cp_log_export
cp_log_export

Check Point Log Exporter ile Log Göndermek

Merhaba,

Check Point Firewall üzerinden syslog gönderimi için Management Server veya Log Server kullanılır. Aslında bu iki sunucu da kurulum anlamında “Management” altyapısını kullanarak kurulduğu için “management server” log toplar ve log gönderir diyebiliriz.

Check Point Firewall üzerinden başka bir cihaza veya SIEM’e log göndermek gerektiğinde aşağıdaki adımları takip ederek kolayca log gönderimi sağlanabilir.

Öncelikle söz konusu işlemleri gateway değil, Check Point Management üzerinde yapmamız gerektiğini tekrar hatırlatayım.

Daha önceki log gönderimi task’lerini kontrol edebilmek için
cpwd_admin list
… komutu kullanılır.
Yeni syslog gönderim tanımı yapmak için ise şöyle bir komut kullanmak gerekiyor:
cp_log_export add name <isim-yazalim> target-server <hedef-sunucu-ip-veya-FQDN-yazalim> target-port <hedef-port-yazalim> protocol <protocol-yazalım> format <log-formatı-belirtelim>
cp_log_export restart name <isim-yazalim>
 

Ardından tekrar aşağıdaki komut ile “.EXPORTER servisinin eklenmiş ve çalışıyor olduğu kontrol edilebilir.
cpwd_admin list
 

Format seçenekleri şöyle:

syslog | splunk | cef | leef | generic | json | logrhythm | rsa

 

Dikkat edilmesi gereken bir husus, bu basit yapılandırma ile gönderilen loglar clear-text, yani unencrypted olarak gönderilir. Yani trafiği dinleyen (sniff eden) birisi logları rahatlıkla görebilir. Bunun önüne geçmek için sertifika kullanılmalıdır. Bundan da ileride bahsetmeye çalışacağım.

Ayrıca yeni log export kaydı girmek yerine, bir ayar silinebilir, varolan işlem sıfırlanabilir, servis durdurulabilir ve bunun gibi farklı işlemler yapılabilir. İlgili komutlar ve açıklamaları aşağıdaki gibidir:

  • add : Deploy a new Check Point Log Exporter.
  • delete : Remove an exporter.
  • reexport : Reset the current position and reexport all logs per the configuration.
  • restart : Restart an exporter process.
  • set : Update an existing exporter’s configuration.
  • show : Print an exporter’s current configuration.
  • start : Start an exporter process.
  • status : Show an exporter’s overview status.
  • stop : Stop an exporter process.

 

Örnek komut şöyle olmalı:
cp_log_export add name SIEM target-server 10.20.30.40 target-port 514 protocol udp format cef
cp_log_export restart name SIEM
 

Son olarak, söz konusu servis tanımı yapıldıktan sonra ilgili config dosyasına gidilip ayarlar elle değiştirilebilir. Bu tanımları en kısa zamanda yazıya ekleyeceğim.

Aşağıdaki komutlar da not olarak bulunsun:

cp_log_export status
cd $EXPORTERDIR/targets/SIEM/

Saygılarımla.