XAMPP’da çalıştırdığınız PHP projenizde LDAP bağlantısı yapmak istediğinizde, ilk çalışmada

Fatal error: Uncaught Error: Call to undefined function ldap_connect() in

hatası almanız muhtemel. Bunun nedeni ise XAMPP LDAP kütüphanelerinin yüklenmemiş veya aktif hale getirilmemiş olmasıdır. Bu yazımızda bu sorunu nasıl gidereceğimizi anlatacağız.

Windows için;

İlk olarak

[XAMPP'ın kurulu olduğu sürücü]:\xampp\php\php.ini

dosyasını açınız ve

extension=php_ldap.dll

komutunun başındaki # simgesini kaldırın ve yorumdan çıkarın. Eğer bu komut dosyada hiç yoksa, dosyanın son satırına ekleyin.

Ardından

[XAMPP'ın kurulu olduğu sürücü]:\xampp\php

dizini altındaki libsasl.dll dosyasını

[XAMPP'ın kurulu olduğu sürücü]:\xampp\apache\bin 

dizini altına taşıyınız. (XAMPP versiyonunuz 5.6.28 ve üstüyse bu işleme gerek yoktur)

Bu işlemden sonra XAMPP üzerinden Apache servisini durdurup, tekrar başlatın. LDAP kütüphanesini sorun olmadan kullanmaya başlayabilirsiniz.

Linux için;

Eğer PHP5 kullanıyorsanız

sudo apt-get install php5-ldap

PHP7 kullanıyorsanız

sudo apt-get install php7.0-ldap

komutu ile LDAP kütüphanesini yükleyebilirsiniz.

Bu işlemden sonra php.ini dosyasındaki extension=ldap komutunun önünde bulunan noktalı virgülü kaldırın, dosyayı kaydedin ve Apache servisini yeniden başlatın. LDAP kütüphanesini sorun olmadan kullanmaya başlayabilirsiniz.

XAMPP LDAP Bağlantısı yazısı ilk önce Bilgi Ambarı üzerinde ortaya çıktı.

VestaCP arayüzü PHP ve Javascript, çekirdeği ise Linux bash ile yazılmış, açık kaynak kodlu, kullanımı basit, arayüzü sade, ücretsiz bir web hosting kontrol paneli sistemidir.

VestaCP üzerinde Apache, NGINX, DNS, firewall, Exim, SpamAssasin, ClamAV, MySQL, FTP, cron, yedekleme, sunucu ve servis monitör etme vb. gibi birçok özellik barındırmaktadır. Ek olarak Türkçe dil desteği de bulunmaktadır.

VestaCP SSH Portu Nasıl Değiştirilir?

VestaCP portunu panel arayüzünden değiştirebiliriz. Fakat bu tek başına yeterli olmayacaktır. İlk olarak işletim sistemimizin SSH konfigürasyonundan portu değiştirmeliyiz. Bunun için tercih ettiğiniz bir metin editörü ile

/etc/ssh/sshd_config

dosyasını açınız. Port 22 kısmındaki # karakterini kaldırınız ve yorumdan çıkarınız. Dilediğiniz portu yazıp, dosyayı kaydediniz.

Değişikliğin geçerli olması için SSH servisini yeniden başlatmanız gerekmektedir.

service ssh restart

İşletim sisteminde yapacaklarımız bu kadar. Panel tarafında da firewall kurallarından SSH ayarlarımızı değiştireceğiz.

Firewall sekmesinden yeni kural eklemek istiyorum. Action kısmından drop veya accept seçeneklerinden isteğinize göre bir seçim yapabilirsiniz. Accept seçiyoruz. SSH TCP protokolünü kullandığı için protocol TCP seçiyoruz. Port kısmında belirlediğiniz portu yazınız. IP address kısmında ise bir IP adresi, bir network veya tüm IP adresleri şeklinde 3 skala belirleyebilirsiniz. Eğer tek bir IP adresi seçmek isterseniz 192.168.1.1/32 şeklinde, bir network seçmek isterseniz 192.168.1.0/24 şeklinde, tüm IP adreslerini seçmek isterseniz 0.0.0.0/0 şeklinde yazmalısınız. 0.0.0.0/0 diyerek 2222 portuna tüm IP adreslerinden gelen SSH isteklerine onay veriyoruz. Siz isteğinize göre kısıtlayabilirsiniz.

Add diyerek kuralı tamamlayalım.

Firewall sekmesine geri döndüğümüzde kuralımızı görebiliriz.

VestaCP SSH Port Değiştirme yazısı ilk önce Bilgi Ambarı üzerinde ortaya çıktı.

VestaCP arayüzü PHP ve Javascript, çekirdeği ise Linux bash ile yazılmış, açık kaynak kodlu, kullanımı basit, arayüzü sade, ücretsiz bir web hosting kontrol paneli sistemidir.

VestaCP üzerinde Apache, NGINX, DNS, firewall, Exim, SpamAssasin, ClamAV, MySQL, FTP, cron, yedekleme, sunucu ve servis monitör etme vb. gibi birçok özellik barındırmaktadır. Ek olarak Türkçe dil desteği de bulunmaktadır.

VestaCP Sistem Gereksinimleri

• RHEL / CentOS 5, 6, 7 dağıtımlarından biri
• Debian 7, 8, 9 dağıtımlarından biri
• Ubuntu 12.04-18.10 arasındaki dağıtımlardan biri
• Minimum 512 MB RAM
• Minimum 20 GB disk alanı
• Minimum 1 Ghz CPU

VestaCP Kurulumu

VestaCP için Ubuntu 18.04 dağıtımını kullandım. Ubuntu 18.04 kurulumuna https://www.bilgiambari.com/sunucu/linux/ubuntu-server-18-04-kurulumu/ linkinden ulaşabilirsiniz.

Kurulumdan önce sunucu tarafında yapmanızı önerdiğim, ileride çıkacak sorunların önüne geçecek birkaç ayarımız mevcut.

VestaCP kurulumdan sonra admin olarak kullanıcı oluşturacak ve bir parola belirleyecektir. Bu parolayı isteğinize göre değiştirebilirsiniz. root kullanıcısının parolasını, admin kullanıcısının parolasıyla aynı yapmanızı öneriyorum. Aşağıdaki komut ile root kullanıcısının parolasını değiştirebilirsiniz.

passwd root

Şimdi GPG, yani GNU Privacy Guard yazılımını kurmamız gerekli. GnuPG verilerinizi ve iletişimlerinizi şifrelemeye, imzalamaya yarayan açık kaynak kodlu bir komut satırı aracıdır. Daha fazla bilgi için bkz: https://gnupg.org/

sudo apt install gnupg2

Artık ön gereksinimleri tamamladıktan sonra VestaCP kurulumuna geçebiliriz.

VestaCP kurulum komutları https://vestacp.com/install/ linkinde yer almaktadır. VestaCP servisleri kendimize göre özelleştirme imkanı sunmakta ve bu sayfada seçimlerimize göre özel kurulum kodu veren bir form bulunmaktadır.

Seçimlerimizi yapmaya başlayalım.

Web kısmında nginx + php-fpm seçiyorum. Yapılan testler sonucunda NGINX’in yüksek trafikli web sitelerinde Apache’ye göre 2 kat daha performanslı çalıştığı tespit edilmiştir. PHP yorumcusunun bir modülü olan fpm ise ağır yüklü sitelerde PHP yorumcusunu hızlandırmaktadır. Bunun için tercih edeceğimiz modül budur.

FTP kısmında daha saf bir FTP hizmeti olan vsftpd yerine, daha gelişmiş ve bir FTP hizmeti olan proftpd’yi seçiyorum.

Mail kısmında exim + dovecot + spamassassin + clamav seçiyorum. ClamAV yüksek RAM’e ihtiyaç duymasına rağmen mail güvenliği açısından faydalı bir servistir. Sisteminizin yetersiz kalması durumunda ileride pasif hale getirebilirsiniz.

DNS kullanmak zorunda olduğum ve tek seçenek olduğu için named seçiyorum.

Firewall iptables + fail2ban seçiyorum. iptables ile belirlediğimiz port, IP adresi kısıtlamalarından sonra fail2ban ile yetkisiz erişimleri bloklayabilir, loglayabiliriz.

Softaculous seçimine yes diyorum. Softaculous, bir web sitesine ticari ve açık kaynaklı web uygulamalarının kurulumunu otomatikleştiren ticari bir betik kütüphanesidir. Bunun seçimi insiyatifinize kalmıştır.

Additional Repository remi seçiyorum.

File System Quota no diyorum.

DB MySQL seçiyorum. İsteğinize göre karar verebilirsiniz ama bu ve sonraki makalelerde MySQL ile devam edeceğim.

Seçimlerimizi bitirdikten sonra artık son aşama olan hostname, email ve password kısmına geldik. Son hali bu şekilde olmalı.

Seçimlerimizi bitirip, bilgileri de doldurduktan sonra “Generate Install Command” ile kodumuzun çıktısını alalım.

PuTTY ile sunucumuza SSH bağlantısı yapıp, kuruluma başlayabiliriz.

Bash dosyasını çalıştırıyorum.

curl -O http://vestacp.com/pub/vst-install.sh

Ardından seçimlerimizin sonucunda çıkan kurulum kodumuzu girelim.

bash vst-install.sh --nginx yes --phpfpm yes --apache no --named yes --remi yes --vsftpd no --proftpd yes --iptables yes --fail2ban yes --quota no --exim yes --dovecot yes --spamassassin yes --clamav yes --softaculous yes --mysql yes --postgresql no --hostname bilgiambari.com --email test@bilgiambari.com --password Test123456

Kodu girdikten sonra devam etmek istediğimizi soruyor.

y ve entera basıp, devam edelim.

Kurulumun 15 dakika süreceğini belirtiyor ve VestaCP’yi kurmaya başlıyor.

Kurulum bittikten sonra erişim bilgilerini göreceksiniz.

Oturum açalım.

Evet, VestaCP kurulumunu tamamladık ve kontrol paneli karşımızda. Gördüğünüz üzere varsayılan olarak admin kullanıcısı mevcut. User kısmında istediğiniz kadar kullanıcı ekleyebilir, bu kullanıcıları düzenleyebilir, silebilir ve kullanıcıların istatistiklerini görebilirsiniz.

Web kısmında alan adlarınızı görebilir, yeni alan adları ekleyebilir ve alan adlarını düzenleyebilirsiniz (Web Template ve Backend Template seçme, SSL yükleme, Web Statics ayarı, FTP hesabı ekleme)

DNS kısmında alan adlarınızın DNS kayıtlarını görüntüleyebilir, değiştirebilir, yeni DNS kayıtları ekleyebilir veya mevcut DNS kayıtlarını silebilirsiniz.

Mail kısmında alan adlarınıza bağlı olarak antivirüs, spam, DKIM ve catchall yönetimini yapabilir, mail adresleri ekleyebilir, parolalarını değiştirebilir ve yönetebilirsiniz.

DB kısmında veritabanı ekleyebilir, karakter setini değiştirebilir, kullanıcı ekleyebilir, silebilir ve seçtiğiniz veritabanına göre (MySQL, PostgreSQL) arayüzden de veritabanı yönetimini yapabilirsiniz.

Cron Linux’da bir görevi belirli bir zamanda tekrarlamak için kullanılan bir programdır. Bu kısımda VestaCP için otomatik olarak oluşturulmuş cronjob’ları görebilirsiniz ve yönetebilirsiniz.

Grafik sekmesinde sunucunuzun kaynak tüketimlerini günlük, haftalık, aylık veya yıllık olarak takip edebilirsiniz.

Firewall kısmında port, protokol (TCP/UDP) ve bu portlara erişecek IP adreslerini belirleyebilir, fail2ban’ı yönetebilirsiniz.

Server kısmında mevcut servislerinizi görüntüleyebilir, durdurabilir, başlatabilir, yeniden başlatabilir ve konfigürasyonlarını yapabilirsiniz.

Burada soldaki çark butonuna basarak Vesta sunucumuzla ilgili ayarları yapabiliriz (Time Zone, varsayılan dil, web sunucu ve backend sunucu ayarları, DNS ayarları, mail sunucu, antispam ve webmail URL ayarları, veritabanı ve phpMyAdmin URL ayarları, yedekleme ayarları ve VestaCP SSL sertifikası)

VestaCP Kurulumu yazısı ilk önce Bilgi Ambarı üzerinde ortaya çıktı.

Graylog; hız ve düşük kaynak tüketimi için, arama ve analiz işlemlerini optimize etmek amacıyla, bir veya daha fazla Elasticsearch indeks setini yönetmektedir. Elasticsearch verileri indeksleyerek saklar ve log araması yapacağımız zaman belirli indeks setinin içinde arama yapılarak, sonuçlar hızlı bir şekilde listelenir.

Graylog ilk kurulduğunda varsayılan olarak “Default index set” indeksi mevcuttur ve Graylog sunucumuza gelen tüm loglar bu indeks içinde toplanır. Log gönderen cihaz ve uygulamalara göre indekslerimizi kategorize etmek, bu kategorilere göre indeksleri oluşturmak ve yönetmek doğru bir kullanım olacaktır.

İndeks Oluşturma

Evet, şimdi ilk indeksimizi oluşturalım.

Menüden System > Indices tıklayalım. İndekslerin listelendiği ana görünüm açılacaktır. Burada Default index set’in varsayılan olarak seçili olduğunu görebiliyor olacaksınız.

Sağdaki “Create index set” butonuna tıklayalım. Bazı cihazlar ve uygulamalarda her ne kadar log seviyesi belirlenebiliyor olsa da, bazılarında belirlenemiyor. Bu seviye ihtiyacınız olan kadar seçilmiş olsa da, gerekli logların arasında illa ki gereksiz loglar da olabiliyor. Bu yüzden, gereksiz logların toplanacağı bir indeks oluşturmayı prensip olarak belirlemeniz önerilir. Bu indeks yönetiminiz için faydalı olacaktır.

Burada Title, Description ve Index prefix kısımlarını isteğinize göre doldurunuz. Ben düzenli olması açısından aşağıdaki gibi doldurdum. Analyzer ve Index shards, Index replicas, Max. number of segments, Field type refresh interval kısımları varsayılan olarak bu şekilde gelmektedir, ben de bu şekilde bırakıyorum.

Index Message Count, Index Size ve Index Time olarak 3 seçenek geliyor. İlk seçenekte indeks yani log mesaj sayısını belirtebiliyorsunuz. İkinci seçenekte byte cinsinden indeks boyutunu belirtebiliyorsunuz. Üçüncü seçenekte ise ISO8601 standartına göre süre belirtebiliyorsunuz. Burada mesela P2M 2 ay, P1D 1 gün, PT6H 6 saat anlamına geliyor. Saat veya gün bazında süreyi belirtebilirsiniz. Ben mesaj sayısı belirtiyorum. 200000 mesaj olduğunda bu indekse mesaj almayı bıraksın, yeni indekse geçsin istiyorum.

Mesaj sayısını belirttikten sonra maksimum indeks sayısını ve maksimum sayıya ulaşınca hangi aksiyonu alması gerektiğini belirtiyorum. Bize 4 adet eylem stratejisi sunuyor; Archive Index, Delete Index, Close Index, Do nothing. Örneğin görseldeki gibi maksimum indeks sayısı 20 olarak seçiyorum. 21 indekse ulaştığında seçtiğim eyleme göre en eski indeksi arşivler, siler, kapatır ve indekse hiçbir şey yapmaz. Yukarıda da belirttiğim gibi 200000 mesaj olduğunda indekse mesaj toplamayı bırakmasını, yeni indekse geçmesini, toplam indeks sayısı 21 olduğunda da en eski indeksi silmesini istedim.

Böylelikle Graylog’a gelen logları kategorize ederek, mesajları daha verimli yönetmeyi, depolama alanını daha verimli kullanmayı gerçekleştirdik.

Graylog İndeks Yönetimi yazısı ilk önce Bilgi Ambarı üzerinde ortaya çıktı.

Ubuntu Server; Ubuntu’nun resmi geliştiricisi olan Canonical Ltd. tarafından Linux çekirdeği temel alınarak geliştirilen, açık kaynak kodlu, özgür ve ücretsiz bir işletim sistemi dağıtımıdır. 2004 yılından beri geliştirilmektedir Nisan 2023’e kadar desteği bulunmaktadır. Ubuntu masaüstünden farklı olarak grafik arayüzüne sahip değildir, bazı ek özelliklere ve servislere sahiptir. Neredeyse tüm donanım, sanallaştırma ve konteyner platformlarıyla çalışabilir. Oyun sunucusu, web sunucusu gibi hizmetler verebilir. Plesk, Vesta gibi web hosting panelleri yönetilebilir. Şu anda dünya üzerinde çalışan web sitelerinin %37’si Ubuntu Server üzerinde çalışmaktadır. Ubuntu Server yalnızca 64 bit olarak kurulabilir.

Ubuntu Server Sistem Gereksinimleri

2 GHz çift çekirdekli işlemci
4 GB RAM
25 GB boş disk alanı

Ubuntu Server Download

http://old-releases.ubuntu.com/releases/18.04.4/ linkinden ISO’yu indirebilirsiniz. Bu yazımızda ubuntu-18.04-live-server-amd64.iso kurulumunu anlatacağız.

Başlangıç medyasını hazırlayıp, başlayalım.

İlk aşamada bizi dil seçimi ekranı karşılıyor. Dilediğiniz dili seçip, enter ile devam edebilirsiniz.

Klavye dilini seçmemizi istiyor. Türkçe seçeneği mevcut. Ben İngilizce ile devam ediyorum.

Install Ubuntu diyerek devam ediyoruz. (Diğer seçeneklerden olan MAAS ile ilgili detaylı bilgiyi https://maas.io/how-it-works adresinden öğrenebilirsiniz)

Ağ ayarlarını yapılandırabileceğimiz ekrana geldik. Şu an DHCP ile IP alacak şekilde yapılandırılmış durumda.

Eğer elle IP adresi vermek isterseniz NIC’e tıklayıp detaylı ayarlara girebilirsiniz. Benim NIC adım ens33 olarak görünüyor. Bunu seçip, içine giriyorum. Görüldüğü üzere statik IP adresi verebilir, DHCP’den IP adresi alacak şekilde bırakabilir veya herhangi bir IP adresi  yapılandırması yapmamayı seçebilirim. Ek olarak IPv6 yapılandırma seçenekleri de mevcut. Sunucu ortamında elle IP adresi verilmesi gereklidir fakat ben test ortamı olduğu için DHCP’den IP adresi alacak şekilde bırakıyor ve devam ediyorum.

Dilerseniz proxy sunucu adresi girebilirsiniz. Boş bırakıp devam ediyorum.

Şimdi disk yapılandırma kısmına geldik. Burada 2 seçeneğimiz var. Birincisi; diskte herhangi bir bölüm ayırma yapmadan, tüm diskin kullanılması. İkincisi; diski bölümleyerek, seçtiğimiz bölüme işletim sisteminin kurulması.

Manual seçeneğini seçiyorum ve disk yapılandırma ayarlarına giriyorum. Add/Edit Partitions yazısını seçerek yeni bir bölüm eklemek istiyorum.

Şu an 1 MB boyutunda 1 adet bölüm mevcut. Add another partition diyerek 20 GB olarak verdiğim diskten yeni bir bölüm oluşturmak istiyorum.

Boyutu 10 GB olarak belirtiyorum, format seçiyorum ve bölümün nereye mount edileceğini belirtiyorum.

Create dediğimizde 10 GB’lık yeni bir bölüm oluşturmuş olacağız. Ben bu kısımda yeni bir bölüme ihtiyaç duymadığım için Cancel diyerek iptal ettim ve tek başlangıçtaki diskimle devam ediyorum.

Artık Done dediğimizde bu kısma geri dönüş olmayacağını belirtiyor ve disk yapılandırmasını tamamlayıp, tamamlayacağımızı soruyor. Continue diyerek devam ediyoruz.

Sunucumuz için bir kullanıcı oluşturmamızı istiyor.

Kullanıcımı oluşturup Done dedim ve kurulum başladı.

Bu kısım tahmini olarak 5-10 dk arasında sürmektedir. View full log ile detaylı ilerlemeyi görebilirsiniz.

Kurulum tamamlandı ve Reboot Now ile sunucumu yeniden başlatıyorum.

Sisteme takılı başlangıç medyasını sistemden çıkarıp, Enter’a basmamı ve yeniden başlatma işlemini gerçekleştirmemi istiyor.

Enter diyor ve sistemi yeniden başlatıyorum. Yeniden başlatma sonrasında sunucunuz oturum açma ekranında sizi bekliyor olacak.

Ubuntu Server 18.04 Kurulumu yazısı ilk önce Bilgi Ambarı üzerinde ortaya çıktı.

Graylog stream; sunucuya gelen tüm mesajların içinden, belirli kriterlere göre belirlenmiş mesajların ayrıldığı ve görüntülendiği alanlardır. Bir stream içinde kurallar oluşturup (belirli bir Windws Event ID’ye göre, mesaj içeriğindeki bir kelimeye göre, mesaj içeriğindeki bir kelimeyi içermemesine göre vb.) gelen mesajları filtreleyebilirsiniz. Daha sonra bu stream sonuçlarını Dashboard’lara aktarıp, log sayılarını görüntüleyebilirsiniz.

Stream Yönetimi

İlk olarak menüden Streams seçerek tüm streamlerin listelendiği alana geliyoruz. Burada “All messages” adında varsayılan olarak bir stream mevcuttur. Sunucuya gelen tüm loglar bu streamde toplanır ve loglar Default index set indeksine aktarılır. Stream düzenini bu şekilde çalışmak verimsiz ve kullanışsız olur. Dolayısıyla burayı kategorize etmek sağlıklı olacaktır. Örneğin; Windows sunucularda gerçekleşen RDP oturum açma/oturum kapatma ve dosya sunucularında dosya silme/oluşturma/kopyalama vb. loglarını topluyorsunuz. Bunun için oturum logları için bir stream, dosya silme logları için bir stream, dosya oluşturma için bir stream, dosya kopyalama için bir stream gayet mantıklı olacaktır.

Stream Oluşturma

Create Stream’e tıklayalım.

Açılan pencerede Title ve Description’ı istediğiniz gibi doldurabilirsiniz. Ben ilk olarak gereksiz logların toplandığı bir stream oluşturmak ve logları daha güzel kategorize etmek istiyorum. Index Set kısmında daha önce oluşturduğum GereksizLoglar’ı seçiyorum. (Graylog İndeks Yönetimi yazısı için bkz: https://www.bilgiambari.com/siberguvenlik/logyonetimi/graylog-indeks-yonetimi) “Remove matches from ‘All messages’ stream seçeneğini seçiyorum. Bunu yaparak varsayılan olarak “All messages” streamine gelen gereksiz logları oradan alıp Gereksiz Loglar streamimize alıyoruz. Bu şekilde streamlerinizi çoğaltıp, “All messages” streamindeki yükü azaltabilir, stream yönetiminizi detaylı ve sağlıklı yönetebilirsiniz. Bu arada gereksiz logları neden ayırıyoruz diye sorabilirsiniz. İleride gözünüzden kaçan veya ihtiyacınız olan bir logu görmek isteyebilirsiniz, bunu da gereksiz loglar içinde arayabilirsiniz.

Save dediğimizde stream oluşacak. Start Stream diyerek artık streami çalışır hale getiriyoruz.

Şimdi “Manage Rules” tıklayarak stream içine girelim. Graylog bize burada 2 adet seçenek sunuyor. Birinci seçenek; bir mesaj içerisinde belirlediğimiz kuralın veya kuralların hepsi uyarsa bu log streame yazılsın anlamına geliyor. İkinci seçenek; bir mesaj içerisinde belirlediğimiz kurallardan herhangi biri bile mesaj içerisinde mevcutsa bu log streame yazılsın anlamına geliyor.

Add stream rule’a tıklayarak kural oluşturalım. Belirleyeceğim Windows EventID’ye göre mesajları filtrelemesini ve streame yazmasını istiyorum. Field alanında Event yazdığım zaman liste otomatik olarak önüme düşüyor ve EventID seçiyorum.

Type kısmında 7 adet seçeneğimiz mevcut. Tam eşleşme ve regex eşleşmesi gibi string karşılaştırmalar, daha büyük ve daha küçük gibi sayısal karşılaştırmalar, alan varlığı gibi mesajın içerisinde o alan varsa mesajı kabul etme, string içerme ve always match. Windows EventID tam bir sayı olduğu için “match exactly” seçiyorum.

Event id belirtiyorum ve isteğe göre bir açıklama yazıyorum. Value kısmı altında “Inverted” seçeneği mevcut. Bu tersi anlamına geliyor. Örneğin; 4725 yazıp, “Inverted” seçtiğimde, event id’si 4725 olmayan tüm mesajlar bu streame gelecek. Veya Field alanından message seçip, “abc” yazdığımda, içeriğinde “abc” geçmeyen tüm mesajlar bu streame gelecek.

Save deyip kaydettiğimizde stream içinde kuralımızı görebileceksiniz.

“I’m done!” tıkladığınızda stream kaydedilecek ve artık gelen loglar içinden EventID alanında 4725 yazan tüm loglar bu streame yönlendirilecek. Streame tıklayıp, gelen logları görüntüleyebilir, dashboarda ekleyebilirsiniz.

Graylog Stream Yönetimi yazısı ilk önce Bilgi Ambarı üzerinde ortaya çıktı.

Active Directory’de saat senkronizasyonu için Windows Time Service (w32time) kullanılır. Forest’ta root domainin PDC Emülatorü harici bir zaman sunucusu ile senkronize olmalıdır (bir başka bağımsız sunucu, bir internet zaman sunucusu vb.) Domaindeki tüm DC’ler senkronizasyonu o domainin PDC Emulatorü’nden (Primary Domain Controller) NT5DS kullanarak yaparlar. Domainin PDC Emülatorü parent domaindeki herhangi bir domain controller ile NTP kullanarak senkronizasyon yapar. Domaindeki tüm istemci bilgisayarlar domaindeki herhangi bir domain controller ile senkronizasyon yaparlar.

İlk olarak PDC’nin (Primary Domain Controller) hangi sunucu olduğunu öğrenmemiz gerekli.

netdom query fsmo

PDC’yi öğrendikten sonra artık PDC’de NTP konfigürasyonuna geçebiliriz.

CMD’yi yönetici olarak açtıktan sonra aşağıdaki komutu girelim. Burada NTP sunucusunu, otomatik olarak o sunucudan güncelleme yapmasını, bu sunucunun güvenilir olduğunu belirttik.

w32tm /config /manualpeerlist:0.tr.pool.ntp.org /syncfromflags:manual /reliable:yes /update

Windows Time Service durdurup, tekrar başlatıyoruz.

net stop w32time && net start w32time

Hemen senkronize olmasını istiyoruz.

w32tm /resync /nowait

Senkronizasyon için zorluyoruz.

w32tm /resync /force

Tüm komutları doğru girdiğimizde çıktılar aşağıdaki gibi olacak, senkronizasyon tamamlanacaktır.

Şimdi NTP senkronizasyonunu kontrol edelim.

w32tm /query /status

Görüldüğü üzere 0.tr.pool.ntp.org (195.33.242.133) adresinden senkronize oldu.

Domain ortamında istemciler DC ile otomatik olarak senkronize olduğu için, istemciler için ekstra bir konfigürasyon yapmamıza ihtiyaç yoktur.

Windows NTP Konfigürasyonu yazısı ilk önce Bilgi Ambarı üzerinde ortaya çıktı.

Graylog 4 ana bileşene sahiptir;

• Graylog Server: Mesajları alan, işleyen, veriyi anlamlı hale getiren, tüm log gönderen cihazlarla iletişim kuran bir çalışan olarak hizmet eder. Çalışma gücü CPU performansına bağlıdır.
• Elasticsearch: Tüm günlükleri ve mesajları saklar. Toplanan loglar Elasticsearch yapısında saklanır, veriye ulaşacağınız zaman Elasticsearch indeks yapısı ile veriye ulaşılır. Performansı RAM’e ve disk okuma/yazma hızına bağlıdır.
• MongoDB: Graylog konfigürasyon verilerini saklar, günlük verilerini saklamaz. Kullanıcı bilgisi, stream bilgileri gibi meta verileri saklar.
• Web Arayüzü: Inputları (log gönderen cihazlar, sunucular vs.), indeksleri (Elasticsearch veri indeksleme yapısı), dashboardları (stream ile toplanan verilerin anlamlı bir biçimde izlendiği yapı), sistem kullanımını takip ettiğimiz ve yapılandırabildiğimiz Graylog web arayüzü.

Sistem Gereksinimleri

• Debian, Ubuntu veya CentOS dağıtımlarından biri
• 4 GB RAM
• 4 core CPU (2 core ile çalışan Graylog’um mevcut fakat yine de kaynağınız varsa 4 öneririm)
• 100 GB disk (Başlangıç için ideal. Zaman ilerledikçe artırmanız gerekebilir)
• Elasticsearch 5 or 6 (Graylog ile beraber kuracağız)
• MongoDB 3.6 or 4.0 (Graylog ile beraber kuracağız)
• Oracle Java SE 8 veya OpenJDK 8 (Graylog ile beraber kuracağız)

İşletim Sistemi Güncellemeleri ve Gerekli Paketlerin Kurulumları

İşletim sistemimizin güncellemelerini yapıyoruz.

sudo apt-get update && sudo apt-get upgrade

Güvenli parola oluşturmak için PWGEN ve Elasticsearch’ün çalışması için gerekli olan Java’yı, yani OpenJDK’yı kuruyoruz.

sudo apt-get install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen

MongoDB kurulumunu yapıyoruz. MongoDB’nin son sürüm versiyonlarının bulunduğu reposityler ile kurulması önerilir.

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 9DA31620334BD75D9DCB49F368818C72E52529D4

echo "deb [ arch=amd64 ] https://repo.mongodb.org/apt/ubuntu bionic/mongodb-org/4.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-4.0.list

sudo apt-get update
sudo apt-get install -y mongodb-org

MongoDB kurulduktan sonra son aşamaya geçiyoruz. Sistem açılışında MongoDB’yi aktif hale getirip, servisin çalıştığını doğruluyoruz.

sudo systemctl daemon-reload
sudo systemctl enable mongod.service
sudo systemctl restart mongod.service
sudo systemctl --type=service --state=active | grep mongod

Elasticsearch Kurulumu

Graylog 3.x versiyonları Elasticsearch 7.x versiyonları ile çalışmaz, bu yüzden Elasticsearch 6 versiyonunu kuracağız.

wget -q https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-6.x.list
sudo apt-get update

sudo apt-get install elasticsearch-oss

Aşağıdaki dosyayı açıyoruz.

sudo nano /etc/elasticsearch/elasticsearch.yml

cluster.name: graylogmakineadı olarak değiştiriyoruz ve dosyanın en sonuna action.auto_create_index: false satırını ekliyoruz.

Kaydedip çıkıyoruz.

Elasticsearch servisini aktif hale getirip, başlangıçta çalışacak şekilde ayarlıyoruz.

systemctl daemon-reload
systemctl enable elasticsearch.service
systemctl restart elasticsearch.service
ps aux | grep elasticsearch
netstat -an | grep 9200

Elasticsearch servisini başlattıktan sonra çalıştığını teyit ediyoruz. Elasticsearch kısmını tamamladık, Graylog Server kurulumuna geçelim.

Graylog Server Kurulumu

Graylog paketini indiriyoruz ve açıyoruz.

wget https://packages.graylog2.org/repo/packages/graylog-3.0-repository_latest.deb
sudo dpkg -i graylog-3.0-repository_latest.deb

Güncelleme yapıp Graylog’un eklentilerini yüklüyoruz.

sudo apt-get update && sudo apt-get install graylog-server graylog-enterprise-plugins graylog-integrations-plugins graylog-enterprise-integrations-plugins

Konfigürasyon dosyasında gerekli iki alanı dolduracağız. Bunları düzenlemezsek Graylog çalışmayacaktır. İlk olarak password_secret alanı için

pwgen -N 1 -s 96

kodu ile şifrelenmiş parola oluşturuyoruz. Daha sonrasında

sudo nano /etc/graylog/server/server.conf

kodu ile konfigürasyon dosyasını açıyoruz. Oluşturduğumuz şifrelenmiş parolayı password_secret karşısına yazıyoruz.

Bu işlemlerin ardından root_password_sha2 alanı için de şifrelenmiş bir parola üretmemiz gerekiyor. Aşağıdaki kod ile dilediğimiz bir parolayı girip, şifrelenmiş halini konfigürasyon dosyasındaki root_password_sha2 alanına yazacağız.

echo -n "Enter Password: " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1

Şifreli parolayı alıp

sudo nano /etc/graylog/server/server.conf

konfigürasyon dosyasını açalım ve root_password_sha2 karşısına yazalım.

Parola işlemlerini tamamladık.

Konfigürasyon dosyasını kapatmadan önce son bir işlemimiz var.

root_timezone değişkenini bulup, root_timezone = Europe/Istanbul şeklinde güncelleyelim.

Dosyayı kaydedip çıkalım.

Graylog servisini başlangıçta aktif hale getirip, servisi başlatıyoruz. Daha sonra servisi başlatıp, logdan kontrol ediyoruz. Graylog servisinin başlaması biraz vakit almaktadır. “Graylog server up and running.” yazısını gördüğünüzde servis başlamış demektir.

sudo systemctl daemon-reload
sudo systemctl enable graylog-server.service
sudo systemctl start graylog-server.service
tail -f /var/log/graylog-server/server.log

Varsayılan Port (514 TCP/UDP) Yönlendirme İşlemleri

Sırada varsayılan porta gelen logları istediğimiz porta yönlendirme işlemimiz var. Bunun için önce

ifconfig

ile makinemizin IP adresini öğreniyoruz.

Daha sonra

sudo nano /etc/rsyslog.conf

ile syslog konfigürasyon dosyamızı açıyoruz. Dosyanın son satırına

 *.* @makineipadresi:1514;RSYSLOG_SyslogProtocol23Format

yazıyoruz. Dosyayı kaydedip, kapatıyoruz. Burada 1514 port kısmına istediğiniz portu yazabilirsiniz.

Syslog servisini yeniden başlatıyoruz.

systemctl restart rsyslog

Şimdi firewall kurallarını yazacağız. 514 TCP/UDP portuna gelen isteklerin 1514 TCP/UDP portuna yönlendirilmesini belirtiyoruz.

iptables -t nat -A PREROUTING -p tcp --dport 514 -j REDIRECT --to 1514
iptables -t nat -A PREROUTING -p udp --dport 514 -j REDIRECT --to 1514

sudo iptables-save > /etc/iptables.rules

ile kurallarımızı kaydediyoruz.

less /etc/iptables.rules

ile kontrolünü sağlıyoruz.

Yeni dosya açıyoruz.

sudo nano /etc/network/if-pre-up.d/iptables

Yazıp kaydediyoruz.

iptables-restore < /etc/iptables.rules
exit 0

Dosyaya yazma izni veriyoruz.

chmod +x /etc/network/if-pre-up.d/iptables

Son Adımlar

Artık birkaç ufak adımımız kaldı. Aşağıdaki kod ile Graylog Server’ımızın ana sayfa içeriğini basıyoruz.

curl http://127.0.0.1:9000

Daha sonrasında

netstat -an | grep 9000

ile 9000 portunun dinlendiğini teyit ediyor, Graylog’un çalıştığını görüyoruz.

Konfigürasyon dosyasını açıyoruz. http_bind_address adresini değiştirip, servisi yeniden başlatıyoruz.

sudo nano /etc/graylog/server/server.conf
http_bind_address = ipadresi:9000

systemctl restart graylog-server

Graylog servisi yeniden başladığında

netstat -an | grep 9000

ile portu kontrol ediyoruz ve Graylog adresinin ipadresi:9000 olarak değiştiğini görüyoruz.

Artık web tarayıcısından Graylog’a girdiğimizde kullanıcı adı admin, parola ise daha önce belirlediğimiz parola ile oturum açabiliriz.

Graylog artık çalışır halde ve log toplamaya hazır.

Yukarıdaki System menüsünden Inputs seçiyoruz.

Syslog UDP tıklayıp Launch new input diyoruz. Title kısmına istediğinizi yazabilirsiniz. Ben Syslog UDP yazıyorum.

Bind address 0.0.0.0. Port 1514 ve Save diyoruz.

Start input ile log toplamayı aktif hale getiriyoruz. Varsayılan olarak 514 portuna gelen logların 1514 portuna yönlendirilmesi için düzenlemeleri yapmıştık. Bu input ile gelen logları görüntülenebilir hale getirdik.

Graylog kurulumumuzu tamamlamış olduk. İndeks, stream ve input yönetimi için diğer yazılara göz atabilirsiniz.

Graylog 3.0 Kurulumu yazısı ilk önce Bilgi Ambarı üzerinde ortaya çıktı.