Modern Log Yönetim sistemlerinin sadece log arama ve log sayma (log search - log count) işlemlerinden çok daha gelişkin özelliklere sahip olması gerekir.Modern log yönetimi sistemlerinde olması gereken pek çok özellikten biri de trafik analizi yeteneğidir. Bu yetenek hem trafik, protokol ve güvenlik unsurlarını trafiğe etkisi hem de bu korelasyon kurallarına etkisi açısında çok önemlidir.
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
Modern log yönetimi sistemleri ve trafik analizi
1. Modern Log Yönetimi Sistemleri ve Trafik Analizi
eakbas@gmail.com
Modern Log Yönetim sistemlerinin sadece log arama ve log sayma (log search - log count) işlemlerinden
çok daha gelişkin özelliklere sahip olması gerekir.
Açık kaynak kodlu Kibana (http://www.elasticsearch.org/overview/kibana/ ) veya
Elasticsearch temelli uygulamalar (http://www.elasticsearch.org/overview/elasticsearch/ ) ticari pek
çok uygulamadan çok daha hızlı log arama ve sayma yapabilmekteler zaten.
Modern log yönetimi sistemlerinde olması gereken pek çok özellikten biri de trafik analizi yeteneğidir.
Bu yetenek hem trafik, protokol ve güvenlik unsurlarını trafiğe etkisi hem de bu korelasyon kurallarına
etkisi açısında çok önemlidir.
Bütün firewall loglarında paket boyutları ve paket sayıları mevcuttur. Dolayısı ile trafik analizi ve
Bandwidth raporlama mümkündür.
Örnek olarak :
Topam oluşturduğu trafiği MB olarak
Toplam gönderdiği trafiği MB olarak
Toplam aldığı trafiği MB olarak
ve % olarak oranlarını kolaylıkla takip edilebilir.
Örnek Rapor:
Ayrıca firewall loğunun içerdiği bilgilerle Firewallar için istatistiksel trafik analiz yapmak mümkündür.
Bu modül sayesinde trafik trend analizleri de mümkün hale gelir.
2. Örnek Analiz Raporlar:
Traffic Reports
Protocol Usage
Reports
Web Usage
Reports
Streaming &
Chat Reports
Protocol Trend
Reports
Intranet Reports
Internet Reports
Traffic Trend
Reports
URL Traffic
Report
Inbound &
Outbound
Traffic
Benzer şekilde yine aynı verileri kullanarak herhangi bir hostun seçilen zaman dilimleri içerisinde ne
kadar upload ve downlaod yaptığını MB/GB olarak da takip etmek mümkündür. Örnek olarak
149.2.33.239 IP li hostun 25-05-2014 den bu yana ne kadar trafik ürettiğini hesaplamak istersek
3. Basit bir SUM ve byte dan MB ye çevirme ayarı ile
Aşağıdaki gibi 6 MB olarak bulunabilir.
Bu analizler protokol , hedef IP vb.. çokça çeşitlendirilebilir.
Mesela X kullanıcı ile Y serveri arasındaki toplam trafik vb.. analizler yapılabilir.