Ana Sayfa Çözümler Neden Netsmart? Kariyer Keşif Kurumsal Materyal İletişim

Netsmart Bilişim Sistemleri A.Ş.

Esentepe Mh. Ecza Sk. No: 6 K: 1, 34394,
Şişli-İstanbul, Türkiye

+90212-274-31-61

info@netsmart.com.tr

ArcSight

ArcSight Logger için MultiTask

Loglama, Log Yönetimi, raporlama, geçmişe dönük verileri arama… Bu liste uzadıkça uzar. Çünkü dahil olunan network dahilindeki cihazlar arttıkça takip edilmesi gerek veri hacmi de artıyor. Log Yönetimi kapsamında tüm bu verilere sahip olmak ve doğru aksiyon almak durumundayız. Ancak performans sorunları ya da kaynak yetersizliği gibi bazı olumsuz etkenler sebebiyle, çalışma süreçlerimiz her zaman optimum düzeyde verimlilik gösteremeyebiliyor. Bu nedenle çözüm yolları aramak durumunda kalıyoruz. Bu yazımda Micro Focus ArcSight ürün ailesindeki Logger bileşeni ile ne gibi aksiyonlar alabiliyoruz konusuna değinmek istedim. Bu çerçevede hem yapıda Search Head Logger konumlandırmasından hem de Failover süreçlerinden bahsediyor olacağım.

Micro Focus ArcSight Logger

Arcsight Search Head Loggerı Aynı Zamanda Failover olarak tanımlama

Logger kullanımına örnek olarak düşük kaynak gerektiren yapıları kurarken veya search ve raporlama gibi performans gerektiren işlemleri gerçekleştirmeyi planlarken; üzerine log almayan ancak yapıda peer olarak tanımlı başka bir ya da birden fazla logger üzerinde çalışabiliriz. Diğer yandan yapıda hem anlık kesintilere hazırlıklı konumda olmayı, hem de performans gerektiren işlemleri üzerinde yük olmayan bir Logger üzerinde gerçekleştirmek istemek oldukça olağan bir durum. Böyle bir durumda neler yapabiliriz bir bakalım;

Senaryomuzda kaynak bakımından da kısıtlı olduğumuz parametresini de ekleyerek nasıl aksiyonlar alabileceğimize göz atabiliriz. İhtiyaçlar özetle şu şekilde;

  • Log kaynaklarından gelen trafiği dinleyip, tüm datayı depolayacak bir Logger sunucusu
  • Söz konusu Logger erişlemez durumda olduğunda log kaynaklarının kesintisiz trafiği yönlendirebilmesi için bir alternatif
  • Raporların, saved searchlerin ve diğer zamanlanmış görevlerin performans açısından sorun teşkil etmeyecek biçimde çalışmaya devam ediyor olması

Bu temel üç istek için önerimiz şu şekilde olabilir. Elimizde log trafiğini karşılayan bir Logger var. Bir de search aktivitelerin gerçekleştirmek üzere yapıya Search Head ilave edebilir, hatta bu Search Head’i ikinci bir görevle taçlandırabiliriz: “Failover Destination”.

Bir disaster Recovery senaryosu içinde üzerine event alan Logger’a ulaşılamaz ise failover destination tanımlanabilmektedir ve bu Failover Destination’ın Search Head olmaması gerektiğine dair herhangi bir kısıt bulunmaktadır. Özetle minimum kaynak kullanımı gerektiren bir yapıdaki search head olarak kullanılan Logger’ı aynı zamanda failover logger olarak tanımlamak mümkün olmaktadır. Bu sayede iki amaca hizmet eden bir sunucu sayesinde maliyeti düşürerek, hem log kaybını önleyebilmekte hem de zaten üzerinde log toplama yükü olan Logger’ı search aktivitelerinden feragat edebilmekteyiz. Aşama aşama işlemi nasıl gerçekleştireceğimize bakalım:

Loggerların birbirine peer olarak tanımlanması

Loggerları peer tanımlarken iki yöntem bulunmaktadır. Peer login credentials kullanımı ile logger üzerinde local olarak tanımlı olan kullanıcı ve parolası kullanarak tanımlama yapılırken, peer authorization credentials kullanımı ile peer olarak eklenecek olan loggerın ip’si girilerek uniqe bir ID ve code oluşturulur. Micro Focus tarafından peer yapı eklenmesinde Authoritazion ID ve code oluşturulması önerilmektedir. İki ya da daha fazla Logger’o peer hale getirmek, loglara birden fazla yerden eşzamanlı olarak ulaşmayı mümkün kılmaktadır.

İki logger ya da sistem birbiriyle eşleştiğinde başlatıcı olan logger (bizim örneğimizde 10.x.x.50 ip’li logger buna Logger A diyelim), bu üretilen id ve kodu hedef loggera (10.x.x.63 ip’li logger buna da Logger B diyelim) göndererek kimlik doğrulaması tamamlanır.

Sol panelde bulunan Configuration>Peer Authorization sekmesine gidip ya da “Take me to” ile aratarak Peer Authorization sayfasına gidebiliriz. Add diyerek Logger A için Logger B nin Ip’sini girerek Logger B’yi tanımlayalım.

Üretilen ID ve kod ile hedef logger üzerinde (logger B) Configuration>Peer Nodes kısmından eklemede bulunalım.

Logger 5.3 versiyon ve üzeri loggerlar birbirleriyle peer yapıda bulunabilir. Bununla birlikte kurulan her logger versiyonu için Micro Focus tarafından yayınlanan Admin Guide ‘a danışılarak fark gerektiren noktalar kontrol edilmelidir.[1]

Peer olarak eklediğimiz loggerlarda search head üzerinden (logger B) diğer logger üzerinde de arama yapabilmemiz için local only ayarlamasının kapalı olması gerekmektedir. Aşağıdaki örnekte de görebildiğimiz gibi 10.x.x.50 Ip’li loggera (logger A) search head üzerinden erişebilmekteyiz.

Connector’den failover tanımlama

Öncelikli olarak yapıda bulunan connectorlerimizde $ARCSIGHT_HOME/current/bin /runagentsetup.exe setup dosyasını administrator yetkisi ile çalıştırıyoruz.

Sonrasında Modify Connector seçeneği ile next diyerek ilerliyoruz. “Add, modify, or remove destinations” seçeneği ile ilerleyerek mevcutta destination olarak tanımlı olan ve üzerine log akışı bulunan logger’I (logger B) seçerek ilerliyoruz.

Sonrasında Add a failover destination’ı seçerek ilerleyerek mevcuttaki loggerın log alamama durumlarında üzerine log alacak loggerı (bizim seneryomuzda yapıda search head olarak bulunan logger’ı) tanımlıyoruz.

Search head logger ip adresini, port numarasını (varsayılan olarak 443), receiver adını girerek ilerliyoruz. Logger üzerinden sertifika aktarmasını sağladıktan sonra connector ve logger arasındaki bağlantıyı kurmuş oluyoruz.

Failover Destination olarak tanımlanan search head’in log alması durumu

Bir disaster senoryosu gerçekleştirebilmek için yapıda bulunan Logger A’nın servislerini durdurarak failover olarak tanımladığımız search head loggerın(logger B’nin) üzerine log almasını sağlayabiliriz.

Aşağıdaki search ekranında da görülebildiği üzere peer loggerlar üzerinde arama yapmadan yani local only arayarak search head logger üzerine log alabilmekteyiz.

Bu senaryo ile loglara erişerek search ve rapor gibi scheduled taskların devamlılığını sağlayabiliriz. Yani Search Head üzerinde tanımlı olan search/report aktiviteleri devam ederken, birincil Logger tekrar stabil çalışır duruma gelene kadar, connectorler logları üzerinde tutmak yerine Search Head’e göndermeye devam edebilir. Böylece connectorlerde karşılaşılan cache problemlerinin önüne geçilebilir. Bunun yanında bir Logger hem failover destination hem de Search Head görevlerini üstlenerek, sağlayabildimiz maximum kaynak-sunucu sayısı 2 bile olsa, 3 görevi paylaştırabilir, yapıyı en optimumda tutmaya devam edebiliriz.

Türkiye'nin En Mutlu İş Yeri ve Mükemmel Çalışan Deneyimi

“Türkiye’nin En Mutlu İş Yeri” ve 3 yıldız ile “Mükemmel Çalışan Deneyimi” ödüllerini büyük bir gurur ve heyecan ile aldık

Ofis

Happy Place to Work tarafından gerçekleştirilen uluslararası standartlara uygun değerlendirme sonrası sektöründe “En Mutlu İşyeri” seçilmiş olmamız başarımızı taçlandıran bir ödül oldu. Ofisimizde düzenlediğimiz bir etkinlik ile ödülümüzü alırken, değerlendirmeye katılan ve bizi bu ödüle layık gören ekip arkadaşlarımızla kutlama yaptık.

Daha fazla
9 Adımda Veri Keşfi Neden Önemli

9 Adımda Veri Keşfi neden önemli ve Veri Keşfi ürünlerinde nelere dikkat edilmeli

Analiz

Veri keşfi konusu 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile hayatımıza girdi. Bu kanunla beraber bu zamana kadar dağınık olan verilerimizin nerede tutulduğunun ve ne derece kritik olduğunun önemi giderek artmaktadır.

Daha fazla
ReFS ve NFTS Hakkında Karşılaştırma

ReFS vs. NTFS

Versus

Full Stabil yapılardan söz etmek mümkün mü? Dosya içeriği değişmiyor belki ama dosya sistemi, formatı ihtiyaçlarla paralel olarak değişebiliyor. Neden bu konuya girdim peki? Çünkü alışkın olduğumuz FAT32 ya da NTFS dosya sistemlerinin yanında artık sıklıkla duyulmaya başlanan ReFS dosya sistemi de yerini almaya başladı.

Daha fazla
ArcSight ESM MISP entegrasyonu nasıl yapılır?

ArcSight ESM MISP entegrasyonu nasıl yapılır?

Entegrasyon

SIEM ürünlerinin en önemli özelliği korelasyon yapabilmesidir. ESM de correlation engine sayesinde verileri işler ve korelasyon yapabilme yeteneği kazanır.

Daha fazla