Wincollect ajanını kurdunuz. Log kaynağı ekleyerek local veya remote collection (bknz: Wincollect ajanı ile log toplama) yaparak logları almak istiyorsunuz. Eklediğiniz log kaynağının Status bilgisi N/A. Ya da Wincollect ajanını kurdunuz; ancak Wincollect ajanınızın kurulduğuna dair bir QRadar uyarısı almadınız. Bu durumlarda ilk bakmanız gereken şey, gerekli portlara erişimlerin olup olmadığını kontrol etmenizdir. Bunun için kurumsal yapınızda firewall kurallarının girilmiş olması gerekecektir.

• Wincollect ajanı kurulumunu başarıyla gerçekleştirmenin kurallarından biri de TCP/8413 portunun çift yönde açık olmasıdır. Hem Wincollect ajanı hem de QRadar sistemi bu port üzerinden konuşur.

devamını oku…

Wincollect ile Windows işletim sistemlerinden log toplamak için Wincollect ajanının kurulması gerekir. Bunun için gerçekleştirilecek adımlar şunlardır.

1. Wincollect ajan yazılımı IBM Fix Central ‘dan indirilir.

devamını oku…

Wincollect ajanı ile iki şekilde Windows sunuculardan log toplayıp bunları QRadar konsoluna gönderebiliriz.

1. Local Collection
Wincollect ajanının kurulu olduğu sunucunun kendisinden direkt olarak logları toplayıp QRadar konsoluna gönderebiliriz.

• Wincollect ajanı arttıkça Wincollect yönetimi de zorlaşır.
• Single point of failure (SPOF) açısından avantajlıdır. Herhangi bir Wincollect servisini kaybetmeniz durumunda diğerleri bundan etkilenmez.
• Kritik ya da çok fazla EPS’e sahip log kaynaklarınız için tercih edilebilirsiniz.
• Örneğin DC’leriniz sizin için önemliyse DC’lerinizin her birine Wincollect ajanı kurarak Windows Security Event loglarını alabilirsiniz.

devamını oku…