SIEM ve Log Yönetimi Sistemlerinin Log Kaçırıp Kaçırmadığı Nasıl Tespit Edilir?

Bir sisteminin log kaçırıp kaçırmadığını anlamanın yolu onu test etmektir. Bir SIEM sistemini test etmek için satın alınan EPS değerleri için gerekli sistem isterleri ile kurulum yapıldıktan sonra SIEM i log kaynaklarına bağlamadan ve kullanmaya başlamadan önce sisteme test logu göndermektir.

Nasıl Test Edebilirim?

Bu test için aşağıdaki linkteki ürün kullanılabilir.

http://sourceforge.net/projects/syslog-slogger/

Bu linkten Slogger-v0.6.zip dosyası indirilip açıldıktan sonra aşağıdaki gibi bir dosya yapısı ile karşılaşılacaktır. Buna benzer 5000 EPS ve üstü yüksek EPS lerde trafik üreten başka benzer ürünleri de kullanabilirsiniz. Syslog gönderen çözümlerin/yazılımların bir kısmı yüksek EPS değerlerine çıkamaz. Başka bir çözüm tercih edecekseniz bu detaya dikkat etmelisiniz.

Burada sadece run.bat dosyası kullanıcı tarafından oluşturulmalıdır. Bu dosyanın içeriği ise

“java -cp .\bin;.\3rdParty\Syslog.jar org.slogger.Slogger” şeklindedir. Tabi sistemde java yüklü olduğundan emin olun. Bunu için komut satırında aşağıdaki komut “java -version” çalıştırılır

Yazılım bir komut satırı açılarak “run.bat” çalıştıktan sonra aşağıdaki gibi bir sonuç üretir.

Burada EPS değerini 977 olarak görürsünüz. Bu parametreler ise slogger.properties dosyasından ayarlanmaktadır. Örneğin 5000 EPS hız ile 2000 000 log göndermek için aşağıdaki parametreleri kullanabilirsiniz.

Yukarıdaki programı kullanarak:

1. Belirli bir sayıdaki logu belirli sürede gönderebilmeyi sağlayabiliriz. Burada 2000 000 log

2. Toplam log sayısına değil de saniyede kaç adet gönderilebildiğini hesaba katmaktır. Bu da mümkün yaklaşık 5000 EPS değeri (997) sağlanabilmektedir.

Ve tabi en önemlisi gönderilen toplam log sayısı ve süresi gözükmektedir. Doyası ile bu iki parametreye göre SIEM sisteminde de aynı log miktarı birikmiş mi kontrol ederek testi tamamlayabilirsiniz.

Testi en az 24 saat sürecek şekilde planlamak ve yapmak gerekir.

Yukarıdaki konfigurasyondan gidilirse 5000 EPS test için 24 saatte

5000*60*60*24=432 milyon log olur.

Yukarıdaki ayar dosyasında messagecount parametresini 432 milyona eşitleyip, 24 saat sonra da SIEM de biriken logları saydırıp 432 milyon sayısını bulmanız gerekir.