Correlog Server. Vigtig information om Correlog Server

Correlog Server Vigtig information om Correlog Server Draware A/S beskriver her der vigtigste elementer du skal være klar over ved installationen og driften af din Correlog Server. Det er VIGTIGT for en kontinuerlig drift uden problemer at du har læst og gjort dig bekendt med alle punkterne i dette dokument. Du er altid velkommen til at kontakte Draware A/S på www.draware.dk, info@draware.dk eller på telefon +45 45 76 20 21. God fornøjelse med Correlog! 4-11-2015

Nyttige informationer om brugen af Correlog Indhold Hvordan virker min licens til Correlog?... 2 Hvad er nyt i den nyeste version af Correlog?...3 Hvilke services kører Correlog under?... 4 Hvordan opgraderer jeg Correlog til en nyere version?...5 Hvordan opretter jeg en support sag?... 6 Hvor finder jeg dokumentation til Correlog... 7 Hvor meget fylder mine log data?... 8 Hvordan opretter jeg en ny log node?... 10 Hvad er arbejdsgangen i Correlog?... 11 Kan jeg flytte Correlog installationen til en anden maskine?... 12 Skal jeg tage backup af Correlog?... 13 Hvordan konfigurerer jeg Correlog agenten?... 14 Hvilken gadget skal jeg vælge for at vise mine data?... 15 Hvordan virker søgningen i Correlog?... 16 Hvad Correlog professorternings funktionen Analyze?... 18 Hvad er en adaptor?... 20 Hvad er en Thread?... 21 Hvordan formaterer jeg mine e-mails fra Correlog?... 22 Hvordan søger jeg i ældre data?... 23 2015 Draware A/S Side 1 af 24 www.draware.dk

Hvordan virker min Correloglicens? Din Correlog licens ligger i filen AUTH.TXT som skal kopieres til folderen Correlog\config. Derefter skal du genstarte Correlog services. Når du ser på web interfacet står der i nederste linje hvem licensen er udstedt ti log hvornår den løber ud. Din licens dækker følgende: 1. Et max antal noder som sender logs ind i Correlog 2. Et max antal brugere som kan registreres i Correlog 3. Et max antal bytes som kan arkiveres pr. dag. Det er udelukkende antallet af noder der betales for men det er gratis at få en ny licens der dækker et større antal brugere og / eller større mængde af data der kan arkiveres pr. dag. Licensbetingelserne kan du se i filen CO-LICENSE.DPF der ligger i S-DOC folderen. Proceduren for at registrere din licens i din Correlog installation finder du i dokumentet license-procedure.pdf der leveres med din licens. Bemærk at din Correlog licens er en ejelicens hvor til der hvert år skal betales et maintenance fee på 20% som dækker teknisk support og produktopdateringer. Hvis du gerne vil se hvor belastet din Correlog server er, skal du bruge følgende gadget kombinationer i dit Dashboard: 1. Gauge-Loading-Gadget / Device Delay / Summary 2. Gauge-Loading-Gadget / Correlstion Delay / Summary 3. Gauge-Loading-Gadget / Qued-Actions / Summary 4. Gauge-Loading-Gadget / Daily Messages / Summary 5. Graph-Message-Rate-Gadget / Summary 2015 Draware A/S Side 2 af 24 www.draware.dk

Hvad er nyt i den nyeste version af Correlog? Hvis du går til http://support.correlog.com og kigger under announcements vil du se et link kaldet New Correlog Server Version 5.x.x. now available for download. Du kan på vores hjemmeside http://www.draware.dk/producent/correlog/produkt/correlog-server/ til højre i siden selvfølgelig også læse om nyeste versioner. 2015 Draware A/S Side 3 af 24 www.draware.dk

Hvilke services kører Correlog under? Der er to Correlog services: 1. Correlog Framework Service 2. Correlog Syslog Service Begge skal køre når Correlog er i drift og begge skal lukkes når du opgraderer eller installerer nye adaptors. Den medfølgende Correlog Start and Stop Correlog Services funktion virker normalt kun når du kører den som administrator. 2015 Draware A/S Side 4 af 24 www.draware.dk

Hvordan opgraderer jeg Correlog til en nyere version? 1. Klik på More / Sys info i toppen af Correlog og se den version du har nu. I skrivende stund (November 2015) hedder den 5.5.4 2. Brug følgende link til at hente den nyeste version. På denne side kan du se hvilken version som du kan downloade og som følge deraf er den sidste version. https://correlog.com/purchase/free-trial-download-rcpt.html 3. Stop Correlog syslog service og framework service 4. Eksekver download filen (du skal evt. højre klikke på filen og vælge properties og unblock ) ved at højre klikke på filen og vælge Run as Administrator. 5. Pak filen ud i Correlog folderen (Normalt c:\correlog) og følge instruktionerne. 6. Hvis du har problemer med at genvælge port 80 så kontakt Draware. 7. Sikr dig at Correlog syslog og framework er startet og start så programmets web UI. Når du har logget dig ind kan du kontrollere den nye version som vist under punkt 1. Bemærk: Kun i meget sjældne tilfælde vil en opgradering betyde at du også skal opgradere versionerne af alle de agenter de ligger på Windows endpoints og sender logs til Correlog. Til gengæld skal du opgradere alle de adaptors du har installeret. Du findes en beskrivelse af disse på forsiden Home Page af Correlog og på følgende link: https://correlog.com/support-public/co-adapters.pdf 2015 Draware A/S Side 5 af 24 www.draware.dk

Hvordan opretter jeg en support sag? Det nemmeste er at skrive en e-mail direkte til support@correlog.com men du er også velkommen til at lade Draware A/S håndtere dette for dig ved at skrive en mail til support@draware.dk Husk at inkludere information om din nuværende Correlog Server version (More / Sys Info i øverste højre hjørne af skærmen). Hvis du kan skrive dit spørgsmål på engelsk er det nemmest for os, men skriver du det på dansk så oversætter vi det bare. No problem! Svartiden er indenfor 24 timer. 2015 Draware A/S Side 6 af 24 www.draware.dk

Hvor finder jeg dokumentation til Correlog Når du installerer Correlog laver installeren en folder der hedder S-DOC i Correlog biblioteket hvor alle dokumenter ligger i.pdf format. Fra Home menuen i Correlog kan du nå de vigtigste dokumenter der bl.a. tæller User Reference Manual. På Draware hjemmeside (www.draware.dk) http://www.draware.dk/producent/correlog/produkt/correlog-server/ finder du en mængde information om Correlog og du kan finde alle vores træningsvideoer på YouTube playlisten https://www.youtube.com/playlist?list=pl685a0f4257da5d4f Beskrivelsen af alle plug-ins til Correlog kaldet adaptors finder du enten på Home menuen i programmet eller under følgende link: https://correlog.com/support-public/co-adapters.pdf Producentens supportside hedder http://support.correlog.com og finder du nyttig information om support relaterede emner. Vil du gerne vide hvilke nye funktioner der er introduceret i den nyeste Correlog version skal du på support hjemmesiden klikke på linket CorrelogServer Update og derefter på CHANGES.txt i bunden af skærmen. Det nemmeste er at se i folderen S-DOC i Correlog biblioteket på din Correlog server. Her ligger alle dokumenterne i PDF format. Du kan også nå de vigtigste dokumenter direkte fra Home Page i Correlog s web interface. Du kan også finde en masse videoer på youtube.com om Correlog. Fx denne playliste: https://www.youtube.com/playlist?list=pl685a0f4257da5d4f Eller: https://www.youtube.com/user/correlog 2015 Draware A/S Side 7 af 24 www.draware.dk

Hvor meget fylder mine log data? Det kommer naturligvis meget an på hvor mange devices der logger data til din Correlog server og specielt på hvilke typer af devices. Specielt Firewalls, Domain Controllere og Layer-3 netværks devices kan logge flere gigabytes pr. dag. Din Correlog server er licensieret efter antallet af devices der logger data, men den er også begrænset i mængden af data den kan modtage pr. dag. Hvis du chekker More / Sys info / License Type kan du se hvor mange data din Correlog server kan modtage pr. dag. Hvis grænserne (undtaget antallet af devices) er for små kan du gratis få en større licens ved at henvende dig til Draware. Dette gælder Max bytes pr. dag og Max Users totalt. Ønsker du at monitorere hvor mange data du logger pr. dag skal du bruge et dashboard med den gadget der hedder Gauge-Loading-Gadget og typen Daily- Messages. Sørg gerne for at vælge visningen som Summary for der står det tydeligt hvor mange data du logger under Current Value. Hvis du ønsker at se hvor mange brugere du har registreret i systemet skal du vælge Messages+ / Catalogs+ / Users. Scroll ned til bunden af skærmen. Her står total # users. Correlog gemmer indekserede men ikke komprimerede data i folderen Correlog\logs mens de arkiverede data gemmes i folderen Correlog\archive. Hvor mange dage der ligger i disse folderen bestemmer du ved settinges under Messages+ / Config+ / Parms. Det er MEGET vigtigt at du lader din server overvågning måle på mængden af fri diskplads på din Correlog server så du undgår at serveren løber fuld. Correlog serveren monitorerer dog selv mængden af fri diskplads ( More / Sys info / Free Disk Space ) og kommer dette tal under 95% så vises en Advisory om low disk space ( Advisory / Advisory Preferences / Log Disk Storage Approaching Full eller Archive Disk Storage Approaching Full ). Men for at få disse på en mail disse skal du have sat alarmer for dem Hvis du vil begrænse dine datamængder kan du specificere at dine devices fx ikke skal sende syslog DEBUG severity messages ind i Correlog eller specificere at bestemte logs skal pipes uden om Correlogs correlation engine til en bestemt 2015 Draware A/S Side 8 af 24 www.draware.dk

lokation ( Messages+ / Config+ / Filters & Messages+ / Config+ / Parms og External data Path ). Men tilbage til mængden af data. Du kan bruge følgende som vejledende tal, men husk at det kan variere meget! Firewall pr. dag: 1-5 GB Domain Controller pr. dag: 1-2 GB L3 Netværksenhed pr. dag: op til en 1 GB Almindelig Windows Server pr. dag: op til 100KB Du skal også være opmærksom på hvor meget Correlog kan håndtere/ behandle hvilket måles i Events Per Second (EPS). Tallet her er 2.500 og i bursts op til 5.000. Du kan se hvor mange EPS Correlog håndterer i et dashboard med en Gauge- Message-Rate gadget. Sæt Display Mode til Summary og se resultatet under Avg Msgs per Sec. Brug evt regnearket fra dette link til at beregne dit forventede EPS og log storage krav: http://www.draware.dk/fileadmin/draware/eps/eps- DRAWARE.zip 2015 Draware A/S Side 9 af 24 www.draware.dk

Hvordan opretter jeg en ny log node? Det er normalt ikke nødvendigt at oprette en ny node da Correlog automatisk opretter noden når de første logs fra den nye node modtages. Derefter prøver Correlog med en DNS reverse lookup, men at dette ikke muligt optræder noden med den IP adresse hvorfra syslogs modtages. Du kan se alle dine noder under Messages+ / Catalogs+ / Devices. Du kan klikke på + ikonet ud for en node og vælge Device Info og derefter Edit Device Info for at redigere i indstillinger, navne mm. Device Types kan redigeres under linket Messages+ / Catalogs+ / Devices og klikke på Advanced knappen og derefter på Edit Device Types og du kan indstille default SNMP community string under Messages+ / Config+ / Parms. Hvis du af en eller anden grund gerne selv vil oprette et device kan dette lade sig gøre under menupunktet Messages+ / Catalogs+ / Devices og derefter AddNew Knappen. Nogle devices er markeret som grønne mens andre er røde som tegn på at det er for længe siden at Correlog serveren har modtaget logs fra dette device. Hvis du vil ændre denne timeout setting skal du gøre det under linket Messages+ / Catalogs+ / Devices og klikke på Advanced knappen. Læk mærke til linket Drop Inactive devices After. Denne setting er vigtig da inaktive devices ellers automatisk fjernes efter 30 dage. Du kan slette et device ved at gå til Messages+ / Catalogs+ / Devices og klikke på Advanced knappen og derefter på Delete Devices By List. 2015 Draware A/S Side 10 af 24 www.draware.dk

Hvad er arbejdsgangen i Correlog? 1. Søg i dine logs for at finde den kombination, der nemmest viser de logs du ønsker. Dette gøres v.h.a. AD HOC fritekst søgning fra Messages+ menuen eller fra Messages+/Advanced eller Search menuerne. 2. Når du har fundet de søgekriterier, der give det relevante logudtræk, skal du skabe en eller flere threads der matcher disse søgekriterier. Dine threads fyldes gradvist med logs efterhånden som logs der matcher dine søgekriterier kommer ind i Correlog. 3. Du kan nu oprette et eller flere dashboards baseret på dine threads og de gadgets der bedst viser indholdet fra dine logs. Her kan specielt Parse funktionen være nyttig. 4. Opret en alarm (Alert) baseret på antallet af logs i en thread pr. tidsenhed eller på en bestemt rækkefølge via triggers. Alarmen fører til oprettelsen af en ticket som er tildelt en bestemt bruger. 5. Baseret på en ticket kan du udløse fx en e-mail så du får at vide når noget skal undersøges på basis af de logs der kommer ind i Correlog. 6. Ønsker du det, kan du også lave rapporter baseret på dine threads som fx Recent user logons eller Failed Admin logons. Husk at fortsætte med oprettelsen af threads da dette er kernen til intelligensen i Correlog og tilpasnings til dine systemer. 2015 Draware A/S Side 11 af 24 www.draware.dk

Kan jeg flytte Correlog installationen til en anden maskine? Det er beskrevet i følgende link hvordan du flytter en Correlog installation men her er de vigtigste punkter: https://correlog.zendesk.com/entries/53051783-i-need-to-move-the-correlog- Server-Installation-to-a-New-Location-Possible- 1. Stop CorreLog Framework Service vær sikker på at alle processer med "CO" er stoppede. 2. Kopier alle filer fra Correlog folderen ti len ny destination. 3. Skift til den nye lokation og kør "system\co-install.exe" programmet. 4. Hvis Apache-TLS serveren installeret skal du også køre "apache-tls\bin\co- Secure.exe" programmet. 5. Omdøb eller slet den gamle Correlog installation. 6. Der kan også være nogen stier i custom alerts, custom actions, eller lokale windows agenter som skal justeres efterfølgende. 2015 Draware A/S Side 12 af 24 www.draware.dk

Skal jeg tage backup af Correlog? Hvis du ønsker at tage backup af dine data skal du tage kopi af folderne Archive og Logs. I S-DOC folderen ligger dokumentet CO-BACKUP.PDF I dette dokument beskrives også hvordan du genskaber disse data tilbage i Correlog. Udover archive og logs folderen er følgende foldere også interessant i backup mæssig sammenhæng: 1. CorreLog\config Folder Denne folder og under foldere indeholder kofigurations data fra Correlog hvad angår templates, standarder og checkpoints 2. CorreLog\actions Folder Denne folder indeholder scripts til "Correlation > Actions" 3. CorreLog\c-alerts Folder Denne folder indeholder scripts til "Alerts > Custom" 4. CorreLog\dash Folder Denne folder og underfoldere indeholder informationer som bruges til definition af Dashboards i Correlog 5. CorreLog\graph Folder Denne folder indeholder data til brug sammen med Correlogs Graph viewer 6. CorreLog\t-actions Folder Denne folder indeholder de actions scripts der bruges i "Correlation > Ticket Actions" 2015 Draware A/S Side 13 af 24 www.draware.dk

Hvordan konfigurerer jeg Correlog agenten? Når du har installeret Correlog Serveren kan du fra forsiden af Home page downloade logagenten der bruges til at omdanne Windows eventlogs til syslogs og sende dem in i Correlog serveren kaldet WT Agent. Dertil hører en dokumentation som du finder i WT-MANUAL.PDF. Du kan ændre konfigurationen af agenten direkte inde fra Correlog ved at gå til Messages+/Catalogs+/Devices. Klik på + ikonet ud for et device og derefter på Device Info. Klik så på Remote Agent Config (Dette kræver adgang på UPD port 55514). Du kan nu redigere direkte i Config filen (Directly Edit Remote Agent Configuration File) eller bruge wizarden til at tilføje specifikke logs du gerne vil hente fra den remote server. Indholdet af Agent config filen og de rettelser / ændringer du kan tilføje er beskrevet i WT-MANUAL på side 23 og frem. Blandt de mange mulige kommandoer kan nævnes: 1. MessagePrefix 2. MsgDelayMsecs 3. LogLocal 4. EncryptData 5. MarkerMessage 6. MarkerMinutes 7. LogFile Du kan teste om agenten virker ved på den remote windows maskine at gå til folderen Correlog\WinTools og eksekvere kommandoen: sendlog [IP PÅ CORRELOG SERVER] First Test Message. [SEVERITY] [FACILITY] Du kan også bruge programmet (der ligger samme sted) wsendlog.exe der er et mere venligt Windows UI til afsendelse af testlogs. Der findes også en Silent install version kaldet wt-silent.exe som ligger i folderen S-DOC og kan bruges til masse udrulning af windows agenter. 2015 Draware A/S Side 14 af 24 www.draware.dk

Hvilken gadget skal jeg vælge for at vise mine data i et Dashboard? Gadgets er de individuelle grafiske fremvisninger i et Dashboard. Du kan se en liste med alle gadgets på følgende link http://www.draware.dk/fileadmin/correlog/correlog_gadgets_explained.pdf, men her kommer on oversigt over de vigtigste gadgets. Husk at udgangspunktet for alle gadgets er Threads som du skal have lavet før du vælger en gadget (med få undtagelser). Der findes mange andre gadgets så det er en god idé at gå på opdagelse for at se hvilke muligheder du har. Hvor mange data kommer der fra en bestemt thread? Graph-Thread-Rate-Gadget Hvor belastet er min Correlog server? Gauge-Loading-Gadget Analyse af bestemt indhold i en thread? Parse-Thread-Gadget Analyze-Thread-Gadget Hvordan får jeg vist mine alarmer? Custom-Alerting-Gadget Gauge-Alert-Gadget Hvilke Keywords er de mest forekommende? Keyword-Gadget Forekommer der afvigelser i mængden af logs? Device-Rate-Gadget 2015 Draware A/S Side 15 af 24 www.draware.dk

Hvordan virker søgningen i Correlog? Alle logs der sendes ind i Correlog bliver indekseret og gemt i ukomprimeret form i folderen logs indtil de når datoen for aktivering (se side 2) hvorefter de komprimeres og gemmes i arkiv folderen. Derfor kan du søge efter bestemte logs som fritekstsøgning i Match feltet øverst på skærmen under Messages+. Her kan du bruge tekst i eller logiske operatorer så som AND, OR og NOT. Men også LT (Less), LE (Less Than or Equal To), GT (Greater), GE (Greater then or Equal to), EQ (Equal to), NE (Not Equal To), IN (Something in something else), NOT IN (Something not in something else). Du finder beskrivelse I manualen CO- ADVANCED.PDF. Her kommer nogle eksempler: Successful logon Malware AND Symantec Adobe AND (Not Error) Din søgning i indekserede logs kan gøres mere specifik ved at vælge Advanced linket under Messages+ eller klikke på Search linket i øverste højre hjørne af skærmen. Det er vigtigt at vide et du kun søger i indekserede ord og således kan misse endnu ikke indekserede ord eller misse ord som normalt ikke indekseres så som tal. Hvis du vil lede efter bestemte keywords så kan du klikke på Keyword Index linket og finde det keyword du leder efter. I mere specifikke søgninger kan du også bruge globale variable så som $Address (IP of the device that sent the log), $Username, $Devname, $Facility, $Facnum (Facility number), $Severity, $Sevnum (Severity number 0-7 where 0 is Emergency and 7 is debug), $date, $Wday (weekday some r mon til sun ) og $Time. Ønsker du en mere specifik søgning, så skal du bruge funktionen Forensic Query. Her søger du logs igennem efter specifikt de termer du angiver og der søges i alle logs og ikke kun indekserede ord. Dette tager normalt noget længere 2015 Draware A/S Side 16 af 24 www.draware.dk

tid men det giver også en mere specifik søgning. Når du ser resultatet af en forensic query har du flere muligheder: 1. Søge i resultatet af den aktuelle søgning (Search These Results) 2. Se resultatet af tidligere Forensic Queries (meget nyttigt så du ikke behøver at søge igen) 3. Vise en graf over hvor ofte disse logs forekommer (Graph results) 4. Analyse søgningen for Users, Devices, Facilities og Severities. Du kan også bruge Parse funktionen til at udtrække information fra loggen efter bestemte kriterier. Husk at når du har fundet ud af hvordan du søger efter bestemte data og gerne vil kunne genbruge disse søgninger bør du oprette en thread med denne søgning således at du altid har resultatet af søgningen klar til brug. Du kan bruge værktøjet under More / Expr Tool til at evaluere om dine søgninger giver det forventede resultat. Søgningen i Correlog er forklaret nærmere i følgende YouTube video: https://www.youtube.com/watch?v=cid3vyhetry&list=pl685a0f4257da5d4f 2015 Draware A/S Side 17 af 24 www.draware.dk

Hvad er Correlog professorternings-funktionen Analyze? 1. I Messages+/Search menuen finder du Analyze recent Messages 2. Under Messages+/Catalogs+/Devices og Users og facilities og Severities menuer finder du et lille + tegn ud for hver emne under hvilket du finder Analyze funktionen 3. Det samme gælder under under Correlation+/Threads Når du bruger Analyze kan du med udgangspunkt i Devices, Users, Facilities og Severities frit vælge at fokusere på: 1. Devices. Hvor mange logs kommer der pr. periode fra bestemte devices Fx hvilke Users, Facilities og Severities er associeret med et bestemt device 2. Users. Hvor mange logs kommer der pr. periode fra bestemte Users Fx hvilke Devices, Facilities og Severities er associeret med en bestemt User 3. Facilities. Hvor mange logs kommer der pr. periode fra bestemte Facilities Fx hvilke Devices, Users og Severities er associeret med en bestemt Facility 4. Severities. Hvor mange logs kommer der pr. periode fra bestemte Severities Fx hvilke Devices, Users og Facilities er associeret med en bestemt Severity Når du foretager en analyse med Analyze skal du fortælle Correlog hvor mange entries du vil se og over hvor lang tid. Pas på med at vælge for lang tid ad gangen men eksperimenter dig lidt frem da en analyse over mange dage kan tage MEGET lang tid. 2015 Draware A/S Side 18 af 24 www.draware.dk

Hvis du gerne vil specificere fx bestemte brugere eller bestemte device type skal du enten lave en thread der samler data efter disse kriterier eller brug funktionen Parse Spec som du finder i Analyse menuen. Her kan du angive et søge kriterie for at få udtrukket data af en bestemt type som fx: 1. Login Type: * 2. Security ID:* Du kan få hjælp til parsing kommandoerne ved at klikke på linket Parse Help ud for Parse Spec tekstboksen eller se dokumentet i s-doc folderen CO- PARSE.PDF. Du kan også se YouTube videoen som forklarer Parse funktionen på følgende link: https://www.youtube.com/watch?v=spqhfyp9lg4&list=pl685a0f4257da5d4f 2015 Draware A/S Side 19 af 24 www.draware.dk

Hvad er en Adaptor? Du kan udvide funktionaliteten i Correlog med gratis plug-ins kaldet Adaptors som gør det endnu lettere og mere spændende at arbejde med Correlog. Du HENTER dine adaptors ved at bruge de links som er specficeret i dokumentet http://www.draware.dk/fileadmin/correlog/co-adapters.pdf Du kan få et adaptors OVERBLIK ved at klikke på det relevante link i Correlogs web interface på Home page. Du skal normalt STOPPE Correlog services når du installerer en ny adaptor og naturligvis huske at starte den igen når den er installeret. Vigtige adaptors: PING: Lader dig pinge devices og skabe en log entry hvis dette ping fejler SNMP: Lader dig overvåge SNMP MIB objekter og skabe logs hvis noget fejler eller få informationen om bestemte OIDs SNMP-TRAP: Lader dig modtage og fortolke traps SESSION: Ladr dig tracke hvilke brugere der er logget ind i hvilke systemer og logon historik ASSOCIATION: Lader dig tracke hvilke processer der er startet af hvile brugere, hvilke computere en bruger logger ind på mm. WINDOWS EVENT ID: Lader dig analysere Windows Eventlogs Husk at dine adaptors og skal opgraderes når du opgraderer Correlog til en ny version, da alle adaptors også kommer i en ny relateret version. Der findes en udmærket udokumenteret Adaptor som hedder PDF generator. Du kan hente den fra følgende link: http://correlog.com/download/co-5-4-4- genpdf.exe. Denne fil tilføjer en Generate PDF funktionalitet til mange skærmbilleder så det er lettere at få eksportere data til i PDF format. 2015 Draware A/S Side 20 af 24 www.draware.dk

Hvad er en Thread? En Correlation Thread er et filter som altid fanger et udsnit af de logs som kommer ind i Correlog efter de søgekriterier som du har sat op. Du kan fx søge på en kombination af: 1. Fri tekst i logs 2. Logs fra bestemte devices 3. Logs med en bestemt severity eller facility 4. Logs der parses 5. Logs der kommer ind på helt specifikke tidspunkter Du kan begrænse logs baseret på adresse grupper ( Correlations+/Config+/Address Groups ) eller expressions (), Macroer ( Correlation+/Config+/Macros ) og lister ( Correlation+/Config+/Lists ). Og naturligvis også efter Severity og facility. En correlation er det mest grundlæggende i Correlog og bruges i Dashboards, Rapporter, Analyser, Pivots, Alerts mm. Men en thread belaster også din Correlog engine og jo flere du laver af dem jo mere belastet bliver din Correlog server. Derfor kan du dirigere en del af datastrømmen uden om din correlation engine ved at bruge funktionen Messages+/AUX. Det er en god idé at opdele din Threads is Thread groups ved at navngive dine threads som følger: Authentication: Logon Success hvor det første er den overordnede funktion og det der følger efter kolon er delfunktionen som denne thread løser ( Correlation+/Threads/All Thread Groups ). Baseret på en thread kan du udløse en række følgefunktioner i Correlog og du kan læse mere om disse og det naturlige process flow i Correlog på side 17. Du kan både ekspotere og importere threads så de er nemme at dele med andre brugere eller du kan eksportere dem for at have en backup af dine threads. 2015 Draware A/S Side 21 af 24 www.draware.dk

Hvordan formaterer jeg mine e-mails fra Correlog? Dette beskrives på følgende link men herunder finder en outline: https://correlog.zendesk.com/entries/50955775-how-to-change-the-subject-of-e- Mail-Messages- 1. Kopier "t-actions\sendmail.bat" filen til "t-actions\custmail.bat" eller brug et andet navn hvis du ønsker det 2. Rediger t-actions\custmail.bat filen i notepad 3. I CUSTMAIL.bat filen finder du linjen med "Subject:" eller andre keywords om modificerer dem efter behov. Husl at du kan bruge variable fra Correlog 4. Gem ændringerne. 5. Kopier CUSTMAIL.bat tilbage til SENDMAIL.bat eller modificer ticket actions til at referere til CUSTMAIL.bat filen t-actions" folderen indeholder en README.txt fil der forklarer nærmere om at oprette ticket actions og du kan se i "t-actions\template.bat for at se alle de variable du kan bruge. Sidst men ikke mindst kan du se i Correlog manualen sektion 7 under ticket actions for en mere detaljeret forklaring, 2015 Draware A/S Side 22 af 24 www.draware.dk

Hvordan søger jeg i ældre data? Der findes en række forskellige steder i Correlog hvor du kan specificere hvad du søger efter, hvor når søgningen skal starte og hvor langt den skal gå tilbage. Her er de vigtigste beskrevet: 1. Under Messages+/Search kan du specificere AD HOC søgning i indekserede ord og i det første felt (normalt markeret med Today ) angive en start data og i det næste felt hvor mange dage tilbage fra denne startdato du vil søge. Husk også at specificere i det næste felt hvor mange logs du vil returnere i søgningen. 2. Når du i ovenstående skærmbillede klikker på Forensic Search kan du foretage en mere specifik søgning i ALLE logs (ikke kun de indekserede ord) og her yderligere specificere et tidspunkt for søgningen. I feltet Query file type kan du vælge at søge i LogFile, Thread, Archive, AUXfile, Tickets og External filer. 2015 Draware A/S Side 23 af 24 www.draware.dk

3. Du kan søge i logs for et bestemt device, en bestemt bruger, en bestemt severity eller en bestemt facility ved a gå til Messages+/Catalogs+ og klikke på + ikonet ud for det emne du vil søge på og så vælge View All Messages eller en af de andre søge metoder. 2015 Draware A/S Side 24 af 24 www.draware.dk