حتي اگر مدت كوتاهي هست كه پا به عرصه مديريت شبكه گذاشته ايد حتما به بررسي كنترل هاي امنيتي برخورده ايد، يكي از راهكارهاي امنيتي Auditing است ، بطور كلي Auditing پروسه اي است كه بواسطه آن رايانه ها به گونه اي ميگردند كه در مقابل رخدادهاي امنيتي واكنش نشان داده و فعاليتهاي انجام شده را ثبت و ضبط مي نمايد ، شما در Group policy ويندوز ميتوانيد مشخص كنيد كه از چه رخدادهايي لاگ برداري شود و نتيجه آن را در كنسولEvent viewer در ويندوز قابل مشاهده است ، زماني كه شما وارد كنسول Event viewer ميشويد در سمت چپ با راست كليك بر روي Event viewer (Local) و انتخاب گزينه Connect another computer ميتوانيد به كامپيوترهاي ديگر در شبكه خود وصل شده و Eventهاي آن را مشاهده كنيد كه البته نيازمند به دسترسيهاي لازم است اما در اين مقاله تصميم بر آن داريم كه روش جمع آوري Eventها و مشاهده آنها بصورت متمركز در كامپيوتر خود را آموزش دهيم شما با استفاده از اين قابليت ميتوانيد Eventهاي كامپيوتر يا كامپيوترهاي مورد نظر خود را در يك كامپيوتر بصورت متمركز جمع آوري كرده و بنا به نياز آنها را فيلتر كرده و مشاهده كنيد. قبل از شروع لازم است مفهموم Source Computer و Collector Computer را توضيح دهم چون در طول آموزش از اين دو كلمه زياد استفاده ميكنيم
Source Computer : كلاينت يا سروري است كه Eventهاي ساخته شده ي خود را براي Collector Computer ارسال ميكند.
Collector Computer : كلاينت يا سروري است كه Eventهاي Source Computer را دريافت و در خود ذخيره ميكند.
اين لاگها از Source Computer و از ميان Eventهاي ذخيره شده انتخاب و جمع آوري ميشوند پس لازم است كه در ابتدا در مسير زير در گروپ پاليسي Source Computer رفته و رويدادهاي مورد نظر خود را انتخاب و جهت ثبت ، آنها را فعال كنيد
Computer Configuration => Policies => Windows Settings => Security Settings
=> Local Policies => Audit Policy
جهت دريافت اطلاعات بيشتر از نحوه اعمال تنظيمات براي ثبت Eventها ميتوانيد به مقاله اي تحت عنوان معرفي فرآيند Auditing در شبكه مراجعه كنيد ، براي اينكه Eventها در Collector Computer ذخيره شوند لازم است كه اكانت كامپيوتر Collector Computer ( نه اكانت يوزر!! ) را عضو گروه Administrators كرده اين عمل بايستي تنها در Source Computer انجام شود بدين منظور Run را در Source Computer اجرا كرده و عبارت lusrmgr.msc را تايپ كنيد ( بايستي با دسترسي مديريتي اجرا شود ) سپس در قسمت Groups ، به گروه Administrators رفته و از آن Properties بگيريد ، در اين قسمت شما در حالت پيشفرض نميتوانيد كامپيوتر اكانتها را مشاهده كنيد و براي مشاهده آنها بايستي Object Types را بزنيد و در پنجره باز شده چك باكس Computers را علامت بزنيد پس از آن ميتوانيد اكانت Collector Computer را پيدا و انتخاب كنيد تا به گروه Administrators اضافه گردد يكبار ديگر ياد آور شوم كه اين عمل تنها لازم است كه در Source Computer انجام شود.
با هم مراحل ديگر را پيش ميبريم ...
دستور زير را در Collector Computer و در محيط Command اجرا كنيد ( اين دستور بايستي با دسترسي مديريتي اجرا شوند )
WinRM qc -q
Event Forwarding
سپس دستورهاي زير را در Source Computer و در محيط Command اجرا كنيد ( اين دستورات بايستي با دسترسي مديريتي اجرا شوند )
Wecutil qc -q
WinRM quickconfig
متمركز كردن Log هاي شبكه با استفاده از قابليت Event Forwarding
حالا در Collector Computer رفته و وارد كنسول Event viewer شويد و در سمت چپ بر روي Subscriptions راست كليك كرده و از منوي باز شده Create Subscriptions را بزنيد
متمركز كردن Log هاي شبكه با استفاده از قابليت Event Forwarding
در اين پنجره در قسمت Subscription name يك نام دلخواه و در قسمت Description log توضيحات دلخواه خود را در صورت تمايل اضافه ميكنيد همچنين در قسمت Destination Log مشخص ميكنيد كه لاگها در چه قسمتي در Event viewer ذخيره شوند، با كليك بر روي Select Computers ميتوانيد Source Computerهاي خود را معرفي كنيد ، در قسمت Select Events لاگهايي كه تمايل به جمع آوري آنها داريد را انتخاب ميكنيد و در نهايت در قسمت Advanced يكسري تنظيمات ديگر ازجمله سطح دسترسي براي خواندن Eventها همچنين پروتكل و پورت مورد استفاده و يكسري تنظيمات ديگر را براي بهينه سازي تحويل Eventها ميتوانيد مشخص كنيد
با هم اين پنجره ها را باز كرده و ضمن پيش بردن سناريو ، توضيحي مختصري راجع به هر كدام ميدهيم.
با كليك بر روي Select Computers پنجره اي به شكل زير باز ميشود
با كليك بر روي Add domain computers ميتوانيد Source computerهاي خود را در ليست اضافه و يا حذف كنيد. سپس OK كرده و پس از بسته شدن پنجره با كليك بر روي Select Events پنجره ي ديگري باز ميشود
در اين پنجره در قسمتBy log ، نوع Eventها را مشخص كنيد همچنين با استفاده از ديگر موارد ميتوانيد Eventهاي خود را جهت ثبت ، فيلتر كرده تا از ثبت Eventهاي زياد جلوگيري شود ، تنظيمات دلخواه را انجام داده و OK كنيد.
و در نهايت همانطور كه گفته شد با انتخاب Advanced پنجره اين به شكل زير باز خواهد شد كه در آن يكسري تنظيمات ديگر ازجمله سطح دسترسي براي خواندن Eventها همچنين پروتكل و پورت مورد استفاده و يكسري تنظيمات ديگر براي بهينه سازي تحويل Eventها را ميتوانيد مشخص كنيد .Event Forwarding براي انتقال Eventها از HTTP استفاده ميكند و شما جهت امن كردن ميتوانيد از HTTPS استفاده كنيد .
آن را به حالت پيشفرض خود رها كرده و OK ميكنيم تا پنجره بسته شود . با زدن OK و ثبت تغييرات پنجره Subscription properties بسته خواهد شد و يك ركورد جديد ثبت مي شود ،
شما با راست كليك بر روي اين ركورد ميتوانيد آن را غيرفعال يا فعال كرده ، يا به تنظيمات آن دسترسي پيدا كنيد و يا آنها را تغيير دهيد همچنين با انتخاب Runtime Status پنجره اي به شكل زير مشاهده ميكنيد
متمركز كردن Log هاي شبكه با استفاده از قابليت Event Forwarding
در اين قسمت شما ميتوانيد وضعيت اين سرويس را كه در حال اجرا هست مشاهده كرده و در صورت بروز خطا ، توضيحات آن را مشاهده كنيد . گرچه اين وضعيت در وهله هاي زماني بصورت اتوماتيك Retry خواهد شد ولي شما ميتوانيد با Disable و Enable كردن بصورت دستي اين كار را انجام دهيد ، گاهي اوقات با تغيير در سطح دسترسيها ، اين كار موجب استفاده اين سرويس با سطح دسترسي جديد خواهد شد.
پس از اتمام كار و مشاهده Eventها در قسمت Forwarded Events متوجه ميشويد كه تمامي لاگ ها ثبت ميشوند به جز Security Log براي اينكه Security Logها هم ثبت شود لازم است كه شما تنها در Source Computer اعضاي Network Services را عضو گروه Event Log read كنيد بدليل اينكه در Source Computer در زمان اضافه كردن به گروه Event Log read ، گروه هاي Builtin مشاهده نميشوند ، لازم است كه از طريق سرور يك پاليسي ايجاد كنيد و در Restricted Policy اعضاي Network Services را به Event Log read اضافه كرده و آن را به Source Computers اعمال كنيد.
متمركز كردن Log هاي شبكه با استفاده از قابليت Event Forwarding
و در نهايت براي اينكه دريافت Eventها با سطح دسترسي جديد انجام شود لازم است يكبار Source Computer ريستارت شود
متمركز كردن Log هاي شبكه با استفاده از قابليت Event Forwarding
كار تمام شده و با رفتن به كنسول Event viewer در Collector Computer و رفتن به Forwarded Event ميتوانيد لاگهاي جمع آوري شده در Collector Computer را مشاهده كنيد همچنين ميتوانيد از امكانات ديگر در اين كنسول براي فيلتر كردن آنها و يا جست و جو استفاده كنيد ، دقت داشته باشيد كه Eventها از طرف Source Computer در وهله هاي زماني نسبتا كوتاهي براي Collector Computer ارسال ميگردند و به محض ثبت Eventها در Source Computer نبايد انتظار ثبت آن درCollector Computer را داشته باشيم. شاد و پيروز باشيد
حتي اگر مدت كوتاهي هست كه پا به عرصه مديريت شبكه گذاشته ايد حتما به بررسي كنترل هاي امنيتي برخورده ايد، يكي از راهكارهاي امنيتي Auditing است ، بطور كلي Auditing پروسه اي است كه بواسطه آن رايانه ها به گونه اي ميگردند كه در مقابل رخدادهاي امنيتي واكنش نشان داده و فعاليتهاي انجام شده را ثبت و ضبط مي نمايد ، شما در Group policy ويندوز ميتوانيد مشخص كنيد كه از چه رخدادهايي لاگ برداري شود و نتيجه آن را در كنسولEvent viewer در ويندوز قابل مشاهده است ، زماني كه شما وارد كنسول Event viewer ميشويد در سمت چپ با راست كليك بر روي Event viewer (Local) و انتخاب گزينه Connect another computer ميتوانيد به كامپيوترهاي ديگر در شبكه خود وصل شده و Eventهاي آن را مشاهده كنيد كه البته نيازمند به دسترسيهاي لازم است اما در اين مقاله تصميم بر آن داريم كه روش جمع آوري Eventها و مشاهده آنها بصورت متمركز در كامپيوتر خود را آموزش دهيم شما با استفاده از اين قابليت ميتوانيد Eventهاي كامپيوتر يا كامپيوترهاي مورد نظر خود را در يك كامپيوتر بصورت متمركز جمع آوري كرده و بنا به نياز آنها را فيلتر كرده و مشاهده كنيد. قبل از شروع لازم است مفهموم Source Computer و Collector Computer را توضيح دهم چون در طول آموزش از اين دو كلمه زياد استفاده ميكنيم
Source Computer : كلاينت يا سروري است كه Eventهاي ساخته شده ي خود را براي Collector Computer ارسال ميكند.
Collector Computer : كلاينت يا سروري است كه Eventهاي Source Computer را دريافت و در خود ذخيره ميكند.
اين لاگها از Source Computer و از ميان Eventهاي ذخيره شده انتخاب و جمع آوري ميشوند پس لازم است كه در ابتدا در مسير زير در گروپ پاليسي Source Computer رفته و رويدادهاي مورد نظر خود را انتخاب و جهت ثبت ، آنها را فعال كنيد
Computer Configuration => Policies => Windows Settings => Security Settings
=> Local Policies => Audit Policy
جهت دريافت اطلاعات بيشتر از نحوه اعمال تنظيمات براي ثبت Eventها ميتوانيد به مقاله اي تحت عنوان معرفي فرآيند Auditing در شبكه مراجعه كنيد ، براي اينكه Eventها در Collector Computer ذخيره شوند لازم است كه اكانت كامپيوتر Collector Computer ( نه اكانت يوزر!! ) را عضو گروه Administrators كرده اين عمل بايستي تنها در Source Computer انجام شود بدين منظور Run را در Source Computer اجرا كرده و عبارت lusrmgr.msc را تايپ كنيد ( بايستي با دسترسي مديريتي اجرا شود ) سپس در قسمت Groups ، به گروه Administrators رفته و از آن Properties بگيريد ، در اين قسمت شما در حالت پيشفرض نميتوانيد كامپيوتر اكانتها را مشاهده كنيد و براي مشاهده آنها بايستي Object Types را بزنيد و در پنجره باز شده چك باكس Computers را علامت بزنيد پس از آن ميتوانيد اكانت Collector Computer را پيدا و انتخاب كنيد تا به گروه Administrators اضافه گردد يكبار ديگر ياد آور شوم كه اين عمل تنها لازم است كه در Source Computer انجام شود.
با هم مراحل ديگر را پيش ميبريم ...
دستور زير را در Collector Computer و در محيط Command اجرا كنيد ( اين دستور بايستي با دسترسي مديريتي اجرا شوند )
WinRM qc -q
Event Forwarding
سپس دستورهاي زير را در Source Computer و در محيط Command اجرا كنيد ( اين دستورات بايستي با دسترسي مديريتي اجرا شوند )
Wecutil qc -q
WinRM quickconfig
متمركز كردن Log هاي شبكه با استفاده از قابليت Event Forwarding
حالا در Collector Computer رفته و وارد كنسول Event viewer شويد و در سمت چپ بر روي Subscriptions راست كليك كرده و از منوي باز شده Create Subscriptions را بزنيد
متمركز كردن Log هاي شبكه با استفاده از قابليت Event Forwarding
در اين پنجره در قسمت Subscription name يك نام دلخواه و در قسمت Description log توضيحات دلخواه خود را در صورت تمايل اضافه ميكنيد همچنين در قسمت Destination Log مشخص ميكنيد كه لاگها در چه قسمتي در Event viewer ذخيره شوند، با كليك بر روي Select Computers ميتوانيد Source Computerهاي خود را معرفي كنيد ، در قسمت Select Events لاگهايي كه تمايل به جمع آوري آنها داريد را انتخاب ميكنيد و در نهايت در قسمت Advanced يكسري تنظيمات ديگر ازجمله سطح دسترسي براي خواندن Eventها همچنين پروتكل و پورت مورد استفاده و يكسري تنظيمات ديگر را براي بهينه سازي تحويل Eventها ميتوانيد مشخص كنيد
با هم اين پنجره ها را باز كرده و ضمن پيش بردن سناريو ، توضيحي مختصري راجع به هر كدام ميدهيم.
با كليك بر روي Select Computers پنجره اي به شكل زير باز ميشود
با كليك بر روي Add domain computers ميتوانيد Source computerهاي خود را در ليست اضافه و يا حذف كنيد. سپس OK كرده و پس از بسته شدن پنجره با كليك بر روي Select Events پنجره ي ديگري باز ميشود
در اين پنجره در قسمتBy log ، نوع Eventها را مشخص كنيد همچنين با استفاده از ديگر موارد ميتوانيد Eventهاي خود را جهت ثبت ، فيلتر كرده تا از ثبت Eventهاي زياد جلوگيري شود ، تنظيمات دلخواه را انجام داده و OK كنيد.
و در نهايت همانطور كه گفته شد با انتخاب Advanced پنجره اين به شكل زير باز خواهد شد كه در آن يكسري تنظيمات ديگر ازجمله سطح دسترسي براي خواندن Eventها همچنين پروتكل و پورت مورد استفاده و يكسري تنظيمات ديگر براي بهينه سازي تحويل Eventها را ميتوانيد مشخص كنيد .Event Forwarding براي انتقال Eventها از HTTP استفاده ميكند و شما جهت امن كردن ميتوانيد از HTTPS استفاده كنيد .
آن را به حالت پيشفرض خود رها كرده و OK ميكنيم تا پنجره بسته شود . با زدن OK و ثبت تغييرات پنجره Subscription properties بسته خواهد شد و يك ركورد جديد ثبت مي شود ،
شما با راست كليك بر روي اين ركورد ميتوانيد آن را غيرفعال يا فعال كرده ، يا به تنظيمات آن دسترسي پيدا كنيد و يا آنها را تغيير دهيد همچنين با انتخاب Runtime Status پنجره اي به شكل زير مشاهده ميكنيد
متمركز كردن Log هاي شبكه با استفاده از قابليت Event Forwarding
در اين قسمت شما ميتوانيد وضعيت اين سرويس را كه در حال اجرا هست مشاهده كرده و در صورت بروز خطا ، توضيحات آن را مشاهده كنيد . گرچه اين وضعيت در وهله هاي زماني بصورت اتوماتيك Retry خواهد شد ولي شما ميتوانيد با Disable و Enable كردن بصورت دستي اين كار را انجام دهيد ، گاهي اوقات با تغيير در سطح دسترسيها ، اين كار موجب استفاده اين سرويس با سطح دسترسي جديد خواهد شد.
پس از اتمام كار و مشاهده Eventها در قسمت Forwarded Events متوجه ميشويد كه تمامي لاگ ها ثبت ميشوند به جز Security Log براي اينكه Security Logها هم ثبت شود لازم است كه شما تنها در Source Computer اعضاي Network Services را عضو گروه Event Log read كنيد بدليل اينكه در Source Computer در زمان اضافه كردن به گروه Event Log read ، گروه هاي Builtin مشاهده نميشوند ، لازم است كه از طريق سرور يك پاليسي ايجاد كنيد و در Restricted Policy اعضاي Network Services را به Event Log read اضافه كرده و آن را به Source Computers اعمال كنيد.
متمركز كردن Log هاي شبكه با استفاده از قابليت Event Forwarding
و در نهايت براي اينكه دريافت Eventها با سطح دسترسي جديد انجام شود لازم است يكبار Source Computer ريستارت شود
متمركز كردن Log هاي شبكه با استفاده از قابليت Event Forwarding
كار تمام شده و با رفتن به كنسول Event viewer در Collector Computer و رفتن به Forwarded Event ميتوانيد لاگهاي جمع آوري شده در Collector Computer را مشاهده كنيد همچنين ميتوانيد از امكانات ديگر در اين كنسول براي فيلتر كردن آنها و يا جست و جو استفاده كنيد ، دقت داشته باشيد كه Eventها از طرف Source Computer در وهله هاي زماني نسبتا كوتاهي براي Collector Computer ارسال ميگردند و به محض ثبت Eventها در Source Computer نبايد انتظار ثبت آن درCollector Computer را داشته باشيم. شاد و پيروز باشيد
معرفي لينوكس ردهت (كلاه قرمز)