ELSA Log Yönetim Sistemi

Bu yazıda log management konusunda gayet başarılı ve kullanışlı olan ELSA (enterprise log search and archive) aracını anlatacağım. Bu konu biraz geniş olduğundan ve birçok anlatımımıza çatı oluşturacak. Diğer konularda olduğu gibi uygulamanın yeteneklerini anlatmadan önce ürünün genel tanımını anlatacağız, sonra uygulamalı olarak yeteneklerinden söz edeceğiz.

 

ELSA; Syslog-NG, MySQL ve Sphinx full-text search ürünlerinin üzerine inşaa edilen merkezi bir syslog ürünüdür. Web tabanlı sorgu arayüzü olan ELSA tam asenkron çalışaran milyarlarsa sorguyu zorlanmadan aratabilen bir uygulamadır. Genel özellikleri şu şekildedir:

  • Yüksek kapasiteli log alma ve indeksleme yapabilir: 30.000 log/sn sürekli log alabilir.
  • AD/LDAP entegrasyonu yapabilir ve e-posta tanımı yapılabilir.
  • Büyük veri kümelerini anında raporlar ve grafik raporları oluşturabilir.
  • Google Visualizations kullanarak Dashboard oluşturur.
  • Web arayüzün API desteği bulunmaktadır.
  • Cluster için dağıtık mimari desteği bulunmaktadır.
  • Üzerinde Cisco logs, Snort/Suricata, Bro, Windows Eventlog ve Snare’i default olarak tanır.

 

elsa-sorgu-panel

Resim-1

ELSA genel görünüşü itibariyle basit bir arayüze sahiptir. Resim-1’de görüldüğü gibi sade bir yapısı bulunuyor. Ana sayfada Query seçtikten sonra Submit Query’yi tıklamanız yeteriyor. ELSA genel karakteristik özelliği olarak bir açık kaynak uygulama olmasına rağmen çok hızlı sorgulama yapabilme ve sorgu neticesini raporlama yeteneğine sahiptir. Sizlere bu makalede ELSA’nın genel yapısı, kullanımı ve özelliklerinden bahsedeceğiz.

elsa-menu

Resim-2

Resim-2’de görüldüğü gibi ELSA menüsü altında birçok özellik bulunmaktadır. Bu alanda sorgu kayıtları, sorgu kaydetme, oluşan alarmlar, tercihler gibi seçenekler bulunmaktadır. Çok kullanışlı olan bu menüyü kullanmak işlemlerimizi çok kolaylaştırmaktadır. Örneğin, ELSA menüsü altında bulunan önemli bir özelllik de, bütün geçmiş sorgulara ulaşabilmedir. Bu sayede daha önce yapılan diğer sorguları bulabilirsiniz.

Admin menüsünde ise klasik kullanıcı tanımları, kullanıcının oluşturduğu alarmlar gibi bilgileri ayrıntılı şekilde görebilirsiniz. Bu menüde bulunan en güzel seçenek ise Stats’ta bulunan gelişmiş bir Dashboard ekranıdır:

elsa-dashboard

Resim-3

Piyasada kullanılan log management sisteminlerinin en önemli unsurlarından biri de gelişmiş bir dashboard’a sahip olmasıdır. Admin menüsünün altında bulunan stats seçeneği tıklandığında karşımıza resim-3’teki gibi kullanışlı ve görsel bir ekran gelmektedir. Bu ekranda logların Bro, Snort gibi engine’lerin yakaladığı olayları ayrıntılı olarak görmekteyiz. Ayrıca grafikler tıklandığında olaylar ayrıntılı şekilde gösterilmektedir. Bu ekranları kullanarak ELSA alt yapısının index ve arşivlediği logların durumunu ayrıntılı şekilde görebilirsiniz.

 

elsa-report

Resim-4

Daha önceki ekranlarda genel menü ve kullanım bilgisi verdim. Ancak asıl ELSA’nın en önemli ekranı Resim-4’te verilmiştir. Burada, desteklemiş olduğu bütün ürünlerin otomatik sorgu seçenekleri, rapor ve sorgular bulunmaktadır. Ayrıca ekrana getirilen sorguya daha ayrıntılı olarak bakılmasını sağlayabilir ve ayrıca sorgunun sonucunu görsel olarak gösterebiliriz. Bu ekranlarda Bro, Snort, SSH, Windows, Firewall gibi logların sorgu seçeneklerini kullanarak ayrıntılı bir sonuçlar alabiliriz. Ayrıca bu alanda index, arşiv durumları, index ve arşiv analizleri de görebilirsiniz. ELSA log yönetim sistemiyle ilgili diğer görseller için:

Sonuç olarak, biz bu makalede kısaca ELSA’nın genel yapısını, kullanımını ve özelliklerini sizlere anlatmaya çalıştık. Bir sonraki makalede ELSA log yönetimini ayrıntılı bir şekilde kullanımını anlatacağız ve ELSA’nın log yönetimi ile üzerinde bulunan Bro, Snort ve bazı ürünlerin sorgu özelliklerini anlatacağız.

İNAN İŞÇİ

YAZAR:

17 yıldır IT sektöründe çeşitli şirketler ve alanlarda çalışan İnan İşçi, Bilgi Güvenliği Mühendisliği yüksek lisansını bulundurmakta, zararlı yazılım analizi ile güvenlikte big data analizi üzerine uzmanlaşmakta ve hali hazırda bir bankada Bilgi Güvenliği Yöneticisi olarak görev yapmaktadır.


    

E-Bültene Kaydolun, Makaleler Posta Kutunuza Gelsin

Bu yazıyı başka hiçbir yerde ve şekilde yayınlayamazsınız ve/veya kullanamazsınız. Bu yazıyı kullanmanız, başka herhangi bir uyarıya gerek kalmadan her türlü hukuki sonucu daha en baştan kabul ettiğiniz manasına gelir.

Discussion

No comments yet.

Post a Comment