ManageEngine’nin daha öncede opmanager, servisdesk, password manager gibi ürünlerini kullandım ve kullanıyorum. Özellikle domain ortamımızda olan olayların loglarının kaydedilmesi ve anlamlı hale dönüştürülmesi için geliştirdiği ADAudit Plus’ı kullanmamıştır. Bir test ortamında test etmeye karar verdim ve test ettikten sonrada beğendiğim bu ürünün makalesini yazmaya karar verdim.
ManageEngine’nin admin dostu bu loglama çözümünün eksik yani ismi çünkü ürün sadece Active Directory Audit ürünü değil. Ortamımızda bulunan file serverlardaki yani dosya sunucularımızdaki aktiviterin (klasör – dosya oluşturma, değiştirme, silme vb), diğer rollere sahip sunucularımızın üzerinde gerçekleşen olayların (sistem dosyalarındaki, dll’lerdeki, driver’lardaki veya yüklenen uygulamalardaki her türlü olayı), print server yani yazıcı sunucumuzdaki yazma işlemlerinin dahi loglarını toplayabiliyor ve bunları anlamlı raporlar olarak sunabiliyor. ADAudit Plus’ta 160’dan fazla hazır rapor bulunuyor ve normal bir kullanıcının bile çok rahatlıkla anlayabileceğimi şekilde sunuyor.
Günümüz gereksinimlerinden biri artık olayları loglama ve bunlardan detaylı sonuçlar çıkarmadır. Sistemlerimizde gerçekleşen hertürlü olayın kaydedilmesi ve gerektiğinde kontrollerle kimin neyi gerçekleştirildiğinin görülmesi günümüz dünyasında daha da önemli hale geldi. Kullanıcılardan gelen soruların bir kısmı bile dosyayı kim sildi, dosyayı kim değiştirdi şeklinde gelmekte ve bizi ister istemez gerçekleşen her olayı kaydetme ve kullanıcıların yaptıklarından sorumlu tutulabilmeleri için bunları muhafaza etmeye itiyor.
Bilgi teknolojileri çalışanları arasında bile zaman zaman kimin oluşturduğu belli olmayan kullanıcılar, verilen hatalı yetkiler, değiştirilen group policy ayarları sorun olabiliyor ve ciddi güvenlik sorunlarına neden olabiliyor.
Daha birçok sebepten dolayı loglama bir lüks değil bir ihtiyaç haline gelmiştir.
ManageEngine ADAudit Plus hakkında detaylı bilgi için aşağıdaki linkten yararlanabilirsiniz.
https://www.manageengine.com/products/active-directory-audit/
Makalemizin bu ilk bölümünde ADAudit Plus’ın kurulumunu gerçekleştireceğiz ve gereken ayarlarımızı yapacağız.
Kurulum yapılacağımız sunucunun minimum gereksinimlerinin listesini aşağıdadır.
Hardware |
Recommended |
Processor |
P4 – 1.5 GHz |
RAM |
2 GB |
Disk Space |
20 GB |
Desteklediği İşletim Sistemleri:
ü Windows XP
ü Windows Vista
ü Windows 7
ü Windows 8
ü Windows 8.1
ü Windows 2003 Server
ü Windows Server 2008
ü Windows Server 2008 R2
ü Windows Server 2012
ü Windows Server 2012 R2
Windows işletim sistemlerinin hepsini desteklediğini rahatlıkla söyleyebiliriz ama işletim sistemi kurulurken dil ve bölge ayarlarının aşağıdaki gibi olmasına dikkat etmeliyiz.
Format: English (United States)
Location: United States
Administrative: English (United States)
Sistem gereksinimlerinin detaylı bilgisini aşağıdaki linkten bulabilirsiniz.
https://www.manageengine.com/products/active-directory-audit/system-requirements.html
Kurulumu başlamak için sunucumuzun versiyonuna göre 32 veya 64 bit için gereken kurulum doyasını aşağıdaki adresten indirmemiz gerekiyor. 30 gün boyunca ADAudit Plus’ın tüm özelliklerini deneyebiliriz ve kullanabiliriz.
https://www.manageengine.com/products/active-directory-audit/download.html
ManageEngine ADAudit Plus’ın 50 Mb gibi küçük bir boyuta sahip olmasına aldanmamamız gerektiğini kurulum sonrası hünerlerine bakınca daha net göreceğiz.
Benim test sunucum Windows Server 2012 64 bit olduğu için ManageEngine_ADAudit_Plus_x64 kurulum dosyası ile kurulumu gerçekleştireceğim.
Her zamanki gibi Welcome sayfası bizi karşılıyor ve NEXT ile kuruluma başlıyoruz.
ManageEngine ADAudit Plus’ın sözleşmesini YES seçeneği ile kabul ediyoruz.
Kurulum dizini ayar ekranı açılıyor. Ben varsayılan dizine kurulumu yapmak istediğim için herhangi bir değişiklik gerçekleştirmiyorum. Eğer siz başka bir dizin seçecekseniz BROWSE ile belirlediğiniz dizini ayarlayabilirsiniz. Dizini belirledikten sonra NEXT ile devam ediyoruz.
ADAudit Plus’ın arayüzü ManageEngine’nin diğer uygulamalarında (Opmager, Service Desk vb.) olduğu gibi web üzerinden hizmet vermekte ve oldukça kullanıcı dostudur. Web arayüzüne giriş için kullanılacak varsayılan port 8081’dir. Bu portu değiştirmek istersek gireceğimiz portu başka bir uygulama veya web sayfasının kullanmıyor olması gerekmektedir. Ben varsayılan portu değiştirmeden NEXT ile devam ediyorum.
Opsiyonel olmakla birlikte Teknik Destek için bilgilerinizi girebilirsiniz. Ben bilgilerimi girip NEXT ile devam ediyorum.
Kuruluma başlamadan önce kontrol ekranında kurulum bilgilerini kontrol edip NEXT ile kurulumu başlatıyoruz.
Kısa bir yüklemeden sonra kurulum sonlandırma ekranı geliyor ve FINISH ile kurulumu bitiriyoruz.
ManageEngine ADAudit Plus’un Windows servis’inin kurulumunu yapalım.
Bunun için iki yöntem bulunuyor.
1. Başlat – Tüm programlar – ADAudit Plus – NT Service – Install ADAP Service’i tıklayıp kurmak
2. Kurulum dizinindeki bin klasöründe bulunan InstallNTService.bat’I tıklayıp kurmak
Varsayılan Dizin Adresi :C:\Program Files (x86)\ManageEngine\ADAudit Plus\bin
Servisleri kontrol ettiğimizde ManageEngine ADAudit Plus’ın otomatik ama stop durumda olduğunu görüyoruz. Servisi başlatıyoruz.
Eğer servis başlamaz ve uyarı verirse sunucunuzu restart etmeniz gerekebilir.
Masaüstüne ADAudit Plus’ın ikonu kısayol olarak geliyor. Tıklayarak AdAudit Plus’ın web panelini açıyoruz.
Kurulum sonrasında henüz herhangi bir domain eklemediğimiz için lokal hesapla giriş yapmamız gerekiyor.
ADAudit Plus Lokal Admin Hesap Bilgileri
Kullanıcı: admin
Şifre: admin
Kullanıcı adı ve şifreyi girdikten sonra LOGIN ile giriş yapıyoruz.
İlk önce mevcuttaki domain bilgilerimizi girerek domain’imizi tanıyoruz. Domain ismimizi ve ortamımızda yetkili bir kullanıcı hesabını girerek SAVE’e tıklıyoruz. Burada gireceğiniz kullanıcı hesabının domainde yetkili bir hesap olması gerekiyor ve mümkünse bu işe özel bir servis hesabı oluşturun ve onu kullanın.
Bir domain controller eklememiz gerektiğini belirten bir popup geliyor ve OK ile domain controller ekleme ekranına geçiyoruz.
Benim test ortamımda bir domainim olduğu için onun yanındaki kutucuğa tik’i atıyorum. Sizin birden çok dc’niz varsa burada onları da görecek ve ekleyebileceksiniz. ADD ile ekleme işlemini sonlandırıyoruz.
Event Fetch Interval’da ne kadar sürede logları almasını istediğimizi belirtip SAVE ile eklemeyi bitiriyoruz.
Giriş sonrasında ADAudit Plus’ın web paneline bağlanıyoruz.
Active Directory, file server ve Windows serverların olay loglarını almaya başlamadan önce Admin tabından bazı ayarlarımızı güncellememiz gerekiyor.
İlk önce General Settingsteki alanlarını yapılandıralım.
Personalize kısmından local admin şifre değiştirme, tema seçimi, tarih saat formatı ayarları ve en önemlisi zaman dilimi ayarlarını yapabiliyoruz. ManageEngine ADAudit Plus’ın logon ekranında domain hesabımızı kullanarak girmek istiyorsak ilk önce logon ekranında domainimizi görünür yapmamız gerekiyor ve daha sonra kullanıcımızı yetkilendirmemiz. Domain’in görünmesi içn “Log on to” options kısmından domainimizi seçmeliyiz. Sonra SAVE CHANGES ile ayarları kaydediyoruz.
Connection kısmından web panelinin portunu, ssl kullanıp kullanmayacağımızı ve zaman aşımı süresini ayarlayıp SAVE CHANGES ile ayarları kaydediyoruz.
ADAP Server kısmında servisin Windows ile start olması ADAudit Plus’ın startup eklenmesi gibi ayalar bulunmaktadır.
Mail Server kısmında belli sürelerde yollanmasını istediğimiz raporların ve alertlerin yani uyarıların e-posta ile gönderimi için gereken mail sunucusu bağlantısını giriyoruz. Mail gönderimini ADAudit Plus relay izni ile de kullanıcı adı – parola ile de gönderebilmektedir.
Jump To kısmından sistemimizde bir ManageEngine ADManager Plus varsa iletişim bilgilerini girebilir ve yukarıda bulunan Jump To kısmında direk ADManager Plus ile ManageEngine’nin Exchange Reporter Plus ve ADSelfService Plus ürünleri arasında rahat bir şekilde geçiş yapabiliriz.
Configuration alanındaki Alerts kısmından oluşan alarmların üzerinden ne kadar zaman geçince sileceğini belirleyebilirsiniz. Varsayılanda 90 gün olarak ayarlıdır.
Archive Events kısmında hangi kategorideki olay loglarının database kaydedildikten kaç gün sonra database’den arşive dosyalarına aktarılacağını ve bu arşiv dosyalarının nerede tutulacağını belirleyebiliriz. Bu işlem database’in çok fazla şişmesini ve sorguların yavaşlamasını önleyeceği için gereklidir.
Restore Archived Events kısmından arşivlediğimiz loglarımızı tekrar ADAudit Plus’un üzerine yükleyebiliriz ve kontrollerimizi gerçekleştirebiliriz.
Import Evt/Evtx Logs kısmında evt ve evtx log dosyalarını direk ADAudit Plus’a aktarabilir ve bu loglardan rapor çekebiliriz.
Administration alanındaki Alert Me kısmından ADAudit Plus’ın hata aldığı durumlarda bize bilgilendirme maili yollayarak durumu tarafımıza iletmesini sağlayabiliriz.
Technicians kısmında ADAudit Plus’a girmeye yetkili hem lokal hemde domain ortamımızdaki kullanıcıları tekniker olarak atayabiliriz.
İki tekniker türü bulunmaktadır. Admin raporlamanın yanında ayarlarda yapabilmekte ama operatör sadece raporlama yapabilmektedir.
ScheduleReport kısmında topladığımız loglardan derlenen raporlarımızı belli sürelerde mail olarak tarafımıza iletilmesini sağlayabiliriz. Raporlama konusunu başka bir makalede detayları ile anlatacağım için burada bu özelliğe girmiyorum.
Disk Space Alert kısmında ADAudit Plus sunucusunun sabit diskinin dolma ihtimaline karşı bize uyarı maili göndermesini ayarlayabiliyoruz.
Exclude User Accounts kısmındaysa istediğimiz kullanıcıların loglarının raporlarda görünmemesini sağlayabiliriz.
Business Hours kısmında çalışma saatlerimizi ve günlerimizi belirleyip raporlarımızdaki olayları detaylandırabiliriz. Özellikle şifre denemeleri gibi olaylarda oluşan logların çalışma saati içinde olup olmaması bilgisi bizim için önemli olabilir. Eğer çalışma saatleri dışında bir kullanıcının şifresi sürekli hatalı giriliyorsa bu bir saldırı olabilir ve bu konuda aksiyon almamız gerekebilir.
Admin tabındaki ayarlarımızı yaptıktan sonra Home tabına geçiyoruz ve sistemlerimizdeki ve sunucularımızdaki olay loglarını toplamaya balşıyoruz.
Home tabına girince bir uyarı yazısı beliriyor. Bu uyarı yazısı henüz mevcut domainimizdeki domain controllerların audit eventlerinin yani olay loglarını üretmediğini ve olay loglarının açık olmadığını söylüyor.
Mevcut Default Domain Controllers Policy’iyi kontrol ettiğimizde audit eventlerinin yani olay loglarının açık olmadığını görüyoruz.
ADADuit Plus’ta iki yöntemle Group Policylerdeki ayarları yapabilirsiniz.
Birincisi manuel yöntem. Bu biraz zahmetli bir iş ama yardımcı olması adına aşağıdaki linkten hangi logların ve SCALs’ların açılması gerektiğini kontrol edebilir ve elle ayarlayabilirsiniz.
https://www.manageengine.com/products/active-directory-audit/help/index.html
Getting Started – Configuring Audit Policy – For Domain Controllers – Manual Configuration
İkincisiyse ManageEngine ADAudit Plus’ın sizin için bu işlemleri otomatik yapmasıdır. Bunun için tek yapmanız gereken CLICK HERE’e tıklamamızdır.
Çok kısa bir süre sonra işlemin bittiğini mesajı ekrana popup olarak geliyor.
Kontrol ettiğimizde bizim için hem audit eventlerin yani olay loglarının hemde SACLs’ların ayarlandığını görebiliriz.
Manuelle göre bu da çok basit oldu… J
Group Policylerin aktif olması için mevcuttaki domain controllerlarda GPUPDATE /FORCE komutunu çalıştırıp DC’lerin group policy ayarlarını almasını sağladıktan sonra artık ADAudit Plus’ın oluşan logları almasını sağlamış olacağız.
Bir süre sonra ADAudit Plus’un web panelinde logların geldiğini göreceğiz. Domain ortamımızdaki kullanıcıların, bilgisayarların ve diğer objectlerin yani nesnelerin hakkında veya üzerinde yapılan değişikliklerin neler olduğunu detaylarıyla inceleyebileceğiz.
Graphical View ekranında olayların özetlerini grafiksel olarak görüyoruz.
Top User Logon Failures alanında hangi kullanıcıların kaç kere hatalı giriş denemesi yaptığını,
Logon Failures – Error Code alanında hangi sebeple girişte başarısız olduğunu,
Password Changed/Set Users alanında şifre değişikliği gerçekleştirme olayları görebilirsiniz.
Summary View ekranı sabah 5’de çalışır ve o zamana kadar gerçekleşen olayların özetlerini görmemizi sağlayan bir ekrandır. Elle de istediğimiz zaman Summary View ekranını tetikleyebiliriz.
RUN NOW’a tıklayalım ve özet bilgimizi görelim.
Özet kısımda domainde bulunan kullanıcıların, grupların, bilgisayar hesaplarının, Organizational units ve Group Policy nesnelerinde olan biten herşeyi sayısal özet olarak görebiliyoruz.
Örneğin benim test için yaptığım kullanıcı hesabı pasif etmenin Disabled Users’e yansıdığını görebilirsiniz. Disabled Users’ın yanındaki 1 sayısı ilgili konuda kaç değişiklik olduğunu gösteriyor.
Benim beğendiğim bir özellikte bu rakama tıklayarak gerçekleşmiş olaylarının loglarına erişebilmemizdir.
AdAuditTestUser5’in hesabının Administrator kullanıcısı tarafından dcsrv sunucusu üzerinden 25/09/2014 13:21:22 tarihinde pasif duruma getirildiğini görüyoruz.
Bu arada sol tarafta hazır olarak bekleyen 160’dan fazla raporun olduğunu görmüş olduk. Bu raporlardan bazılarına bir sonraki makalemizde değineceğiz.
Domain’imizi ve domain controllerımızı ekledikten sonra şimdi sıra geldi file serverlarımızın yani dosya sunucularımızın olay loglarını alarak kimin hangi klasörde veya dosyada ne işlem yaptığını kaydetmemize ve raporlamamıza.
Burada yine hatırlatmakta fayda var; NetApp Filer, EMC Server ve Windows FailOver Clusterlardan da bu olay logları alınıp ADAudit Plus’ta işlenebiliyoriz.
File Audit tabına tıklıyoruz ve henüz bir Windows File Server’ın eklenmediğini görüyoruz. Eklemek için ADD FILE SERVERS’a tıklıyoruz.
Domain ortamındaki sunucuların listesi geliyor. Benim test ortamımda Domain Controller aynı zamanda file server yani dosya sunucusu olduğu için onu seçiyorum ve GET SHARES ile sunucu üstündeki paylaşımları görüyorum.
Seçilen sunucu üzerindeki paylaşımların listesinden istediğimizi seçiyoruz ve OK ile ekleme işlemini bitiriyoruz.
Paylaşımın bulunduğu sunucuda ilgili audit eventlerin yani olay loglarını üretilmesi ve takibi için Group Policyde ve paylaşım üzerinde gereken izinlerin verilmesini isteyip istemediğimiz soruluyor. Daha önce söylediğimiz gibi bu işlemi buradan otomatikte yapabiliriz manuel kendimizde ayarlayabiliriz. Ben otomatik yapmak istediğim için YES ile devam ediyorum.
Eğer siz manuel yapacaksanız aşağıdaki linkten yararlanabilirsiniz.
https://www.manageengine.com/products/active-directory-audit/help/index.html
Getting Started – Configuring Audit Policy – For File Server – Manual Configuration
Ekleme işi bittikten sonra loglar yavaş yavaş gelmeye başlayacaktır. Eğer logların gelip gelmediğini hemen kontrol etmek isterseniz RUN NOW’a tıklayarak 2 saati bekletmeden elle çalıştırabilir ve bu arada üretilen log varsa onları çekmemizi sağlayabiliriz.
File Audit tabını tekrar açar ve sağ üst köşeden View File Audit Reports’a tıklarsanız gelen loglara göre bütün klasör ve dosyalardaki değişiklikleri grafiksel pasta olarak görebilirsiniz. Hemen altında da hangi dosyanıni klasörün oluşturulduğunu, değiştirildiğini ve silindiğini gibi işlemlerin kimin tarafından ne zaman yaptığın detayları ile görebiliriz.
Add/Remove Columns’dan çeşitli kolonlar ekleyerek olaylarla ilgili daha detaylı bilgiler edinebiliriz.
Logların oluşması ve gelmesi için biraz daha zaman gerekebilir.
Server Audit tabındanda sunucularımızdaki kritik sistem dosyalarımızın değişip değişmediğini, sunucularımıza kimlerin giriş yapıp neler yaptığını, çalışan veya çalıştırılan uygulamaların detaylarını ve print serverımızdan yani yazıcı sunucumuzdan kimlerin hangi dosyaları yazdırdığını görebiliriz.
Domain controllerımız ve file serverlarımız ekledik şimdi de sistemimizde bulunan diğer sunucuları da buraya ekleyerek onların üzerinde gerçekleşen olayları nasıl takip edeceğimizi görelim.
Sunucularımızı eklemek için Configuration tabından Configured Member Server(s)’a alanına geçiyoruz. ADD MEMBER SERSERS’a tıklıyoruz.
Açılan pencerede istediğimiz sunucuları seçip ADD’e basıyoruz.
ADAudit Plus logon events policy’nin eklenen sunucularad enable edileceğini belirtiyor. Ben yine kolay yolu seçiyorum ve YES diyorum. J
Eğer siz manuel yapacaksanız aşağıdaki linkten yararlanabilirsiniz.
https://www.manageengine.com/products/active-directory-audit/help/index.html
Getting Started – Configuring Audit Policy – For Member Servers – Manual Configuration
Sunucularımızdaki kritik dosyalardaki değişiklikleri olaylarının loglarını toparlayıp kontrol edelim.
Server Audit tabından CONFIGURE FILE INTEGRITY’e geçip Click here to configure’a tıklıyoruz.
Üstte hangi domain controllerda ve hangi serverlerda bu kontrolün yapılacağını seçiyoruz. Daha sonra hangi dosyalardaki hangi uzantıların takip edileceğini belirliyoruz ve CONFIGURE NOW ile kaydediyoruz.
Ekranda görüldüğü üzere test ortamındaki bir adet domain controllerın ve 4 adet server’ın otomatik olarak eklendiğini görüyoruz.
Benim test ortamımda print serverım olmadığı için ekleyemiyorum ama sizin ortamınızda varsa Configure Printers’a tıklayarak yine aynı basit ve kolay yöntemle gerçekleştirebilirsiniz.
Alert tabından ADAudit Plus’ın olay loglarında yakaladığı kritik olayları görebilirsiniz. Örneğin sistem audit loglarını kimin sildiğini, AD schema’da yapılan değişiklikleri, admin yetkisine sahip kullanıcıların hatalı giriş denemelerini, admin gruplarındaki değişiklikleri tek tıklama ile görebiliriz.
Makalemizin bu bölümünün sonuna geldik ManageEngine ADAudit Plus’ın kontrol paneli üzerinden domain ortamımızdaki olayları, dosya sunucumuzda gerçekleşen aktiviteleri ve sunucularımızdaki kritik değişiklikleri nasıl takip edebileceğimizi görmüş olduk.
Önümüzdeki makalede ManageEngine ADAudit Plus’ın karmakarışık domain ve sunucu loglarını, raporları aracılığıyla nasıl anlamlı ve daha anlaşılır hale getirdiğini bazı raporlar üzerinde göreceğiz.
Makalemizin bir sonraki bölümünde de görüşmek üzere.