ManageEngine ADAudit Plus ile Domainimizdeki, Dosya Sunucularımızdaki ve Diğer Rollere Sahip Sunucularımızdaki Olayların Loglarının Toplanması ve Raporlanması – Bölüm 1

ManageEngine’nin daha öncede opmanager, servisdesk, password manager gibi ürünlerini kullandım ve kullanıyorum. Özellikle domain ortamımızda olan olayların loglarının kaydedilmesi ve anlamlı hale dönüştürülmesi için geliştirdiği ADAudit Plus’ı kullanmamıştır. Bir test ortamında test etmeye karar verdim ve test ettikten sonrada beğendiğim bu ürünün makalesini yazmaya karar verdim.

 

clip_image002

 

ManageEngine’nin admin dostu bu loglama çözümünün eksik yani ismi çünkü ürün sadece Active Directory Audit ürünü değil. Ortamımızda bulunan file serverlardaki yani dosya sunucularımızdaki aktiviterin (klasör – dosya oluşturma, değiştirme, silme vb), diğer rollere sahip sunucularımızın üzerinde gerçekleşen olayların (sistem dosyalarındaki, dll’lerdeki, driver’lardaki veya yüklenen uygulamalardaki her türlü olayı), print server yani yazıcı sunucumuzdaki yazma işlemlerinin dahi loglarını toplayabiliyor ve bunları anlamlı raporlar olarak sunabiliyor. ADAudit Plus’ta 160’dan fazla hazır rapor bulunuyor ve normal bir kullanıcının bile çok rahatlıkla anlayabileceğimi şekilde sunuyor.

Günümüz gereksinimlerinden biri artık olayları loglama ve bunlardan detaylı sonuçlar çıkarmadır. Sistemlerimizde gerçekleşen hertürlü olayın kaydedilmesi ve gerektiğinde kontrollerle kimin neyi gerçekleştirildiğinin görülmesi günümüz dünyasında daha da önemli hale geldi. Kullanıcılardan gelen soruların bir kısmı bile dosyayı kim sildi, dosyayı kim değiştirdi şeklinde gelmekte ve bizi ister istemez gerçekleşen her olayı kaydetme ve kullanıcıların yaptıklarından sorumlu tutulabilmeleri için bunları muhafaza etmeye itiyor.

 

Bilgi teknolojileri çalışanları arasında bile zaman zaman kimin oluşturduğu belli olmayan kullanıcılar, verilen hatalı yetkiler, değiştirilen group policy ayarları sorun olabiliyor ve ciddi güvenlik sorunlarına neden olabiliyor.

 

Daha birçok sebepten dolayı loglama bir lüks değil bir ihtiyaç haline gelmiştir.

 

ManageEngine ADAudit Plus hakkında detaylı bilgi için aşağıdaki linkten yararlanabilirsiniz.

 

https://www.manageengine.com/products/active-directory-audit/

 

Makalemizin bu ilk bölümünde ADAudit Plus’ın kurulumunu gerçekleştireceğiz ve gereken ayarlarımızı yapacağız.

 

Kurulum yapılacağımız sunucunun minimum gereksinimlerinin listesini aşağıdadır.

 

Hardware

Recommended

Processor

P4 – 1.5 GHz

RAM

2 GB

Disk Space

20 GB

 

Desteklediği İşletim Sistemleri:

 

ü  Windows XP

ü  Windows Vista

ü  Windows 7

ü  Windows 8

ü  Windows 8.1

ü  Windows 2003 Server

ü  Windows Server 2008

ü  Windows Server 2008 R2

ü  Windows Server 2012

ü  Windows Server 2012 R2

 

Windows işletim sistemlerinin hepsini desteklediğini rahatlıkla söyleyebiliriz ama işletim sistemi kurulurken dil ve bölge ayarlarının aşağıdaki gibi olmasına dikkat etmeliyiz.

 

Format: English (United States)

Location: United States

Administrative: English (United States)

 

Sistem gereksinimlerinin detaylı bilgisini aşağıdaki linkten bulabilirsiniz.


https://www.manageengine.com/products/active-directory-audit/system-requirements.html

 

Kurulumu başlamak için sunucumuzun versiyonuna göre 32 veya 64 bit için gereken kurulum doyasını aşağıdaki adresten indirmemiz gerekiyor. 30 gün boyunca ADAudit Plus’ın tüm özelliklerini deneyebiliriz ve kullanabiliriz.

 

https://www.manageengine.com/products/active-directory-audit/download.html

 

clip_image004

 

ManageEngine ADAudit Plus’ın 50 Mb gibi küçük bir boyuta sahip olmasına aldanmamamız gerektiğini kurulum sonrası hünerlerine bakınca daha net göreceğiz.

 

clip_image006

 

Benim test sunucum Windows Server 2012 64 bit olduğu için ManageEngine_ADAudit_Plus_x64 kurulum dosyası ile kurulumu gerçekleştireceğim.

 

clip_image008

 

Her zamanki gibi Welcome sayfası bizi karşılıyor ve NEXT ile kuruluma başlıyoruz.

 

clip_image010

 

ManageEngine ADAudit Plus’ın sözleşmesini YES seçeneği ile kabul ediyoruz.

 

clip_image012

 

Kurulum dizini ayar ekranı açılıyor. Ben varsayılan dizine kurulumu yapmak istediğim için herhangi bir değişiklik gerçekleştirmiyorum. Eğer siz başka bir dizin seçecekseniz BROWSE ile belirlediğiniz dizini ayarlayabilirsiniz. Dizini belirledikten sonra NEXT ile devam ediyoruz.

 

clip_image014

 

ADAudit Plus’ın arayüzü ManageEngine’nin diğer uygulamalarında (Opmager, Service Desk vb.) olduğu gibi web üzerinden hizmet vermekte ve oldukça kullanıcı dostudur. Web arayüzüne giriş için kullanılacak varsayılan port 8081’dir. Bu portu değiştirmek istersek gireceğimiz portu başka bir uygulama veya web sayfasının kullanmıyor olması gerekmektedir. Ben varsayılan portu değiştirmeden NEXT ile devam ediyorum.

 

clip_image016

 

Opsiyonel olmakla birlikte Teknik Destek için bilgilerinizi girebilirsiniz. Ben bilgilerimi girip NEXT ile devam ediyorum.

 

clip_image018

Kuruluma başlamadan önce kontrol ekranında kurulum bilgilerini kontrol edip NEXT ile kurulumu başlatıyoruz.

 

clip_image020

 

clip_image022

 

Kısa bir yüklemeden sonra kurulum sonlandırma ekranı geliyor ve FINISH ile kurulumu bitiriyoruz.

 

ManageEngine ADAudit Plus’un Windows servis’inin kurulumunu yapalım.

 

Bunun için iki yöntem bulunuyor.

 

1.       Başlat – Tüm programlar – ADAudit Plus – NT Service – Install ADAP Service’i tıklayıp kurmak

2.       Kurulum dizinindeki bin klasöründe bulunan InstallNTService.bat’I tıklayıp kurmak

Varsayılan Dizin Adresi :C:\Program Files (x86)\ManageEngine\ADAudit Plus\bin

clip_image024

 

Servisleri kontrol ettiğimizde ManageEngine ADAudit Plus’ın otomatik ama stop durumda olduğunu görüyoruz. Servisi başlatıyoruz.

 

clip_image026

 

Eğer servis başlamaz ve uyarı verirse sunucunuzu restart etmeniz gerekebilir.

 

clip_image028

 

Masaüstüne ADAudit Plus’ın ikonu kısayol olarak geliyor. Tıklayarak AdAudit Plus’ın web panelini açıyoruz.

 

clip_image030

 

Kurulum sonrasında henüz herhangi bir domain eklemediğimiz için lokal hesapla giriş yapmamız gerekiyor.

 

ADAudit Plus Lokal Admin Hesap Bilgileri

Kullanıcı: admin

Şifre: admin

 

Kullanıcı adı ve şifreyi girdikten sonra LOGIN ile giriş yapıyoruz.

 

clip_image032

 

İlk önce mevcuttaki domain bilgilerimizi girerek domain’imizi tanıyoruz. Domain ismimizi ve ortamımızda yetkili bir kullanıcı hesabını girerek SAVE’e tıklıyoruz. Burada gireceğiniz kullanıcı hesabının domainde yetkili bir hesap olması gerekiyor ve mümkünse bu işe özel bir servis hesabı oluşturun ve onu kullanın.

 

clip_image034

 

Bir domain controller eklememiz gerektiğini belirten bir popup geliyor ve OK ile domain controller ekleme ekranına geçiyoruz.

 

clip_image036

 

Benim test ortamımda bir domainim olduğu için onun yanındaki kutucuğa tik’i atıyorum. Sizin birden çok dc’niz varsa burada onları da görecek ve ekleyebileceksiniz. ADD ile ekleme işlemini sonlandırıyoruz.

 

clip_image038

 

Event Fetch Interval’da ne kadar sürede logları almasını istediğimizi belirtip SAVE ile eklemeyi bitiriyoruz.

 

clip_image040

 

Giriş sonrasında ADAudit Plus’ın web paneline bağlanıyoruz.

 

Active Directory, file server ve Windows serverların olay loglarını almaya başlamadan önce Admin tabından bazı ayarlarımızı güncellememiz gerekiyor.

 

İlk önce General Settingsteki alanlarını yapılandıralım.

clip_image042

Personalize kısmından local admin şifre değiştirme, tema seçimi, tarih saat formatı ayarları ve en önemlisi zaman dilimi ayarlarını yapabiliyoruz. ManageEngine ADAudit Plus’ın logon ekranında domain hesabımızı kullanarak girmek istiyorsak ilk önce logon ekranında domainimizi görünür yapmamız gerekiyor ve daha sonra kullanıcımızı yetkilendirmemiz. Domain’in görünmesi içn “Log on to” options kısmından domainimizi seçmeliyiz. Sonra SAVE CHANGES ile ayarları kaydediyoruz.

 

clip_image044

 

Connection kısmından web panelinin portunu, ssl kullanıp kullanmayacağımızı ve zaman aşımı süresini ayarlayıp SAVE CHANGES ile ayarları kaydediyoruz.

 

clip_image046

 

ADAP Server kısmında servisin Windows ile start olması ADAudit Plus’ın startup eklenmesi gibi ayalar bulunmaktadır.

 

clip_image048

 

Mail Server kısmında belli sürelerde yollanmasını istediğimiz raporların ve alertlerin yani uyarıların  e-posta ile gönderimi için gereken mail sunucusu bağlantısını giriyoruz. Mail gönderimini ADAudit Plus relay izni ile de kullanıcı adı – parola ile de gönderebilmektedir.

 

clip_image050

 

Jump To kısmından sistemimizde bir ManageEngine ADManager Plus varsa iletişim bilgilerini girebilir ve yukarıda bulunan Jump To kısmında direk ADManager Plus ile ManageEngine’nin Exchange Reporter Plus ve ADSelfService Plus ürünleri arasında rahat bir şekilde geçiş yapabiliriz.

 

clip_image052

 

Configuration alanındaki Alerts kısmından oluşan alarmların üzerinden ne kadar zaman geçince sileceğini belirleyebilirsiniz. Varsayılanda 90 gün olarak ayarlıdır.

 

clip_image054

 

Archive Events kısmında hangi kategorideki olay loglarının database kaydedildikten kaç gün sonra database’den arşive dosyalarına aktarılacağını ve bu arşiv dosyalarının nerede tutulacağını belirleyebiliriz. Bu işlem database’in çok fazla şişmesini ve sorguların yavaşlamasını önleyeceği için gereklidir.

 

clip_image056

 

Restore Archived Events kısmından arşivlediğimiz loglarımızı tekrar ADAudit Plus’un üzerine yükleyebiliriz ve kontrollerimizi gerçekleştirebiliriz.

 

clip_image058

 

Import Evt/Evtx Logs kısmında evt ve evtx log dosyalarını direk ADAudit Plus’a aktarabilir ve bu loglardan rapor çekebiliriz.

 

clip_image060

 

Administration alanındaki Alert Me kısmından ADAudit Plus’ın hata aldığı durumlarda bize bilgilendirme maili yollayarak durumu tarafımıza iletmesini sağlayabiliriz.

 

clip_image062

 

Technicians kısmında ADAudit Plus’a girmeye yetkili hem lokal hemde domain ortamımızdaki kullanıcıları tekniker olarak atayabiliriz.

 

İki tekniker türü bulunmaktadır. Admin raporlamanın yanında ayarlarda yapabilmekte ama operatör sadece raporlama yapabilmektedir.

 

clip_image064

 

ScheduleReport kısmında topladığımız loglardan derlenen raporlarımızı belli sürelerde mail olarak tarafımıza iletilmesini sağlayabiliriz. Raporlama konusunu başka bir makalede detayları ile anlatacağım için burada bu özelliğe girmiyorum.

 

clip_image066

 

Disk Space Alert kısmında ADAudit Plus sunucusunun sabit diskinin dolma ihtimaline karşı bize uyarı maili göndermesini ayarlayabiliyoruz.

 

clip_image068

 

Exclude User Accounts kısmındaysa istediğimiz kullanıcıların loglarının raporlarda görünmemesini sağlayabiliriz.

 

clip_image070

 

Business Hours kısmında çalışma saatlerimizi ve günlerimizi belirleyip raporlarımızdaki olayları detaylandırabiliriz. Özellikle şifre denemeleri gibi olaylarda oluşan logların çalışma saati içinde olup olmaması bilgisi bizim için önemli olabilir. Eğer çalışma saatleri dışında bir kullanıcının şifresi sürekli hatalı giriliyorsa bu bir saldırı olabilir ve bu konuda aksiyon almamız gerekebilir.

 

clip_image072

 

Admin tabındaki ayarlarımızı yaptıktan sonra Home tabına geçiyoruz ve sistemlerimizdeki ve sunucularımızdaki olay loglarını toplamaya balşıyoruz.

 

Home tabına girince bir uyarı yazısı beliriyor. Bu uyarı yazısı henüz mevcut domainimizdeki domain controllerların audit eventlerinin yani olay loglarını üretmediğini ve olay loglarının açık olmadığını söylüyor.

 

clip_image074

 

Mevcut Default Domain Controllers Policy’iyi kontrol ettiğimizde audit eventlerinin yani olay loglarının açık olmadığını görüyoruz.

 

ADADuit Plus’ta iki yöntemle Group Policylerdeki ayarları yapabilirsiniz.

 

Birincisi manuel yöntem. Bu biraz zahmetli bir iş ama yardımcı olması adına aşağıdaki linkten hangi logların ve SCALs’ların açılması gerektiğini kontrol edebilir ve elle ayarlayabilirsiniz.

 

https://www.manageengine.com/products/active-directory-audit/help/index.html

 

Getting Started  Configuring Audit Policy  For Domain Controllers  Manual Configuration

 

İkincisiyse ManageEngine ADAudit Plus’ın sizin için bu işlemleri otomatik yapmasıdır. Bunun için tek yapmanız gereken CLICK HERE’e tıklamamızdır.

 

clip_image076

 

Çok kısa bir süre sonra işlemin bittiğini mesajı ekrana popup olarak geliyor.

 

clip_image078

 

Kontrol ettiğimizde bizim için hem audit eventlerin yani olay loglarının hemde SACLs’ların ayarlandığını görebiliriz.

 

Manuelle göre bu da çok basit oldu… J

 

clip_image080

 

Group Policylerin aktif olması için mevcuttaki domain controllerlarda GPUPDATE /FORCE komutunu çalıştırıp DC’lerin group policy ayarlarını almasını sağladıktan sonra artık ADAudit Plus’ın oluşan logları almasını sağlamış olacağız.

 

clip_image082

 

Bir süre sonra ADAudit Plus’un web panelinde logların geldiğini göreceğiz. Domain ortamımızdaki kullanıcıların, bilgisayarların ve diğer objectlerin yani nesnelerin hakkında veya üzerinde yapılan değişikliklerin neler olduğunu detaylarıyla inceleyebileceğiz.

 

Graphical View ekranında olayların özetlerini grafiksel olarak görüyoruz.

 

Top User Logon Failures alanında hangi kullanıcıların kaç kere hatalı giriş denemesi yaptığını,

Logon Failures – Error Code alanında hangi sebeple girişte başarısız olduğunu,

Password Changed/Set Users alanında şifre değişikliği gerçekleştirme olayları görebilirsiniz.

 

Summary View ekranı sabah 5’de çalışır ve o zamana kadar gerçekleşen olayların özetlerini görmemizi sağlayan bir ekrandır. Elle de istediğimiz zaman Summary View ekranını tetikleyebiliriz.

clip_image084

 

RUN NOW’a tıklayalım ve özet bilgimizi görelim.

 

clip_image086

 

Özet kısımda domainde bulunan kullanıcıların, grupların, bilgisayar hesaplarının, Organizational units ve Group Policy nesnelerinde olan biten herşeyi sayısal özet olarak görebiliyoruz.

 

Örneğin benim test için yaptığım kullanıcı hesabı pasif etmenin Disabled Users’e yansıdığını görebilirsiniz. Disabled Users’ın yanındaki 1 sayısı ilgili konuda kaç değişiklik olduğunu gösteriyor.

 

Benim beğendiğim bir özellikte bu rakama tıklayarak gerçekleşmiş olaylarının loglarına erişebilmemizdir.

 

clip_image088

 

AdAuditTestUser5’in hesabının Administrator kullanıcısı tarafından dcsrv sunucusu üzerinden 25/09/2014 13:21:22 tarihinde pasif duruma getirildiğini görüyoruz.

 

Bu arada sol tarafta hazır olarak bekleyen 160’dan fazla raporun olduğunu görmüş olduk. Bu raporlardan bazılarına bir sonraki makalemizde değineceğiz.

 

Domain’imizi ve domain controllerımızı ekledikten sonra şimdi sıra geldi file serverlarımızın yani dosya sunucularımızın olay loglarını alarak kimin hangi klasörde veya dosyada ne işlem yaptığını kaydetmemize ve raporlamamıza.

 

Burada yine hatırlatmakta fayda var; NetApp Filer, EMC Server ve Windows FailOver Clusterlardan da bu olay logları alınıp ADAudit Plus’ta işlenebiliyoriz.

clip_image090

File Audit tabına tıklıyoruz ve henüz bir Windows File Server’ın eklenmediğini görüyoruz. Eklemek için ADD FILE SERVERS’a tıklıyoruz.

clip_image092

Domain ortamındaki sunucuların listesi geliyor. Benim test ortamımda Domain Controller aynı zamanda file server yani dosya sunucusu olduğu için onu seçiyorum ve GET SHARES ile sunucu üstündeki paylaşımları görüyorum.

clip_image094

Seçilen sunucu üzerindeki paylaşımların listesinden istediğimizi seçiyoruz ve OK ile ekleme işlemini bitiriyoruz.

clip_image096

Paylaşımın bulunduğu sunucuda ilgili audit eventlerin yani olay loglarını üretilmesi ve takibi için Group Policyde ve paylaşım üzerinde gereken izinlerin verilmesini isteyip istemediğimiz soruluyor. Daha önce söylediğimiz gibi bu işlemi buradan otomatikte yapabiliriz manuel kendimizde ayarlayabiliriz. Ben otomatik yapmak istediğim için YES ile devam ediyorum.

 

Eğer siz manuel yapacaksanız aşağıdaki linkten yararlanabilirsiniz.

 

https://www.manageengine.com/products/active-directory-audit/help/index.html

 

Getting Started  Configuring Audit Policy  For File Server – Manual Configuration

 

clip_image098

 

Ekleme işi bittikten sonra loglar yavaş yavaş gelmeye başlayacaktır. Eğer logların gelip gelmediğini hemen kontrol etmek isterseniz RUN NOW’a tıklayarak 2 saati bekletmeden elle çalıştırabilir ve bu arada üretilen log varsa onları çekmemizi sağlayabiliriz.

 

clip_image100

 

File Audit tabını tekrar açar ve sağ üst köşeden View File Audit Reports’a tıklarsanız gelen loglara göre bütün klasör ve dosyalardaki değişiklikleri grafiksel pasta olarak görebilirsiniz. Hemen altında da hangi dosyanıni klasörün oluşturulduğunu, değiştirildiğini ve silindiğini gibi işlemlerin kimin tarafından ne zaman yaptığın detayları ile görebiliriz.

clip_image102

Add/Remove Columns’dan çeşitli kolonlar ekleyerek olaylarla ilgili daha detaylı bilgiler edinebiliriz.

Logların oluşması ve gelmesi için biraz daha zaman gerekebilir.

Server Audit tabındanda sunucularımızdaki kritik sistem dosyalarımızın değişip değişmediğini, sunucularımıza kimlerin giriş yapıp neler yaptığını, çalışan veya çalıştırılan uygulamaların detaylarını ve print serverımızdan yani yazıcı sunucumuzdan kimlerin hangi dosyaları yazdırdığını görebiliriz.

 

Domain controllerımız ve file serverlarımız ekledik şimdi de sistemimizde bulunan diğer sunucuları da buraya ekleyerek onların üzerinde gerçekleşen olayları nasıl takip edeceğimizi görelim.

 

clip_image104

 

Sunucularımızı eklemek için Configuration tabından Configured Member Server(s)’a alanına geçiyoruz. ADD MEMBER SERSERS’a tıklıyoruz.

 

clip_image106

 

Açılan pencerede istediğimiz sunucuları seçip ADD’e basıyoruz.

 

clip_image108

 

ADAudit Plus logon events policy’nin eklenen sunucularad enable edileceğini belirtiyor. Ben yine kolay yolu seçiyorum ve YES diyorum. J

 

Eğer siz manuel yapacaksanız aşağıdaki linkten yararlanabilirsiniz.

 

https://www.manageengine.com/products/active-directory-audit/help/index.html

 

Getting Started  Configuring Audit Policy  For Member Servers – Manual Configuration

 

Sunucularımızdaki kritik dosyalardaki değişiklikleri olaylarının loglarını toparlayıp kontrol edelim.

 

clip_image110

Server Audit tabından CONFIGURE FILE INTEGRITY’e geçip Click here to configure’a tıklıyoruz.

clip_image112

Üstte hangi domain controllerda ve hangi serverlerda bu kontrolün yapılacağını seçiyoruz. Daha sonra hangi dosyalardaki hangi uzantıların takip edileceğini belirliyoruz ve CONFIGURE NOW ile kaydediyoruz.

clip_image114

Ekranda görüldüğü üzere test ortamındaki bir adet domain controllerın ve 4 adet server’ın otomatik olarak eklendiğini görüyoruz.

Benim test ortamımda print serverım olmadığı için ekleyemiyorum ama sizin ortamınızda varsa Configure Printers’a tıklayarak yine aynı basit ve kolay yöntemle gerçekleştirebilirsiniz.

clip_image116

Alert tabından ADAudit Plus’ın olay loglarında yakaladığı kritik olayları görebilirsiniz. Örneğin sistem audit loglarını kimin sildiğini, AD schema’da yapılan değişiklikleri, admin yetkisine sahip kullanıcıların hatalı giriş denemelerini, admin gruplarındaki değişiklikleri tek tıklama ile görebiliriz.

Makalemizin bu bölümünün sonuna geldik ManageEngine ADAudit Plus’ın kontrol paneli üzerinden domain ortamımızdaki olayları, dosya sunucumuzda gerçekleşen aktiviteleri ve sunucularımızdaki kritik değişiklikleri nasıl takip edebileceğimizi görmüş olduk.

 

Önümüzdeki makalede ManageEngine ADAudit Plus’ın karmakarışık domain ve sunucu loglarını, raporları aracılığıyla nasıl anlamlı ve daha anlaşılır hale getirdiğini bazı raporlar üzerinde göreceğiz.

 

Makalemizin bir sonraki bölümünde de görüşmek üzere.