ArcSight Logger’da rapor operasyonları

Rapor oluşturmak için öncelikle query oluşturmamız gerekmektedir. Logger SQL dili kullandığı için query’mizi oluştururken Select, From, Where ve Order By komutlarını kullanmaktayız. İlk işlem olarak logger arayüzüne giriş yapılarak reports sekmesine tıklanır.

Reports sekmesine tıkladıktan sonra design sekmesi açılarak Queries sekmesine tıklanır.

Queries sekmesine tıklandığında yeni bir query object oluşturmaktadır. Query’mizi design sekmesine tıklayarak düzenleme ve yazma işlemleri yapabilmekteyiz.

Desing sekmesine tıkladıktan sonra şekilde görüldüğü üzere table ibaresi seçilerek aşağıdan events seçilir ve edit butonuna basılarak query yazma işlemi yapılır.

Select: Seçmek istediğimiz alanlar için kullandığımız komuttur. Raporda çıkmasını istediğimiz alanları seçmek için kullanılır.

From: Verilerin çekileceği veritabanını seçmek için kullanılan komuttur. Logger’da bu alan events olduğu için From events olarak kullanılır.

Where: Koşul durumu oluşturmak için kullanılan komuttur. Şekilde ki örnekte sadece microsoft marka, Microsoft Windows ürününden ve sadece 4663 event id’li logları alacağımız için aralara and eklenerek kullanılmıştır. Where komutunun yanında çok fazla koşul belirtmek logger rapor performasını olumsuz yönde etkilemektedir ve oluşturulan raporlar daha uzun sürede çıkmaktadır.

Order By: ASC ve DESC olarak kullanımları mevcuttur. ASC, seçilen alanı küçükten büyüğe doğru sıralar. DESC ise seçilen alanı büyükten küçüğe doğru sıralamaya yarayan komuttur.

Query’miz yazıldıktan sonra üst tarafta bulunan result sekmesine tıklanarak query’nin çalışıp çalışmadığı kontrol edilir. Failure alınırsa query’mizde bir yanlışlık var demektir. Şekilde ki alanlarda bazen sadece alan isimleri gözükmektedir. Bunun sebebi anlık olarak istenilen loglardan gelmemiş olmasından kaynaklanmaktadır ve herhangi bir sorun yok demektir. İstenilen alanlar görüldükten sonra Ok butonuna basılarak bu ekrandan çıkılır.

Sağ üst köşede bulunan save butonuna basılarak query’miz dizin seçilerek kaydedilir. Böylece query oluşturma işlemi tamamlanmış olur.

Query kaydedildikten sonra rapor oluşturma işlemine başlanır. Logger arayüzünde sol tarafta Classic altından New Report veya Design altından New Report seçilerek rapor oluşturma işlemine başlanabilir. İki çeşit rapor oluşturma arasında özellik olarak hiçbir fark bulunmamaktadır.

Classic sekmesi altından New Report’a tıkladığımızda şekilde ki gibi bir ekran bizi karşılamaktadır. Query Object alanında, oluşturmuş olduğumuz query seçilir. Report Title kısmında, oluşturalacak raporun başlığı verilir. Report Format kısmında ise, oluşturulacak olan raporun hangi formatta olacağı seçilebilmektedir. Bazı örnek formatlar Pdf, MS Excel, HTML ve Comma Separated formatlarıdır.

Fields sekmesi üstünde ise, Query’de Select komutu ile seçmiş olduğumuz alanlar seçilebilmektedir. Örnek olarak deviceVendor alanına ihtiyaç duymamamız halinde sadece diğerlerini seçerek rapor oluşturabilmekteyiz.

Raporla ilgili istenilen ayarlamalar yapıldıktan sonra, Query oluşturma işleminde yaptığımız gibi Sağ üst köşeden Save butonu ile kaydetme işlemi gerçekleştirilmektedir. Dizin seçerken root dizini dışında bir alan seçmek gerekmektedir.

Rapor kaydetme işlemi sonrası şekilde gözüktüğü gibi, sol tarafta bulunan explorer sekmesinden oluşturulan rapor ve query arama işlemi gerçekleştirebilmekteyiz. Windows şeklinde arama yapıldıktan sonra oluşturmuş olduğumuz rapor bulunarak sağ tıklanır. Run report veya run in backround seçeneği ile rapor çalıştırılabilmektedir. Run in backround’ın farkı rapor çalıştırma sekmesi kapatılsa dahi rapor çalışmaya devam etmektedir. Run report seçeneğinde ise rapor sekmesi kapatılırsa işlem iptal edilmiş olacaktır.

Run in Backround seçeneği ile devam ettiğimizde bizden format seçmemiz istenilecektir. Comma Separated formatı seçildikten sonra Run In Backround sekmesine tıklanır.

Karşımıza gelen ekranda raporun başlangıç ve bitiş tarihleri girilmesi gerekmektedir. Dynamic seçeneği işaretlenmiş ise rapor çalıştırıldığı andan geriye dönük raporlamaya başlamaktadır. 2h ibaresi 2 saati, d harfi günü, M harfi ayı ve y harfi ise yılı temsil etmektedir. Dynamic seçeneğini kaldırdığımız zaman ise tarih ve saat değerleri girilerek rapor çalıştırılabilmektedir. Bir başka seçeneğimiz ise logger 7.0 versiyonuyla gelen Logger Receipt Time ve End Time’a göre rapor oluşturma seçenekleridir. Logger Receipt Time seçeneği, logların Logger’a geldiği zamana göre arama yapmaktadır. End Time Receipt Time ise, logların kaynakta oluştuğu zamana göre arama yapmaktadır. Scan Limit, varsayılan olarak 100000 olarak gelmektedir. Bunun anlamı 100000 Event’e kadar rapor oluşturmayı temsil eder. Bu sınırı kaldırmak için Scan Limit değerinin 0 verilmesi gerekmektedir. Local only seçeneği seçili ise üstünde çalışılan logger’daki verilere göre rapor oluşturma işlemi yapılacak demektir. Bazı kurum ve kuruluşlarda peer yapıda birden fazla logger olması durumunda local only işareti kaldırılarak aşağıda ki bölümden Peers sekmesi altından Logger Ip adresleri seçilmesi gerekmektedir. Tüm bu işlemler yapıldıktan sonra Run In Backround sekmesine tıklanarak rapor çalıştırılır.

Çalıştırılan raporun durumunu açılan sekmede görebilmekteyiz. Eğer sekme kapatılır ise Report Status sekmesinden raporumuzun güncel durumu hakkında bilgi alabilmekteyiz.

Rapor oluşturma işlemi tamamlandıktan sonra Success yazısı bizi karşılayacaktır. Success yazısının üstüne tıklanarak raporumuz istenilen şekilde indirilebilmektedir.

Schedule Report işlemi, düzenli olarak rapor almak istenildiğinde kullanabileceğimiz bir opsiyondur. Oluşturulan rapor belirlenen zaman ve tarih aralıklarında otomatik olarak Logger tarafından oluşturulur. Reports sekmesi altından sol tarafta bulunan Schedule Report sekmesine tıklanarak şekilde ki ekran açılır. Burada schedule edilen raporlar, aktif olup olmadıkları, editleme işlemleri ve ekleme işlemleri yapılabilmektedir. Add butonu ile yeni bir Schedule Report oluşturma işlemine başlanılır.

Add butonuna tıklandıktan sonra karşımıza gelen ekranda Schedule edilecek rapor ismi, tarih ve zaman aralıkları belirlenir. Zaman aralığı olarak günlük, haftalık ve aylık seçenekleri bulunmaktadır. Zaman aralığının ise 24 saatlik format üstünden tam sayı verilerek oluşturulması gerekmektedir.

Report Name alanından schedule edilecek rapor seçilir. Rapor seçildikten sonra teslimat şekli seçilmesi gerekmektedir. 3 şekilde teslimat seçeneği bulunmaktadır, bunlar Email olarak, Upload olarak ve Publish’dir. Şekilde ki görselde de gözüktüğü üzere genellikle en yaygın kullanılan şekli olan Email seçeneği seçilmiştir. Dosya adı, gönderilecek mail adres bilgisi, mailin konusu, mesaj bilgileri girildikten sonra, sağ taraftan gönderilecek format seçilir.

Format seçme işleminden sonra, rapor oluşturma da yapmış olduğumuz zaman,tarih ve peer olup olmadığı bilgileri girilmektedir. Tüm işlemler tamamlandıktan sonra save butonu ile schedule report oluşturulmuş olur.

ArcSight Logger’da rapor oluşturma dışında logları pdf veya csv uzantılı olarak dışarı alma işlemi olarak export etme seçeneğimiz bulunmaktadır. Export etme işlemi genellikle rapor oluşturma işlemine göre daha az zaman almakta ve daha basit bir yöntem olmasına karşın schedule etme işlemi yapılamamaktadır. Export etme işlemi için öncelikle istenilen alan ve loglarda arama yapılması gerekmektedir. Arama işlemi tamamlandıktan sonra şekilde görünen butona basılarak export etme ekranı açılır.

Açılan ekranda export edilen dosyanın nereye kaydedileceği, hangi formatta çıkartılacağı ve hangi alanların alınacağı seçilebilir. Varsayılan olarak tüm alanlar seçili olarak gelmektedir. All fields işareti kaldırılarak özelleştirme yapmamız mümkündür. Varsayılan olarak rerun query işaretli olarak gelmektedir. İşaretli olduğu takdirde tekrar bir search işlemi başlatarak sonrasında export işlemine başlayacağı için işlem süresi uzamaktadır.

Export işlemi bittikten sonra download results’a tıklanarak dosya indirilmeye başlanabilir.