Event Logları NXLog ile Graylog’a Gönderme

İşlemlere başlarken ilk adım olarak Windows client kurulumu gerçekleştirilmeli ve Graylog ile aynı ağa dahil edilerek haberleşmeleri kontrol edilmelidir. Graylog kurulum adımları için:  https://sibermetin.com/graylog-kurulumu-ve-yapilandirmasi

Bu işlemler gerçekleştirildikten sonra Microsoft’un kendi sitesi üzerinden Sysmon indirme işlemi ile devam edilir. Sysmon Windows işletim sisteminde güvenlik olaylarını detaylı bir şekilde izlemeye imkan sağlayan bir araçtır. İndirmek için: https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon

Sysmon indirme işlemi gerçekleştirildikten sonra bir yapılandırma dosyasına ihtiyaç duyalacaktır. Bu yapılandırma dosyası sistemlere ve kullanılan araçlara göre değişiklik göstermekle beraber bu yazıda kullanışlı bulunması nedeniyle hazır bir bir yapılandırma dosyası kullanılmıştır. Yapılandırma dosyası: https://github.com/olafhartong/sysmon-modular

Yapıladırma dosyası indirme işlemi tamamladıktan sonra log gönderme aracı olarak kullanılacak olan NXLog aracının indirme işlemleri gerçekleştirilir. NXLog kurulduğu sistemdeki logları toplayarak istenilen formata dönüşümünü sağlayan, filtreleyen ve log gönderimi sağlayan bir araçtır.

NXLog indirme işlemi de tamamlandığı takdirde NXLog aracı içinde bir yapılandırma dosyasına ihtiyaç duyulmaktadır. Graylog log formatına göre yapılacak olan yapılandırma için hazır bir yapılandırma dosyası kullanılmıştır. İstenildiği takdirde aynı şekilde bu yapılandırma dosyası da kolaylık sağlayabilmektedir. Yapılandırma dosyası: https://github.com/lawrencesystems/graylog/blob/master/nxlog.conf

İndirme işlemleri tamamladıktan sonra indirilen dosyalar kontrol edilir ve tamamı yüklenmiş ise kurulum adımlarına geçilmektedir. Kurulum adımlarında cmd yönetici olarak çalıştırılır.

Komut istemi açıldıktan sonra ilk olarak yapıladırma dosyalarının bulunduğu dizine girilerek ilk olarak Sysmon kurulum işlemi gerçekleştirilir:

Sysmon.exe –accepteula –i

Sysmon kurulumu tamamlandıktan sonra NXLog kurulum işlemleri gerçekleştirilir.  İndirilen .msi dosyası çalıştırılarak next next diyerek kurulum tamamlanır.

Kurulum tamamlandıktan sonra C:\ Program Files\nxlog\conf\nxlog.conf dosyası içerisine belirlenen yapılandırma dosyası eklenerek gerekli düzenlemeler yapılır.

Eklenen yapılandırma dosyası içerisine gerekli Server bilgileri ve log göderim biçimi girilmelidir.

Bu yazıda kullanılan log gönderim tipi GELF olarak belirlenmiştir. Bu format Graylog’un kullanmış olduğu log formatıdır. Örnek bilgiler:

İşlemler tamamlanıp kaydedildikten sonra Windows Servisler başlığı altından nxlog servisi restart edilir.

İşlemler tamamlandığında Gralog üzerinde bir listener tanımlaması gerçekleştirilmelidir. Bunun için System başlığı altından Inputs başlığına gidilir.

Inputs alanında search alanına GELF yazıldığında GELF UDP seçeneği seçilerek Launch new inputs butonuna tıklanır ve  işlemlere devam edilir.

Açılan yapılandırma alanında bir node seçilerek bir title girilir diğer alanlar default kalabilir veya istenilen işlemler doğrultusunda yapıladırılabilmektedir.

Yapılandırma bilgileri girildikten sonra kaydedilir ve local inputs alanında görülmektedir.

Tüm işlemler tamamlandıktan sonra yapılandırmaları kontrol etmek için admin olarak açılan komut istemi üzerinden bazı komutlar çalıştırılır ve log oluşturulur. Bazı komutlar:

Komutlarla ilgili log alınıyor ve Windows client log gönderimi sağlıyormu kontrol etmek için Graylog da search ekranına girilir ve log akışı kontrol edilir.

Log akışı görüldüğü takdirde istenilen veriler geldiğini kontrol etmek için şekildeki gibi bir search hazırlanmış ve bu search ile log akışı doğrulanmıştır.