Log management ürünleri, yapılarına; mevcut ihtiyaçlar doğrultusunda çeşitli ilaveler yaparak, kullanışlılık paralelinde eş zamanlı takip konularını etüt etmeye devam ediyor. Örnek olarak son günlerde Splunk tarafından sağlanan uzak çalışma alanlarının takibi ile ilgili uygulamalardan birçoğumuz haberdarız. Bu çalışmaları inceleyerek geliştirmek ve kendi yapımıza entegre edebilmek için çeşitli değişiklikler yapmak üzere biraz zaman ayırabildiğimizde oldukça kullanışlı dashboardlar elde edebildiğimizi görebiliriz. Bu yazımda Splunk ürünü ve log takibi için sağlamış olduğu Appler bünyesinde yer alan Dashboard yapılarına ve Dashboard konfigürasyonlarına değineceğim.
Öncelikle Splunk yapısında yer alan kaynak bazlı applerden bahsederek giriş yapmakta fayda var. Akabinde bu appler ile hazır olarak elde edilen Dashboardlar bizlere neler sağlıyor ve sağladığımız faydayı optimize etmek adına neler yapabiliriz sorularına cevaplar arayacağız. Keyifli okumalar dilerim.
Splunk App yapısı, Splunk platformunda çalışmak üzere geliştirilen; farklı kaynak ve objelerden beslenerek, kullanıcı için çeşitli arayüzler, dashboardlar, hazır rapor ve saved searchler içeren uygulamalar bütünü olarak düşünülebilir. Özetle Splunk Appleri her yapı ve kişilerin değişken ihtiyaçları doğrultusunda, veri kaynaklarının analizini kolaylaştırmak için son kullanıcılara hazırlanmış hazır paketlerdir. Bu Appleri yapıya dahil etmek için ise aşağıda görülen “App Management” sekmesinden ilgili App dosyasını upload etmek yeterli olmaktadır. Akabinde ekstra konfigürasyonlar gerçekleştirilmek istenildiğinde yine Web UI ya da server üzerinde ilgili pathlerde yer alan config dosyaları editlenerek işlem gerçekleştirilebilmektedir.
Splunk Applerine https://splunkbase.splunk.com/ sitesi üzerinden erişim sağlanabilemektedir.
Yüzlerce App arasında, Dashboard yapılarını incelenebilmesi için herhangi bir ücrestiz App Splunk Enterprise ya da Splunk Cloud ortamına import edilerek etüt edilebilir. Dashboard yapılarını incelemek üzere son günlerde ilgi odağı haline gelmiş olan uzak çalışma alanlarının takibini kolaylaştırmak üzere oluşturulmuş “Remote Work Insight” ya da “Zoom App for Splunk” Appleri kullanılabilir. Bu iki App Splunk tarafından sağlanan ve Zoom Meeting, Office 365, Okta, VPN loglarına dair çeşitli Dashboardlar içermektedir.
Remote Work Insight App’i bünyesinde 4 ana Dashboard ile kullanıcılara uzak çalışma ortamının yönetimi ve takibi için kolaylık sağlaması amacıyla hazırlanmış bir pakettir. Söz konusu App farklı kaynaklardan gelen loglarla işlendiği için, bu kaynaklara ait product App ve Add-on ların da yapıya dahil edilmesi ile sourcetype ların doğru şekilde match edilebildiği teyit edilmelidir. Örnek olarak “Microsoft 365 App for Splunk”, “Splunk Connect for Zoom” gösterilebilir. Ancak belli kaynak tiplerini baz alan Dashboardları kendi yapımıza entegre edebilmek için App üzerinde küçük değişiklikler yapmak gerekmektedir. App içeriğinde yer alan Dashboard ve panellere göz atıldığında tabloda yer alan başlıklar görülmektedir.
Yukarıda belirtilen Dashboard ve Paneller arka planda çalışan realtime searchler ile beslenerek dinamik bilgileri değişken görseller eşliğinde sunmaktadır. Dashboardları besleyen searchler datamodel ya da basic search stringleri ile konfigure edilebilmektedir. Söz konusu searchler için time range isteğe bağlı olarak realtime ya da belli bir zaman periyodunu baz alacak biçimde ayarlanabilmektedir. Bu sayede hem gerçek zamanlı olarak uzak çalışma alanlarına ait metrikler takip edilebilmekte, hem de belli bir zaman aralığı içerisindeki aktivite eğilimleri analiz edilebilmektedir.
Dashboardlar tüm kullanıcıların erişime açık biçimde konfigure edilebildiği gibi, çeşitli iş kolları arasındaki tasnife bağlı olarak erişim izinleri değiştirilebilmektedir. Appler ile gelen hazır Dashboardlar üzerinde konfigürasyon değişiklikleri yapılabildiği gibi, mevcut Applere ihtiyaçlar doğrultusunda sıfırdan konfigure edilen yeni dashboardlar da eklenebilmektedir.
Uzak çalışma alanlarının yaygınlaşması ile değişen takip alanları çerçevesinde bir diğer App olarak “Splunk App for Zoom” ele alınabilir. Söz konusu App aynı zamanda rwi bünyesinde yer alan “Video Conferencing” Dashboardlarını beslemesi açısından gerekli bir App olarak karşımıza çıkar. Splunk App for Zoom bünyesinde yer alan aşağıdaki başlıkları takip etme olanağı sağlanmaktadır.
Zoom uygulamasına ait aktivite loglarını eş zamanlı ve geçmişe dönük görselleştirmeyi sağlayan App arka planda uygulamaya ait logları bir diğer App olan “Connect for Zoom” ile sağlamaktadır. Görüldüğü gibi Appler arasında operasyonel bağlar bulunmaktadır. Bir App içerisinde yer alan Dashboardlar arka planda başka bir App ile log alımı sağlanan kaynaklardan beslenebilmektedir.
“Splunk App for Zoom” için tanımlı zoom hesabı üzerinde çeşitli konfigürasyonlar yapılarak, “Connect for Zoom” Appi sayesinde uygulamaya ait loglar Splunk bünyesine aktarılabilmektedir. Cloud’dan alınan loglar sayesinde “Active Meetings”, “Number of Zoom Participants” ve birçok diğer Panel görsel takip olanağı sağlamaktadır.
Splunk tarafından sağlanan “Remote Work Insight” ve “Splunk App for Zoom” Applerine genel bakış akabinde Applerde yer alan Dashboardlar üzerinde nasıl değişiklikler yapılabilir, ya da sıfırdan bir Dashboard nasıl oluşturulabilir konuları mercek altına alınabilir. Bu konuları dikte etmek adına örnek bir kaynak belirlemek, çalışma hatlarını netleştirmek için faydalı olacaktır. Örnek olarak CheckPoint ürününe ait Mobile Access logları aracılığı ile kullanıcıların VPN aktivitelerine focus olarak log almaya ve akabinde Dashboard oluşturmaya çalışabiliriz.
CheckPoint tarafından gönderilen syslog 514 UDP paketlerinin Splunk bünyesine doğru sourcetype tanımlamaları ile alınabilmesi için öncellikle CheckPoint ürün App’inin sisteme import edilmesi gerekmektir. “Check Point App for Splunk” App’inin eklenmesinin akabinde yeni sourcetype olan “cp_log” tanımlaması otomatik olarak gelmektedir. Bu işlemden sonra “Data Input” bölümünden syslog input tanımlamaları aşağıdaki biçimde gerçekleştirilir.
Checkpoint loglarının Splunk ortamına aktarımı için gerekli konfigürasyonlar tamamlandıktan sonra rwi App’ine ilave Dashboard tanımlaması yapmak üzere ilgili App seçilerek devam edilir. Yeni bir Dashboard oluşturmak için aşağıda görülen “Others” sekmesinden Dashboard bölümüne gidilerek “New Dashboard” opsiyonu seçilir.
Dashboard için Title, ID ve Description; birden fazla Dashboard olduğu düşünülerek içeriğe uygun olarak set edilmelidir.
Örnek olarak Successful VPN Login aktivitlerini gösteren bir Panel oluşturulur. Bu işlem için kullanılacak olan search stringi Search ekranında test edilebilmektedir.
|stats komutu nedeniyle sonuçlar istatistik verileri şeklinde listelenmektedir. Bu veriler Visualization bölümünde seçilebilen opsiyonlar eşliğinde farklı biçimlerde görsel tablolara dönüştürülebilmektedir.
Search stringi “Search & Reporting” bölümünde test edildikten sonra tekrar ilgili App’e gidilerek yeni oluşturulmuş olan “CheckPoint VPN Activities” Dashboard’una Panel ekleme işlemine geçilir. Bu bölümde Dashboard Paneli için Title, time range ve search string tanımlamaları yapılarak “Add to Dashboard” seçilerek devam edilir.
Set edilmiş olan search seçilmiş olan zaman aralığı için arka planda çalışarak, seçilen Visualization biçiminde Dashboard üzerinde konumlanır.
Mevcut Dashboard üzerinde değişiklik yapmak istediğimizde sağ üstte yer alan “Edit” butonu seçilebilir. Bu kısımda mevcut Panel’e input ekleyebilme, mevcut panel görselini değiştirme, renkleri editleme, zaman aralığını ve search stringini değiştirme gibi birçok opsiyon yer almaktadır.
Örnek olarak Dashboard üzerinde “time range picker” butonu yer alması için “Data Input” alanında Time bölümü seçilir ve Dashboard üzerine belirlenen default değeri ile “time” butonu input olarak eklenebilir.
Örnek olarak “Select visualization” bölümünde başlangıçta Area Chart şeklinde oluşturulan Panel, Pie Chart, Bar Chart, Line Chart olarak değiştirilebilir.
Ek olarak Dashboardlarda kullanılan görsel konfigürasyonlar “Edit Dashboard > Source” alanından igili XML’e gidilerek burda gerçekleştirilen değişiklikler ile de sağlanabilir.
Örnek olarak, Pie Chart üzerinde renk değişikliği yapılmak istendiğinde “<option name=”charting.seriesColors”>[#7CFC00]</option>” bölümünü editlenebilmektedir.
Splunk üzerinde Default olarak gelen visualization methodları aşağıda görüldüğü gibidir. İlave opsiyonlar kullanabilmek için farklı Visualization App’leri kullanmak gerekebilir.
Örnek olarak Timeline opsiyonunu kullanabilmek için ilgili App’i splunkbase sitesinden temin ederek Splunk App bölümüne upload edebilmekteyiz. Diğer dashboardlarda kullanmak üzere ilave olarak “Sankey-Diagrams” ve “Semicircle donut” Applerini de indirerek yapıya dahil edebiliriz.
Örnek olarak timeline visualization kullanılarak hazırlanmış bir Panel örneği aşağıda görüldüğü şekildedir. Bu sayede kullanıcı ve tarih bazlı belirlenen zaman aralığındaki VPN login-logout eventleri görülebilmektedir.
Kullanıcıların Login/Logout eventleri, VPN süreleri önemli olduğu gibi hangi lokasyonlardan VPN girişi yaptıklarını da gerçek zamanlı kontrol etmek istenebilir. Bu doğrultuda “iplocation” komutunun kullanılması gerekmektedir.
Bu işlevin enable hale gelmesi ve doğru verileri sağlaması için güncel olarak http://dev.maxmind.com/geoip/geoip2/geolite2/ adresinden GeoLite2-City.mmdb kütüphanesinin temin edilerek Splunk sunucusu üzerinde $SPLUNK_HOME/share/ pathine import edilmesi gerekmektedir. Bu işlem gerçekleştirildikten sonra “|iplocation” komutu ile loglar içinde yer alan konum bilgilerine de erişim sağlanabilmektedir.
İlgili kütüphanenin indirilerek yapıya dahil edilmesi akabinde “VPN Login by City”, “VPN Login by Country” başlıklı Dashboard Panelleri de oluşturulabilir.
Tüm bu konfigürasyonlar eşliğinde değişen ihtiyaçlarla paralel olarak Dashboard yapılarını değiştirebilmekte ve kendi Dashboardlarımızı oluşturabilmekteyiz. Son olarak “CheckPoint VPN Activities” ismiyle oluşturduğumuz Dashboardumuzda yer alan Panel başlıklarına göz atabiliriz.
Veri keşfi konusu 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile hayatımıza girdi. Bu kanunla beraber bu zamana kadar dağınık olan verilerimizin nerede tutulduğunun ve ne derece kritik olduğunun önemi giderek artmaktadır.
Happy Place to Work tarafından gerçekleştirilen uluslararası standartlara uygun değerlendirme sonrası sektöründe “En Mutlu İşyeri” seçilmiş olmamız başarımızı taçlandıran bir ödül oldu. Ofisimizde düzenlediğimiz bir etkinlik ile ödülümüzü alırken, değerlendirmeye katılan ve bizi bu ödüle layık gören ekip arkadaşlarımızla kutlama yaptık.
SIEM ürünlerinin en önemli özelliği korelasyon yapabilmesidir. ESM de correlation engine sayesinde verileri işler ve korelasyon yapabilme yeteneği kazanır.
Full Stabil yapılardan söz etmek mümkün mü? Dosya içeriği değişmiyor belki ama dosya sistemi, formatı ihtiyaçlarla paralel olarak değişebiliyor. Neden bu konuya girdim peki? Çünkü alışkın olduğumuz FAT32 ya da NTFS dosya sistemlerinin yanında artık sıklıkla duyulmaya başlanan ReFS dosya sistemi de yerini almaya başladı.
