نحوه تبدیل Windows Log به Syslog

 

نظارت منظم و پیوسته لاگ های ویندوز بر روی سرورها یکی از وظایف اصلی راهبران و کارشناسان شبکه می باشد. در بسیاری از مواقع تنها راه آگاهی از مشکلات و تهدیدات امنیتی نظارت دائمی و بدون وقفه لاگ های سیستم عامل است.

مطالعات اخیر نشان داده است بیش از 70% نفوذ های امنیتی به کمک یک عامل داخلی در سازمان صورت گرفته است، این در حالی است که به کارگیری فایروال ها و سیستم های تشخیص نفوذ تنها به افزایش ضریب امنیت در خصوص حملات از خارج از سازمان کمک می کند، و تنها راه شناسایی تهدیدات داخلی سازمان نظارت یکپارچه لاگ های سیستم عامل می باشد.

لاگ های ویندوز (Event Logs) در واقع فایل هایی هستند که همه اتفاقات سیستم در آنها ثبت می گردد ، برای نمونه خاموش و روشن کردن سیستم ، استاپ و استارت کردن سرویس ها، نصب برنامه های کاربردی ، تغییر پالیسی های امنیتی سیستم ،تلاش های موفق و نا موفق ورود به سیستم ، تلاش برای حذف یا تغییر فایل های پر اهمیت و سایر رویداد های مهم. هر رویداد شامل اطلاعات بسیار مهمی است که جزئیات مورد نیاز برای عیب یابی و رفع مشکل را در اختیار ما قرار می دهد. بدون مطالعه دقیق لاگ ها علت بروز بسیاری از اشکالات مشخص نخواهد شد

همانطور که می دانید .در نرم افزار های مانیتورینگ از طریق پروتکل WMI   دسترسی به لاگها ویندوزی میسر خواهد بود  . راه دیگری هم وجود دارد   که کاربر میتواند بدون تعریف پروتکل  WMI  ، لاگ های ویندوزی را مشاهده کند که آن استفاده از نرم افزار Datagram است.

Datagram چیست؟

Datagram نرم افزاری است که ورودی های event log در سیستم شما را به لاگ هایی با ویژگی های syslog تبدیل کرده و به syslog sever مرکزی می فرستد و شما میتوانید با استفاده از نرم افزار مانیتورینگ بیـــــنا ، syslog ها را بصورت زنده مشاهده کنید .

راهنمای نصب Datagram

برای دریافت فایل نصب نرم افزار می توانید با بخش پشتیبانی شرکت دانا پرداز تماس بگیرید.

این فایل ها در دو نسخه 64 بیت و 32 بیت است که با توجه به نسخه ویندوز نصب میگردد.

در این راهنمای آموزشی نسخه 32 بیت آن نصب می شود .

از پوشه نرم افزار ، فایل syslogagentconfig   را باز کنید  (شکل (1-1))

1-1

روی دکمه install   کلیک کنید(شکل (2-1) ) :

1-2

و بعد از وارد کردن آدرس IP سیستم مورد نظر (syslog server )، با کلیک روی دکمه start service سرویس آن را راه اندازی می کنیم . برای مثال IP ،192.168.3.76 وارد شده است که آدرس سروری است که تبدیل event log به syslog در آن صورت می گیرد.

1-3

توجه کنید که چراغ  service status سبز شود

از بخش event logs  بطور پیش فرض Application انتخاب شده است که شما میتوانید بر حسب event log مورد نظر از کشوی باز شونده این قسمت را تغییر دهید (شکل 1-4):

1-4

و با زدن دکمه configure event log پنجره تنظیمات syslog برای شما باز می شود شکل (5-1):

1-5

که مشخص کننده facility و severity ای است که بر اساس نوع event log  فرستاده می شود.

برای مثال در گزینه اول اگر event log، موفق (success) باشد syslog  از facility یِ system فرستاده شده و severity آن information می باشد که این مشخصات  قابل تغییر است.

شما می توانید با توجه به اهمیت event log در تنظیمات severity یِ آن را تغییر دهید . مثلا گزینه آخر که Forward Audit Failure Events  است برای شما اهمیت دارد به جای  notice  از کشوی باز شونده میتوانید  critical  یا  error  را انتخاب کنید که در گزارش syslog   با این severity  نمایش داده شود.

مثال :

 فرض کنید یک فایل یا فولدری دارید که آن را Share کرده اید و می خواهید اگر کاربری تلاش کرد که آن را delete یا تغییر در آن حاصل کند ، شما از طریق سیسلاگ مطلع شوید .

برای مثال فایل financial ساخته شده است .(شکل (1-2))

2-1

با کلیک راست روی فایل وارد properties شوید.

از تب های بالا وارد تب security شوید.

2-2

با تب Edit از شکل (2-2) گروه یا کاربر مورد نظر که نمی خواهید به فایل دسترسی delete داشته باشد را اضافه کنید .

بعد از ok  کردن و اضافه شدن گروه به لیست مطابق شکل زیر از تب ِ advanced (پیشرفته)، permission های delete فایل را از کاربر یا گروه مورد نظر بگیرید. شکل های (3-2) و (4-2)

2-3

2-4

از تب های بالا وارد تب Audit شوید ( در تب advanced شکل (5-2)) و گروه خود را add کنید و تیک های زیر را بزنید :

  • Delete
  • Delete subfolders and file

2-5

بعد ازok   کردن و بستن پنجره ها ، وارد group policy   شوید . در run  دستور  gpedit.msc  را وارد کنید . و از مسیر زیر:

Computer configure> windows setting > security setting > local policies > audit policy

2-6

روی audit object access، دوبار کلیک کرده و تیک success  و failure آن را بزنید.

2-7

در RUN دستور gpupdate / force را تایپ کنید تا policy  که set  کردیم اعمال شود.

2-8

اکنون datagram  را configure  کنید .

مطابق دو شکل زیر :

2-9

2-10

توجه کنید که تلاش برای delete کردن فایل failed می شود و بصورت error در گزارش syslog ثبت می شود.

در بینا در منوی " مشاهده پیغام syslog بصورت زنده" از منوی مانیتورینگ لاگ می توانید آن را در لحظه مشاهده کنید.

2-11

سيستم مانيتورينگ بينا چيست؟

سيستم مانيتورينگ بينا نرم افزاري پيشرفته براي مانيتورينگ ديتاسنترها (Data Center) و شبکه هاي کامپيوتري مي باشد. اين سيستم کليه اجزاء موجود بر روي شبکه شامل سرورها، سرويس ها، پايگاه هاي داده، پهناي باند، شرايط محيطي ماننددرجه، دما و رطوبت، نرم افزارها و تجهيزات شبکه اي را به صورت 24 ساعته نظارت مي کند و در صورت رديابي هرگونه اختلال و يا کاهش کيفيت، با ارسال انواع اخطار، مسئولان شبکه و يا مديران مربوطه را از موضوع با خبر مي سازد. گزارشات سيستم مانيتورينگ بينا تصويري واضح از سطح کيفيت سرويس هاي موجود ارائه مي دهد.

خواندن 2561 دفعه

ayande.jpgdarya-navardi.jpgeghtesad-novin.jpgfolad-khozestan.jpggoldiran.jpggorgan.jpgirna.jpgmarkazi.jpgmaskan.jpgnosazi.jpgpasargad.jpgpetroshimi.jpgrefah.jpgrightel.jpgsarmayeh.jpgsepah.jpgshoraye-ali.jpgtejarat.jpg
opportunity job