Instrukcja obsługi SysLoger. SysLoger. Instrukcja obsługi. sierpień 2017 dla wersji aplikacji (wersja dokumentu 2.

Podobne dokumenty
SysLoger. Instrukcja obsługi. maj 2018 dla wersji aplikacji (wersja dokumentu 2.5)

Instrukcja instalacji: Apache, PHP, MySQL, PHP My Admin

Wykaz zmian w programie SysLoger

Instrukcja obsługi SysLoger. SysLoger. Instrukcja obsługi. maj 2015 dla wersji aplikacji (wersja dokumentu 1.

Wykaz zmian w programie SysLoger

Instrukcja obsługi SysLoger. SysLoger. Instrukcja obsługi. luty 2017 dla wersji aplikacji (wersja dokumentu 2.

Instrukcja obsługi SysLoger. SysLoger. Instrukcja obsługi. styczeń 2017 dla wersji aplikacji (wersja dokumentu 1.

Instrukcja obsługi SysLoger. SysLoger. Instrukcja obsługi. Wrzesień 2015 dla wersji aplikacji (wersja dokumentu 1.

Instrukcja obsługi SysLoger. SysLoger. Instrukcja obsługi. marzec 2017 dla wersji aplikacji (wersja dokumentu 2.

Instrukcja obsługi SysLoger. SysLoger. Instrukcja obsługi. październik 2017 dla wersji aplikacji (wersja dokumentu 2.

Instrukcja obsługi SysLoger. SysLoger. Instrukcja obsługi. październik 2016 dla wersji aplikacji (wersja dokumentu 1.

Win Admin Monitor Instrukcja Obsługi

Wykaz zmian w programie SysLoger

Wykaz zmian w programie SysLoger

Win Admin Replikator Instrukcja Obsługi

Win Admin Replikator Instrukcja Obsługi

Wykaz zmian w programie SysLoger

Win Admin Monitor Instrukcja Obsługi

Wykaz zmian w programie WinAdmin Replikator

AKTYWNY SAMORZĄD. Instrukcja instalacji, aktualizacji i konfiguracji.

Win Admin Replikator Instrukcja Obsługi

Wykaz zmian w programie WinAdmin Replikator

KOMPUTEROWY SYSTEM WSPOMAGANIA OBSŁUGI JEDNOSTEK SŁUŻBY ZDROWIA KS-SOMED

Wykaz zmian w programie SysLoger

Wykaz zmian w programie Win Admin Replikator

Wykaz zmian w programie SysLoger

Wykaz zmian w programie SysLoger

Wykaz zmian w programie SysLoger

Win Admin Replikator Instrukcja Obsługi

Wykaz zmian w programie SysLoger

Wykaz zmian w programie SysLoger

Dokumentacja fillup - MS SQL

2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego

oprogramowania F-Secure

BACKUP BAZ DANYCH FIREBIRD

Produkcja by CTI. Proces instalacji, ważne informacje oraz konfiguracja

Instrukcja konfiguracji funkcji skanowania

Włączanie/wyłączanie paska menu

Fiery Remote Scan. Uruchamianie programu Fiery Remote Scan. Skrzynki pocztowe

Praca w programie dodawanie pisma.

Alians AMReminder. Przypomnij kontrahentom o nierozliczonych płatnościach

Wykaz zmian w programie Win Admin Replikator

Instrukcja instalacji środowiska testowego na TestingCup wersja 1.0

Instalacja i podstawowa konfiguracja aplikacji ImageManager

Instrukcja instalacji Control Expert 3.0

DESlock+ szybki start

Instrukcja użytkownika. Aplikacja dla Comarch Optima

Symfonia Produkcja Instrukcja instalacji. Wersja 2013

Współpraca z platformą dokumentacja techniczna

Forte Zarządzanie Produkcją Instalacja i konfiguracja. Wersja B

Instrukcja użytkownika. Aplikacja dla Comarch Optima

Instalacja NOD32 Remote Administrator

Instrukcja instalacji i obsługi programu Szpieg 3

Instrukcja podłączenia bramki IP 1R+L oraz IP 2R+L w trybie serwisowym za pomocą usługi telnet.

INSTRUKCJA INSTALACJI I PIERWSZEGO URUCHOMIENIA APLIKACJI Rodzajowa Ewidencja Wydatków plus Zamówienia i Umowy

Instrukcja obsługi aplikacji MobileRaks 1.0

Currenda EPO Instrukcja Konfiguracji. Wersja dokumentu: 1.3

Instalacja rozwiązania Uruchomienie rozwiązania w systemie Sage Konfiguracja dodatku Ustawienia dodatkowe rozwiązania...

Pracownia internetowa w szkole ZASTOSOWANIA

Instrukcja instalacji programu SYSTEmSM

Konfiguracja konta pocztowego w Thunderbird

Przewodnik instalacji i rozpoczynania pracy. Dla DataPage+ 2013

Instalacja aplikacji

Archiwizacja baz MSSQL /BKP_SQL/ opis oprogramowania

Współpraca z platformą Emp@tia. dokumentacja techniczna

Instrukcja użytkownika. Aplikacja dla WF-Mag

Instrukcja instalacji v2.0 Easy Service Manager

Instrukcja instalacji usługi Sygnity Service

e-audytor v.3.x INSTRUKCJA INSTALACJI I URUCHOMIENIA SYSTEMU

INSTRUKCJA INSTALACJI SYSTEMU NA SERWERZE KROK PO KROKU

Instrukcja użytkownika. Aplikacja Smart Paczka DPD

procertum CLIDE Client 2.1 wersja 1.0.2

Produkcja by CTI. Proces instalacji, ważne informacje oraz konfiguracja

epuap Archiwizacja w Osobistym Składzie Dokumentów

S P I S T R E Ś C I. Instrukcja obsługi

Instalacja i konfiguracja Symfonia.Common.Server oraz Symfonia.Common.Forte

DHL CAS ORACLE Wymagania oraz instalacja

Instrukcja instalacji

Wstęp. Skąd pobrać program do obsługi FTP? Logowanie

Program Płatnik Instrukcja instalacji

Przykładowa konfiguracja konta pocztowego w programie Thunderbird z wykorzystaniem MKS 2k7 (MS Windows Vista Busissnes)

1. Podręcznik instalacji aplikacji EXR Creator Wstęp Instalacja Instalacja aplikacji EXR Creator z płyty CD

Data modyfikacji:

Fiery Remote Scan. Łączenie z serwerami Fiery servers. Łączenie z serwerem Fiery server przy pierwszym użyciu

PORADNIK KORZYSTANIA Z SERWERA FTP ftp.architekturaibiznes.com.pl

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

Krótka instrukcja instalacji

Instrukcja instalacji usługi Sygnity SmsService

Internetowy serwis Era mail Aplikacja sieci Web

Kancelaria Prawna.WEB - POMOC

PRODUKCJA BY CTI INSTRUKCJA INSTALACJI I KONFIGURACJI

SERWER AKTUALIZACJI UpServ

Instrukcja użytkownika. Aplikacja dla Comarch ERP XL

INSTALACJA LICENCJI SIECIOWEJ NET HASP Wersja 8.32

Podręcznik administratora Systemu SWD ST Instrukcja instalacji systemu

Szybki start instalacji SUSE Linux Enterprise Server 11 SP1

Programy LeftHand - Obsługa plików JPK. Wrzesień 2016

Wysyłka wniosko w ZUS - EKS. Instrukcja użytkownika aplikacji Wysyłka wniosków ZUS EKS

Podręcznik użytkownika

Szpieg 2.0 Instrukcja użytkownika

Transkrypt:

SysLoger Instrukcja obsługi sierpień 2017 dla wersji aplikacji 2.0.0.4 (wersja dokumentu 2.2) Strona 1 z 56

Spis treści: Wprowadzenie str. 3 Funkcjonalność str. 5 Wymagania str. 9 Instalacja, inicjacja wersji str. 10 instalacja podstawowa str. 10 dodatkowe uruchomienie bazy MySQL str. 10 Konfiguracja i uruchomienie str. 17 ogólne str. 17 definicja urządzeń str. 18 powiadomienia e-mail str. 19 webfiltering str. 21 raporty str. 22 adresy IP sieci własnej str. 23 serwisy str. 23 syslog str. 23 raport str. 24 ping str. 24 nasłuch str. 26 kopia konfiguracji str. 27 archiwum logów (w tym zdalne repozytorium) str. 32 uruchomienie str. 34 ruch w sieci str. 34 skaner sieci str. 35 Ograniczenia funkcjonalne w wersji demo str. 39 FAQ str. 39 Przykładowe zrzuty ekranu z raportów str. 40 Wykaz załączników: Załącznik nr 1 - Instalacja poszczególnych programów: Apache, PHP, MySQL, PHP My Admin str. 46 Strona 2 z 56

Wprowadzenie Program Sys Loger jest aplikacją działającą w systemie Windows. Podstawowym zadaniem programu jest: archiwizacja otrzymanych logów z urządzeń, analiza treści ujętych w logach według założonych filtrów (pułapek) oraz informowanie o ich wystąpieniu w sposób ciągły, wykrywanie ataków DDoS na podstawie ilości wpisów w czasie oraz tekstowego, wielkości logu pliku codzienne i miesięczne raportowanie według założonych filtrów, program dodatkowo umożliwia: na bieżące analizowanie dostępności wskazanych urządzeń w sieci, zdalne sprawdzanie dostępności urządzeń, wykonanie automatycznych kopii konfiguracji z urządzeń sieciowych wraz z obsługa zdalnego repozytorium, skanowanie zasobów sieciowych (ręczne, automatyczne) wraz z raportowaniem pełnym oraz przyrostowym. Konfiguracja urządzeń nie jest elementem niniejszej instrukcji. Oprogramowanie SysLoger działa w tle jako usługi systemu Windows oraz aplikacji uruchamianej w postaci monitora (format okienkowy), która odpowiedzialna jest za bieżącą analizę otrzymywanych informacji i dalsze ostrzeganie. Strona 3 z 56

Dzięki bieżącej analizie oraz ostrzeganiu spełniony jest jeden z wymogów Rekomendacji D KNF mówiący o konieczności ciągłego przeglądania zapisów jakie są rejestrowane na urządzeniach sieciowych. UWAGA!! W przypadku zmiany wersji z poprzedniej 1.0.5.4 lub niższej na wersję 2.0.0.0 konieczne jest ponowne wprowadzenie poświadczeń (nazw użytkowników oraz haseł, ustawień kopii konfiguracji dla urządzeń w tym uruchamianych poleceń). Konieczność podyktowana przez nową wersją komponentów cipher oraz hashes, która zawiera obsługę Unicode. Od wersji 2.0.0.1 po każdym wgraniu poprawek, nowej wersji należy wykonać inicjację wersji w celu wprowadzenia ewentualnych zmian w tabelach bazy MySQL, pozostałych plikach konfiguracyjnych lub raportach. Od wersji 2.0.0.4 uruchomiono współpracę z wersją www klienta monitora WinAdmin Monitor. Konfigurację dokonujemy w zakładce Opcje -> Ogólne -> Ustawienia WinAdmin Monitor. Konfigurację dla klienta monitora (program syslog_klient.exe) oraz klienta WinAdmin Replikator (od wersji 2.0.1.0) dokonujemy w zakładce Opcje -> Ogólne -> Ustawienia dla klienta monitora. Od wersji 2.0.0.4 uruchomiona została druga pełna obsługa komunikatów dla klienta monitora. Konieczne jest zaznaczenie w zakładce Opcje -> Ogólne -> Ogólne opcji Klienta monitora pełna obsługa komunikatów. Strona 4 z 56

Funkcjonalność Moduły wchodzące w skład programu i ich funkcjonalności: 1. Monitor programu okno programu prezentujące otrzymywane logi z urządzeń. W celu działania niezbędne jest dokonanie konfiguracji oraz uruchomienie serwisów: a) Syslog Serwis, b) Nasłuch serwis Monitor dokonuje bieżącej analizy otrzymanej informacji. Możliwe jest zdefiniowanie praktycznie dowolnej pułapki na podstawie analizy otrzymanej treści. Udostępnione zostały w programie opcje wyjątków, opcje analizy ataków typu DDoS w tym floodowania (kontrolowana jest ilość w czasie) oraz inne opisane w części poświęconej konfiguracji. Zrzut ekranu monitora programu odpowiedzialnego za bieżącą analizę logów, umożliwia konfigurację programu. 2. Syslog serwis serwis systemu Windows odpowiedzialny za odbiór i archiwizację logów z urządzeń. Odbiór logów następuje domyślnie na porcie 514. Serwis przekazuje informacje na zdefiniowanym porcie do monitora programu (domyślny port do komunikacji to 10514). Logi mogą być zapisywane do plików tekstowych i/lub do bazy MySQL. Zalecanym formatem zapisu są plik tekstowe. 3. Raport serwis serwis systemu Windows odpowiedzialny za generowanie codziennych zbiorczych raportów i ich przesyłanie pocztą e-mail. 4. Ping serwis serwis systemu Windows odpowiedzialny za sprawdzanie łączności wybranych urządzeń w sieci. Brak łączności oraz jej przywrócenie jest przekazywane w postaci wiadomości e-mail. Jedna z funkcjonalności programu pozwala zdalnie sprawdzić łączność poprzez wysłanie z uprawnionego adresu e-mail odpowiednio przygotowanej wiadomości pocztowej. 5. Nasłuch serwis serwis systemu Windows odpowiedzialny za restart monitora oraz usług SysLoger a. Wymagane jest uruchomienie serwisu z zaznaczoną opcją resetu programu SysLoger usługa kontroluje wyłączenie monitora oraz pozostałych usług w minutowych odstępach czasu, w przypadku wyłączenia uruchamia monitor i usługi automatycznie. Strona 5 z 56

Dodatkowo o wskazanej godzinie dokonywany jest jeden pełen restart wszystkich zainstalowanych usług oraz monitora. Serwis nasłuchu odpowiedzialny jest ponadto za odbiór i wykonanie zdalnych poleceń wysyłanych z uprawnionych adresów e-mail (na przykład kontrola łączności za danym urządzeniem. 6. Konfig serwis serwis systemu Windows odpowiedzialny za automatyczne wykonanie kopii konfiguracji ze wskazanych urządzeń. Serwis działa wykonując zdalnie polecenia na urządzeniu, których celem jest wykonanie kopii konfiguracji na serwer TFTP uruchamiany w usłudze. Serwis umożliwia wykonanie dodatkowej kopii konfiguracji na inny serwer plików. 7. Archiwum logów serwis systemu Windows którego zadaniem jest pakowanie zewnętrznym programem logów tekstowych jakie powstają każdego dnia. Wykonanie pakowania plików powoduje usunięcie tekstowych plików logów z pominięciem kosza systemu Windows i jest podstawą do uruchomienia kopii do zewnętrznego repozytorium. 8. Skaner sieci moduł umożliwiający na wykonanie skanowania zasobów sieci według wcześniej zdefiniowanych parametrów (definicji klas sieci, zakresu skanowanych portów). Skanowanie może być przeprowadzone w sposób ręczny lub automatyczny (harmonogram wykonania). Skanowanie zakończone jest wygenerowaniem raportów: pełnych (w postaci tekstowej oraz HTML), przyrostowych - nowe adresy IP (raport w postaci tekstowej). Funkcjonalności modułu Monitora: zapis logów do pliku tekstowego i/lub bazy MySQL, definiowanie numeru portu nasłuchu programu (globalnie dla wszystkich urządzeń), definiowanie ilości wpisów w oknie logu, bieżące monitorowanie i powiadamianie o przekroczeniu parametru granicznej wartości wolnego miejsca, wykrywanie ataków DDoS (floodowania) - monitoring wartości granicznej wielkości logu tekstowego, - monitoring ilości wpisów z urządzeń (dla każdego urządzenia prowadzony jest oddzielny monitoring ilości wpisów w czasie), definiowanie urządzeń od których otrzymywane są logi i dla których prowadzony jest monitoring: definiowanie opcji powiadamiania - dla kategorii (alert, critical, terror, warning, notise, info, debug), - dowolnego tekstu wykrytego w otrzymywanych logach jak na przykład: Multiple authentication failures have been detected! Admin user logged out Phase 2: Initiated negotiations. Strona 6 z 56

Phase 2 msg ID Received a notification Messager CATEGORY: Adult/Sexually Explicit Powyższe wpisy są przykładowe, możliwe jest wyszukiwanie dowolnego tekstu zarówno wskazującego: zagrożenia, logowania użytkowników administracyjnych czy pozostałych użytkowników, użycie danej kategorii webfilteringu, użycie dowolnego adresu IP, błędów występujących na urządzeniach. Konieczna jest stosowna konfiguracja urządzeń i wskazanie jakiego typu informacje mają być skierowane w logach do syslog a. definiowanie wykluczeń powiadomień na przykład w przypadku wykrycia ładowania obrazka podczas normalnego korzystania z sieci Internet (podajemy wówczas rozszerzenia plików, które ładowane mogą być na stronach jako dodatkowe reklamy), definiowanie warunkowych wykluczeń powiadomień wskazujemy wówczas ilość wystąpień w czasie dla danego adresu IP w celu wykluczenia powiadamiania pocztą e-mail o ich wystąpieniu. Powiadomienie nastąpi po przekroczeniu wartości granicznej, definiowanie listy webfilteringu oraz ustawianie dodatkowego monitorowania w przypadku wystąpienia, raportowanie według: - webfilteringu, - zdefiniowanych własnych klas sieci listę adresów należy zdefiniować w zakładce Własne klasy sieci, - zdefiniowanych zewnętrznych klas sieci listę adresów należy zdefiniować w zakładce Zewnętrzne klasy sieci, - typów wpisów (info, emergency, critical, alert, itd.), - aktualizacji czasu serwera NTP - wskazać należy jakich fraz w logach ma wyszukiwać program i które oznaczają wykonanie aktualizacji czasu na serwerze NTP każde urządzenie ma swoją specyfikę, lista ta jest listą zamknięta i standardowo wystarcza wpisanie słowa NTP, - zestawiania połączeń szyfrowanych (IKE) jak powyżej należy wskazać wyszukiwaną frazę, standardowo wystarcza wpisanie słowa IKE, listę adresów ujętych w raportowaniu należy zdefiniować w zakładce Adresy IP dla IKE, - logowań użytkowników w oknie zdefiniować należy listę (loginy) użytkowników którzy mają podlegać raportowaniu dodatkowa opcja prezentowania logów pozwoli dołączyć do raportu wpisy z logów z urządzeń. Zaznaczenie opcji prezentowania logów może spowodować znaczny przyrost wielkości raportu. Strona 7 z 56

Wykonanie raportu należy wskazań po przełamaniu dnia (po północy). System automatycznie przeanalizuje plik z poprzedniego dnia i wyśle rezultat. Raportowanie z dnia bieżącego możliwe jest po skopiowaniu pliku logu tekstowego zapis do logu tekstowego następuje w formie wyłączności przez jeden proces (usługę Syslog serwis). bieżące monitorowanie wraz z przesyłaniem powiadomień z wystąpienia wpisu w logu z danym adresem IP sieci własnej (zakładka: Adresy IP sieci własnej ) opcja pozwala monitorować na bieżąco wpisy umożliwiając administratorowi w łatwy sposób uzyskać informację z ruchu jaki jest generowany z danego zestawu komputerowego oraz podjąć stosowne działania (przydatny przy wyszukiwaniu wystąpienia niepożądanych blokad w ruchu sieciowym). Dodatkowo możliwe jest bezpośrednie przesłanie logów do użytkownika który je generuje opcja przydatna w przypadku wykrycia niestandardowego ruchu (używanie sieci Internet w celach prywatnych, otwieranie zakazanych stron), w łatwy sposób pozwala przypomnieć użytkownikowi o konieczności stosowania pewnych ustalonych zasad w organizacji. raportowanie na żądanie w monitorze dostępne są opcje wykonania raportów z pliku logu lub bazy MySQL: Raport z pliku logu tekstowego umożliwia przeszukanie logu tekstowego z dnia poprzedniego poprzez przeszukanie występowania dowolnego tekstu (wyszukiwanie frazy w tekście), występowania zakresu IP. Wyszukiwanie można wykonać dla wskazanego pliku oraz wskazanego zakresu dat. W ramach raportowania z plików tekstowych dostępne jest generowanie raportów w formie wykresu: - raport ilościowy braku dostępności urządzeń, - raport procentowy dostępności urządzeń, - raport kategorii (typów wpisów: info, critical, itd.), - raport kategorii w czasie (typów wpisów: info, critical, itd.), - raport webfilteringu. Raport z bazy MySQL podobnie jak poprzedni umożliwia przeszukiwać wpisy za podany okres. Wyszukiwać można występowania dowolnego tekstu (wyszukiwanie fraz), występowania wpisów dla zakresu adresów IP. Możliwe jest uzyskanie raportu na żądanie według ustalonych parametrów, wygenerowany zostanie raport w układzie podobnym jak w przypadku raportu generowanego automatycznie po przełamaniu dnia. Program pozwala wybrać jakie części mają zostać ujęte w raporcie. W zakresie dostępnych opcji możliwe jest uzyskanie wykresów: - kategorii (info, critical, itd.), - kategorii według urządzeń, - webfilteringu według urządzeń. Strona 8 z 56

Wymagania Wymagania sprzętowe: system operacyjny minimum MS Windows XP, komputer Core 2 Duo lub szybszy, pamięć ram minimum 1 GB, wolne miejsce na dysku twardym w zależności od ilości urządzeń oraz ich konfiguracji w zakresie przekazywanych informacji w logach. Sugerowane minimum 40GB. Sprawne wyszukiwanie logów, generowanie raportów wymaga zastosowania możliwie szybkiego sprzętu, w przypadku wirtualizacji zadeklarowania odpowiednich parametrów. Strona 9 z 56

Instalacja, inicjacja wersji Instalacja podstawowa: Instalację programu przeprowadzamy wypakowując otrzymane archiwum w dowolnym miejscu na twardym dysku. Zalecane jest utworzenie bezpośrednio na danym dysku katalogu (na przykład sysloger) i wypakowania do niego zawartości archiwum. Po wypakowaniu do katalogu głównego z plikami należy wkopiować plik licencji. W katalogu z programem może znajdować się tylko jeden plik licencji. Plik licencji generowany jest każdorazowo dla nowej wersji oprogramowania. Po wypakowaniu oraz wgraniu pliku licencji konfigurację programu należy przeprowadzić uruchamiając monitor program: sys_loger.exe Wszystkie wykonywalne programy są napisane w strukturze 32 bitowej. Działają w środowisku 32 i 64 bitowym. Od wersji 2.0.0.1 dodana została opcja inicjacji wersji. Inicjacja dostępna jest po wybraniu przycisku Opcje i następnie zakładki Ogólne -> Inicjacja wersji: Dodatkowe uruchomienie obsługi bazy MySQL. W celu uruchomienia dodatkowej obsługi bazy MySQL należy zainstalować środowisko bazodanowe. Możliwe jest zainstalowanie środowiska XAMPP w wersji 1.7.4 (bez obsługi VC9) z uruchomioną obsługą Apache oraz MySQL w trybie serwisu systemu Windows lub poszczególnych programów z osobna: Apache, PHP, MySQL, PHP My Admin. Instalacja poszczególnych programów: Apache, PHP, MySQL, PHP My Admin opisano w załączniku nr 1. Instalacja programu XAMPP nie wymaga dodatkowej instrukcji przy instalacji należy wskazać, aby instalator zainstalował usługę Apache oraz MySQL. W programie XAMPP występują utrudnienia konfiguracji użytkownika i hasła dla obsługi bazy MySQL z poziomu PHP My Admin, dlatego zalecane jest zainstalowanie dodatkowych programów: Apache, PHP, MySQL, PHP My Admin z osobna zgodnie z instrukcją opisaną w załączniku nr 1. Strona 10 z 56

Instalator środowiska XAMPP: xampp-win32_1.7.4.exe nie jest częścią dystrybucji oprogramowania. Po dokonaniu instalacji środowiska XAMPP lub poszczególnych programów Apache, PHP, MySQL, PHP My Admin należy zdefiniować użytkownika w bazie MySQL. Dokonujemy tego uruchamiając opcję PHP My Admin. Korzystając z programu XAMPP należy uruchomić przeglądarkę z parametrami środowiska XAMPP: Korzystając z drugiego rozwiązania (instalacji poszczególnych programów) należy uruchomić przeglądarkę podając parametry uruchomienia PHP My Admin w adresie przeglądarki, na przykład jak na poniższym ekranie: Strona 11 z 56

Po zalogowaniu do PHP My Admin dodajemy użytkownika dla połączenia z bazą danych wybierając host lokalny pole obok zostanie uzupełnione wpisem: localhost nadajemy wszystkie uprawnienia tzn. zaznaczamy wszystkie pola w obszarach: dane, struktura, administracja: Dla użytkownika należy bezwzględnie wprowadzić hasło. Strona 12 z 56

Po założeniu użytkownika uruchamiamy monitor programu: sys_loger.exe. W oknie programu wybieramy z menu Opcje. W zakładce Ogólne wybieramy drugą zakładkę Obsługa bazy MySQL i dalej Parametry ogólne. Podajemy: host bazy danych na przykład: localhost lub adres IP, nazwę bazy danych: syslog nazwa użytkownika: <nazwa utworzonego użytkownika tutaj: super> hasło użytkownika baz danych Po podaniu danych wykonujemy test połączenia. Zakończenie testu komunikatem: oznacza, że użytkownik połączył się bazą danych MySQL. Należy utworzyć bazę danych syslog (podaną w opcjach). W tym celu wybieramy nie zmieniając zakładki opcję: Tworzenie bazy danych (dostępna na środku ekranu w sekcji Operacje na bazie danych MySQL). Po wybraniu system zakomunikuje, że będzie łączył się z obecną bazą: mysql akceptujemy naciskając OK., następnie akceptujemy zmianę połączenia z bazą na bazę mysql wybieramy Tak. Program potwierdzi połączenie z bazą mysql na serwerze localhost wybieramy OK. Na pytanie: Uwaga! Nastąpi tworzenie bazy syslog! Czy kontynuować? Wybieramy Tak. Program utworzy bazę danych syslog. W celu sprawdzenia utworzenia ponownie wybieramy opcję Test połączenia. Komunikat obok oznacza istnienie bazy danych syslog. Strona 13 z 56

W kolejnym kroku wybieramy opcję: Utwórz tabele bazy danych program wyświetli komunikat o połączeniu z bazą danych oraz oczekiwał będzie potwierdzenia utworzenia tabel na pytanie: Czy utworzyć tabele bazy danych? Odpowiadamy Tak. Podczas tworzenia tabel baz danych program utworzy brakujący zestaw, komunikat o treści Błąd tworzenia tabeli <nazwa tabeli> oznaczać może, że dana tabela już istnieje i nie została ponownie utworzona. Utworzenie tabel można sprawdzić z poziomu PHP My Admin. Po wykonaniu opcji z poziomu PhpMyAdmin powinny być widoczne następujące tabele: W przypadku uruchomienia obsługi baz danych wskazane jest sprawdzenie zapisu danych do bazy. Operację sprawdzenia można wykonać z poziomy PHP My Admin lub z poziomu przyrostu pliku bazodanowego. Katalog z plikami baz danych w środowisku XAMPP znajduje się najczęściej w podkatalogu \mysql\data\. W katalogu tym utworzony zostanie katalog z nazwą bazy danych dla syslog a (tutaj syslog) w którym znajdować będą się pliki bazodanowe: Zapis danych widoczny będzie po przyroście plików syslog (frm, MYD, MYI). Dla osobnej instalacji MySQL, PHPMyAdmin, Apache pliki bazy danych MySQL znajdować się mogą w katalogu: W ramach opcji: usuwania tabel baz danych, czyszczenia tabel baz danych, eksportowania tabel, importowania danych z zapisanych logów w plikach tekstowych dostępne są możliwości wykonania operacji dla wszystkich tabel w jednym cyklu oraz dla każdej tabeli z osobna: Strona 14 z 56

Opcja Importuj dane z zapisanych logów w plikach tekstowych pozwala na uzupełnienie danych w bazie na podstawie logów tekstowych w dowolnej chwili. W drugiej zakładce w ramach obsługi bazy MySQL, tj.: w zakładce Opcje dodatkowe możliwe są do zdefiniowania parametry dodatkowe dla w ramach zapisu danych do bazy oraz tworzonych podsumowań w ramach codziennego raportu: Poszczególne zakresy opcji umożliwiają doprecyzowanie jakiego typu komunikaty będą zapisywane w bazie danych (alert, critical, error ). Domyślnie włączony jest zapis dla komunikatów typu: alert, critical, error, warning. Zapis wszystkich komunikatów zawsze następuje do podstawowego logu w pliku tekstowym. W ramach obsługi dodatkowych tabel możliwe jest uruchomienie: wykonania podsumowania ilościowego za dany dzień czy miesiąc w ramach codziennego raportu, Strona 15 z 56

zapisu informacji z kontroli ping. Strona 16 z 56

Konfiguracja i uruchomienie Konfigurację programu SysLoger przeprowadza się po wybraniu menu Opcje z monitora sys_loger.exe Wskazanie nieistniejącego folderu dla zapisu pliku tekstowego logu spowoduje zmianę katalogu na podkatalog logi znajdujący się w katalogu z programem. W efekcie program będzie działał pomimo wskazania nieprawidłowego katalogu zapisu logu. Kontrola katalogu następuje podczas uruchomienia serwisu syslog a. Zakładka Ogólne. W zakładce Ogólne ustawiamy: zapis logów do pliku tekstowego wskazując katalog z logami oraz stałą nazwę pliku z logami. Do stałej nazwy pliku dodana zostanie część z datą dnia logu, ilość wpisów w oknie logu monitora, wielkość graniczną pliku tekstowego, po której osiągnięciu utworzony zostanie nowy plik logu (maksymalnie 999 plików logów w ramach jednego dnia), numer portu dla serwisu syslog a ora numer porty dla monitora, sprawdzanie wolnego miejsca z krytyczną wartością kontrolną, drugą pełną wersję obsługi komunikatów dla klienta monitora (adresację klienta monitora dokonujemy w zakładkach Ustawienia dla klienta monitora oraz Ustawienia WinAdmin Monitor ). W zakładce obsługa bazy danych MySQL ustawiamy parametry dla bazy danych MySQL (opcja omówiona została w części instalacja -> dodatkowe uruchomienie obsługi bazy danych mysql. W zakładce Wykrywanie ataków parametryzujemy: sprawdzanie granicznej wielkości logu tekstowego, sprawdzanie ilości wpisów z urządzeń. Strona 17 z 56

Opcje te mają na celu wykrywanie i informowanie o atakach typu DDoS jak floodowanie. Zakładka Logi programu pozwala sprawdzić wielkość logów, które są tworzone podczas pracy programu w podkatalogu: service_log. Zakładka Definicja urządzeń. W zakładce tej definiujemy listę urządzeń podając dodatkowe indywidualne cechy potrzebne do codziennego raportowania, tj.: webfilteringu, logowań użytkowników, własnych klas IP, zewnętrznych klas IP, IKE. Brak ustawienia raportowania indywidualnego przy urządzeniu oznaczać będzie jego pominięcie pomimo ustawienia parametrów ogólnych w zakładce: Raporty. W ramach metody rozpoznawania urządzeń dostępne są trzy możliwości: informacja z logu adres IP urządzenia przesyłającego pobierany jest z otrzymywanego logu (dla tej opcji możliwa jest sytuacja, że urządzenie będzie się identyfikowało własną wewnętrzną nazwą zamiast oczekiwanym adresem), informacja z hosta adres IP urządzenia pobierany jest na podstawie otrzymanej informacji sieci z połączenia przychodzącego, informacja z hosta i definicji urządzeń opcja zalecana - adres IP urządzenia pobierany jest na podstawie otrzymanej informacji sieci z połączenia przychodzącego, pozostałe informacje (nazwa) uzupełniane są z definicji urządzeń. Strona 18 z 56

Zakładka powiadomienia e-mail. W zakładce powiadomienia e-mail -> ogólne uruchamiamy powiadamianie o zaistniałych zdarzeniach konfigurując połączenia z serwerem pocztowym. Po zdefiniowaniu wykonujemy test wiadomości wybierając opcję Wyślij wiadomość testową. Otrzymanie wiadomości oznaczać będzie prawidłowość skonfigurowania połączenia z serwerem pocztowym. Ustawione w tej opcji parametry będą wykorzystywane w większości modułów w zakresie powiadamiania pocztą e-mail (chyba, że zostały zdefiniowane dodatkowe opcje). Przy definiowaniu powiadomień e-mail możliwe jest wprowadzenie jednego adresu nadawcy lub można skorzystać z listy dystrybucyjnej: Przy definiowaniu listy dystrybucyjnej należy wskazać jej wykorzystanie w zakresie powiadomień dla: - syslog a, - ping a, - kopii konfiguracji. Strona 19 z 56

Zdefiniować należy ponadto zakres wykorzystania adresu e-mail, czy ma być wykorzystany do wysyłania poczty e-mail dla: - syslog a, - ping a, - kopii konfiguracji. W zakładce powiadomienia e-mail -> opcje powiadamiania definiujemy w jakim zakresie monitor ma przysłać wiadomości e-mail. Zakładce tej możliwe jest ustawienie dowolnej pułapki poprzez przeszukiwanie logu. Frazy w filtrze podstawowym do wyszukania należy umieszczać w osobnych wierszach. Opuszczane są puste wiersze. W filtrze rozszerzonym 1 frazy definiuje się poprzez dodawanie kolejnych wpisów, dodanie wpisu założenie filtru sprawdzającego od dwóch do trzech pułapek w jednym wpisie logu. W zakładce powiadomienia e-mail -> wykluczenia powiadomień ustawiamy frazy których wykrycie spowoduje zastosowanie wyjątku i nie będzie wysłany e-mail (opcja jest przydatna w przypadku wykrycia nazwy pliku z grafiką wpisujemy wówczas rozszerzenia plików na przykład:.jpg.bmp.tif Strona 20 z 56

W zakładce powiadomienia e-mail -> warunkowe wykluczenia powiadomień dla IP definiowane są adresy IP dla których ustalane są wyjątki na podstawie dodatkowych cech czyli ilości wystąpień w czasie. Przekroczenie warunku spowoduje wysłanie wiadomości e-mail. Zakładka webfiltering. W zakładce tej definiujemy webfiltering jaki jest stosowany na urządzeniu brzegowym (na styku z siecią Internet). Ustawiamy tutaj również automatyczne informowanie o jej wstąpieniu pocztą e- mail. Ustawienia webfilteringu są wykorzystywane przy generowaniu codziennych raportów, przypisanie raportu z webfilteringu do urządzenia dokonywane jest na etapie definiowania urządzenia w zakładce: Definicja urządzeń. Wyszukiwanie webfilteringu następuje poprzez wyszukiwanie opisów w logu. Lista webfilteringu jest najczęściej dostępna w konfiguracji urządzenia należy ją przepisać. Powyższa lista dotyczy urządzenia typu juniper. Warto na tej liście ująć również słowa kluczowe jak: allow, deny, permitted, blocked. Raportowanie po tych frazach dostarczy wiedzy na temat całkowitej ilości zablokowanego ruchu (deny, blocked) i zez wolonego (allow, permitted). Strona 21 z 56

Zakładka raporty. W zakładce tej definiujemy jakie elementy będą prezentowane w codziennym raporcie wykonywanym po przełamaniu dnia na podstawie informacji zapisanych w plikach tekstowych. Raporty generowane są w formacie html w tym samym katalogu co logi tekstowe. W zakresie raportu dostępne jest uruchomienie raportowania dla: webfilteringu, zdefiniowanych własnych klas sieci listę adresów należy zdefiniować w zakładce Własne klasy sieci, zdefiniowanych zewnętrznych klas sieci listę adresów należy zdefiniować w zakładce Zewnętrzne klasy sieci, typów wpisów (info, critical, alert, itd.), aktualizacji czasu serwera NTP - wskazać należy jakich fraz w logach ma wyszukiwać program i które oznaczają wykonanie aktualizacji czasu na serwerze NTP każde urządzenie ma swoją specyfikę, lista ta jest listą zamknięta i standardowo wystarcza wpisanie słowa NTP, zestawiania połączeń szyfrowanych (IKE) jak powyżej należy wskazać wyszukiwaną frazę, standardowo wystarcza wpisanie słowa IKE, listę adresów ujętych w raportowaniu należy zdefiniować w zakładce Adresy IP dla IKE, logowań użytkowników w oknie podać listę (loginy) użytkowników którzy mają podlegać raportowaniu dodatkowa opcja prezentowania logów pozwoli dołączyć do raportu wpisów z logów z urządzeń. Zaznaczenie opcji prezentowania logów może spowodować znaczny przyrost wielkości raportu. Strona 22 z 56

Zakładka adresy IP sieci własnej. Zakładka ta pozwala zdefiniować dodatkowy monitoring dla wskazanych adresów IP. Opcja wykorzystywana może być w przypadku konieczności uruchomienia specyficznego monitoringu w celu wykrycia przyczyny błędu w sieci, blokowania ruchu lub poinformowania użytkownika o fakcie wykonywania czynności niezgodnych z ustalonymi w organizacji (forma otrzymanej wiadomości e-mail na skrzynce użytkownika najczęściej powoduje zaprzestanie wykonywania czynności). Zakładka serwisy. SysLog serwis odpowiedzialny za odbieranie logów z urządzeń, zapis do plików tesktowych i/lub bazy MySQL oraz przekazanie do monitora. Podstawowy serwis programu. Strona 23 z 56

W pierwszej kolejności należy wykonać instalację serwisu, drugim krokiem jest uruchomienie serwisu. Monitor programu (sys_loger.exe) sprawdza i prezentuje działanie poszczególnych serwisów. Działanie syslog serwis jest dodatkowo prezentowane w postaci słownej na środku monitora. Raport Serwis systemu Windows odpowiedzialny za generowanie codziennych zbiorczych raportów i ich przesyłanie pocztą e-mail. Parametry dla poczty e-mail pobierane są z zakładki Powiadomienia e- mail. W zakładce tej definiujemy godzinę generowania raportu. Generowany jest zawsze raport za dzień poprzedni z uwag na wyłączny dostęp do pliku logu tekstowego przez serwis SysLog. Zaleca się ustawić godzinę generowania raportu po przełamaniu dnia, tj. w granicach godziny 01:00 w nocy (czas w sekundach jest pomijany). Raport generowany jest w postaci pliku html, dołączany jest do przekazywanej wiadomości e-mail. Ping Serwis systemu Windows odpowiedzialny za sprawdzanie łączności wybranych urządzeń w sieci. Brak łączności oraz jej przywrócenie jest przekazywane w postaci wiadomości e-mail. W ramach opcji dostępne jest ustawienie: częstotliwości wykonania, częstotliwości wykonania raportu szczegółowego (format raportu definiowany jest w sekcji: Rodzaj raportu szczegółowego ) raport polegający na cyklicznym informowaniu o stanie poszczególnych połączeń do urządzeń (zaleca się ustawienie częstotliwości tak aby raport był generowany nie częściej niż co 3 godziny), ilości prób przypadających na jednego hosta (próbkowanie hostów), Strona 24 z 56

ilości prób krytycznych osiągnięcie wartości w ramach próbkowania hosta spowoduje wysłanie wiadomości e-mail z ostrzeżeniem. Serwis w ramach działania pamięta pierwszy brak wystąpienia łączności, informacja o braku łączności jest wysyłana tylko za pierwszym razem. Wiadomość o przywróceniu łączności wysyłana jest po wykryciu prawidłowego połączenia. Parametrem sterującym jest opcja definiowana w sekcji Wysyłaj info o błędzie. W zakładce powiadomienia uruchamiana jest wysyłka powiadomień, definiowany jest sposób połączenia z serwerem pocztowym oraz wysyłki wiadomości e-mail. Opcja jest konfigurowana niezależnie od opcji Powiadamiania e- mail ustawianych dla monitora programu. W opcji tej dostępna jest możliwość skorzystania z listy dystrybucyjnej e-mail (zasada konfiguracji oraz działania opisana została powyżej). /ekran konfigurowania powiadomień dla serwisu ping/ Lista hostów definiowana jest niezależnie od definicji urządzeń, które przesyłają logi do Sys Loger a. Poniższy ekran prezentuje możliwe ustawienia: Strona 25 z 56

Program pozwala skonfigurować testowanie połączenia dla każdego urządzenia w ramach osobnych harmonogramów (dni tygodnia, godziny), możliwe jest ustawienie wartości granicznej opóźnienia. Wartość opóźnienia jest w ramach testu wydłużana w celu sprawdzenia łączności w sytuacjach znacznego obciążenia sieci. Istnieje możliwość zdalnego sprawdzenia połączenia poprzez wysłanie z uprawnionego adresu e-mail odpowiednio przygotowanej wiadomości. Obsługę tego procesu wykonuje serwis nasłuchu. Nasłuch Serwis systemu Windows odpowiedzialny za restart serwisów SysLoger a oraz restart okna monitora. Restart wykonywany jest po zaznaczeniu opcji Resetuj program SysLoger o godzinie: Wymagane jest zaznaczenie opcji resetu. Resetowane są serwisy programu SysLoger o wskazanej godzinie (sekundy są pomijane) zwiększając niezawodność działania. Opcja sprawdza również działanie monitora i pozostałych serwisów SysLoger a w przypadku ich zatrzymania w cyklach co minutę podejmowana jest próba ich ponownego uruchomienia. Definiowany jest dla tego serwis niezależny sposób komunikacji z serwerem pocztowym. Strona 26 z 56

W zakładce Uprawnione adresy e-mail definiowana jest lista adresów e-mail z których zezwolone jest zdalne odpytanie programu o łączność z danym adresem IP. Dostępne polecenia są wymienione w zakładce Polecenia. Kopia konfiguracji Serwis systemu Windows odpowiedzialny za automatyczne wykonanie kopii konfiguracji ze wskazanych urządzeń. W opcji tej dostępna jest możliwość skorzystania z listy dystrybucyjnej e-mail (zasada konfiguracji oraz działania opisana została powyżej). Serwis działa wykonując zdalnie polecenia na urządzeniu których celem jest wykonanie kopii konfiguracji na serwer TFTP uruchamiany w usłudze. Serwis umożliwia wykonanie dodatkowej kopii konfiguracji na inny serwer plików. W przypadku korzystania z połączenia oraz wykonania zdalnych poleceń za pomocą programu plink.exe konieczne jest umieszczenie programu tego programu (plink.exe) w katalogu głównym programu. Dla połączeń SSH/SFTP (za pomocą wbudowane go klienta lub zewnętrznego programu plink.exe) po dodaniu urządzenia niezbędne jest wykonanie jednego połączenia w celu zapamiętania klucza sesji. Dla połączenia SSH z wykorzystaniem programu plink.exe połączenie należy wykonać w sposób ręczny z wiersza poleceń. Lista hostów definiowana jest w sposób niezależny od definicji urządzeń przekazujących logi syslog a, niezależne są też parametry ustawienia dla serwera pocztowego oraz wiadomości e-mail. Strona 27 z 56

Parametry połączenia oraz polecenie wsadowe ustawiane jest w zakładce Parametry hosta. Ustawia się tam wykonanie na danego hosta. Podaje się użytkownika oraz hasło do połączenia (informacje są zapisane w sposób zaszyfrowany). Możliwe jest wykonanie połączenia testowego z urządzeniem. Poniższy ekran prezentuje opcje konfiguracyjne: Przykładowe polecenie dla wykonania kopii z urządzenia: save config to tftp <adres ip zestawu z syslogiem> <nazwa archiwum> exit <pusty wiersz> ena <hasło dla trybu enabled> copy running-config tftp: <adres ip zestawu z syslogiem> <nazwa archiwum> Strona 28 z 56

exit exit <pusty wiersz> ena <hasło dla trybu enabled> copy system:/running-config tftp://<adres ip zestawu z syslogiem>/router-confg.txt <pusty wiersz> <pusty wiersz> exit exit <pusty wiersz> copy startup-config tftp <adres ip zestawu z syslogiem> <nazwa archiwum> Wybór typu połączenia powoduje przełączanie między zakładkami konfiguracyjnymi. W programie zastosowano opcje konfiguracji w podziale na grupy połączeń: SSH (plink) oraz SSH wspólne opcje konfiguracji, po wybraniu w polu zakładki Konfiguracja SSH należy podać użytkownika i hasło oraz polecenia jakie będą wykonane po zalogowaniu. Lista poleceń zapisywana jest w sposób jawny. Dla połączenia SSH (plink) należy osobno uruchomić z wiersza poleceń program plink podając adres IP urządzenia podczas połączenia należy pobrać klucz urządzenia. Dla połączenia SSH (wbudowany klient) należy uruchomić Testowe wykonanie i zaakceptować klucz urządzenia. Pobranie klucza jest niezbędne w celu dalszego działania programu. Telnet po wybraniu opcji należy w polu zakładki Konfiguracja Telnet podać wszystkie polecenia do wykonania na urządzeniu. Polecenia należy podać rozpoczynając od poleceń logowań (w tym login, hasło), przejścia w odpowiedni tryb (na przykład enable z podaniem hasła) i dalej poleceń wysyłających konfigurację na serwer TFTP. Dane z okna zapisywane są na dysku po ich zaszyfrowaniu, przykładowy zrzut po zaszyfrowaniu umieszczono poniżej: Dane w sposób jawny widoczne są tylko w oknie programu. Podczas wykonania automatycznej kopii konfiguracji przez serwis dane są deszyfrowane w pamięci. Strona 29 z 56

Ftp wybranie opcji powoduje przejście do zakładki Konfiguracja Ftp, gdzie należy podać użytkownika, hasło, katalog zdalny z konfiguracją na urządzeniu oraz plik konfiguracji jaki będzie pobrany. Pobranie konfiguracji następuje w trybie binarnym. Podczas zapisu konfiguracji na dysku nazwa pliku zostaje na początku uzupełniona podanym adresem IP urządzenia. SFtp wybranie opcji powoduje przejście do zakładki Konfiguracja Ftp, gdzie należy podać użytkownika, hasło, katalog zdalny z konfiguracją na urządzeniu oraz plik konfiguracji jaki będzie pobrany. Podczas zapisu konfiguracji na dysku nazwa pliku zostaje na początku uzupełniona podanym adresem IP urządzenia. Połączenie SSH/SFtp realizowane za pomocą wbudowanego klienta. Po dodaniu konfiguracji dla urządzenia należy zweryfikować poprawność jego wykonania. W tym celu należy zapisać konfigurację oraz wybrać przycisk Testowe wykonanie. W przypadku wykonania plinkiem nastąpi uruchomienie i zamknięcie czarnego okna z wierszem poleceń. W przypadku wykonania wbudowanym klientem SSH/SFtp, Telnetem lub poprzez Ftp log działania widoczny będzie w zakładce: Log testowego połączenia. W celu prawidłowego działania oraz wykonania testu uruchomiony musi być serwis kopii konfiguracji, w którym zaimplementowano serwer TFTP. Serwer TFTP dokonuje weryfikacji istnienia katalogów z datą jego uruchomienie jest konieczne również w przypadku korzystania z połączenia za pomocą protokołu Ftp i SFtp. Serwis umożliwia wykonanie dodatkowej kopii otrzymanej konfiguracji z urządzeń na serwer FTP. W zakładce Dodatkowe repozytorium istnieje możliwość uruchomienia i skonfigurowania usługi. Dodatkowe repozytorium zwiększa bezpieczeństwo kopii konfiguracji. Poniższe okno prezentuje opcje konfiguracji pozwalające na wykonanie kopii do zewnętrznego repozytorium. W oknie tym konieczne jest - wskazanie wykonania kopii do dodatkowego repozytorium, - podanie poświadczeń do logowania oraz katalogu zdalnej lokalizacji kopii Strona 30 z 56

/okno konfiguracji połączenia oraz wykonania kopii do zewnętrznego repozytorium/ Ostatnia zakładka Czas oczekiwania odpowiedzialna jest za ustawienie opóźnienia po zakończeniu wykonania danego polecenia w celu jego dokończenia. Ustawienie właściwych czasów opóźnień uzależnione jest czasów opóźnień sieci oraz wielkości pliku konfiguracyjnego. Poniższe okno pokazuje wartości domyślne dla poszczególnych typów wykorzystywanych połączeń: Strona 31 z 56

Archiwum logów (w tym zdalne repozytorium) Serwis systemu Windows odpowiedzialny za automatyczne kompresji tekstowych plików logów z urządzeń. Zakładka obsługa serwisu pozwala uruchomić wykonanie pakowania plików logów zewnętrznym programem (zaleca się użycie programu 7za.exe w wersji MS-DOS). Zewnętrzny program do pakowania należy umieścić w katalogu z programem i następnie wskazać w polu program do pakowania. Uruchomienie opcji pakowania plików logów spowoduje: - spakowanie każdego pliku logu, - skasowanie tekstowego pliku logu z pominięciem systemowego kosza Windows, pliki zostaną skasowane po zweryfikowaniu powstania pliku archiwum oraz jeżeli plik archiwum będzie miał wielkość większą od zera, - pozwoli włączyć opcję wysłania spakowanych plików logów do zewnętrznego repozytorium. W przypadku włączenia szyfrowania parametrów kompresji odblokowanie szyfrowania możliwe jest po podaniu hasła serwisowego: Po podaniu hasła serwisowego należy nacisnąć Enter prawidłowe podanie hasła pozwoli wyświetlić parametry kompresji oraz de-kompresji. Włączenie szyfrowania spowoduje zapisanie parametrów w postaci zaszyfrowanej, wyłącznie opcji spowoduje zapis parametrów w postaci jawnej. Szyfrowanie Strona 32 z 56

należy wykorzystywać w przypadku pakowania plików z zastosowaniem hasła, na przykład stosując dla 7za.exe : - dla kompresji: a phaslo - dla de-kompresji: e phaslo gdzie: Haslo hasło do archiwum. Zakładka zdalne archiwum pozwala skonfigurować parametry dla zdalnego repozytorium. Pliki logów są kopiowane do zdalnego repozytorium z wykorzystaniem jednego z protokołów: - FTP, - SFTP, - SMB. Kopia spakowanych plików logów do zewnętrznego repozytorium następuje w procesie pakowania. Proces uruchamiany jest o godzinie 12:00 każdego dnia. Procesem pakowania nie jest objęty plik logu do którego następują bieżące wpisy (plik logu z bieżącą datą). System podczas procesu dokonuje weryfikacji istnienia w katalogu z logami plików tekstowych według określonej maski. W przypadku istnienia pliku logu następuje jego spakowanie i usunięcie pliku pakowanego. Program kontroluje wszystkie pliki logów według maski w przypadku istnienia historii wszystkie pliki objęte zostaną procesem pakowania i ewentualnie wysyłką do zewnętrznego repozytorium (za wyjątkiem bieżącego logu). Uwaga. Przed pierwszym uruchomieniem należy wykonać kopię plików logów. Strona 33 z 56

Uruchomienie. Uruchomienie programu polega na zainstalowaniu i uruchomieniu poszczególnych usług. Uruchomienia można dokonać z głównego okna monitora lub po wejściu w Opcje programu. Stan pracy serwisów jest prezentowany w głównym oknie programu. Minimalna wymagana ilość uruchomionych serwisów: syslog serwis odpowiedzialny za archiwizację logów, nasłuch serwis odpowiedzialny za nadzór uruchomienia monitora oraz pozostałych serwisów programu SysLoger, w tym codzienny restart o wskazanej godzinie. W przypadku uruchomienia serwisu nasłuchu okno monitora powinno zostać automatycznie uruchamiane w ciągu jednej minuty po jego zamknięciu. Okno monitora jest odpowiedzialne za analizę logów i informowanie o zdarzeniach. W celu wykonania analizy musi być zalogowana sesja w systemie Windows oraz uruchomiony monitor programu: Ruch w sieci. Wybranie opcji Narzędzia -> Ruch w sieci spowoduje uruchomienie programu Mini Sniffer za pomocą którego można obserwować ruch na danej karcie sieciowej. Strona 34 z 56

Program Mini Sniffer analizujący ruch na karcie sieciowej uruchamiać należy z uprawneiniami administratora, w innym przypadku podczas uruchomienia pojawi się komunikat: Skaner sieci. Wybranie opcji Narzędzia -> Skaner spowoduje uruchomienie programu Syslog skaner za pomocą którego możliwe jest przeprowadzenie skanowania zasobów sieci pod kątem istnienia adresów IP w danej klasie sieci oraz otwartych portów. Program badając dostępność adresów próbuje uzyskać MAC adresy kart sieciowych oraz nazwy urządzeń. W ramach wykonywanych procedur program weryfikować będzie istnienie adresów IP nawet w przypadku aktywnej odmowy ze strony urządzeń, prezentowane będzie to wówczas informacją o aktywnej odpowiedzi z komunikatem 10061 (dokonywana jest w takim przypadku analiza nagłówka pakietów). Poniższe okno prezentuje program Syslog skaner po jego uruchomieniu: Program wyposażony został w opcje konfiguracyjne w zakresie definiowania: klas sieci, listy portów będących przedmiotem skanowania oraz opcje realizujące poszczególne działania, tj.: skaner ręczny, skaner automatyczny, przeglądanie wyników raportów, kontrolę adresu po nazwie (rozwiązywanie nazw DNS), kontroli nazwy urządzenia po adresie IP, Strona 35 z 56

możliwość przeglądania ogólnej listy numerów portów. Definiowanie klas sieci możliwe jest po wybraniu zakładki Skaner -> Lista klas sieci przed rozpoczęciem skanowania sieci niezbędne jest wskazanie w tej opcji klas sieci jakie objęte mają być skanowaniem. Definiowanie listy portów możliwe jest po wybraniu zakładki Skaner -> Lista portów do skanowania przed rozpoczęcie skanowania portów niezbędne jest zdefiniowanie ich zakresu poprzez podanie numeru portu oraz opisu. Przycisk Lista predefiniowana umożliwia na załadowanie najczęściej wykorzystywanych portów wraz z ich opisem. Uruchomienie opcji Lista predefiniowana spowoduje skasowanie dotychczas obowiązującej listy (dotychczasowa lista skopiowana zostanie do pliku port_skaner_[data-czas].ini pliki z kopią znajdować się będą w głównym katalogu programu). Predefiniowana lista portów wczytywana jest z dostarczonego pliku port_number_predef.dat plik ten musi znajdować się w katalogu głównym programu. Aktualna lista skanowanych portów znajduje się w pliku syslog_skaner_port.ini. Skaner ręczny uruchamiany jest po wybraniu zakładki Skaner -> Skaner ręczny. Skaner ręczny przeprowadza skanowanie zasobów sieci dla danej jednej klasy sieci. Klasa sieci może być podana w sposób ręczny lub wybrana z listy zdefiniowanej. Poniższe okno przedstawia dostępne opcje: Strona 36 z 56

Skaner automatyczny konfigurowany i uruchamiany po wybraniu zakładki Skaner -> Skaner automatyczny. Skaner automatyczny przeprowadza skanowanie wszystkich wskazanych klas sieci oraz zdefiniowanej listy portów. Realizowany jest zgodnie z ustawionym harmonogramem. W przypadku wersji demo opcje skanowania ograniczone zostają do możliwości uruchomienia: dla skanera ręcznego pierwszych 25 adresów IP sieci, dla skanera automatycznego ustawienia harmonogramu wykonania tylko w poniedziałki i wtorki. Strona 37 z 56

Wyniki raporty zakładka umożliwiająca na dostęp do wyników skanowania umieszczonych w plikach tekstowych i HTML. Program umożliwia automatyczne otwarcie wybranego podwójnym lewym kliknięciem myszy raportu jak również dokonać usuwania wskazanych raportów. Możliwe jest wczytanie tylko określonego rodzaju raportów. Narzędzia zakładka zwiera opcję odpytania o adres IP na podstawie nazwy (rozwiązywanie nazw DNS) oraz odpytania nazwy urządzenia po podaniu jego adresu IP. Ogólna lista numerów portów zakładka zawierająca opcje wczytania i przeglądania ogólnej listy numerów portów. Lista wczytywana jest z przygotowanego pliku port_number.dat, który musi znajdować się w głównym katalogu programu. Strona 38 z 56

Ograniczenia funkcjonalne w wersji demo. W przypadku braku klucza licencji program sysloger będzie można przetestować w poniedziałek i wtorek. W pozostałe dni tygodnia obowiązywać będą ograniczenia funkcjonalne polegające na: FAQ braku zapisu otrzymywanych informacji do logów, braku bieżącej analizy logów, zamianie otrzymanej treści logu na informację o wersji demonstracyjnej, możliwości ręcznego skanowania klasy sieci do 25 pierwszych adresów IP. 1. Konfiguracja SSH w systemie CentOS od wersji 6.5 W celu prawidłowego działania wbudowanego klienta SSH należy w systemie CentOS w pliku /etc/ssh/ssh_config odblokować następujące polecenia: Po odblokowaniu należy wykonać restart usługi SSH poleceniem: service sshd restart 2. Miejsce przechowywania kluczy serwera dla wbudowanego klienta SSH W przypadku korzystania z wbudowanego klienta SSH klucze serwera przechowywane są: - dla aplikacji w katalogu programu, - dla serwisu systemu w katalogu C:\Windows\system32. Strona 39 z 56

Raport codzienny wysyłany pocztą e-mail: Przykładowe zrzuty ekranu z raportów Strona 40 z 56

Raport z bazy MySQL: Strona 41 z 56

Raport z logów tekstowych: Strona 42 z 56

Strona 43 z 56

Strona 44 z 56

Raport skanowania zasobów sieci: - HTML: - tekstowy Strona 45 z 56

Załącznik nr 1 Instalacja poszczególnych programów: Apache, PHP, MySQL, PHP My Admin Instalacja Apache/PHP/MySQL/PHP My Admin 1. Instalacja MySQL a) Uruchomienie programu instalacyjnego: mysql-essential-5.0.24a-win32 b) W oknie jak poniżej wybieramy Next c) Wybieramy opcję instalacji: custom Strona 46 z 56

d) W oknie instalacyjnym Custom zmieniamy katalog instalacyjny na c:\mysql e) Wybieramy opcję Next i w kolejnym oknie Install Strona 47 z 56

f) Po zakończeniu instalacji pomijamy rejestrację wybierając Skin Sign-Up g) Zaznaczmy opcję Configure the MySQL Server now h) W kolejnych oknach pozostawiamy ustawienia domyślne: Strona 48 z 56

Jak na poniższych ekranach: Strona 49 z 56

Strona 50 z 56

W oknie z domyślnymi znakami warto dokonać zmiany na Best Support For Multilingualism: i) W ostatnim oknie wybieramy Install As Windows Service oraz Include Bin Directory in Windows PATH Strona 51 z 56

j) W kolejnym oknie Modify Security Settings podajemy hasło dla użytkownika root bazy MySQL W przypadku dostępu zdalnego zaznaczamy dodatkowo opcję: Enable root access from remote machines k) W ostatnim oknie następuje potwierdzenie wybranych opcji: Strona 52 z 56

2. Instalacja serwera Apache a) Uruchamiamy plik instalacyjny: apache_2.0.59-win32-x86-no_ssl b) W oknie server information podajemy nazwę domeny, nazwę serwera, adres e-mail administratora c) Wszystkie pozostałe opcje pozostawiamy bez zmian. 3. Instalacja PHP a) Wypakować archiwum: php-5.2.10-win32 do katalogu c:\php b) Przekopiować plik c:\php\php.ini-recomended do folderu c:\windows i zmienić nazwę na php.ini (C:\Windows\php.ini) c) Na końcu pliku konfiguracyjnego serwera Apache (tj. conf/httpd.conf) dodać wpisy: LoadModule php5_module "c:/php/php5apache2.dll" AddType application/x-httpd-php.php PHPIniDir "C:/windows" Ścieżka do pliku conf C:\Program Files (x86)\apache Group\Apache2\conf d) Wykonujemy restart serwera apache korzystając z ikony w tray u Lub przy pomocy opcji Start -> programy -> Apache http Server 2.0.59 -> Control Apache Server ->Restart e) Sprawdzamy poprawność instalacji PHP: - w katalogu: C:\Program Files (x86)\apache Group\Apache2\htdocs umieszczamy plik phpinfo.php zawierający: Strona 53 z 56

<?php phpinfo();?> - w przeglądarce wpisujemy http:\\localhost\phpinfo.php po akceptacji (Enter) powinniśmy zobaczyć ekran: 4. Instalacja obsługi MySQL w PHP a) W pliku php.ini wprowadzamy zmiany extension_dir = "c:/php/ext" extension=php_mysql.dll extension=php_mysqli.dll Pierwsze dwa wpisy powinny być już pliku należy je zmodyfikować, w pliku powinny być wpisy: extension_dir = "./" tutaj zmiana na "c:/php/ext" ; extension=php_mysql.dll tutaj usuwamy znak średnik ; na początku Strona 54 z 56

ostatni wiersz extension=php_mysqli.dll należy wprowadzić w całości (lub jeżeli istnieje usunąć znak średnika). b) Wykonujemy restart serwera apache i sprawdzamy poprawność wprowadzonych zmian wywołując ponownie w przeglądarce http:\\localhost\phpinfo.php - prawidłowość widoczna będzie jeżeli odnajdziemy sekcję mysql i mysqli. 5. Instalacja PHP My Admin a) W katalogu C:\Program Files (x86)\apache Group\Apache2\htdocs tworzymy katalog phpmyqdmin b) Wypakowujemy zawartość archiwum phpmyadmin-3.5.0-all-languages do katalogu htdocs (opisanego powyżej) c) W pliku \librares\config.default.php wprowadzamy hasło administratora serwera SQL (hasło dla root podanego przy instalacji MySQL a) sekcja: $cfg['servers'][$i]['password'] = 'haslo'; Strona 55 z 56

d) Sprawdzamy poprawność instalacji wpisując w przeglądarce http:\\localhost\phpmyadmin\index.php i akceptując (enter) przeglądarka powinna wyświetlić ekran umożliwiający zalogowanie na koncie root sprawdzamy poprawność logowania. Strona 56 z 56

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres