Check Point Log Exporter ile Log Göndermek

Merhaba,

Check Point Firewall üzerinden syslog gönderimi için Management Server veya Log Server kullanılır. Aslında bu iki sunucu da kurulum anlamında “Management” altyapısını kullanarak kurulduğu için “management server” log toplar ve log gönderir diyebiliriz.

Check Point Firewall üzerinden başka bir cihaza veya SIEM’e log göndermek gerektiğinde aşağıdaki adımları takip ederek kolayca log gönderimi sağlanabilir.

Öncelikle söz konusu işlemleri gateway değil, Check Point Management üzerinde yapmamız gerektiğini tekrar hatırlatayım.

Daha önceki log gönderimi task’lerini kontrol edebilmek için

cpwd_admin list

1	cpwd_admin list

… komutu kullanılır.
Yeni syslog gönderim tanımı yapmak için ise şöyle bir komut kullanmak gerekiyor:

cp_log_export add name <isim-yazalim> target-server <hedef-sunucu-ip-veya-FQDN-yazalim> target-port <hedef-port-yazalim> protocol <protocol-yazalım> format <log-formatı-belirtelim>

1	cp_log_export add name <isim-yazalim> target-server <hedef-sunucu-ip-veya-FQDN-yazalim> target-port <hedef-port-yazalim> protocol <protocol-yazalım> format <log-formatı-belirtelim>

cp_log_export restart name <isim-yazalim>

1	cp_log_export restart name <isim-yazalim>

Ardından tekrar aşağıdaki komut ile “.EXPORTER“ servisinin eklenmiş ve çalışıyor olduğu kontrol edilebilir.

cpwd_admin list

1	cpwd_admin list

Format seçenekleri şöyle:

Dikkat edilmesi gereken bir husus, bu basit yapılandırma ile gönderilen loglar clear-text, yani unencrypted olarak gönderilir. Yani trafiği dinleyen (sniff eden) birisi logları rahatlıkla görebilir. Bunun önüne geçmek için sertifika kullanılmalıdır. Bundan da ileride bahsetmeye çalışacağım.

Ayrıca yeni log export kaydı girmek yerine, bir ayar silinebilir, varolan işlem sıfırlanabilir, servis durdurulabilir ve bunun gibi farklı işlemler yapılabilir. İlgili komutlar ve açıklamaları aşağıdaki gibidir:

add : Deploy a new Check Point Log Exporter.
delete : Remove an exporter.
reexport : Reset the current position and reexport all logs per the configuration.
restart : Restart an exporter process.
set : Update an existing exporter’s configuration.
show : Print an exporter’s current configuration.
start : Start an exporter process.
status : Show an exporter’s overview status.
stop : Stop an exporter process.

Örnek komut şöyle olmalı:

cp_log_export add name SIEM target-server 10.20.30.40 target-port 514 protocol udp format cef

1	cp_log_export add name SIEM target-server 10.20.30.40 target-port 514 protocol udp format cef

cp_log_export restart name SIEM

1	cp_log_export restart name SIEM

Son olarak, söz konusu servis tanımı yapıldıktan sonra ilgili config dosyasına gidilip ayarlar elle değiştirilebilir. Bu tanımları en kısa zamanda yazıya ekleyeceğim.

Aşağıdaki komutlar da not olarak bulunsun:

cp_log_export status

1	cp_log_export status

cd $EXPORTERDIR/targets/SIEM/

1	cd $EXPORTERDIR/targets/SIEM/

Saygılarımla.

Share this:

Leave a Reply Cancel reply