Merhaba arkadaşlar bu makalemde sizlere Palo Alto üzerinde Qrada vb. loglama cihazlarına ve uygulamalarına Sysloglarının nasıl aktarılacağını detaylı olarak anlatmak istiyorum,
Öncelikle Syslog Profili eklememiz gerekiyor
- Device – Server Profile – Syslog linklerinden Add diyip yeni bir syslog sunucusu ekliyoruz burada ip adresleri port numaraları vb. bilgileri giriyoruz ( port bilgileri, format vb. isteğe bağlı olarak değiştirebilirsiniz illa 514 olmak zorunda değil ) opsional
Aşağıda add diyip bilgileri giriyoruz,
Aşağıda ekran’da | Custom Log Format | kısmında | Traffic – kısmını müşterimizin topolojisi bu parametreye göre uygundu, siz yazmaya bilirsiniz yada log sunucusunu kuran mühendis arkadaşların taleplerine göre değişebilir yada sizin iletmek istediğini trafik kurallarına göre de değişir.
Aşağıdaki ekranda değiştirmek istediğiniz log formatlarının üzerine tıklayıp edit log format kısmında istediğiniz Fields’i ekleyebilirsini
Syslog profile kısmını bu şekilde tamamlayabilirsiniz.
- Objects – Log Forwarding kısmında yapılması gereken işlemlere geçiyoruz,
Aşağıdaki ekranda Log Forwarding için kriterleri ekliyoruz firewall tarafında hangi audit leri göndereceğini
Aşağıda | Syslog | sekmesinde ilk adımda oluşturduğumuz Syslog sunucumuzu ekliyoruz ,
Daha sonra | Log Type | kısmında’ki seçeneklerde ileteceği loğları işaretleriyoruz | traffic log ve diğer istenen loğları
| Filter | kısmında özelleştirebilirsiniz isteğe göre
Log Forwarding işlem kısmıda bu kadar.
- Son yapacağımız işlemde iste Policy tabında, bütün Security kurallarında
Actions kısmında | log setting | ayarlarında
Log at session start ve and kısımlarını işaretleyip | bir önceki kısımda oluşturduğumuz | log forwarding profilini işaretliyoruz
Qradar ve diğer log tools’larına bu şekilde istediğiniz loğları iletebilirsiniz.
Bir sonraki makalede görüşmek üzere