Anasayfa » ManageEngine ADAudit Plus ile Sunucularımızdaki Olay Kayıtlarının Toplanması ve Raporlanması–Bölüm 3

Makaleyi Paylaş

3. Parti Yazılımlar / Uncategorized

ManageEngine ADAudit Plus ile Sunucularımızdaki Olay Kayıtlarının Toplanması ve Raporlanması–Bölüm 3

ManageEngine’nin domain ortamımızdaki ve çalışma ortamımızdaki olayların kayıtlarının toplanması ve anlamlı hale dönüştürülerek raporlanması için geliştirdiği ADAudit Plus’ın kurulumunu ve olay kayıtlarının toplanmasını ManageEngine ADAudit Plus ile Sunucularımızdaki Olay Kayıtlarının Toplanması ve Raporlanması–Bölüm 1’de (http://www.cozumpark.com/blogs/3party/archive/2014/10/06/manageengine-adaudit-plus-ile-sunucularimizdaki-olay-kayitlarinin-toplanmasi-ve-raporlanmasi-bolum-1.aspx ) ve ManageEngine ADAudit Plus’un içerisinde hazır olarak gelen 160’dan fazla raporu ManageEngine ADAudit Plus ile Sunucularımızdaki Olay Kayıtlarının Toplanması ve Raporlanması–Bölüm 2’de ( http://www.cozumpark.com/blogs/3party/archive/2014/10/12/manageengine-adaudit-plus-ile-sunucularimizdaki-olay-kayitlarinin-toplanmasi-ve-raporlanmasi-bolum-2.aspx ) örneklerle anlatmıştım.

 

Bu makalemizde ADAudit Plus’ta alert tabında oluşan alarmlara ve herhangi bir alarm durumu olduğunda tarafımıza nasıl bilgilendirme maili gönderebileceğimize örneklerle anlatmaya çalışacağım.

clip_image001

 

ManageEngine ADAudit Plus hakkında detaylı bilgi için aşağıdaki linkten yararlanabilirsiniz.

 

http://www.manageengine.com/products/active-directory-audit/

Sponsor

 

clip_image002

ADAudit Plus’ın web paneline giriş için kullanıcı adı ve şifremizi giriyoruz. Login butonuna basarak web panele ulaşıyoruz.

clip_image003

 

Artık iyice aşina olduğumuz Graphical View ekranı bizi karşılıyor. Bu ekranda daha önce bahsi geçen ama delaylarına girmediğimiz sağ köşede bulunan Alerts alanı bugünkü konumuzun özeti mahiyetinde. Görüldüğü gibi bazı kullanıcılarımız ortak alandan dosya silmiş ve bunun uyarısı hemen alerts alanına yansımış.

 

ManageEngine ADAudit Plus’ın Alerts tabına tıklayalım ve ortamımızda veya sunucularımızda oluşan alarmlara bakalım.

 

clip_image004

 

Alerts tabına girdiğimizde son 24 saat içerindeki alarmları görüyoruz. Sayfanın solunda mevcut alarmların hazır olarak bulunan alarm profillerinin başlıklarını görebiliyoruz. Örneğin tüm alarmların içerisinde silinen AD security grouplarını yani güvenlik gruplarını görmek için Deleted Security Groups’a tıklayalım.

 

clip_image005

 

Benim son 24 saat içerisinde silinen bir grubun olmadığını gördüm ve yukarıda bulunan period açılır menüsünden son 30 günü seçtim. Son 30 günde de silinen 2 adet, AdAuditTestGroup2 ve AdAuditTestGroups, grubum olduğu için bunlar için oluşmuş olan alarmlar karşıma geldi.

 

clip_image006

Alarmların üzerine tıkladığımdaysa detaylarında grupların kimin tarafından ne zaman silindiğini ve bu grupların detaylarını görebiliyoruz.

 

clip_image007

 

Kontrol edip inceledikten sonra istersek bu alarmların Alerts tabından kaldırılmasını sağlamak için ilgili alarmları seçip sağ köşede bulunan Clear ile görünmemesini sağlayabiliriz. Yine istersen sistemden bu alarmları Delete ile silebiliriz.

 

Yoğunluktan dolayı sürekli sürekli olarak Alerts tabına gelerek bu alarmları kontrol etmek çoğu bilgi teknolojileri çalışanı için pek mümkün değil. Bu yüzden bizim için önemli olduğunu düşündüğümüz olayların sürekli takip ettiğimiz e-postalarımıza gelmesini ayarlamak daha mantıklı görünüyor.

 

clip_image008

 

Sağ üst köşede bulunan E-Mail Notification’a tıklayıp veya Configuration Tabında bulunan Alert Profiles’deki View/Modify Alert Profiles’e giderek ilgili uyarıların mail yoluyla tarafımıza ulaşmasını sağlamaya başlayalım.

 

clip_image009

 

Alert Profiles ekranında biraz önce hazır bulunan alarm profillerinin bulunduğu alana geliyoruz.

 

Her profilin yanında görüldüğü gibi View Alerts ile bu profilde toplanan alarmları biraz önceki silinen güvenlik grupları örneğimizdeki gibi görebiliriz.

 

Aynı örnekten devam edelim ve herhangi bir güvenlik grubumuz silindiğinde bunun uyarısının e-posta ile tarafımıza gelmesini sağlayalım.

 

Deleted Security Groups profilinin E-Mail Notify kolonundaki Configure’a tıklayıp işlemimize başlayalım.

 

clip_image010

 

Açılan Modify Alert Profile sayfasında alarmın adını, açıklamasını ve alarmın önem derecesini belirleyebiliyoruz. İlgili alanları kendimize göre düzenledikten sonra alt tarafta Advenced Configurations’a tıklayıp neler var görelim.

 

clip_image011

İlk tabımızda Threshold Based Alerts bulunuyor. Buranın anlamı “1 dakika içerisinde bu alarmdan 1 defa olursa beni uyar”dır. Eşik bir değer belirlemek birçok zaman bizi gerçekten görmemiz gereken uyarılara odaklanmamızı sağlayabilir. Günde yüzlerce uyarı maili gelmesi ilgilenmemiz gereken olayları görmemizi engelleyebilmektedir.

clip_image012

İkinci tabımız User Based Alerts’tir. Caller User Name’e göre filtreleme yapmamızı sağlamaktadır. Örneğin administrator kullanıcısı bir güvenlik grubu sildiğinde uyarı mail gönder gibi. Çeşitli durumlarda özellikle yetki verdiğimiz kullanıcıların neler yaptığını görmek istediğimiz durumlarda bu özellik işe yarayabilmektedir.

 

clip_image013

Üçündü tabımız ise Business Hour Alert’dir. Oluşan bu alarm mesai içerindeyse mi yoksa müsait sonrasında mı oluşursa haber verilsin buradan görebiliriz. Bence bir çok alarmın mesai saati içinde mi dışında mı olduğu bizim bir çok alarm maili almamız engelleyecektir çünkü mesai içerisinde bir güvenlik grubunu bir çok sistem yöneticisi silebilir ama mesai sonrasında bu oluyorsa daha dikkatli olarak kimin neden yaptığına bakmak gerekir.

 

ManageEngine ADAudit Plus’ta Threshold Based Alerts, User Based Alerts ve Business Hour Alert birlikte de kullanılabilir. Örneğin admistrator kullanıcısı mesai saatleri dışında 1 dakikada 2 güvenlik grubu silerse bunu maille ilet diyebiliriz. İhtiyacımıza göre birçok kombinasyon yapabilir ve kullanabiliriz.

 

clip_image014

 

Ben bu örnek için sadece administrator kullanıcısı bir güvenlik grubunu sildiğinde bunu bana mail yoluyla ilet olarak ayarladım ve update butonu ile bunu sisteme kaydettim.

 

Şimdi test için AdAuditTestGroup güvenlik grubunu administrator ile silip gelen maile bakalım.

 

clip_image015

Gelen mailin içeriğinden her zamanki gibi olayın tüm detaylarını rahatlıkla görebiliyoruz.

 

clip_image016

 

Alert Profiles’a geri baktığımızda Deleted Security Gruops’un E-Mail Notify kısmında update edildiğini görebiliyoruz.

 

Peki şunu sorabilirsiniz 160’dan fazla raporu bulunan ManageEngine ADAudit Plus’ın sadece 22 tanemi alarm profili var diye hem evet hem hayır J

 

Hazır olarak 22 tane ama aslında her rapor bir alarm profildir aslında sadece buraya çok dikkati dağıtmamak için buraya ManageEngine’nin kritik olarak gördüğüğü 22 profile eklenmiştir.

 

Peki 160 rapordan istediğimiz bir raporu nasıl alarm profile olarak ekleyelim görelim.

 

Bunun için sağ üst köşedeki New Alert Profile’e tıklayalım.

 

Örnek olması adına bilgisayar ismi değiştirildiğinde alarm üretilmesi ve e-mail gönderilmesi için ayarlama yapalım.

 

clip_image017

 

İsim ve açıklama girdikten sonra önem derecesini kritik olarak ayarlıyorum.

 

Şimdiyse bu istediğim için hangi rapor profilini kullanacağımı seçmek için Report Profiles’ın solundaki clip_image019butonuna tıklıyoruz.

 

clip_image020

 

Available Report Profiles ekranı geliyor ve ilgili raporu seçiyoruz. Bu kısımda şunu da belirtmekte fayda var eğer bir bir alarm profilede birden çok rapor profili kullanarak farklı farklı alarmlar için ortak bir alarm profilide oluşturabiliriz. Örneğin mesai saatleri dışında kullanıcı eklendiğinde, silindiğinde ve değiştirildiğinde mail gönderen bir alarm profilde toplayabilirz.

 

clip_image021

 

Alert Message alanındaki alandan mesaj alanında görmek istediğimiz birçok bilgiyi ekleyebiliriz.

 

Daha sonra mail için gereken ayarlarımızı yapıyoruz ve SAVE ile alarm profilimizi kaydediyoruz.

 

clip_image022

 

Görüldüğü gibi Available Alert Profiles kısmında artık görebiliyoruz ve herhangi bir bilgisayar ismi değiştirmede mail alabiliyoruz.

 

clip_image023 

 

Yine Alert tabınada Computer Name Changed Alert Profile’in eklendiğini ve istediğimiz zaman tüm alarmların içerisinde tıklayıp sadece bilgisayar isim değişikliği alarmlarını görebiliyoruz.

 

ManageEngine ADAudit Plus’ın kontrol panelinde bulunan Alert tabına baktık ve bizim için önem arz eden olayların alarmalarını mail yoluyla da göndermeyi elimizden geldiğince değinmeye çalıştık.

 

Umarım faydalı bir makale serisi olmuştur.

 

Makaleyi Paylaş

Cevap bırakın