Günümüz IT iş ihtiyaçlarının en önemli başlıklarından birisi güvenliktir. Güvenliğin ayrılmaz bir parçası olan “Audit – izleme – takip etme” ise yine önemli alt başlıklardandır. Bu makale serisinde bende özellikle Türkiye de ciddi bir eksiklik olan IT alt yapılarının izlenmesi konusunda son derece başarılı bir ürün olan Lepide Auditor Suite yazılımını tanıtacağım. İlk makalem diğer makaleler için referans olması açısından sadece kurulum adımlarını içerecektir. Diğer makalelerim ise sırası ile Active Directory, GPO, Exchange Server ve File Server gibi temel IT alt yapı ürünlerinin nasıl izleneceği ile ilgili olacaktır.
Öncelikle ürünü aşağıdaki link üzerinden indirebilirsiniz
https://www.lepide.com/audittrial/
Kurulum son derece kolaydır. Kurulum öncesinde sistem gereksinimi olarak 4GB ram ve 2Core CPU yeterli olacaktır. Ancak bu değerler şirket ortamınızda kullandığınız AD, Exchange, SQL, Sharepoint ve benzeri izlediğiniz ürünlerin yoğunluğu ile doğru orantılı olarak kaynak tüketecektir. Bu nedenle ortalama değerler ile kurulum yapabilirsiniz.
Not: Minimum DualCore ve 4GB kaynak gereklidir kurulum için. Desteklenen işletim sistemleri ise aşağıdaki gibidir;
Windows 7
Windows 8
Windows 8.1
Windows 10
Windows Server 2003
Windows Server 2003 R2
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Ek olarak .NET Framework 4.0 veya üstü
İzlemek için desteklediği platformalar ise aşağıdaki gibidir;
Windows Server izleme için 2003 – 2012 R2 arasındaki tüm sürümler
Exchange Server izleme için 2003 -2013 arasındaki tüm sürümler
File Server için Windows 7 – Server 2012 R2 arasındaki tüm client ve server işletim sistemleri (2003 dahil) File ServerAuditing için ek olarak Netapp desteğide bulunmaktadır.
Sharepoint izleme için 2010 ve 2013 sürümleri
SQL izleme için ise 2005 ile 2014 sürümleri arasını desteklemektedir.
Not: 2003 sistemlerin izlenmesi için ek gereksinimler olup bunun için kurulum dosyasını incelemenizi öneririm.
Örneğin 500 kullanıcıya kadar AD ve Exchange için 4Core CPU 8GB ila 16GB ram yeterli olacaktır.
Kurulum dosyası içerisinde (lepideauditorsuite\lepideauditorsuite\Auditor Suite) setup dosyasını çalıştırıyoruz.
Karşılama ekranını next diyerek geçebilirsiniz.
Sözleşmeyi kabul ediyor ve ilerliyoruz
Varsayılan kurulum dizini ile devam ediyoruz (isterseniz kurulum dizinini değiştirebilirsiniz).
Start Menü için varsayılan ismi kullanıyoruz
Kısa yol seçenekleri.
Ve son olarak kurulum öncesi özet.
Evet, kurulum son derece kolay gördüğünüz gibi. Bundan sonra ise asıl amacımız olan Lepide ile AD ve GPO izlemek.
İsterseniz yukarıdaki gibi kurulum sonrasında ürünü açabilir yada daha sonra masa üstündeki veya start menüsündeki kısa yoldan erişebilirsiniz.
Ürün bizlere Active Directory, GPO, Exchange Server, SQL Server, Sharepoint ve File Server gibi temel alt yapı ürünleri üzerinde gerçekleştirilen değişiklikleri izlemek için bir platform sunar. Ancak bu değişiklikleri kayıt etmek için ise bir SQL veri tabanı gereksinimi vardır. Yine bu konuda 500 kullanıcıya göre (şirketin AD, Exchange değişiklikleri farklılık gösterebilir) aylık 100MB ile 500MB arasında değişebilir, yıllık maksimum 6GB yeterli olacaktır. Bu da SQL Express ile dahi ( 2014 sürümü 10GB a kadar destek veren ücretsiz sürümdür ) işinizi görecektir. Ek olarak üründe zaten bu verilerin yaşlandırma yani arşiv desteği de sunulmaktadır. Ancak şirket ortamınızda hali hazırda SQL server var ise ek bir lisans maliyeti olmadan bir veri tabanı da Lepide için açabilirsiniz.
Peki, kuruluma kaldığımız yerden devam edelim, öncelikle Lepide için bir servis hesabı gereklidir, bu hesabın Lepide sunucusunda yerel admin olması yeterlidir, ek bir yetkiye gerek yoktur.
Not: Lepide başka sunucu rolleri ile kullanılabilir, eğer imkanınız yok ise tek bir sunucu ayırmanız gerekli değildir, ancak böyle bir durumda mevcut sunucu üzerine ek yük bindireceği için kaynakları iyi ayarlamanız gereklidir.
Ben AD üzerinde bir domain user tanımladım ve ismini “lepide” yaptım, daha sonra bunu lepide makinesinde local admin grubuna ekledim
Bu işlemden sonra aşağıdaki ekranda bu kullanıcı bilgilerini giriyorum
Sorulan soruya “Evet” cevabını veriyorum
Bu sayede bu kullanıcıya servis logon hakkı vermiş oluyorum
Bu işlemin ardından karşıma aşağıdaki gibi hangi ürün için izleme yapacağımı seçtiğim bir ekran geliyor
İlk seçenek olan Active Directory ile başlayan kutucuk işaretli iken OK diyerek ilerliyorum
Gelişmiş ayarları seçiyorum
Daha sonra yukarıda gördüğünüz gibi izlemek istediğim domain bilgilerini ve kullanıcı bilgilerini seçiyorum. Alt bölümde ise ajanlı mı yoksa ajansız mı izleme yapmak istediğimi belirliyorum. Ajanlı izleme bana daha sağlıklı bir izleme imkânı sunduğu için onu seçiyorum, eğer ajan yüklemek istemiyorsanız bu durumda siz ajansız yükleme yapabilirsiniz. Örneğin POC yapıyorsunuz ama mevcut ortamı etkilemek istemiyorsunuz bu durumda öncelikle ajansız bir yükleme ile deneme yapabilirsiniz.
Eğer ortamınız izlemeye müsait değil ise bunu uygun bir hale getirmek için bir takım GPO değişiklikleri gerekmektedir. Bu konuda yukarıda olduğu size bir uyarı çıkacaktır. Bu uyarı sağlıklı bir izleme için gerekli olan Audit ayarlarının yapılması gerektiğini ve eğer isterseniz bunu ajan yüklemesi ile beraber otomatik olarak yapabileceğimizi söyler. İsterseniz Lepide ajanının bunu DC üzerinde değiştirmesini sağlayabileceğiniz gibi isterseniz de sizin ile paylaşılan bu ekrandaki değişiklikleri elle yapabilirsiniz
Ben otomatik yapılması için “Yes…” seçeneği ile devam ediyorum
Bu durumda hangi GPO içerisinde bu değişikliklerin yapılmasını istediğimizi bize soruyor, ben varsayılan policy kullandığım için bunu seçerek ilerliyorum. Ancak siz DC yönetimi için birden çok veya farklı bir GPO kullanıyorsanız onu da seçebilirsiniz.
Daha sonra bekliyoruz
Ardından karşımıza ortamımıza göre gerekli olan sunucuların listesi geliyor. Benim ortamımda bir DC ve bir Exchange Server var. Eğer sizin ortamınızda da benzer şekilde ürünler var ancak sadece Active Directory lisansını satın almışsanız veya alacaksanız lütfen yukarıdaki menüde “Change Audit Exchange Server” kutucuğunu kaldırın. Çünkü bu şekilde bir kurulum yaptıktan sonra lisans dosyası istemeniz halinde ona göre bir fiyatlandırma yapılacaktır. Ben şu anda lisanslama modelini anlatmadığım için mevcut Active Directory, GPO ve Exchange Server için gerekli olan izleme özellikleri ile devam ediyorum.
Not: Active Directory ve Exchange Server için ayrı makaleler yazacağımdan dolayı örneğin “Non-Owner Mailbox Audit” veya Group Policy Backup gibi ek izleme veya özelliklere şu anda değinmiyorum. Şu anda standart kurulum adımlarını tamamlayacağım. İlerleyen makalelerde her bir özellik için gerekir ise tekrar bu ekrana dönüp ilgili kutucukları işaretleyeceğiz. Eğer siz hali hazırda bu ürünlerin lisanslarını almış ve biliyorsanız gerekli olan kutucukları işaretleyerek devam edebilirsiniz.
Not: Ürün her ne kadar bir Audit ürünü olsa da beraberinde ücretsiz bir “Monitoring” hizmetide sunmaktadır. Bundan yararlanmak için “Health Monitoring” kutucuğunu işaretleyebilirsiniz.
Not: GPO izlemek için Lepide makinesinde Group Policy Management Console yüklü olmalıdır.
Bendeki son durum aşağıdaki gibidir;
Next diyerek ilerliyorum
Sunucuların ip adreslerini kontrol ediyorum, doğru olması gerekli. Alt bölümde ise tercih edeceğim bir DC seçiyorum. Bende tek DC olduğu için önemli değil ama sizde birden çok site ve DC var ise lepide sunucusu ile aynı site içerisindeki bir DC yi seçiniz.
Bu bölümde ise SQL bilgilerini vermeniz gerekli. Burada eğer SQL servisi aynı sunucu üzerinde ise (lepide ile) “Windows Authentication” kullanabilirsiniz, ancak Lepide sunucusu dışında network üzerinden erişilecek ise mutlaka “SQL Authentication” kullanmanız gereklidir. Ben mevcut sunucu üzerine SQL Server 2014 Express kurmuştum onu kullanıyorum. Ek olarak birde lepide için veri tabanı ismi veriyorsunuz.
Kullanabileceğiniz SQL Sürümleri aşağıdaki gibidir;
SQL Server 2005 – SQL Server 2008 – SQL Server 2008 R2 – SQL Server 2012 – SQL Server 2014 -SQL Server 2016 – SQL Server 2005 Express Edition – SQL Server 2008 Express – SQL Server 2008 R2 Express – SQL Server 2012 Express – SQL Server 2014 Express
Burada eğer siz Lepide kurulumunu SQL üzerinde yetkili bir kullanıcıda yapıyorsanız sorun yok, ancak açtığınız “Cozumpark\lepide” kullanıcısı ile yapıyorsanız SQL kurarken bu kullanıcıya yetki vermiş olmanız gerekli. Veya SQL kurulumunu yapan yani yetkili kullanıcı ile logon olup, SQL Management Studio kurup bu kullanıcıya yetki vermeniz gereklidir.
Bir sonraki bölümde ise izlemek için OU bazlı seçim yapabilirsiniz, ben tüm yapıyı izlemek istiyorum.
Bir sonraki bölümde benzer şekilde tüm objeleri izlemek istediğimi belirtiyorum
Ancak siz isterseniz sadece belirli objeleri aşağıdaki gibi seçebilirsiniz
Hemen alt bölümde bulunan iki kutucuk yine boş bırakılıyor. Bunlar ürünler ile ilgili detaylı konularda değineceğim alanlardır.
Son alan ise mevcut logların arşivlenmesini sağlayabileceğiniz bir ekran sunmaktadır. Ben daha sonrada bu ayarları yapabileceğimden dolayı burayı da varsayılan olarak bırakıp kurulumu tamamlıyorum.
Programı kapatıp açıyorum.
Kurulum tamamlandı. Peki bundan sonra ilk olarak ne yapmalıyız. Aslında ilk yapmamız gereken programın kaynaktan verileri doğru çekip veri tabanına yazmasını doğrulamaktır. Yani Active Directory ve Exchange Server üzerindeki değişiklikleri alabiliyor muyuz? Aldığımız bu değişiklikleri veri tabanına yazabiliyor muyuz? Bunun için öncelikle ana ekrandaki sol menüde yer alan “Settings” linkine tıklıyoruz. Burada bağladığımız Domain üstüne tıkladığınız zaman sağ bölümde aşağıdaki gibi detayları görebileceksiniz
Örneğin DC ve Exchange üzerinde değişiklik ve sağlık bilgisi alınmış ancak henüz “Data Insertion” yani bu değişiklik SQL veri tabanına işlenmemiş. Biraz beklemeniz veya bir kere sunucuyu yeniden başlatmanız bu süreci hızlandıracaktır.
Not: özellikle SQL i kurdunuz ve sonra hemen lepide kurduysanız bu yenide başlatma yararlı olacaktır.
Yeniden başlatma sonrasında sorunun çözüldüğünü görüyorum
Not: Tavsiyem SQL Authentication kullanmanızdır
Sunucu tarafını çözdüysek eğer şimdi istemci tarafına bakalım. Örneğin DC de aşağıdaki servisleri ve klasörü görebiliyor olmanız gerekli
Bunları kontrol ettikten kısa bir süre sonra ana ekranda değişikliklerin geldiğini görebiliriz
Eğer bu bölüme kadar sorunsuz geldiyseniz kurulumu başarı ile tamamladınız demektir. Eğer ekranda herhangi bir güncelleme yok ise ilk olarak istemci makinede aşağıdaki dizini kontrol edin
C:\Windows\Lepide\BKP_TEMP_EVENT_SEC_VER2016
Buradaki klasörün içerisinde loglar sürekli artıyor ancak hiç azalmıyor ise bu durumda istemci makine ile Lepide sunucusu arasında bir network sorunu var demektir.
Eğer burada loğlarda ciddi bir artış ve bekleme yok ancak yine ana ekrana değişiklikler düşmüyor ise bu durumda lepide sunucusu üzerinde aşağıdaki dizini kontrol etmeniz gerekli
C:\Program Files (x86)\LepideAuditor Suite\cozumpark.local\BKP_TEMP_EVENT_2016\10.0.1.124
Burada cozumpark.local sizin domain adınız, sondaki IP ise agent yüklü olan ve sorunlu olduğunu düşündüğünüz DC, Exchange vb makine ip adresiniz.
Benzer şekilde buradaki klasörün içerisindeki loğlarda erimiyor ise eğer hızlı bir şekilde support açmanızı öneririm.
Son olarak eğer her şey yolunda ise Active Directory ve Exchange sunucuları için sağlık monitörleri de çalışıyor olmalıdır
Ana ekranda sol menüde “Health Monitoring” linkine tıkladığınız zaman sağ tarafta yukarıdaki gibi ekranların canlı olması gerekmektedir.
Makalemin bu bölümünün sonuna geldim. Kurulum sonrasında sırası ile Active Directory – GPO, Exchange Server ve File Server konularında detaylı makaleler yazacağım.
Bir sonraki makalemde görüşmek üzere.
Eğer ürün hakkında daha fazla bilgi almak veya POC yapmak için Türkiye de ki resmi dağıtıcı ile görüşebilirsiniz.
info@itstack.com.tr ye mail atmanız halinde size en uygun bayi üzerinden POC desteği sunulacaktır.