ELSA Log Yönetim Sistemi

Bu yazıda log management konusunda gayet başarılı ve kullanışlı olan ELSA (enterprise log search and archive) aracını anlatacağım. Bu konu biraz geniş olduğundan ve birçok anlatımımıza çatı oluşturacak. Diğer konularda olduğu gibi uygulamanın yeteneklerini anlatmadan önce ürünün genel tanımını anlatacağız, sonra uygulamalı olarak yeteneklerinden söz edeceğiz.

 

ELSA; Syslog-NG, MySQL ve Sphinx full-text search ürünlerinin üzerine inşaa edilen merkezi bir syslog ürünüdür. Web tabanlı sorgu arayüzü olan ELSA tam asenkron çalışaran milyarlarsa sorguyu zorlanmadan aratabilen bir uygulamadır. Genel özellikleri şu şekildedir:

  • Yüksek kapasiteli log alma ve indeksleme yapabilir: 30.000 log/sn sürekli log alabilir.
  • AD/LDAP entegrasyonu yapabilir ve e-posta tanımı yapılabilir.
  • Büyük veri kümelerini anında raporlar ve grafik raporları oluÅŸturabilir.
  • Google Visualizations kullanarak Dashboard oluÅŸturur.
  • Web arayüzün API desteÄŸi bulunmaktadır.
  • Cluster için dağıtık mimari desteÄŸi bulunmaktadır.
  • Ãœzerinde Cisco logs, Snort/Suricata, Bro, Windows Eventlog ve Snare’i default olarak tanır.

 

elsa-sorgu-panel

Resim-1

ELSA genel görünüşü itibariyle basit bir arayüze sahiptir. Resim-1’de görüldüğü gibi sade bir yapısı bulunuyor. Ana sayfada Query seçtikten sonra Submit Query’yi tıklamanız yeteriyor. ELSA genel karakteristik özelliÄŸi olarak bir açık kaynak uygulama olmasına raÄŸmen çok hızlı sorgulama yapabilme ve sorgu neticesini raporlama yeteneÄŸine sahiptir. Sizlere bu makalede ELSA’nın genel yapısı, kullanımı ve özelliklerinden bahsedeceÄŸiz.

elsa-menu

Resim-2

Resim-2’de görüldüğü gibi ELSA menüsü altında birçok özellik bulunmaktadır. Bu alanda sorgu kayıtları, sorgu kaydetme, oluÅŸan alarmlar, tercihler gibi seçenekler bulunmaktadır. Çok kullanışlı olan bu menüyü kullanmak iÅŸlemlerimizi çok kolaylaÅŸtırmaktadır. ÖrneÄŸin, ELSA menüsü altında bulunan önemli bir özelllik de, bütün geçmiÅŸ sorgulara ulaÅŸabilmedir. Bu sayede daha önce yapılan diÄŸer sorguları bulabilirsiniz.

Admin menüsünde ise klasik kullanıcı tanımları, kullanıcının oluÅŸturduÄŸu alarmlar gibi bilgileri ayrıntılı ÅŸekilde görebilirsiniz. Bu menüde bulunan en güzel seçenek ise Stats’ta bulunan geliÅŸmiÅŸ bir Dashboard ekranıdır:

elsa-dashboard

Resim-3

Piyasada kullanılan log management sisteminlerinin en önemli unsurlarından biri de geliÅŸmiÅŸ bir dashboard’a sahip olmasıdır. Admin menüsünün altında bulunan stats seçeneÄŸi tıklandığında karşımıza resim-3’teki gibi kullanışlı ve görsel bir ekran gelmektedir. Bu ekranda logların Bro, Snort gibi engine’lerin yakaladığı olayları ayrıntılı olarak görmekteyiz. Ayrıca grafikler tıklandığında olaylar ayrıntılı ÅŸekilde gösterilmektedir. Bu ekranları kullanarak ELSA alt yapısının index ve arÅŸivlediÄŸi logların durumunu ayrıntılı ÅŸekilde görebilirsiniz.

 

elsa-report

Resim-4

Daha önceki ekranlarda genel menü ve kullanım bilgisi verdim. Ancak asıl ELSA’nın en önemli ekranı Resim-4’te verilmiÅŸtir. Burada, desteklemiÅŸ olduÄŸu bütün ürünlerin otomatik sorgu seçenekleri, rapor ve sorgular bulunmaktadır. Ayrıca ekrana getirilen sorguya daha ayrıntılı olarak bakılmasını saÄŸlayabilir ve ayrıca sorgunun sonucunu görsel olarak gösterebiliriz. Bu ekranlarda Bro, Snort, SSH, Windows, Firewall gibi logların sorgu seçeneklerini kullanarak ayrıntılı bir sonuçlar alabiliriz. Ayrıca bu alanda index, arÅŸiv durumları, index ve arÅŸiv analizleri de görebilirsiniz. ELSA log yönetim sistemiyle ilgili diÄŸer görseller için:

Sonuç olarak, biz bu makalede kısaca ELSA’nın genel yapısını, kullanımını ve özelliklerini sizlere anlatmaya çalıştık. Bir sonraki makalede ELSA log yönetimini ayrıntılı bir ÅŸekilde kullanımını anlatacağız ve ELSA’nın log yönetimi ile üzerinde bulunan Bro, Snort ve bazı ürünlerin sorgu özelliklerini anlatacağız.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir