LOG YNETM ve SIEM

Dr. Erturul AKBA

Kelimeler: Bilgi Gvenlii, Log Ynetimi, Log Analizi, Kurumlarda Log Ynetiminin Gereklilii, 5651 Sayl Yasa, Log Ynetimi, Log Normalletirme,SIEM,SYSLOG,SNMP Log Analizi
Bilgisayar alarnda kullanlan a cihazlar olaylar hakknda kayt yapma zelliine sahiptirler. Bu kaytlar sayesinde a zerinde gvenlik olaylarnn belirlenmesi ve nlem alnmas salanmaktadr. Buna Log Analizi denilmektedir. Log analizi sayesinde sisteme girmeye alan kiilerin adres bilgilerine ulalmaktadr. Ayrca sistem iinde bulunan kullanclarn yaptklar (dosya kaydetme , yazcdan kt alama gibi) iler kontrol edilmesi mmkn olmaktadr. Byk firmalarda ise internet ortamnda kullanclarn hangi siteye girdikleri , hangi aamada terk ettikleri , hangi sayfada daha ok / az zaman harcadklar gibi bilgilere kolaylkla ulamalar salanr.

Log Ynetimi
Log Ynetimi hi olmad kadar nem kazanmt. FISMA, HIBAA, SOX, COBIT, ISO 27001 gibi uluslararas standartlar log ynetimini zorunlu klmaktadr. Kanunlar ve standartlar tm yaptrmlardan her zaman daha etkin bir role sahipdir. Ayrca, 04.05.2007 tarihli 5651 sayl kanunda internet sularn nlemeye ynelik olarak kurumlarn log ynetimi ile ilgili ykmllkleri belirlemitir. Log sistemleri karakterleri itibari ile datk yapya sahip sistemlerdir. Log Ynetimi: Log Toplama, Log Normalletirme, Log Indexleme, Korelasyon ve Filtreleme/Raporlama ve Alarm ynetimi katmanlarndan oluur. Bu zelliklere sahip sistemlerin zellikleri: Loglarn merkeze toplanmas Log Saklama Verilere hzl eriimi ve gsterimi Destekledii Log formatnn okluu Veri analizi Kaytlarn saklanmas Arivleme ve geri getirme Verilerin yetkiler ve ilikiler seviyesinde eriimi Veri btnlnn salanmas Loglara eriim auditlerinin tutulmas

Sistemlerden pek ok kaynaktan log toplanabilir.rnek: letim Sistemleri: Windows XP/Vista/7,Windows Server 2000/2003/2008/R2,Unix/Linux Trevleri,Nas Cihazlar (NetApp), Uygulamalar: Dhcp,IIS 6/7/7.5 (W3C),Apache (Syslog),Text-Based Log (Csv/Tsv/W3C/Txt/Custom ),Dansguardain,Postfix Firewall/Proxy: ISA/TMG Server,BlueCoat,3Com,Astaro,CheckPoint,Cisco Systems,Clavister,CyberGuard,DLink,Fortinet,FreeBSD,IPCop,Juniper,Drytek,Kerio,Lucent,McAfee-Secure Computing,NetApp,NetFilter,Snort,SonicWALL,Netopia,Network-1,St. Bernard Software,Sun Microsystems,WatchGuard,Zywall,Anchiva,Applied Identity,ARKOON,Aventail,AWStats,Cimcor,DP Firewalls,Electronic Consultants,Global Technologies,Ingate,Inktomi,Lenovo Security Technologies,NetASQ,Websense Network Cihazlar: Syslog Gnderen Cihazlar, SNMP Trap Gnderen Cihazlar, Cisco router,Cisco switch Email: Exchange 2003,Exchange 2007,Exchange 2010,IIS SMTP,SendMail/Qmail ve Bezeri *nix Tabanl Sistemler Veritabanlar: Oracle,MSSQL,MySQL,Sybase Log Ynetimi ile ilgili pek ok ak kaynakl sistem bulunabilir. Bunlarn en bilinenleri OSSIM,LASSO,SNAREAGENT,SPLUNK saylabilir. Sistemlerden loglar ya agent kurarak yada log sunucu tarafndan uzaktan ekilerek toplanr. Her ikisinin de avantaj ve dezavantajlar vardr. Ajanl Yntem: Avantajlar: Log sunucu kapal da olsa veri Kayb olmaz,Log sunucu ne zaman toplayacana karar verebilir,Log sunucu istemcinin durumunu tespit edebilir.

Dezavantajlar:Btn makinelerin nceden konfigurasyona ihtiyac olmas,Sistem ele geirilirse ajann log gndermesi engellenebilir.Kurulum ve konfigurasyon uzun zaman alr ve yaam dngsnde bakm,tutum ve yaatmak iin ok fazla igc gerektirir. Ayrca sistem eer merkezde deil de ajan tarafnda loglar filtrelemek zere ayarlanm ise gvenlik arac olarak i grmeleri ok zayflar. Logu ajan tarafnda filtrelemenin zararlar ve bu loglarn

daha sonra ie yarayaca ile ilgili LosAlamosNationalLaboratory de bu konuda uzun sre alan Dr. Ben Uphoffun [http://people.msoe.edu/~uphoff/] almas incelenebilir. [http://code.google.com/p/netfse/wiki/NetworkEventAnalysis]
Ajansz Yntem: Avantajlar: Kurulum ve konfigrasyonu ok kolay, ok esnek ve ok byk sistemler iin leklenebilir Dezavantajlar: Syslog UDP temelli bir protokol ve veri kayb olabilir, baz durumlarda log sunucu istemcileri takip edemez.

zellikle lkemizde 2007 ylnda kanunlaan 5651 sayl kanundan sonra log ynetimi yapan irketlerin neredeyse tamam yukarda listelenen yada benzeri ak kaynakl rnleri ticari olarak kullanma yoluna gitmitir*Ak kaynakl rnlerin Lisans Kurallar Ticari rn olarak yeniden isimlendirmesini yasaklamaktadr]. Bunun en nemli sebebi bu almada aklamaya altmz log normalletirme ve sonraki sreleri zgn olarak gelitirmenin akademik ve saha birikimine ihtiya duymasdr.ok az firma kendi zmn akademik ve AR-GE birikimine dayanarak gelitirebilmitir.

Log Analizi ve Bilgi Gvenlii

Bilgi sistemleri ierisinde almakta olan tm a ve gvenlik bileenleri her gn ok sayda log retir. Ancak bunlara bir de sunucular ve istemcilerin loglar da eklendiinde hareketlere ve trafie ilikin deerli olabilecek bir ok bilginin szlmesi, baka hareket ve trafik bilgileri ile ilikilendirilmesi, analiz edilmesi, takibi ve anlaml sonular verebilecek ekilde raporlanmas neredeyse olanaksz bir hale gelmektedir. Bu tr bilgilerin yeterince etkili ekilde deerlendirilemedii durumlarda, kontrol gerek anlamda salanamamakta ve kontrol edilemeyen bilgi sistemleri alt yaplarna ynelik yatrmlar da, verimli kullanlamam olacaktr.

Log ynetiminde kullanlacak aralarn eitli ynleri ile incelenmesi de bu aratrmann ierisinde yer alrken, ortamn ihtiyalarna gre bunun hangi sistemler iin gerekletirilecei ve hangi amalara hizmet edebilecei, ayrca bunun sonular zerinde nasl bir deerlendirme yaplabilecei de aratrma kapsamna girmi, bu konuda ileyen bir organizmann eitli birimleri ile grlerek bilgi toplanmaya allmtr. Yasal dzenlemelere gre, bilgi sistemlerinde denetim izlerinin bir ou, sistemler iin tutulan log kaytlarn iaret eder. Log ynetim almalarnda ele alnmas gereken ilk konunun, bilgi sistemlerinin hangi srelerinde, hangi log verilerinin log ynetimi amac ile deerlendirilmesi gerektiine karar verilmesidir. Log ynetimi, bilgi gvenlii ynetiminin nemli bir blm veya bileeni, bilgi gvenlii ynetimi ise an ynetimi ile olduka yakn ilikideki bir ynetim sistemidir.(Network gvenlii ve ynetimi, bilgi gvenliinin salanmas iin gereken sistemlerden yalnzca biridir.) A gvenlii ynetimi iin, dikkat edilmesi gereken nemli bir mesele, network zerindeki ataklarn saptanabilmesi ve bunlar doru olarak tanmlayabilmektir. Aslnda bu durum ok kullancl ve ok eitli sistem-a yapsna sahip ortamlarda, samanlkta ine aramaya benzetilebilir. Bilgi gvenliini salamak zere ihtiya duyulabilecek en nemli veriler gvenlik raporlardr. Gvenlik Raporlar birer birer sistemlerin kendisinden alnabilecek raporlardan ok, farkl veritabanlarnda bulunan veriler kullanlarak; otomatik olarak oluturulduklar takdirde, gvenlik durumuna ait daha kapsaml genel bir grnt sunabilecek ve farkl bak alarna ait verileri bir araya getirecektir. Yine bu sonucu elde etmek zere toplanan olay bilgilerinin, log kaytlar eklinde depolanarak kullanlmas, log ynetimindeki amalardan biridir.

Log Toplama
Log toplama sreci aada gsterilen bir forml ile ifade edilmitir. Denklemdesistemler (domain) R ile simgelenmi, bu sistem iindeki tm cihazlar D ilegsterilmitir. Denklem 2.1 log kaytlar kmesi, 2.2 bilgi sistemleri cihazlarnn farkllog tiplerini, 2.3 ise her sistem cihaznn farkl olay loglar kmesine sahip olduunugstermektedir.

R = {D1 D2,...., Dn} Her sistem cihaznn kendi loglarnn olmas, B log trleri olmak zere, Di = {Bi1, Bi2,....., Bim}, i [1,n]

Her indeksin bir cihaz temsil etmesi durumunda, her cihazn farkl tip olay kaytlar oluturmas durumu (rnein windows sistemlerinde, uygulama (application), sistem (system), gvenlik (security) loglarnn ayr ayr olmas gibi...), e olay tipi olmak zere; log modellemesini formle edebiliriz. Bij = {eij1, eij2,....., eip}, i [1,n], j [1,m]
Log Toplama Sitrmlerinde Karlalan Balca Problemler

1. ok yksek saylarda ve byklklerde log kaytlar, 2. Log kayt desenlerinin farkll, 3. eriklerin olduka farkl olmas

Log Normalletirme
Log kaynaklar birbirinden farkl formatlarda log retirler: Cisco Router
Jul 20 14:59:32 router 20: *Mar 1 01:39:25: %SYS-5-CONFIG_I : Configured from console by vty0 (10.1.6.160) Jul 20 15:01:07 router 21: *Mar 1 01:41:00: %SYS-5-CONFIG_I : Configured from console by vty0 (10.1.6.160) Jul 20 15:10:43 router 22: *Mar 1 01:50:36: %RCMD-4-RSHPORTATTEMPT: Attempted to connect to RSHELL from 10.1.6.165 Jul 20 15:18:06 router 24: *Mar 1 01:57:58: %RCMD-4-RSHPORTATTEMPT: Attempted to connect to RSHELL from 10.1.6.165 Jul 20 15:18:06 router 25: *Mar 1 01:57:59: %RCMD-4-RSHPORTATTEMPT: Attempted to connect to RSHELL from 10.1.6.165

Remote Apache logging

Jul 18 16:49:27 mapmin.tonjol.org httpd[779]: [error] [client 202.56.224.218] File does not exist: /htdocs/default.ida Jul 18 23:53:28 mapmin.tonjol.org httpd[30023]: [error] [client 202.197.181.203] File does not exist: /htdocs/default.ida Jul 20 00:39:32 mapmin.tonjol.org httpd[21509]: [error] [client 202.101.159.163] request failed: URI too long Jul 21 05:06:39 mapmin.tonjol.org httpd[11348]: [error] [client 202.138.123.1] File does not exist: /htdocs/scripts/nsiislog.dll Jul 21 05:06:39 mapmin.tonjol.org httpd[11348]: [error] [client 202.138.123.1] File does not exist: /htdocs/scripts/nsiislog.dll

Normalizasyon, kaynak verilerdeki btnl bozmayacak ekilde, Log dosyas verilerinden uygun bir bilgi ortaya karmak iin, korelasyon aracnn bu yetenee sahip olmas gereidir. Bu loglar alp ortak bir platformda ifade edip btn bu veriler zerinde indexleme,korelasyon ve filtreleme/raporlama yaplabilmesini salama ilemine normalletirme denir. rnein, bir Windows etki alan denetleyicisi ile bir Windows veritabanna giri hatalarn gsteren

"giri-baarsz" olayn ayn adla kaydedemeyiz. nk Windows Account_Expired ve MSSQLSVR gibi daha spesifik detayl bilgelere sahiptirler ve normalize edilmelidirler. Normalize ilemi loglarn parse edilmesiyle balar. Her bir tr log iin zel parserler REGEX yardm ile oluturulur Burada 2 farkl yntem vardr. 1-Neyin logunun toplanacann tanmland sistemler 2-zellikle Log Proxy kullanlan sistemlerdeki auto log discovery zellii-Loglarn geldii anda tipinin otomatik tanmlanmas. Normalletirme ilemi srasnda zaman bilgisi ve timezone hesaplamas da gerekleir.

Zaman Bilgisi
Pek ok farkl sistemden loglar toplanp merkezi bir noktada toplanaca iin loglarn kendi ierisinde tutarl ve korelasyon kurallarnn anlaml veriler retebilmesi iin loglardaki zaman bilgisi ok nemlidir. Bu tutarll salamak iin ada NTP (Network Time Protocol) aktif edilmelidir.

Timezone
Sistemlerden toplanan loglarn zellikle datk bir altyapda timezone bilgisi ve bu bilginin merkezi log toplama merkezi ile uyumlulatrlmas loglarn analizi iin gereklidir.Log kaynaklarnn hepsinin ayn timezone ayarn almas ve bu bilgisi her durumda gndermsinin salanmas gerekir

Log Depolama
Loglarn deoplanmas ve arivlenmesi zellikle ok byk sistemlerde kritik olmaktadr. Gnde 100 lerce GB logu saklamak ve zerinden sorgu yapmak iin zel deoplama sistemleri tasarlanmaktadr.

NIST(2007) tarafndan yaynlanan Guide to Computer Security Log Management isimli yayndan derlenmitir Loglanacak sistemlerin ne kadar log retecei ve bu loglar iin ne kadarlk disk alan ayrlaca nemli bir mhendislik hesab gerektirir. rnek Kapasite Hesab: Bir yllk loglama iin ortalama disk alan = 365 gn x 24 saat x 3600 saniye x 100 (youn sistemler saniyede ok daha fazla log retecektir) x 200 byte = 580~ gigabyte / yl . Tabi bu deer sktrlmam ham veridir. yi bir sktrma ile

bu deer kltlebilir. Eger loglar iin veritaban kullanyorsanz bu sayy iki ile arpmak gerekir. likisel veritaban kullanmlarnda OS seviyesinde sktrma bu alana geri kazanmanz salayabilir.

Korelasyon ve SIEM
Log Ynetimi ve SIEM (Security Information & Event Management) birbirini tamamlayc katmanlardr. Genellikle Log Ynetiminden bahsedilirken korelasyondan da bahsedilir ve dolays ile SIEM katmanna klm olur. Sistemlerin korelasyon yetenei sayesinde farkl cihazlardaki loglar otomatik olarak ilikilendirir, anlaml hale getirir ve daha nemli uyarlar reterek, sistem yneticilerinin ortaya kabilecek bir sorunu nceden grmelerini veya ortaya km bir sorunu daha kolay zmelerini salar.

Korelasyon ilemi belli kurallarn iletilmesi eklinde oluur. rnek kurallar

stenmeyen mesajlar yok etmek Tek mesaj eletirme ve aksiyon alma Mesaj iftlerini eletirme ve aksiyon alma Belirlenen bir zaman dilimi ierisinde olay oluum saysna bakarak aksiyon alma

Farkl korelasyon teknikleri mevcuttur.Mesela: Farkl olaylarn korelsyonu (Mantksal Korelasyon) Olay ve gvenlik aklarnn korelsyonu (apraz Korelasyon), Olay ve iletim sistemlerinin hizmetlerin korelsyonu (Envanter Korelsyonu)

Korelasyon motorundan beklenen zellikler:

Hafzada Korelasyon Yapabilme. Tek Kaynak Korelasyon Kurallar. oklu Kaynak Korelasyon Kurallar. Negatif Condition Kurallar. Context Base Korelasyon. Hiyerarik Korelasyon. ok esnek kural oluturma yaps. Rule Base. Complex Event Processing(CEP). Forward Chaning. Backward Chaining. Fauna ayn zamanda veri tabannzdaki yk azaltmak ve kritik olay verilerinin almn hzlandrmak iin bellek ii korelasyon kullanr. Kural oluturma ve kural yazma yntemleri uluslararas formatlarda olmas. st seviye bir programlama dili ve/veya script dili destei korelasyon motoru iin byk avantajdr.

Kural rnekleri:
Hedef:445 nolu port ataklarn tespit etmek Gereksiz yanl atak loglarndan kurtulmak isteniyor 5 dakikalk srede an az 1 dzine atak logu gelmesini isteniyor 1 saatlik zaman diliminde en az 100 atak logu 4 saatlik bir zaman diliminde 200 atak logu isteniyor

Hedef: Windows makinelere brute force login ataklarnn tespit etmek 60 Saniye boyunca Windows makinelere login denemesi yaplm ve fail etmi iplerin listesinin bulunmas ve Bu kuralda firewall ve/veya gateway den gelen trafik loglar ile Windows event loglarnn korelasyonunun yaplmas isteniyor.

Hedef: Atak Tespiti 5 dakika ierisinde 10 tane login failure olay gelirse atak uyars yap.

Hedef:Performans Problemi Tespiti: Hedef: Cihazdandan scaklk deeri yksek uyars gelir ve 5 saniye boyunca da olay kayd gelmezse performans problemi maili olutur. Hedef: Adaki kt niyetli yazlmlarnn tespiti. Bilinen: yazlm insandan ok daha hzl parola denemesi gerekletirir Senaryo: Kimlik dorulama denemesi saniyede 1 den fazla gerekleiyorsa (1) (1) durumu art arda 5 defa gerekleiyorsa Bilgilendir/ mdahale et Tek kaynaktan alnan kaytlarn says ve gerekleme zaman ilikilendirilmitir.

Hedef: Veri tabanna varsaylan kullanc isimleri ile giri denemelerin tespiti. Saldrgan internetten kurumsal IP uzaynda tarama yaparsa (1) IDS veya gvenlik duvarndan alnan kaytlar (1) i gerekletiren ak portlar kullanarak gvenlik duvarndan geerse Gvenlik duvarndan alnan ACCEPT kayd (1) i gerekletiren veritabanna belli kullanc isimleri ile giri yapmaya alrsa Veri tabanndan alnan LOGON ATTEMPT kayd Bilgilendir/ mdahale et Birden fazla kaynaktan alnan kaytlarda aktr, eylem ve zaman bilgileri ilikilendirilmitir Korelasyon motorunun yukardaki kurallar ve benzerlerini iletecek bir altyapya sahip olmas beklenir

Alarm Ynetimi
yi bir sistem ortamda oluan btn olaylar loglar toplamak suretiyle takip edebildii iin proaktif bir
gvenlik ynetim sistemi kurulmasn salar. Gvenlik yneticileri kendileri alarmlar tanmlayabilecei gibi sistem hazr alarmlar da ierirmelidir.

rnek hazr alarmlar: Database de Acount deiiklii durumunda Kullancy uyarabilme, Active Directory baarl bir ekilde altnda Kullancy bilgilendirme zellii, Active Directory servisi durduunda Kullancy uyarabilme zellii, ISA Servisi Balatlrken Hata oluursa kullancy uyarabilme zellii, Makinelere Program kurulduunda Yneticileri uyarabilir, Makinelerden Uygulamalar Uninstall edildiinde Yneticileri uyarabilme zellii, Makinelerden Audit loglar temizlendiinde Yneticileri haberdar edebilme zellii, Audit Policy de deiiklik yapldnda Yneticilere bildirme, Bad Disc Sector olutuunda yneticileri bilgilendirme zellii, Bilgisayar hesaplarnda deiiklik yaplmas durumunda yneticileri bilgilendirme zellii, Bilgisayarlar da yeni bir kullanc oluturulduunda yneticileri bilgilendirme zellii, Bilgisayar hesaplarndan herhangi biri silindiinde yneticileri bilgilendirme zellii, DNS serverin baarl bir ekilde balamas durumunda yneticileri bilgilendirme zellii, DNS serverin balatlamamas durumunda yneticileri uyarma zellii, DNS Server TimeOuta dtnde Yneticileri uyarabilir. DNS Server Update aldnda yneticileri haberdar edebilir. Domain Policy deiiklii olduunda yneticileri haberdar edebilir. Eventlog servisi durduunda yneticileri uyarr, Sistemlere LogOn olma ilemi denendiinde(baarl ve Baarsz LogOn durumlarnda) yneticileri uyarabilir, Insufficient Memory durumu tespit edildiinde yneticileri uyarabilir. Yeni uygulamalar altrldnda yneticileri haberdar edebilir, NTDS Databse Engine(Active Directory database file) baladnda yneticileri bilgilendirebilir, NTDS Database Engine(Active Directory database file) durduunda yneticileri uyarabilir, Nesne silerken hata olursa yneticileri uyarabilir, letim sistemi balatldnda ya da kapatldnda yneticileri uyarabilir. Yeni bir Printer eklendiinde ve oluturulduunda yneticileri uyarabilir, Sistem dosyalarnda deiiklik olduunda yneticileri uyarabilir, File Replication Service baladnda yneticileri haberdar edebilir, FTP LogOn durumu ya da LogOf durumunda Yneticileri uyarabilir, Hesap ifre sfrlama ilemlerinde yneticileri uyarabilir, Kullanc hesaplar dondurulduunda yneticileri uyarabilir, Sisteme yeni makine eklendiinde yneticileri uyarabilir, MAC-IP Deiikliini alglama sistemi. Sisteminizde bulunan kritik cihazlarn MAC ve IP deitirmeleri durumunda yneticileri uyarabilir. Sisteme yeni bir cihaz dahil olmas durumunun takibi.Anzda daha nce olmayan bir cihaz dahil olduunda yneticileri uyarabilir.

Loglar ile ilgili alarmlar retebilmekte sistem yneticilerini mail,sms,snmp gibi yntemler ile uyarabilmektedir

Gvenlik karm Motoru

Yeni nesil rnlerin bir ksmnda yukarda bahsedilen zelliklerle birlikte aadaki zelliklere sahip rnler gelitirmilerdir. NETWORK ERM TAKB SABT P KULLANIMLARININ TAKB ARP SPOOFING TESPT DDOS TESPT KURALLARI HACKER TOOLS TESPT KURALLARI

Raporlama
Log ynetimi ve SIEM uygulamalarnn tamamnda raporlama yetenei mevcut.Dolays ile rnler arasndaki farkllk sorgulama kolayl ve raporlarn anlalrl noktasnda olmakta. zellikle gvenlik amal kullanlacak bir rnde
En ok indirme (download) yapan Kullanclar, Makineler Kimler? irket hesabna gelen maillerin kopyasn ahsi hesabna gnderenler var m? Varsa kim? Network zerinde ka tane baarsz oturum ama giriimi meydana geldi? Kimler bu ilemleri gerekletirdi? Network zerinde hangi hesaplar silindi ya da pasif oldu? Bu ilemleri kim ne zaman gerekletirdi? Network zerinde hangi hesaplar oluturuldu? Kim bu hesaplar oluturdu? Ne zaman bu ilem gerekleti? Network zerinde ilemler ka adet kritik olay oluturdu? Bu kritik olaylara kimler neden oldu? Network zerinde ka adet hata olay meydana geldi? Bu hata olaylarna neden olanlar kim? Tanabilir bellek kullananlar kimler? Kim hangi uygulamay altrd? Kim hangi uygulamay kapatt? Kim tasarm.dwg dokmann sildi? Kim Hangi URLe gitmi? Kullanclara gre ziyaret edilen URL ler, IP adreslerine Gre Ziyaret edilen URL ler Makine Adlarna Gre ziyaret edilen URL ler Kim Hangi Hedef Hosta gitmi? (www.facebook.com) Kullanc adna Gre ziyaret edilen Sayfalar IP adresine Gre Ziyaret edilen Sayfalar Makine Adna Gre ziyaret edilen sayfalar A ierisindeki hangi bilgisayardan www.xxx.com sayfasna belirli bir kullancnn(aaa bbb ismi gibi) ile eriilip eriilmediinin kontrol Hedef Hosta Giderken Kullanlan Port ve Protokoller? Kim Hangi IP ile iletiim gerekletirmi? ki IP arasndaki iletiimden Doan trafiin Boyutu ne kadardr? ki IP arasndaki Paket transferi ne kadardr? ki IP arasnda en ok kullanlan Port ve Protokoller hangileri? En ok Mail trafii oluturan kullanclar? Unix Sistemlerden Alnan raporlar Baarl LogOn Raporlar Unix tabanl sistemlere kimlerin LogOn olduu bilgisini tutar. Baarsz LogOn Giriimleri Unix sistemlere LogOn olmaya alp ta baarsz olanlar gsterir. Baarl LogOff Raporlar Unix sistemlerden baarl bir ekilde LogOff olanlar gsteren rapor ekrandr. Baarl LogOn Raporlar(Yneticilere ait) Unix sistemlere baarl LogOn yapan adminleri listeler. Baarsz LogOn Giriimleri(Yneticilere ait) Unix sistemlere admin hesabyla LogOn olmaya alp baarsz olanlar listeler. Baarl LogOff Raporlar(Yneticilere ait) Unix sistemlerden baarl bir ekilde LogOff olan Adminleri gsteren rapor ekrandr. Baarl SSH LogOn Raporlar Unix sistemlere SSH Protokol kullanarak LogOn olan kullanclar gsterir. Baarsz SSH LogOn Giriimleri

Unix sistemlere SSH Protokol kullanarak LogOn olmaya alp baarsz olan kullanclar gsterir.(Dnya zerinde gerekleen Unix saldrlarnn byk ounluu SSH zerinden gereklemektedir.) Baarl SSH LogOff Raporlar Unix sistemlere SSH ile logon olup baarl bir ekilde LogOff olan kullanclarn listelendii rapordur. Baarl SFTP LogOn Raporlar Unix sistemlere SFTP araclyla baarl LogOn olan kullanclar gsterir. Baarl SFTP LogOff Raporlar Unix sistemlere SFTP ile LogOn olup daha sonra baarl bir ekilde LogOff olan kullanclar bu raporda listelenir. Zamanlanm grevler Raporu Oluturulan ve uygulanan cronjob larn listelenerek kullancya sunulduu raporlama aracdr. Misafir Girileri Raporu Dosya Eriim Raporlar Unix sistemlerde kimlerin hangi zel dosyalara eritiini gsteren rapor aracdr.

Windows sistemlerden Alnan raporlar Printer Kullanm Raporlar Baarl LogOn Raporlar Baarsz LogOn Giriimleri Baarl LogOff Raporlar Dosya Eriim Raporlar USB Eriim Raporlar altrlan Programlarn Raporu Kapatlan Programlarn Raporu Oluturulan Kullanclarn Raporu Silinen Kullanclarn Raporu Windows Event Raporlar Kablosuz Eriim raporlar Sanal makinelerden alnan raporlar Sanal makine oluturma raporlar Kimin ne zaman hangi sanal sistemi oluturduunun kayt altna alr. Sanal makine silme raporlar Kimin ne zaman hangi sanal sistemi Sildiini kayt altna alr. Sanal makinelerdeki durum deiiklikleri Kullanclarn sanal sistemler zerinde yapt deiiklikleri kayt altna alr Sanal makine eriimleri Kimin ne zaman hangi sanal sisteme eritiini kayt altna alr.

Gibi raporlarn hazr sunulmas yada tk tkla sorgulanabilmesi nemli bir ayrt edici zelliktir.

Kaynaka
[1] Souppaya, M. and K. Kent, 2006. Guide to computer security log management. White Paper, NIST Special Publication 800-92, Computer Security, http://permanent.access.gpo.gov/lps69969/LPS69969.pdf [2] http://en.wikipedia.org/wiki/Log_management_and_intelligence, 2011. [3] http://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard, 2011. [4] http://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf, 2006 [5] Jacob Babbin, Dave Kleiman, et al, Security Log Management: Identifying Patterns in the Chaos, Syngress Publishing, 2006. [6] http://en.wikipedia.org/wiki/Regular_expression [7] Ariel Rabkin and Randy Katz., Chukwa: A System for Reliable Large-Scale Log Collection. At LISA 2010, the USENIX conference on Large Installation System Administration. San Jose CA, November 2010. [8] Ranum M., System Logging and Log Analysis, http://www.ranum.com/security/computer_security/archives/logging-notes.pdf