Wincollect Ajanı ile Log Toplama

7 Mayıs 2016

Wincollect ajanı ile iki şekilde Windows sunuculardan log toplayıp bunları QRadar konsoluna gönderebiliriz.

1. Local Collection
Wincollect ajanının kurulu olduğu sunucunun kendisinden direkt olarak logları toplayıp QRadar konsoluna gönderebiliriz.

q1 - Wincollect Ajanı ile Log Toplama

  • Wincollect ajanı arttıkça Wincollect yönetimi de zorlaşır.
  • Single point of failure (SPOF) açısından avantajlıdır. Herhangi bir Wincollect servisini kaybetmeniz durumunda diğerleri bundan etkilenmez.
  • Kritik ya da çok fazla EPS’e sahip log kaynaklarınız için tercih edilebilirsiniz.
  • Örneğin DC’leriniz sizin için önemliyse DC’lerinizin her birine Wincollect ajanı kurarak Windows Security Event loglarını alabilirsiniz.

6 - Wincollect Ajanı ile Log Toplama

Wincollect bazlı bir log kaynağı eklerken Local System seçilerek ilgili sistemden log toplamaya başlayabiliriz.

2. Remote Collection
Wincollect ajanının kurulu olduğu sunucu ile Wincollect ajanı kurulu olmayan Windows sunuculardan log toplayarak bunları QRadar konsoluna gönderebilirsiniz.

q2 - Wincollect Ajanı ile Log Toplama

  • Wincollect yönetimi kolay.
  • SPOF açısından kötü. Wincollect ajanı servisinin çalışmaması durumunda ona bağlı tüm log kaynaklarından log alamama söz konususudur.
  • Ekleyebileceğiniz log kaynağı (~500) çok olsa dahi , belirli bir limiti bulunur.

2 - Wincollect Ajanı ile Log Toplama

Wincollect bazlı bir log kaynağı eklerken artık Local System alanını seçmiyoruz. Bunun yerine Wincollect’in erişeceği ve logları toplayacağı Windows sunucunun kullanıcı/parola bilgileri girilir. Domain bilgisi ise zorunlu değildir.

Benzer Gönderiler:

  1. Wincollect Portları ve Firewall Kuralları
  2. Wincollect Ajanının Kurulumu
  3. Windows Logları Filtreleme
  4. QRadar Log Source EPS Değerleri
Gökhan Kesici
Adanalı. Evli ve bir çocuk sahibi. İstanbul Üniversitesi Bilgisayar Mühendisliği lisans ve İstanbul Şehir Üniversitesi Bilgi Güvenliği Mühendisliği yüksek lisans mezunu.

Kategoriler