Correlog Installations Guide 1
Før du tager ud til kunden fortæl kunden at de skal lave en server (virtuel er fin hvis de ikke er al for stor) med følgende krav: - CPU = 2 CPUer - Ram = 8 GB Ram eller mere - 500 GB HDD, gerne med RAID 6 med så mange diske som muligt (mindst 4) Vi kan også køre på et raid 1 setup men så kører det bare langsommere. Det optimale er noget hurtig disk med SSD og et storage område med alm spindel diske men det er ikke et absolut must og ikke et krav til en trial. - Windows 2008 eller 2012 (gerne R2) - Firewall skal tillade syslog UDP port 514 + tcp 80 for at correlog kan kommunikere (så de skal altså enable de her porte) - Få en liste på deres servere som skal sende logs ind i correlog. - Ingen AV - Correlog har sin egen Apache Web server så IIS behøves ikke. - IE Esc skal være slået fra og det skal UAC også (I server manager er der en knap som skal stå på off, ved IE) - IP et som tildeles til correlog skal være static og ikke dynamic Altså Serveren skal have en fast IP og der skal være åbent for ping, snmp, udp port 514 og TCP port 55514 (eller FW skal være slået fra). - Netværksdevices skal rette deres syslogs mod Correlogs IP og serveren skal have en Correlog agent installeret som omdanner - Sørg for at du har administrator rettigheder!! 2.Vi skal en liste med IP adresser for alle de servere som skal ind i Correlog så vi kan få opdateret Adressegrupperne i Correlog med følgende lister - Domain Controllere SQL Servere, Print Servere, Fil Servere, AV Servere, Mail Servere m.m. Tip: Lav navne om fx alt hvad der indeholder noget med logon kalder vi Authentificaion ( Auth: ). En anden eksempem kan være: Active Directory som skrives som AD: Så vi deler I grupper som giver mening (vi kan se de grupper som vi opretter i View Groups) 2
1- Få IP af kunden til de servere de vil sende logs fra 2- Log ind på serveren 3- kunden logger ind med sine credentials (eller du gør hvis de har givet dig en admin rettighed til at tilgå alle deres servere) 4- Slå User Account Control Settings fra (husk og slå det til igen hvis det er sådan kunden havde det oprindeligt/vil have det): dette gøres således: Control Panel user accounts åben change user account control settings skift fra Always notify til never notify 5- Sørg for at se om der er en static/fast IP. I window 2012 og 07 er det på følgende måde: Inde på serveren højreklik på netværksiconet i højre hjørne open network and sharing center klik på ethernet eller local area connection (forskelligt hvad der står fra sted til sted) se billede: åben properties klik internet protocol version 4 (TCP/IPv4) (se billede) 3
properties sørg for at det er use the following IP address som er krydset til og ikke obtain an IP address automatically (se billede): 6- Sørg for at firewall er åben så correlog kan fungere. Du kan ping denne for at se. Inde på serveren åben en cmd og ping IP adressen på kundens correlog server: cmd ping INDTAST IP hvis der svares med reply from. så er alt ok (se billede) 4
hvis der ikke svares så skal du er det fordi firewallen hos kunden ikke tillader kommunikationen og du skal: højreklik på netværksiconet i højre hjørne open network and sharing center i venstre hjørne åben window firewall turn windows firewall on or off klik turn off windows firewall (se billede) 7- Download evt. classic shell 8- Se på om der er dedikeret plads nok til correlog på c-drevet? Hvis ikke så bed kunden om at give mere plads. Efter han har givet mere plads skal du hen på correlog serveren og opdatere server manager computer management storage højre klik på Disk Management (local) og refresh. Så kører du en process efter dette next next next men spørg evt. om kunden ved hvordan dette er? 9- Download af Correlog: 5
10- Download correlog fra evt. vores egen hjemmeside. Efter denne har du en folder som hedder Correlog på c drevet (evt.) 11- Læg kundens licens Auth ind under drevet correlog config (SLET?)eller fra usb co 5 5 0 (auth filen) i mappen Correlog 5.5 (kan også gøres efter skridt 8). Følg instruktionerne og finish der oprettes en correlog icon på skrivebordet klik og log ind med Admin Admin. 12- Kopier Adaptors: copy den fil vi hos draware har lavet correlog source fra din usb over til kundens c-drev (eller det drev hvor correlog folderen ligger). Du kan kopirer fra din usb til kundens server således: Få tilgængelighed til drevet: Start søg \\INDTAST KUNDES CORRELOG IP HER\c$ (husk og ændre c$ til d$ hvis det er d drevet correlog ligger på). Kopirer nu folderen correlog source fra usb til den folder som popper up (kundens correlog server) (dette kræver at du lige angiver login og psw.). Alternativt kan du hente disse adaptors via adaptors list links i din email fil eller fra home knappen i correlog web. (husk og stoppe correlog framwork service). 13- Gå nu til correlog serveren stop correlog framework og unzip alle co-xxxx filerne (run as admin). Køre så service pakken som hedder co-5-5-0-sp4 (version 4, husk det skal være seneste version) altså den som ser sådan ud properties unblock OBS: Det kan være du skal højreklikke 14- Install Correlog agenten: Installere wt agenten på correlog serveren også (læg den i samme folder som adaptorne) fra correlog home knappen. Next next next ting hvor vindue åbnes indtast correlog IP (kundens) (husk og tryk unblock fra, ved højreklik og properties). Check evt.: Ping IP (cmd) for den/en device som jeg har sat ind for at se om alt er fin 6
15- Tjek om correlog web virker ved at gå til IP adressen/localhost og se More sysinfo se i bunden om der fx står hvidovre kommune (kundes navn). Ellers er licensen ikke rigtigt lagt ind. 16- Threads/regler: Vi skal nu have loadet Drawares regler ind på deres Correlog Server. Put USB i og tag en kopi af mappen med de nyeste regler sæt dette ind på kundes fjernskrivebord under C- drev Correlog Config $templ. Hvis du ikke kan copy past direkte så brug \\INDTAST KUNDES CORRELOG IP HER\c$\correlog\config\$templ Gå så ind på correlog under Correlation Config+ LoadFrom Load så vores regler Test correlog regler: Test correlog AD regler ved og bede kunden om at lave en test account og lav følgende: 1- login til en server, enable accounten, disable accounten, og lav 3 failed logon (for at locke accounten og fange threaden account was locked out) 17- Dashboards: Læg dashboards ind på samme måde fra din usb ind på deres Correlog dash config folder. Du kan nu se dem i correlog web ved og refresh. 18- Oprette Address Groups: Nu skal vi ind Correlations config Address groups og oprette adresse grupper (der er nogle per default) og derefter indtaste IP adresse på fx deres devices fx Domain Controller (husk de kan have flere). Få IP adressen fra dem og sæt den ind under @@Active directory_servers@@. Hos Vallensbæk kommune har de følgende: 7
19- Oprette Thread Groups: 20- Match Threads til Thread Groups: Husk og gå ind på alle threads/regler og matche til den gruppe de tilhører. Altså Edit på alle reglerne og: Match IP Addr/Group (fx skal alle vores AD: regler browses til @@Active_directory_Servers@@ så altså gør følgende: 21- Installere agenter på noder: Nu skal vi rette devices/noder til correlog Få adgang til fjernskrivebord (mstsc) og log ind på deres nodes skrivebord (fx DC) Husk det kræver at de har givet dig en admin bruger (ellers må de gøre det). Når du er inde på serveren/noden kan du nu downloade agenten via en browser og correlog home. Alternativt kan du også downloade agenten fra din USB over på serveren. Efter wt install på noden, gå til correlog web og se om devicet/noden rapporterer ind. Ændre så dets navn til noget mere forståeligt og tryk på DNS lookup + giv navn og gruppe. OBS OBS. Hvis en device ikke dukker op er det måske Firewallen som blokerer dette. Her skal du enable at firewallen kan sende syslogs - Gå tilbage til fjernskrivebordet på noden/devicen og log af (husk og IKKE trykke på ok til automatiske opdateringer hvis sådan en dukker op!) 8
- Næste device.. OBS OBS. Hvis du installerer en device som har en windows 2012 så disconnect og ikke shut down OBS OBS. ved install af printer server skal der enables flere logs end bare det som det er sat til. Gå fjernskrivebord til serveren Gå til server manager diagnostics windows logs print servers højre klik på 1)admin og 2)operational og enable begge. 22- Agent på Printer servere OBS: Ved print servere gå til messages catalogs devices (find printeren) device info Remote agent config Wizard event log: sæt ind printserver/admin og printserver/operational hvor default facility I begge= printer finish (dette gør at logs fra printeren kommer ind (fra ovenstående) 23- OBS OBS: ved ESX servere (Hypervisorer) (fordi disse er Unix) skal der enables Deamon så de (kunden) skal selv enable dem til at kunne sende logs. Så der skal ikke installeres en wt agent på denne men kundens medarbejder gør selv at der bliver sendt logs derfra indtil correlog (hvis du giver ham IP adressen). Det eneste du skal gøre, efter de har sat dette op er at ændre device name og info i correlog web. Tip: Du kan tilføje device type selv hvis en gruppe ikke findes i listen, dette gøres vidst under admin. 24- Ændre DC/AD group policy logs: HUSK: sørg for ved AD relaterede noder (fx DC) så skal kunden slå det funktionalitet til som generere logs for hver gang nogen logger ind i AD. Dette gøres i deres Group Policy og tit skal vi selv gøre dette da kunden ikke selv ved det. Derfor få login til deres AD. Evt. kig på google for at finde ud af hvordan man laver AD Ændringer på Audit policy /kig på billedet nedenunder eller gør følgende (dog ikke helt præcist fremgangmåde): Åbn Default Group Policy Group Policy Management editor I AD et computer configuration ændre i Local policies audit policy (højreklik på alle i listen og tick success og failure af. Eller følg denne fremgangsmåde: On the computer, click Start, point to All Programs, click Accessories, click Run, type rsop.msc in the Open box, and then click OK. Expand Computer 9
Configuration expand Windows Settings expand Security Settings, expand Local Policies and then click Security Options audit policy. Samme laves på Audit policies account logon, Account management, DS Access osv. Husk det er under Remote agent config vi kan se hvilke logs en server giver! Messages catalogs devices højre klik på device info remote agent config, Hvis ovenstående ikke virker så prøv følgende: På serveren kør gpmc.msc group policy management editor default domain policy computer configuration policies windows settings security setting 10
OBS!: husk og ændre policies både generelt policies for alle servere men også for selve domain controller serveren. Derefter skal du Force ændringerne igennem via cmd åben cmd gpupdate/force (på serveren). Alternativt kan du gøre følgende: go to start run type gpedit.msc computer configurations windows settings security settings advanced audit policy configuration object access Ovennævnte er fin til trial opsætning. Til rigtig installation (og i nogle tilfælde til en trial opsætning) skal du tilføje følgende: 25- Gå til correlog web og ret følgende i Systems prefs og sæt følgende således: - initial list count = 200 - Screen auto refresh = 1,5 min - email= kundens email 26- Gå til Systems parms og sæt følgende således: - CGI timeout seconds = 90 - CGI process priority = high - Display Time format = %d %b %Y (stort Y) 27- Gå til Messages config Parms og sæt følgende således: - Keep archived data =365 - Keep online data =90 - Max search time = 90 -SNMP utility path = skal være = deres community string 11
(The SNMP Read-Only Community String is like a password. It is sent along with each SNMP Get- Request and allows (or denies) access to device. Most network vendors ship their equipment with a default password of "public". (This is the so-called "default public community string".) Many network administrators change the community string to keep intruders from getting information about the network setup) 28- Gå til Messages catalogs devices og sæt følgende således: (skriv deres community string ind igen) dette skridt er ikke absolut nødvendigt. 29- Gå til systems SMTP og sæt følgende således: - Authentication type = None - Ret email: til correlog(at)kundens email.dk - Max email per hour = 50 - Email signature text = email fra correlog + IP - SMTP server IP address (tjek hvad denne står til, skal helst være kundens) 30- Gå til systems logins og sæt følgende således: - Ret mail info heri til deres - lav en user til os selv info(at)draware.dk 31- På correlog skrivebordet gå til deres correlog mappe (der hvor den ligger) og højreklik og share with specific people administrators 32- Installere LDAP adaptoren: Gå til correlog fjernskrive bord, download adaptoren herfra https://correlog.com/download/co-5-5-1- ldap.exe, gem filen der hvor du har gemt de andre exe. filer. Stop Correlog services Run as administrator unzip filen start Correlog services igen se om LDAP nu vises i correlog web under Systems. LDAP downloades for at man skal kunne se AD brugere og grupper. Når installeret så gå til Correlog web Systems LDAP Edit Enable commit generate report. Når færdigt så kan du se alle users / groups i Active Directory hvis du kigger under users eller groups Du skal derefter lave grupper således fx: 12
33- Sæt deres admin brugere ind i @@administrators@@ feltet 34- Opret brugere: System logins users (opret brugere) 35- Sæt SMTP settings Correlog Installations dag start snak Start dagen med et møde med dem hvor du starter og kommer ind på følgende: 1- Vis kunden de to pdf filer på vores hjemmeside vigtigt, om brugen af correlog og correlog gadgets explained og evt. gem disse på deres correlog server. 2- Logs bliver indsamlet og gemt i 2 buffere: - Komprimeret og ikke komprimeret (tal om dette) 3- Snak om more i højre hjørne og snak evt. om user manuals og sitemap og om sys info (der hvor der er angivet info om versionen og fri disk plads) (der er en faldgruppe her, hvor folk tit laver fejl: installere correlog på det rigtige server) 4- Vis messages og snak om det og alt som kommer ind er Syslogs (også selvom det ikke er windows fordi vi netop har en agent som oversætter til syslogs). Syslogs har severity og facility, hvor vi ikke kan lave om på severity men på facility. Facility= hvad mine logs vedrører og severity = hvor alvorlig mine logs er) 13
5- Vis messages og snak om devices 6- virker (der bliver ikke vist noget). Derfor bruger man forensic query (her kan man søge på alt!) vis hvordan det kan bruges FAQ: Hvordan kopirer jeg dashboard fra en installation til en anden? Kopiere filerne fra Correlog serveren under Correlog dash config på usb og læg disse i samme folder i kundens folder. Du vil derefter kunne se disse i correlog web under Dashboards og select tabs fanen hvor du vælger vinduer. Hvordan stoppes services: Fejlmeddelelse can t create output file.. Dette er fordi du skal slukke correlog imens du unzip er disse filer. Dette kan gøres på to måder. Den nemmeste metode er at gå ind på startknappen og trykke på Start and Stop Services. Tryk på denne. Der kommer en error vindue frem som fortæller at du skal slukke for User Account Control. Dette gøres ved at trykke på services (se billede) - hvis du ikke kan finde server manageren så søg på den i start ved at skrive services 14
Find derefter i listen CorreLog Framework og tryk stop the service (se billede) Nu er Correlog stoppet og du kan begynde og unzip alle filerne i mappen Correlog 5.5. (HUSK RUN AS ADMINISTRATOR) og du følger bare download instruktionerne. Når alle filer er unzipet og downloadet tænd så servicen igen. Husk også at downloade windows syslog agent package fra Correlog home knappen. Hvordan downloades wt agenten? Download windows agent: Se side 8 I CO-Install.pdf (du skal tilgå den specifikke platform og gå ind til den installerede Correlogs IP også installere pakken i Home knappen. Enable tcp ved at køre co-trecv.exe og installere co-sysmsg.exe på hver windows node som vi vil have skal sende messages (co sysmsg findes i local disk (C fx) correlog wintools co-sysmsg.exe To receive messages, you must redirect the Syslog servers of your Unix boxes, your Cisco routers, and / or install the Win32 Syslog Utilities, found in the system directory of your installation. In particular, you should install the CO-sysmsg.exe service on each Windows box you plan to manage, as discussed in Section 2 of this manual. This will allow CorreLog to manage your Windows event logs. Når du har installeret Correlog Serveren kan du fra forsiden af Home page downloade logagenten der bruges til at omdanne Windows eventlogs til syslogs og sende dem in i Correlog serveren kaldet WT Agent. Dertil hører en dokumentation som du finder i WT-MANUAL.PDF. 15
Hvordan kan jeg se hvilke logs en server giver til correlog? Under Remote agent config messages catalogs devices højre klik på device info remote agent config - På selve serveren finder du event viewer og vælger de relevante mapper og lægger dem I remote agent config og laver en log identifier. Hvordan får jeg logs ind fra UNIX/Linux og L2/L3 devices? I skal tage stilling til hvilke netværks devices som skal i Correlog. Hvad angår L2/L3 switches så er det ikke et problem men pas på med firewalls! Der skal blot laves en ændring i disse devices så de peger Syslogs mod Correlog serveren og skal Correlog serveren kunne lave en SNMP get request mod disse devices (lidt som i SolarWinds) for at få device information (ikke noget med overvågning). Hvordan får jeg logs ind fra ESX servere? Hvis i gerne vil have ESX logs ind i Correlog så skal I konfigurere ESX serverne via vcenter til at sende syslogs mod Correlog. Hvordan får jeg vist device name hvis DNS lookup ikke giver noget resultat? Hvis du kan se at en device ikke har et navn (messages/devices) og DNS lookup ikke giver noget navn tilbage/resultat så på samme fane trykkes Yes til display SNPM values commit og vent lidt til at felterne bliver fyldt ud. Tag så navnet som den har fundet og angiv den til devicen og til sidst save. 16
Hvordan enabler jeg Remote agent config via Correlog web? I samme fane som ovenover Hvordan tilpasser jeg hvad en bruger skal se først (intial dashboard screen), span days m.m? System prefs edit Hvorfor er LDAP relevant? Den synkroniserer med AD så man ikke skal taste sine brugere ind når der er sket ændringer i AD Hvad viser følgende rapporter: - Audit: # Perimeter: Liste af alle IP er detected af firewallen # Account Management: Changes detected by AD with regard to adding, modifying and deleting users and user groups. Brugbart hvis der er compliancekrav til at man viser changes I AD. Hvordan flytter jeg en correlog installation fra et drev/folder til et andet drev/folder? Ved fejlplaceringsinstallation skal vi flytte (copy) de filer som hedder: - Catalogs, Archive, Logs, Config templates og Dash fra den gamle folder til den nye folder/placering og paste/indsætte. Slet så ovenstående filer fra den gamle placering. 17