Fortigate Firewall Loglarını Syslog Sunucuya Gönderme Bölüm2 (IP yerine URL Göstermek)

Site Tools

Konumun : Anasayfa

Haberler

Site Alanlarının Kullanımı Hakkında Bilgilendirme Sitede bilindiği üzere 3 tane kullanıcıların fikirlerini ve sorularını paylaşabileceği alan yer almaktadır.Bunlar Forum,Yorum Bölümü ve Online Destek Ziyaretçi defteridir.Yorum kısmına lütfen "Teşekkür" mesajı yazmayın.Buraya sadece makale ile ilgili Ek bilgi , varsa yanlış bilgilendirme düzeltme yazısı ve konu hakkında tecrübelerinizi yazınız.Online Destek Ziyaretçi Defteri ise Online Destekte alınan yardım hakkında tebrik,şikayet ve düşüncelerin yazıldığı yerdir.Bura hiçbir şekilde soru yazmayın.Sitede soruların cevaplandığı tek yer "Forum" bölümüdür.Lütfen sorularınızı buraya yazın.Yazılan bütün sorulara Forum'da cevap verilmektedir.Diğer alanlara yazılan sorular bundan sonra silinecektir.

Devamını oku...

Mcafee Secure Computing'i Satın Alıyor Güvenlik sektörünün öncü firmalarından Mcafee,satın almalarına Secure Computing'i de dahil etti.Yaklaşık 465 milyon dolara Secure Computing,Mcafee ürün portföyüne eklenmiş oldu.Bu satın alma ile Mcafee güvenlik sektöründeki konumunu güçlendirmiş oldu.Satın alınma haberinin detaylarnıı yazının devamında bulabilirsiniz.

Devamını oku...

HP'den Felaket Anı Kurtarma (Disaster Recovery) Videosu Forumda ilginç linkler bölümünden bir görüntü.HP den felaket anı provasınını gösteren video.Adamlar 4 milyon dolarlık cihazları prova olsun diye havaya uçuruyorlar.HP'den Felaket Anı videosu

Devamını oku...

Online Destek Sistemi Aktif Hale Geldi Uzun zamandır denemelerini yaptığımız Online Destek sistemi devreye girmiştir.Online destek almak için sol ustteki Online Destek durum resmine tıklamanız yeterli olacaktır.Yerimizde olmasak bile sorularınızı mail olarak yazın en kısa sürede size geri dönüş olacaktır.Artık sorularınızı direkt editörlerimize sorup cevabını anında alabilirsiniz.Bu hizmet ücretsizdir.Genel bilgi için bakınız

Devamını oku...

Üye sayımız 1000 Sitede bütün kaynakların üyelik gerektirmeden erişilebilir olmasına,üyelik maili ile aktivasyon yapmayan hesapların her hafta düzenli olarak silinmene rağmen sitemiz 1000 üye sayısına ulaşmıştır.Sitede üye olunarak forumda konu açabiir ve makalelere yorum yazılabilmektedir.Yeni devreye alınacak online destek sistemi de kime destek verdiğimizi takip etmek amacıyla üyelik gerektirecektir.

Devamını oku...

Fortigate Firewall Loglarını Syslog Sunucuya Gönderme Bölüm2 (IP yerine URL Göstermek)

Yazan: Besir Kayar, Tarih: 30-05-2008 09:44

Okunma Sayısı : 1065

Beğenilme : Yok

Normalde Fortigatedeki loglar syslog servera gönderildiğinde geçen trafikte bütün adresler IP olarak gösterilir.Ziyaret edilen sitelerde ip olarak gösterildiği için hangi kullanıcının hangi sitelere girdiğini incelemek çok zordur.Fortigate e loglarda IP yerine URL göstermeyi ufak bir kandırmaca ile yapabiliriz.

Öncelikle syslog serverımızı kuruyoruz.Kurduktan ve temel ayarlarını yaptıktan sonra Fortigate üzerinde ayarları yapacağız.Fakat burda syslog serverı Log Settings kısmında Syslog kısmında değil FortiAnalyzer kısmında tanımlıyoruz.Bir bakıma syslog serverı Forti anaylzer mış gibi tanımlıyoruz.

Hangi log tiplerinin kayıt edileceğini Log&Report > Log Config > Log Filter kısmından seçiyoruz.

Biz örnek olarak yukardaki seçenekleri seçtik.

İkinci adımız Policy oluşturup, policy içinde Profile tanımı eklemek.Biz bir tane kural yazıp Default_Profile seçiyoruz.

Yukardaki gibi kuralı yazıyor ve protection Profile ı seçiyoruz.Hemen aşağısında yer alan Log Allowed Traffic i seçmeye gerek yok.Bu kurala takılan trafiğin loglarıda syslog sunucuya gönderilebilir.Fakat ip olarak gönderilir.bizim amacımız URL leri görmek olduğu için loglamayı başka kısımda seçiyoruz.

Son adımda Profil alıntda content archive i http için aktif hale getiyoruz.Aşağıdaki örnekte HTTP ,HTTPS ve FTP için aktif hale getirdim.

Burda ayar kısmında “Display Content meta....” ile başlayan kısmı seçersek ana sayfada Dashboard da Statistic Content Archive kısmındada IP yerine URL gösterecektir.Biz Altta Forti Analyzer da da URLleri göstermesini istediğimiz için istediğimiz protocoller için Summary yi seçiyoruz. Apply a basarak yaptığımız değişiklikleri kaydediyoruz.

Firewall tarafında yapacaklarımızı bitirdikten sonra tekrardan Syslog serverın konsoluna dönelim.Resimde de görüldüğü gibi www.bilginipaylas.com a giden trafik Syslog sunucusuna düşmeye başlamış

Buda Dashboarda en son ziyaret edilen web sitelerinde IP yerine URL adresleri loglanır.

Önceki hali

Sonraki hali

Bu yöntemle Fortigate ‘e logları oluştururken IP yerine URL yazdırmasını sağlamış oluyoruz.Böylece loglar bizim için daha cok anlam ifade etmeye başlıyorz.

Eğer Syslog loglarını herhangi bir database e yazdırabilirsek yada en kötüsünden exele atıp düzenlersek hangi lokal iplerin nerelere gitmiş olduğunu görebiliriz.CSV formatında logları seçmemizin sebebi belki simdi daha iyi anlaşılmıştır.

Ömnceki : Fortigate Firewall Loglarını Syslog Sunucuya Gönderme

Devamı: SAWMILL ile Fortigate Syslog Loglarını Raporlama