه بر رویداد های پیش فرض شما می توانید رویدادهای جدید تعریف نمایید.
  • برای مانیتورهای مربوط به سرورهایی که سیستم عامل ویندوز دارند می توانید در صفحه ویرایش مانیتور در قسمت شاخص های مانیتورینگ، تعدادی رویداد را برای مانیتورینگ اضافه نمایید.
  • بینا با استفاده از پروتکل WMI با سیستم عامل های مورد نظر ارتباط برقرار کرده و لاگ های آن را بررسی می کند. در صورتی که هر یک از رویدادهای تعیین شده بر روی سیستم عامل هدف شناسایی گردد، بینا این رویداد ها را جمع آوری کرده و در پایگاه داده خود ذخیره می کند.
  • در صورتی که هر یک از رویدادهای تعیین شده بر روی سیستم عامل هدف شناسایی گردد، بینا این رویداد ها را جمع آوری کرده و در پایگاه داده خود ذخیره می کند.
  • با دسترسی به بینا می توانید رویدادهای جمع آوری شده از همه سرورها را به صورت متمرکز مشاهده نمایید.
  • با توجه به تنظیمات کاربر، در صورتی که رویداد مهم باشد، بینا با ارسال انواع اخطار مانند پیغام تحت شبکه، پیامک و با ایمیل موضوع را به صورت بلادرنگ به افراد مسئول اطلاع می دهد.

سیستم مانیتورینگ لاگ بینا

چه رویدادهایی را مانیتور کنیم؟

منظور از رویداد، در واقع Event هایی است که در لاگ های ویندوز ثبت می شود.سیستم عامل ویندوز تقریبا همه اتفاقات سیستم عامل را در لاگ ها ثبت می کند و به صورت نرمال تعداد لاگ های ثبت شده بر روی یک سرور در هر روز ممکن است به چندین هزار مورد برسد، ولیکن بسیاری از این لاگ ها جنبه اطلاعاتی داشته و نیاز به مانیتورینگ و بررسی ندارند. بنابراین سوال اینجاست که کدامیک از لاگ ها نیاز به مانیتورینگ و رسیدگی دارند. 
به صورت کلی می توان گفت اکثر رویداد های امنیتی سیستم عامل که در لاگ Security ثبت می شوند و نیز رویداد هایی از نوع خطا و هشدار که در سایر لاگ های سیستم عامل ثبت می شوند و مربوط به سرویس های حیاتی ، سخت افزار و برنامه های کاربردی می باشند نیاز به مانیتورینگ همیشگی دارند. 
سیستم مانیتورینگ لاگ بینا دارای مجموعه قابل توجهی از رویدادهای مهم از پیش تعریف شده است که شما می توانید آنها را به آسانی به مانیتورهای مورد نظر خود اضافه کنید، علاوه بر این رویدادهای از پیش تعریف شده شما می توانید با مراجعه به منوی راهبری سیستم وارد بخش قواعد مانیتورینگ لاگ شوید و رویدادهای جدیدی تعریف کنید.

تعریف رویداد های جدید

بینا دارای مجموعه ای از رویداد های از پیش تعریف شده است، علاوه بر این رویداد ها شما می توانید رویداد های مورد نظر خود را به آسانی تعریف نمایید. 
برای تعریف رویداد جدید در منوی راهبری سیستم وارد بخش قواعد مانیتورینگ لاگ شوید، سپس لاگ مورد نظر خود را در سمت چپ فرم (مانند لاگ Security ) انتخاب کنید و روی دکمه افزودن کلیک کنید.

 قواعد مانیتورینگ لاگ

پس از آن پنجره ای به شکل زیر برای تعریف رویداد جدید باز می شود.

تعریف رویداد جدید

جهت تعریف رویداد لازم است پارامتر های زیر را وارد نمایید:

فیلد توضیحات
لاگ نام لاگی که رویداد در آن لاگ ثبت می شود، سیستم عامل ویندوز دارای لاگ های پیش فرضی مانند Security, System, Application است. در خصوص لاگ های غیر پیش فرض در صفحه قواعد لاگ روی گزینه Proprietary Logs کلیک کنید در این صورت می توانید نام لاگ را وارد کنید.
نام رویداد نام دلخواه.پیشنهاد می شود از عناوینی استفاده کنید که با مشاهده آن سریعا متوجه موضوع رویداد شوید.
شناسه رویداد (Event ID) شناسه (ID) رویداد مورد نظر را وارد کنید. انواع رویدادها دارای شناسه به خصوصی هستند که به شناسایی رویداد کمک می کند. همه رویداد های مشابه دارای شناسه یکسان هستند. برای ارائه چند شناسه مختلف آنها را با ویرگول از هم جدا کنید. برای ارائه یک رنج از شناسه ها از علامت دش (-) استفاده کنید.
منشاء (Source) منشاء ایجاد رویداد، برای مثال نام برنامه کاربردی و یا سرویسی که رویداد را ایجاد کرده است.
گروه (Event Category) نام زیر سیستم یا پروسه ای که رویداد را ایجاد کرده است.
کاربر نام کاربری که رویداد را ثبت کرده است.
رویداد دارای این عبارت باشد بینا می تواند در متن رویداد ها یک عبارت را جستجو کند. برای مثال وارد کردن عبارت D:\Myfile.excel کمک می کند رویداد های مربوط به دسترسی به فایل مذکور شناسایی گردد.
Type نوع رویداد (Information, Warning, Error, Audit Success, Audit Failure)
تغییر وضعیت مانیتور به اختلال با انتخاب این گزینه چنانچه رویداد مورد نظر شناسایی گردید ، بینا وضعیت مانیتورهای مربوطه را به اختلال تغییر می دهد و در صورت تنظیم کاربر با ارسال اخطار افراد را از موضوع با خبر می سازد. پیشنهاد می گردد تنها برای رویداد های بسیار مهم که نیاز به رسیدگی فوری دارد این گزینه را فعال سازید.
دفعات تکرار رویداد برای رویدادهایی که تکرار آنها اهمیت دارند از این گزینه استفاده کنید در این صورت در هر بار اجرای مانیتور، بینا تعداد تکرار رویداد را شمارش کرده و چنانچه مساوی و یا بیشتر از مقدار ارائه شده باشد آن را ثبت می کند در غیر این صورت رویداد نادیده گرفته می شود.

فعال کردن مانیتورینگ لاگ برای مانیتورهای ویندوز

فعال سازی مانیتورینگ لاگ برای مانیتور های سیستم عامل ویندوز به آسانی قابل انجام است، برای این منظور به صفحه ویرایش مانیتور مورد نظر خود وارد شوید سپس در پایین صفحه گزینه لاگ سیستم عامل را انتخاب کنید و روی دکمه افزودن کلیک کنید.

 صفحه ویرایش مانیتور

 

سپس در پنجره باز شده رویداد مورد نظر خود را برای افزودن به مانیتور انتخاب کنید.

نحوه مشاهده لاگ ها در بینا

در فرم ویرایش مانیتور، در قسمت نوار ابزار بالای فرم دکمه ای به نام مشاهده لاگ ها قرار دارد، در صورتی که هر یک از رویدادهای افزوده شده بر روی مانیتور در لاگ سیستم عامل هدف کشف شده باشد، بینا با نشان داده تعداد رویداد های کشف شده شما را از موضوع با خبر می سازد و شما با کلیک روی این دکمه رویداد ها را مشاهده خواهید کرد.

نوار ابزار صفحه ویرایش فرم

همچنین برای مشاهده جزئیات مانیتورینگ لاگ در منوی گزارش ها به منوی جزئیات مانیتورینگ رجوع کرده و گزارش "جزئیات مانیتورینگ لاگ " را انتخاب نمایید.

نکات قابل توجه در خصوص مانیتورینگ لاگ

  • امکان مانیتورینگ لاگ ویندوز فقط برای مانیتورهای نوع دستگاه که مدل / سری آنها یکی از سه گزینه زیر است امکان پذیر است:
    • Windows Workstation
    • Windows Server
    • Windows Domain Controller
  • برای مانیتورنگ لاگ ویندوز لازم مانیتور مورد نظر دارای مجوز از نوع WMI باشد.
  • مانیتورینگ لاگ ویندوز به صورت یک زیر سیستم اختیاری در بینا قرار دارد و با توجه به لایسنس مشتریان فعال می گردد.
  • در برخی از موارد تعداد تکرار یک رویداد اهمیت دارد برای مثال رویداد Login Failure بر روی یک سرور دامین کنترلر به صورت نرمال اتفاق می افتد ولی چنانچه همین رویداد در ظرف مدت زمان به تعداد زیادی تکرار شده باشد این موضوع ممکن است نشان دهنده یک حمله امنیتی مانند Dictionary Attack باشد، لذا برای اینگونه رویداد ها از گزینه دفعات تکرار رویداد استفاده نمایید.
خواندن 3130 دفعه

ayande.jpgdarya-navardi.jpgeghtesad-novin.jpgfolad-khozestan.jpggoldiran.jpggorgan.jpgirna.jpgmarkazi.jpgmaskan.jpgnosazi.jpgpasargad.jpgpetroshimi.jpgrefah.jpgrightel.jpgsarmayeh.jpgsepah.jpgshoraye-ali.jpgtejarat.jpg
opportunity job