spot_img
2.8 C
İstanbul
Ana SayfaMcAfeeMcAfee SIEM collector ile IIS loglarının toplanması

McAfee SIEM collector ile IIS loglarının toplanması

spot_img

Öncelikle hangi web sitesinin logları alınacağı ve bu logların hangi dizin altında saklandığının tespip etilmesi gerekir.

IIS üzerinde ilgili web sitesine sağ tıkalayarak Manage Website > Advanced Settings seçenekleri ile ilerlenir.

Bu aşamada ID kısmı önemlidir. ID numarasına göre log dosyalarının bulunduğu alanda klasörleri tesip edeceğiz.

Log dosyasının konumunu websitesi nin üzerindeki logging başlığı altından bulabiliriz.

%SystemDrive%\inetpub\logs\LogFiles

Ancak bu bır duzenleme yapmalıyız. McAfee collector ile  toplanan IIS loglarında ufak bir field duzenlemesi gerekir. Asagıdaki SS leri takip ederek text dosyasında tutulacak IIS log filed’ları düzenleyelim.

Asagıda gorüldüğü üzere tüm fieldları seçiniz.

bu işlemden sonra cmd’u yönetici olarak çalıştırıp iisreset /restart yada elle servislerden IIS servislerini yeniden başlatamak gerekir.

Eğer işlem başarılı olduysa log dosyasına yeni field ler eklenecektir

Fields: date time s-sitename s-computername s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs-version cs(User-Agent) cs(Cookie) cs(Referer) cs-host sc-status sc-substatus sc-win32-status sc-bytes cs-bytes time-taken

Daha sonrasında McAfee Siem Collector’u ilgili IIS sunucunun olduğu sunucuya kuruyoruz. Bunun için mcafee siem collector’u indirmeliyiz. Eğer McAfee müşterisiyseniz grant numaranız ile mcafee product download web sayfasından indirebilirsiniz.

Collector kurulumu süper next ile ilerleyerek tamamlanabilir. Bir exe dosyasıdır.

Bize siem sunucumuzun (ESM) ip adresini sormaktadır. Bilgileri doğru şekilde girerek devam ediyoruz. Bu işlemden sonra kurulum işlemin başlanacak ve sunucu üzerine kurduğumuz collector kurulumu kısa sürede bitecektir.

Başlat menüsünden McAfee SIEM Collector Manager Utility uygulaması üzerinde basit birkaç configurasyon ile IIS loglarını karşı tarafa gönderebileceğiz. Aşağıdaki adımları takip edebilirsiniz.

Collector ‘e file menüsü altından + işareti seçilerek log toplanacak organizasyon için konteynır yapılanıdırıyoruz.

Son oluşturulan konteynır içinde clients bölümünde generic: LogTail ‘e add ‘e tıklanarak ilerlenmelidir ve aşağıdaki gibi bilgiler girilmeli.

Daha net bir SS kaydını aşağıda paylaştım.

Tüm collector yapılandırmlarını bitirmeden önce, hiyerarşik olarak yukarıdan aşağı konteynır içlerini enable etmeliyiz.

Logların McAfee SIEM tarafında biriktirilmesi.

Datasource ‘u Receiver üzerine aşağıdaki gibi ekleyeceğiz. Benim yapılandırmam lab ortamı olduğunu unutmayınız. Genel hatları ile IIS logları üzerinde bilgiler paylaşıyorum. Diger siem yapılandırması best practice konusunda bu ekran görüntüleri size referans olmayacaktır.

Receiver değişiklikler farketti, bunları Yes diyerek uygulayabilirsiniz.

Değişiklikler uygulanana dek bekleyiniz.

Burada ‘rollout policy to all device now’ ı işaretleyerek tüm cihazlara uyguluyorum. Tabi ben ESM combo (yani VM) versiyonunu kullandığım için aslında tek cihaza uygulayacak. OK diyerek devam edelim.

İşlem tamamlandığında aşağıdaki gibi bir ifade göreceksiniz.

Bu işlemden sonra Mcafee SIEM çözümünüz IIS loglarını toplamaya başlayacaktır.

Sorularınız için aşağıdan yorum alanından ulaşabilirsiniz.

spot_img
Recep ÖZTÜRKhttps://www.banasorun.net
Bilişim Teknolojileri sektöründe 13 yılı aşkın süredir çalışmaktayım. Profesyonel iş yaşamımın ilk yıllarını altyapı alanında uzmanlaşarak geçirdim. Daha sonraki süreçte BT Servisleri ve Veri Depolama alanında bir çok iş sürekliliği projesinde yer aldım. Sakarya Üniversitesi Bilgisayar ve Bilişim Mühendisliği bölümünde Yüksek Lisans eğitimimi tamamladım. Bir holdingin BT yöneticiliği görevini yaptıktan sonra Cyber Security ve Identity konularına yoğunlaştım. Şuan Siber Güvenlik alanında faaliyet gösteren bir distiribütörde bu alanda görevler alıyorum. Sayfamızda da birbirinden değerli yazarların tecrübelerini aktararak sektörel farkındalığın oluşmasına katkıda bulunmayı hedefliyoruz.
- Advertisement -spot_img

En çok okunanlar

Benzer Makaleler

spot_img

2 Yorum

  1. Selam, kısaca cevap vermek gerekirse evet yapabilirsin, Microsoft zaten hali hazırda destekliyor bu tür bir senaryoyu biraz zahmetli bir yöntemle olsa da yapabilmen mümkün. Klasik microsoft 🙂 Yorum yazdığın mail adresine birkaç örnek video paylaşacağım.

CEVAP VER

Please enter your comment!
Please enter your name here