Hangi izleme yazılımı daha iyi ? Zabbix, Hyperic, Zenoss ? ( Zabbix - 2 )

Kaldığımız yerden devam edelim. Zabbix agentlarının kurulumu da gayet basit. Elle yapılıyor ama basit. Unix türevleri için sıkıştırılmış bir dosya içindeki çalıştırılabilir dosyaları bir klasöre kopyalayıp conf dosyasını da oluşturmak ve daemon'u çalıştırmak yeterli. Windows tarafında ise kendisini bir servis olarak sisteme kaydetme özelliği bulunuyor.

Yönetim sunucusundan kendi PC'mdeki VM ortamına ve NAT'lanmış VM'lerime ulaşmakta ve yönetmekte sıkıntı yaşamadım. Ya da dış ortamdaki sunuculardan kendi VM'im içinde çalışan NAT'lanmış Zabbix sunucusuna erişmekte de sorun olmadı. Yazılım, VM yöneticisinin de imkanlarını kullanarak her iki yöntemle de erişimi destekliyor.

İlginç gelebilir. Bence Zabbix'teki Solaris ve Unix izleme şablonları SCOM'a göre daha fazla bilgi sunuyor. Yani daha fazla kalemde monitor öğesi yazılmış. Bunu görmek değişik geldi.

Yine konsola dönecek olursak, konsol ve grafiklerinden Windows GUI'si ve alışageldiğimiz görünümleri (skin, graphic) beklememek lazım. Grafikler Nagios grafiklerini andırıyor. Önemli olan işlevselliği diyorsanız sorun yok. (-ki bence alışması çok da zor değil).

Benim için en önemli göstergelerden biri olan metin dosyaları içinde belirli kelimeleri veya karakter dizilerini arayarak, bulduğunda alarm üretme özelliğini bu bir günlük çalışmada göremedim (bulamadım). Ancak okuduğum forumlar yapılabildiğini söylüyor.

Kendi izleme kriterlerini yazmak isteyenler için çok gelişmiş, hatta karmaşık sayılabilecek bir düzenleme aracı bulunuyor.

Biraz ilgilenme fırsatı buldum. Bence araştırmak ve yeni bir şey öğrenmek isteyenler için çok keyifli.

Diğer bazı izleme yazılımlarında olduğu gibi coğrafi bilgileri ve haritaları kullanarak kendi haritalarınızı üretmeniz ve izlenecek öğeleri bu harita üzerine yerleştirmek mümkün.

Çoğu kişi önemsemez ama ben denetim (audit) özelliğini de başarılı buldum. Oldukça detaylı bilgi kaydı yapıyor.

Yine sevemediğim bir özelliğine dönecek olursak, Zabbix agent tabanlı çalışmayı seven bir izleme yazılımı. Agent yüklü olmayan sistem, hizmet, port, web sayfası vs. izleme konusunda biraz mızmızlanıyor. Bu çalışmada anlattığım işlemin nasıl yapılacağını bulamadım. Forumlarda da bu konuda dişe dokunur bilgi verilmemiş. Bazıları, SSH scriptleri çalıştırarak yapmaktan bahsediyor ama bunu iki mouse klik ile yapabilecek yazılımlar bu noktada Zabbix'e karşı büyük avantaj sağlıyorlar.

SSH scriptlerinden bahsetmişken, yazılım dış kaynaklı scriptleri çalıştırmaya da imkan veriyor. Yani siz izleme çatısı altında X sunucusuna bir script ile logon olarak, orada bazı kontroller yaptırabilir ve sonucunu Zabbix'e döndürebilirsiniz.

Sonuç olarak, Zabbix'e geçer üstü not veriyorum :) Ancak eminim ki saydığım bazı olumsuz özellikler bu yazılımla ilgilenen bazıları için değerlendirmede daha yüksek önem arzeden noktalardır ve onların değerlendirmesi benimkimden farklı olacaktır. Amacımın yazılımın avukatlığını yapmak olmadığını hatırlatıp, eksiklerim ve bu değerlendirmede hayli sübjektif yorumlarım olabileceğini de bu vesileyle hatırlatmayı gerekli görüyorum.

GUNCELLEME : 2012 yılında yazdığım bu blog yazısının üzerinden çok zaman geçti. Ben de, değer yargılarım da değiştik, bizimle birlikte Zabbix'de çok değişti. :)

Kaderin garip bir cilvesi olarak bugün ; 1,5 yıl önce kurduğum IT monitoring danışmanlık şirketinde en çok talep gören ve istenen ürün Zabbix. 

Aradan geçen 6 yıllık dönem içinde ; blog yazısını yazdığım dönemdeki bakış açımı değiştirip Zabbix'ten umudumu kesmeden üzerinde ısrar etmenin doğru bir seçim olduğunu görüyorum ve bu kararımdan çok mutluyum diyebilirim.

Tüm Zabbix dostlarını beklerim. www.monitoring.world

Hangi izleme yazılımı daha iyi ? Zabbix, Hyperic, Zenoss ? ( Zabbix - 1 )

Elimde açık kaynak izleme (monitoring) yazılımlarının hangisinin daha iyi veya bana göre daha verimli olduğunu anlamak için açılmış bir iş var. Daha doğrusu kendi başıma açtığım bir iş.

Merak işte. :) SCOM 2007 kullandığımız günlerden, bu işi daha farklı ve esnek yapabilen başka bir yazılım var mı noktasına geldim, üstelik ciddi bir SCOM 2007 hayranı iken. Ama dediğim gibi altında merak yatıyor.

Üstelik her daim etrafımda 'abi zabbix daha iyi, yok yahu ben Hyperic'ciyim, bence Zenoss'tur bu işin kralı' gibi bitmez tartışmalar sürerken, ben de kendi görüşümü ; hem de görece sağlam verilere dayanan görüşümü oluşturmak istedim.

Bu yazı dizisine ilk olarak Zabbix ile başlamak istiyorum. Öncelikle ;

http://www.zabbix.com

adresinden tüm belge ve kurulum dosyalarına ulaşabilirsiniz.

Her zaman olduğu gibi nasıl kurulduğunu filan adım adım anlatarak zekanıza ve araştırma isteğinize saygısızlık yapmayacağım. Sadece karşılaştığım güçlükleri nasıl geçtiğimi anlatmak yeterli geliyor bana fikir olarak.

Şimdi de kurulum ;

Kurulum için Zabbix'in sayfasından (SourceForge'a yönlendirilerek) VMDK veya ISO dosyalarını indirmek mümkün. Ancak tar.gz olarak gelen bu dosyayı Windows'ta açarak VMware workstation'a bağlamak isterseniz aşağıdaki hata ile karşılaşıyorsunuz.

Kanmayın. Gerçek değil. Dosyayı alıp bir Unix / Linux makinede açıp içinden çıkan VMDK dosyalarını kullanabilirsiniz. Veya aklınıza gelen başka bir yolu vardır. Ben böyle yaptım ve işe yaradı.

ISO / VMDK'yı Vmware workstationa bağlayıp kurulumu tamamladım. Sunucu kurulduktan sonra konsol login için root:zabbix kullanıcı adı ve şifresini kullanabilirsiniz. Web konsoluna bağlantı için de http://sunucu_adı yazmak yeterli. Web konsolun kullanıcı adı ve şifresi admin:zabbix .

Biraz çalıştıktan sonra aşağıdaki gibi bir konsol görüntüsü elde ettim.

Konsolun yerleşim şeklini ve esnekliğini beğendim. Kutuları sürükleyerek kendi ekran tasarımınızı yapabiliyorsunuz. Ya da bazı istemediğiniz kutuları çıkartıp, yerine istediğiniz özelleştirilmiş kutuları ekleyebiliyorsunuz.

Buraya kadar işler yolunda ama bence sıkıntı agent kurulumlarında başlıyor. Öncelikle, agent kurulumları bu bir günlük çalışmadan öğrenebildiğim ve test ettiğim kadarıyla elle yapılıyor. Bunu bir paket haline getirmek ve ActiveDirectory, SCCM, veya diğer paket yöneticilerine vererek otomatik kuruluma geçmek size bağlı. Her agent için bir conf dosyası oluşturmanız ve bu dosyaya da izlenecek sisteme özgü bir iki bilgi girmeniz lazım. Yani bu noktada kullanacağınız scriptlerin karmaşıklığı biraz daha artıyor diyebiliriz. Ne var hostname'i bulu bunu dosyaya eklemekte derseniz ona da eyvallah. Ama ben toplamda bu özelliğini (zaman kaybettirici) sevmedim.

Ancak sabrınız varsa iyi çalışıyor. Agent kurulumları tamamlanıca hemen iletişime geçti ana sunucu ile ve veri göndermeye başladı.

Yine bir eksi daha, Zabbix sunucusunda agentları elle tanımlamak zorundasınız. Sonrasında da OS veya uygulama türüne göre (SCOM diliyle Management Pack) template'leri atayarak sistemi izlemeye başlıyorsunuz.

Aradaki iletişimin güvenli kanaldan yapıldığına dair bir işaret göremedim. Herhangi bir sertifika kullanmadım çünkü. Agent da öyle aman aman kurulumu olan bir şey değil. Basit bir daemon olarak yerleşiyor sisteme. Bu konuya biraz daha bakmak gerekecek.

Bir çok izleme yazılımında Hollywood filmlerinde NSA, NIST, NORAD, CIA, NewYork belediyesi gibi kurumların pek görkemli izleme sistemlerini ve tüm duvarı kaplayan kocaman video wall'larını görürüz ve özeniriz. Birleri o ekranlara bakıp 'Allah astreoid geliyor' veya 'Jim, borulardaki basınç 5 kat arttı' gibi unutulmaz replikleri söylerler. O ekran tasarımlarının çoğu da gerçek dışıdır ya, neyse. Bizim de böyle olsa diye ağzımızın suyu akar. Ama en basitinden SCOM'un böyle bir özelliği yoktur. Dönüşümlü gelen ekranlar filan. Ama bu sefer, bu yazılımı yapan abiler bunu düşünmüşler. En büyük artı puanlardan birini benden bu konuda aldı yazılım. "Slideshow" olarak belirlediğiniz grafikler , görünümler sırayla ekrana geliyor. Tasarımı kolay. Aferim !.

(devamı gelecek...)


GUNCELLEME : 2012 yılında yazdığım bu blog yazısının üzerinden çok zaman geçti. Ben de, değer yargılarım da değiştik, bizimle birlikte Zabbix'de çok değişti. :)

Kaderin garip bir cilvesi olarak bugün ; 1,5 yıl önce kurduğum IT monitoring danışmanlık şirketinde en çok talep gören ve istenen ürün Zabbix. 

Aradan geçen 6 yıllık dönem içinde ; blog yazısını yazdığım dönemdeki bakış açımı değiştirip Zabbix'ten umudumu kesmeden üzerinde ısrar etmenin doğru bir seçim olduğunu görüyorum ve bu kararımdan çok mutluyum diyebilirim.

Tüm Zabbix dostlarını beklerim. www.monitoring.world

Vodafone Smarttab 10 Android ICS geçişi

Uzun zamandır ZTE tabletim için Vodafone'un ICS Jelly Bean güncellemesini (Android 4.1) çıkartmasını bekliyordum ama bir türlü bu gerçekleşmedi.

En sonunda dün bir teknoloji marketini gezerken 4 çekirdekli ASUS tabletlerin cayır cayır çalıştığını görünce tepem attı ve bir custom ROM ile bu geçişi kendim yapmaya karar verdim. Açıkçası cihaz garantisi filan artık umurumda olmazdı.

Basitçe aşağıdaki sayfadaki yordam bana yardımcı oldu. Ekstra çaba sarfedip root olmaya gerek kalmadan, bir Windows 7 PC yardımıyla tüm süreci başarıyla tamamladım.

Diyebileceğim tek hassas nokta, wiping işleminin mutlaka yapılması gerektiği. Ben sistem tarafındaki wipe işlemini unutunca ICS'in açılış (splash) ekranı saatlerce dönüp durdu, bir umutla belki güncelliyordur diye bekletti beni :)

http://smarttab10.com/smarttab-10-twrp-jelly-bean-kurulumu-ve-otomatik-guncelleme/

CFengine, Puppet veya Chef. Hangisi daha iyi ?

Açık kaynaklı konfigurasyon yönetimi yazılımlarına ilgi duyuyorum bugünlerde. Bu tür kontrol yazılımları her daim cazip ve etkili birer araç olarak görünmüştür bana. Farklı platformlardaki sistemlerde ortak, etkili ve kesintisiz bir konfigurasyon yönetimi yapmanın zorluğunu bilen herkes er ya da geç bu yazılımlara veya bunların ücretli olanlarına başvurmak zorunda hissediyor kendini.

Ancak kullanılmakta olan belli başlı üç üründen hangisiyle çalışmaya başlayacağıma karar veremiyorum. Zamanım da dar olduğu için hepsini teker teker denemek, her birinin yazım dilini öğrenmek ve etraflıca test etmeye zamanım yok. SaltStack, Bcfg2 gibi diğer piyasa oyuncularına da bakmak isterdim ama imkansız.

Bir aralar bu konuya ilk merak sardığımda Puppet ilgimi çekmişti. Ama maymun iştahı mıdır yoksa yine zamansızlığa mı suçu atalım bilemiyorum, bir süre sonra boşladım Puppet'i.

Dolayısıyla kendimi bu konuda neredeyse bilgisiz kabul ederek yola yeniden çıkıyorum.

Bu yazıda, araştırma yaparken bulduğum kaynakları listeleyeceğim. Nasıl ve neden seçtiğim ise başka bir yazının konusu olacak.

CFEngine Web sayfası
https://cfengine.com/community

Chef Web sayfası
http://community.opscode.com/

Puppet Web sayfası
http://puppetlabs.com/

Bazı karşılaştırmalar ve Puppet'i tercih edenler
http://mattcallanan.blogspot.com/2012/03/puppet-chef-cfengine.html
http://bitfieldconsulting.com/puppet-vs-chef

Chef'ten yana tavır koyanlar
http://blog.afistfulofservers.net/post/2011/12/30/cfengine-puppet-and-chef-part-1/
http://devopsanywhere.blogspot.com/2011/10/why-chef.html
http://www.jasongrimes.org/2012/06/deploying-a-lamp-application-with-chef-vagrant-and-ec2-3-of-3/

CFEngine severler
http://cfengine.com/markburgess/blog_order.html
http://www.blogcompiler.com/2012/09/30/scalability-of-cfengine-and-puppet-2/
http://uberblo.gs/2012/06/cfengine-bcfg2-chef-and-puppet
http://my.opera.com/marcomarongiu/blog/2012/06/17/why-i-gave-up-puppet-and-chose-cfengine-3
https://cfengine.com/manuals_files/SpecialTopic_Comparison.pdf

"Bunların hiç biri bir işe yaramaz" diyenler
http://www.kev009.com/wp/2012/01/configuration-management-software-sucks/

Ortada kalmış, kafası karışık bir forum değerlendirmesi
http://news.ycombinator.com/item?id=3090800

Başka forumlar, başka fikirler

http://www.geekzone.co.nz/forums.asp?forumid=86&topicid=103184

Ürünlerinin ortaya çıkış sıralaması hakkında bilgi
http://verticalsysadmin.com/blog/uncategorized/relative-origins-of-cfengine-chef-and-puppet

Nexpose Community Edition, zayıflık tespit yazılımı.

Nexpose Community Edition, bir süredir test etmek istediğim zayıflık raporlama araçları arasında yer alıyordu. Kısmet bugüneymiş.

Nasıl yüklenir, nasıl çalıştırılır kısmına hiç girmeyeceğim. Kurdum, çalıştı. Gayet başarılı.

Kurulumdan sonra yaklaşık 20 gün kadar yazılımı ihmal ettim ve kapalı kaldı VM makinem. Sonra Nexpose'yi tekrar ateşlediğimde hatırı sayılır bir süre sistemin kendini, zayıflık imzalarını güncellemesini beklemek zorunda kaldım. Bu duruma dikkat etmek gerekiyor test yapıyorsanız. Gerçek ortamda bir zayıflık tespit sisteminin kapalı kalacağını sanmam.

Sistem, bu güncellemeler sırasında bayağı kaynak kullandı. O sırada web yönetim arayüzünü açmanıza da izin vermiyor.

Bu işler bitince girebildim sisteme ve kullanmaya başladım.

Öncelikle şunu söylemeliyim ki, sistemin ana öğeleri olan ; üzerinde çalışılacak sistemler , network, tarama tipi, gerekli logon hesapları gibi parçaların kurgulanması ve yerleştirilmesinde bir sistematiği var Nexpose'nin. Bunu başarılı bulduğumu söylemek isterim.

Ancak Community edition'ın kullanım alanını çok kısıtlamışlar. 30 host / IP'den fazlasına izin vermiyor. Üstelik limiti aşarsanız eskileri silmeden de yenilerini ekleyemiyorsunuz. Bu anlamda Nessus Home Feed biraz daha esnek gibi.

Elbette yeni oyuncakla biraz oynadım, kurcaladım. Yukarıdaki özelliğini de beğendim. Oluşturduğunuz bir host grubunun zayıflık durumunun gidişatını (trend) takip edebiliyorsunuz. Bu iyi bir özellik. Bence her zayıflık tespit yazılımında olması gereken bir ana sayfa grafiği.

Aynı durumu gösteren başka bir ekran görüntüsü.

Güzel bir özellik daha. Bulduğu zayıflığın hangi araçlarla suistimal edilebileceğini merak ediyorsanız, tarama sonrası sonuç raporunda bunu da gösteriyor.

Ancak aynı anda iki tarama başlattığımda sunucumun CPU kullanımı oldukça arttı. 2 GB RAM ve 1 CPU olan bir VM sunucuda çalıştırıyorum Nexpose'yi.

İyi özelliklerinin yanında başka bir sıkıntılı durum. Windows 2008 olduğundan emin olduğum sunucuyu Lancom LCOS olarak tespit etmesi veya Windows 2008 sunucularını Windows 7 Enteprise olarak adlandırması. 

Bunun dışında raporların görüntüsü biraz zayıf ama içerik değil, görsel olarak.

Diğer yandan risk faktörünü hesaplarken çok esnek imkanlar veriyor.

Yaklaşık bir günlük bir test sürüşü yaptım ve genel olarak üründen memnun kaldım. Ancak şunu söylemeliyim ki Nexpose'nin Enterprise sürümü 6,000 $ civarında bir lisans bedeliyle geliyor. Rakam oldukça yüksek. Diğer yandan da Community Edition ise adminin elini kolunu bağlayacak kadar sert kısıtlamalarla sürülmüş piyasaya. Bu durumda kullanıcının keyfi biraz kaçabilir ama ürün yine de iyi geldi bana. Muhtemelen çalıştığım ürün setine katacağım ve elimin altında bulunacak.

Bu yüzeysel 1 günlük testin sonucu olan değerlendirmenin ardından, bir süre kullanarak elde edeceğim diğer deneyimlerimi ise başka bir yazıda yayınlamayı planlıyorum.

Security Onion testleri

Açık kaynak NIDS / HIDS yazılımlarını araştırırken yeni farkettim bu yazılımı. Adı Security Onion. Bilinen araçları tek bir çatı altında entegre etmeye yönelik çalışmalardan biri daha. Splunk sayfalarını karıştırırken rastladım ve test etmeye karar verdim.

Öncelikle bilgilendirme, belgelendirme. http://securityonion.blogspot.com/ sayfasından yayınlanıyor. Malesef yeterince bilgi ve ilgi yok. Geliştiricilerin çok iyi niyetli çabaları ve kendilerinden beklenmeyecek kadar net belgelendirmeleri var ancak etrafında gelişen bir topluluk olmayınca, yeterince bilgi üretilemiyor.

Kurulum. Ürünü ISO olarak indirdim ve Vmware 8 workstation üzerine kurulumu gerçekleştirdim. Hem canlı CD olarak kullanılabiliyor, hem de çok kısa sürede diske kurulum yapılabiliyor. Her iki durumda da başarılı.

Kullanım ve amacına uygunluk. İçinde genel bir Snort yöneticisi olan Snorby, Squert gibi genel bir dashboard ve olayları izleme ekranı ve de Squil gibi gerçek zamanlı bir olay izleme ekranı ve elbette OSSEC'i veriyor. Her biri de başarılı araçlar. Bu ağır topların haricinde, GUI'de her güvenlik denetçisinin ve meraklı uzmanın ihtiyacı olabilecek tüm 'swiss army knife' araçlar bulunuyor. Elbette kullanmasını, faydalanmasını bilen için.

Test hedefim. Amacım daha çok OSSEC ağırlıklı bir çalışma yapmaktı. Öncelikle HIDS testlerimi tamamlayıp daha sonra SNORT ve paket trafiğini yakalama, analiz etme aşamalarına geçerim diye düşünüyordum. Ancak daha bu aşamada test benim açımdan başarısızlıkla bitti. Nedenlerini şöyle açıklayayım.

Snorby, görüldüğü üzere ; üzerinde çalıştığı sunucudan oldukça başarılı şekilde ağ verisi topluyor ve işliyor. Bu yüzeysel testte gördüğüm hiç bir sorun yok. Üstelik verinin detayına kadar inebiliyor ve izleyebiliyorum.

OSSEC. SO sunucusunun üzerindeki OSSEC de sorunsuz çalışıyor. Herhangi bir OSSEC agentını bu sunucuya yönlendirmek ve kurmak standart OSSEC prosedürleriyle gayet basit. http://www.ossec.net . Ancak bu noktada OSSEC agentını, SO sunucusu ile konuşturmakta küçük bir sıkıntı yaşadım. Ubuntu 12.'nin güvenlik duvarını kapatınca agent sorunsuz olarak SO ile konuştu (açıkçası kural tanımlamakla uğraşmak istemedim :) ).

OSSEC verisi sunucuya akmaya başladı. Bir kaç da küçük dosya değişikliği yaparak daha çok kayıt oluşmasını sağladım. Ancak işte tam bu noktada zurnanın zırt dediği yere geliyoruz. Snort verisinde olduğu gibi "drill-down" çalışamadım OSSEC verisi ile. Oysa ki en büyük hedefim buydu.

OSSEC verisini görüyorum ama üzerinde detaylı inceleme yapamıyorum. Evet, bir sorgulama ekranı var ve zaten ekran görüntüsünde açıkça belli oluyor ancak ben bundan daha fazlasını bekliyordum. OSSEC verileri arasında ilişkisel bağlantı kurabileceğim bir ekran veya OSSEC verisinin akar ekranda gösterebilecek bir ortam. Malesef Sguil de bu ihtiyaçlara bir çözüm olamadı.

Dolayısıyla bu kısım benim için hayal kırıklığı ile bitti.

Toplamda bir günümü bu uygulamayı kurmaya ve test etmeye ayırdım. Elbette bir blog sayfasından daha fazla veri ve sonuç elde ettim ancak bu noktadaki hayal kırıklığı ve başvurduğumda süratli cevap verecek bir topluluğun olmaması ( eposta grubu var ) nedeniyle çalışmayı burada sonlandırmak zorunda kaldım.

Belli olmaz, bazen ürünlere ve onu yazanlara haksızlık ettiğimi düşünüp geri döndüğüm ve kendi hatalarım sonucu atladığımı farkettiğim yeni sonuçlar elde ettiğim oluyor. Belki ileride tekrar bu ürüne dönüp bakarım bir gün.

Şimdilik AlienVault' a devam.

OSSIM / OSSEC maceralarım -1

Bazen çok ağır konuşmak geliyor içimden bu açık kaynak yazılımlar için. Şöyle ağız dolusu küfür edesim var bazen kaybettiğim zaman ve süreli işlerde kullanmak zorunda bırakıldığım açık kaynak yazılımların yetersiz belgelendirmesine. :)


Bakmayın siz, şimdi öyle diyorum ama sorunumu çözdüğüm ve rahatladığım için. Yoksa bütçe eksikliği veya türlü nedenlerle tıkandığımda her zaman açık kaynak yazılımlar kurtarıcım oldu. Allah eksikliğini göstermesin diyeyim.


Bu aralar, özel bir nedeni olmasa da evdeki sanal test ortamımda OSSIM / OSSEC ile uğraşmaya başladım. 


Bu işten elde etmeyi umduğum kazançlar şunlar ;


- Zayıflık yönetimi, raporlaması
- Değişiklik raporlama (HIDS)
- Syslog yönetimi ve yorumlaması
- Log korelasyonu


OSSIM'in community edition'ı ile çalışıyorum. Yüklemesi ve ilk kurulum adımları son derece basit, sorunsuz geçti.


Zayıflık kontrolü testlerinde de sorun yaşamadım. Bir kaç tane kontrol görevi oluşturdum ve test ortamımdaki Windows, Linux, Unix sunucularını her gün zayıflık kontrolünden geçiriyorum. Bu çalışmanın sonuçlarını ilerideki yazılarımda paylaşacağım.


Ama bugün esas küfür etmek istediğim kısım, OSSEC :)


OSSEC'e karş hep özel bir ilgim oldu. Başarılı bulduğum bir HIDS yazılımı. Detaylarına şimdilik girmiyorum. Ancak Solaris 10 için ajan derleme işlerini halledene dek göbeğim çatladı. Bugün bu konuda şikayetlerimi dinleyeceksiniz.


Adımlar :


- Özel kurulmuş (full olmayan) bir x86 Solaris 10 sunucusunda OSSEC paketini açarak kurmayı denedim. "Make ve gcc yok bu makinede ! " diyerek kabul etmedi. Eh , bir yere kadar kabul edilebilir bir şey. Kimse prod sunucusunda gcc paketlerini istemez ama geçici yükleriz, sonra da işi bitince kaldırırız.
- OpenCSW'den gcc3 paket setini yükledim. (Ama kaldırmak konusunda pek umutlu değilim. CSW organizasyonu bile kaldırma prosesi için "teoride" diyor. Peki yükledik. OSSEC ? Hayır , yine çalışmadı. Aşağıdaki uzun hata setini veriyor :


*** Making os_maild *** 


gcc -g -Wall -I../ -I../headers  -DDEFAULTDIR=\"/var/ossec\" -DCLIENT  -DSOLARIS -DHIGHFIRST    -DARGV0=\"ossec-maild\" -DXML_VAR=\"var\" -DOSSECHIDS -lsocket -lnsl -lresolv maild.c config.c os_maild_client.c sendmail.c mail_list.c ../config/lib_config.a ../shared/lib_shared.a ../os_net/os_net.a ../os_regex/os_regex.a ../os_xml/os_xml.a -o ossec-maild
ld: fatal: file values-Xa.o: open failed: No such file or directory
ld: fatal: File processing errors. No output written to ossec-maild
collect2: ld returned 1 exit status
*** Error code 1
make: Fatal error: Command failed for target `maild'
Current working directory /tmp/ossec-hids-2.6/src/os_maild


Error Making os_maild
*** Error code 1
The following command caused the error:
/bin/sh ./Makeall all
make: Fatal error: Command failed for target `all'


Error 0x5.
Building error. Unable to finish the installation.


- Bayağı uzun süren bir google araştırması. OSSEC eposta gruplarına üyelik, gruba atılan sorular, gelmeyen cevaplar. Ama rastlanan bir yazışma !


http://groups.google.com/group/ossec-list/browse_thread/thread/eb58f98b45c6315a/a7d04baeafb63e29?lnk=gst&q=solaris+10#a7d04baeafb63e29


Allahım, tam da aradığım şey. Abi diyor ki, bir tane tam kurulmuş makinede derle bunları canım kardeşim, sonra da gösterdiğim konfig dosyasını değiştirerek ve binary dosyaları kurulum klasörüne kopyalayarak mevzuyu hallet.


Hakkaten oldu yahu ! Tuh allah müstahakını versin. Bilgiye ulaşmak neden bu kadar zor ?


Neyse, heyecan ve öfkemi kontrol edip çözümü yazayım.


* ossec paketini full kurulum bir Solaris 10 sunucusunda derle.
* /var/ossec/bin altındaki tüm ikili dosyaları al ve istediğin sunucuya kopyala
* o sunucuda kurulum paketinin içinde etc/preloaded-vars.conf dosyasındaki USER_BINARYINSTALL="y" satırının #'ini kaldır ve "y" yap.
* aldığın binary dosyaları bin klasörüne kopyala.
* kurulumu yeniden başlat.
* geçmiş olsun.

SCOM dataware house ve Reporting kurulumu , son kez (2)

Yazının bu bölümünde de birinci bölümdeki linkleri kullanarak yaptığım işlemleri ve önemli noktaları sıralamaya çalışacağım.

DWH kurulumu

• DWH kurulumu sırasında mutlaka SCOM kurulumu için hazırlanmış ve ayrıcalıklandırılmış hesapların kullanımına ve bunların yetkilerinin yazdığı gibi olmasına dikkat edin.
• Bence dbCreateWizard ile Setup arasında bir fark yok. Ancak son başarılı kurulumu sihirbazı kullanarak yaptım.
• Kevin Hollman'ın dwh retention hakkındaki belgesi, DWH kurulumuınun yapılıp yapılmadığının bir sağlaması gibi. İlk problemli kurulumda bahsi geçen DB tablosu içindeki kayıtları göremezken, sonraki kurulumda sorunsuz görmeye başladım. Performans grafikleri de bunu ayrıca doğruladı. İlk seferde yoktu.
• dbCreateWizard ile kurduktan ve DB oluşturulduktan sonra DwWrite ve Reader SQL rollerini göremezken, CU5 için gereken SQL scriptlerini çalıştırdıktan sonra DWH DB'sinde doğru rolleri görmeye başladım. CU5 scriptleri gerçekten önemli.

Reporting Services kurulumu

• Dünyanın en can sıkıcı işlerinden biri SQL SRS 2008 ve Windows 2008 birlikteliğini sağlamak. Mutlaka ama mutlaka IIS kurarken SQL SRS için gerekli modülleri IIS'e yükleyin.

http://sistemyonetimi.blogspot.com/2012/04/srs-2008-iis-gereksinimleri.html

• Bu noktayı geçince SRS kurulumu öncesinde sunucunun Administrators grubuna bazı hesapların eklenmesi gerekiyor. Sakın atlamayın. 
• SCOM Config / SDK Account, SCOM Dataware House Reader Account, SCOM Dataware House Data Writer account
• SRS kurulumu sırasında SSL desteğini aktive etmeyin. SCOM RS üzerine kurulumu reddediyor. SRS hesabı olarak SCOM Dataware House Reader Account 'u gösterin.
• Sunucuyu yeniden başlatın.
• SQL SP3 yükleyin. Sunucuyu yeniden başlatın.
• SRS konfigurasyonunu tamamlayın.  (DB oluşturma, Virtual Directory vs.)
• SCOM Reporting Services modülünü yükleyin.
• Sunucuyu yeniden başlatın.
• SCOM CU5 yükleyin.

Geçmiş olsun.

SCOM dataware house ve Reporting kurulumu , son kez (1)

Benim bu SCOM DWH ve RS'den çektiğimi çok az insan çekmiştir bu dünyada. İlk sefer kurduğumda prosedür ve belgelendirme eksiğim vardı ve sıralamayı doğru not almadığım için elimde kayıt oluşmadı hiç bir zaman.

Hasbelkader bir yerde rapor ve veri ambarı sunucuları arızalanınca da SCOM'dan kaldırmak zorunda kaldım ve ondan sonra da bir daha dikiş tutmadı bu modüller :)

Ama bu aralar bir SCOM gazı geldiği için yine bana, kastırdım bu konularda ve bu ayıbımı da ortadan kaldırdım çok şükür. Artık elimde kendim için de gerektiğinde kullanabileceğim biri pratik, diğeri teorik iki kılavuz var.

İlk okuyacağınız bu konuda çalışmak ve kurulum yapmak isteyecekler için bir "ne okumalı, kimin yolundan gitmeli ?" belgesi. Linkler umarım işinize yarar. Ben bu linklerdeki belgeleri takip ederek çalışan bir RS ve DWH kurdum.


Dataware House kurulumu
dbCreateWizard kullanılarak DWH oluşturulacak. Yoksa Setup.Exe'mi tercih etsek ? Hangisi daha iyi ?

http://blogs.technet.com/b/kevinholman/archive/2008/05/03/dbcreatewizard-or-just-run-good-old-setupom-exe-which-should-i-use-to-install-the-database-component-of-opsmgr.aspx

DWH çalışıyor mu kontrol etmek için
http://blogs.technet.com/b/momteam/archive/2008/05/14/data-warehouse-data-retention-policy-dwdatarp-exe.aspx

DWH veri toplama miktarından memnun olmayanlar için verimli bir toplama modeli nasıl oluşturulur.
http://blogs.technet.com/b/kevinholman/archive/2010/01/05/understanding-and-modifying-data-warehouse-retention-and-grooming.aspx

Reporting Services kurulumu
Windows 2008 üzerine SCOM reporting services nasıl kurulur ?
http://technet.microsoft.com/en-us/library/dd788945.aspx
http://support.microsoft.com/kb/2425714

Doğru kurduk mu tekrar kontrol edelim ?
http://blogs.technet.com/b/momteam/archive/2008/12/04/installing-operations-manager-2007-reporting-successfully.aspx

Son kontroller
Tüm bunları kurduk ama yönetim hesaplarına doğru yetkileri verdik mi ?
http://blogs.technet.com/b/kevinholman/archive/2008/04/15/opsmgr-security-account-rights-mapping-what-accounts-need-what-privileges.aspx

SCOM 2007 dataware house ve reporting, kurulum için gerekli bilgiler ve kontrol listeleri

SCOM 2007 Dataware house ve Reporting hizmetleri kurarken lazım olan bir çok bilgi ve kontrol listesi var. Bunların derli toplu bir arada olmaması hep canımı sıkmıştır. (Bugün ters günümdeyim orası kesin).

SCOM 2007 R2 – Rough Guide on SCOM 2007 R2 & Data Warehouse Installation
http://www.server-log.com/blog/2012/2/6/scom-2007-r2-rough-guide-on-scom-2007-r2-data-warehouse-inst.html

Installing OpsMgr 2007 SP1 Reporting on Windows Server 2008
http://blogs.technet.com/b/wchomak/archive/2008/09/30/installing-system-center-opsmgr-2007-sp1-reporting-on-windows-server-2008.aspx

Using a Firewall with Operations Manager 2007
http://technet.microsoft.com/en-us/library/cc540431.aspx

Error message when you try to install System Center Operations Manager 2007 Reporting: "The wizard was interrupted before Operations Manager 2007 could be installed"
http://support.microsoft.com/kb/936219

Using DBcreateWizard.exe
http://support.microsoft.com/kb/2425714

Installing Operations Manager 2007 Reporting successfully
http://blogs.technet.com/b/momteam/archive/2008/12/04/installing-operations-manager-2007-reporting-successfully.aspx

OpsMgr 2007: How to make your Reporting install a success
http://blogs.technet.com/b/operationsmgr/archive/2008/12/05/opsmgr-2007-how-to-make-your-reporting-install-a-success.aspx

SRS 2008 IIS gereksinimleri

Windows 2008 sunucu üzerinde SRS 2005 / 2008 kurmak istediğimizde hangi IIS modüllerine ihtiyacımız var ? Bu bilgi bir kayboluyor bir görünüyor sanal dünyanın tünellerinde. Ya da benim kullandığım anahtar kelimeler ve ruh halimin kesişiminin marjinal faydası fena halde değişiyor zamanla.

Neyse, aradığımda bulamıyorum ve sinirleniyorum. O nedenle de buraya yazıyorum. En azından kendi blogumdan okurum. Hrrrr ve grrrrrr....

SQL Server 2005 Service Pack 2 (SP2) is required for running SQL Server components on Windows Server 2008.

Before installing Reporting Services, you must enable ASP.NET and IIS. To enable these features, configure a server role:

1. Click Start.
2. Click Server Manager at the top of the Start menu.
3. Right-click Roles, and select Add Roles.
4. On the Select Server Roles page, click Web Server (IIS). Selecting the Web Server role also selects File Server as role dependency. Click Next.
5. In the Role Services page, keep all the items that are selected by default, and then add the following additional items:
   
   1. In Common HTTP Features, select all the items in this section.
   2. In Application Development, select ASP.NET. You will be prompted to enable dependent services. Click OK to add the required role services.
   3. In Security, select Windows Authentication.
   4. In Management Tools, in IIS 6 Management Capability, select all the items.
6. Click Next, and then click Install.

http://technet.microsoft.com/en-US/library/bb839480(v=sql.90).aspx

SCOM 2007 CU5 macerası (2.bölüm ve mutlu son)

SCOM 2007 CU5 seviyesine çıkmayı bir türlü başaramadık. Garip garip alarmlar çıktı. Sunucuları kapattık, açtık, cache temizledik vs. ne yaptıysak olmadı ve geçemedik. Sonra da bu konu önemini yitirdi ve diğer acil işlerin arasında kayboldu gitti.

Ne olduysa dün bir anda SCOM'u yeniden kurmam lazım gibi bir fikirle yataktan kalkmamla oldu. Sanırım SCOM 2012'ye geçişin gecikebileceği endişesi rüyama bile girdi ve ser'de de mükemmelliyetçilik var ya, o SCOM CU5'e geçmezse gözümü , aklımı rahatsız edeceğinden iki gündür bu işlere daldım.

Aslında önce bir test ortamı hazırlayıp oradan sıfırdan bir SCOM organizasyonu kurdum, Reporting Services kurulumu sırasında karşılaştığım acayiplikler ayrı bir yazı konusu olur.

Sonuç olarak bugün CU5 seviyesine geçebildik. Ben bunu üç şeye bağlıyorum. Aradan geçen 2 ay içinde yüklenen Windows yamaları , bugün RMS sunucusundaki WINSXS klasörünü COMPCLN aracı ile temizlemem ve tüm yol boyunca dinlediğim Megadeth / San Diego 2008 konseri :). Değişen başka bir şey olmadı !

Megadeth Konseri (tam)
http://www.youtube.com/watch?v=9zMP3m98A18&feature=g-vrec&context=G29a5e75RVAAAAAAAAAg

Kevin Hollman'ın blogundan faydalanarak çalıştım. Aynen de dediği gibi uyguladım adımları ve aynı sonuçları elde ettim. Dolayısıyla hiç o adımlara girmeyeceğim. Her şey Hollman'ın blogunda kayıtlı. Her zaman çok güvenilir bir kaynak oldu bu blog ve KH.

http://blogs.technet.com/b/kevinholman/archive/2011/08/03/opsmgr-2007-r2-cu5-rollup-hotfix-ships-and-my-experience-installing-it.aspx

Kurulum çok büyük bir paket ile yapılıyor ve sanırım meşgul sunucularda bu paketlerin kurulumu sırasında bir zaman aşımı durumu oluşuyor aşağıdaki gibi.

Çözmek için bu forum yazışmasındaki yöntemi kullandım ve işe yaradı.

http://social.technet.microsoft.com/Forums/en-US/configmgrgeneral/thread/6dbf2b95-1b67-41df-a1fd-b0f5e2651398

Try the below i had to eventually increase timeout to 180000

1. Load up regedit.

2. Locate and then select the following registry sub key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

 3. In the right pane, locate the ServicesPipeTimeout entry. If this does not exist follow steps a and b:

a. On the Edit menu, point to New, and then click DWORD Value.

 b. Type ServicesPipeTimeout, and then press ENTER.

4. Right-click ServicesPipeTimeout, and then click Modify.

5. Click Decimal, type 60000, and then click OK. 

6. Restart the computer

Sonrasında sunucuyu yeniden başlattım ve kurulumu yineledim. Bu sefer de aşağıdaki hatayı verdi ara ara, ancak aldırış etmeden devam ettim. Sonuçta tüm kurulum başarılı oldu. Yukarıdaki ve aşağıdaki hatayı da yalnızca RMS'de aldım. Bu da meşgul sunucu teorimi destekler yönde oldu.

BackupExec ve Ubuntu'da yedekleme

Arada önümüze gelen bir konudur ama unutulmaya da mahkum bir şey bir yandan.

Solaris ve benzeri Unix türevleri dışındaki Linux dağıtımlarında BackupExec ile yedek almaya çalışırken hep aynı durumla karşılaşır bazı arkadaşlar. Ubuntu kurmuştur, üzerine BE agent kurmuştur ama sıra yedeklenecek alanları işaretlemeye geldiğinde bir türlü sisteme logon olamaz, klasör yapısını göremez.

Hep unutuyoruz, hatırlatayım ;

Sudoers grubuna üye ve genelde sunucuda günlük operasyonu sürdürdüğünüz hesabı "beopers" grubuna eklemeniz gerekiyor. Ya da yedekleme için yeni bir hesap açıp, onu eklemeniz gerekli.

Cheers

:)

SCOM 2007 Syslog çalışması - 1

SCOM 2007'de Syslog ile ilgili olarak yaptığım çalışmalara dair bloga hiç not düşmediğimi farkettim ve bu konuda bir şeyler yazmaya karar verdim.

Öncelikle basit bir noktanın açıklığa kavuşturulması halinde Syslog / SCOM 2007 entegrasyonu oldukça basit. Zamanında benim kafamı karıştıran tek konu (belki de belgeleri yeterince iyi okumadığım için) "Rule Target" olmuştu.

İlk testlerimde Rule Target için "Tüm Solaris sunucuları" , "Tüm Unix sunucuları" gibi gruplar kullanmıştım ve gelen ilk Syslog alarmında tüm sunucular kırmızıya dönmüştü. Hala hatırlıyorum bu şaşkınlığımı :)

Kullanılması gereken hedef "Management Server" olabilir. Bu durumda alarmın kaynağı SCOM sunucunuz görünecektir. Elbette, "o zaman hangi sunucudan veya hosttan geldiğini nasıl anlayacağım ?" şeklinde haklı bir soru sorulabilir. Bunu "Alert Details" kısmından okumalısınız. Az sabır, biraz sonra anlatacağım.

Syslog toplayıcısı oluşturmak için yukarıdaki gibi "Event Based" bir kural oluşturarak işe başlamalısınız. Elbette "Default Management Pack" kullanmadan :)

Kural oluşturulduktan sonra Category'i "Custom" bırakmakta bir mahsur görmedim. Ancak bu ekran görüntülerini aldığım sayfadaki arkadaş (evet, tembelim... :) ) Alert yapmış.

Ben Syslog Facility seviyesiyle oynamayı ve Min. 15 Facility + Min. 4 Severity'den oluşan bir olasılık tablosuna göre kural yazmayı gerekli görmedim. Bu nedenle, seviyesi 3 ve daha aşağısı (Syslog terminolojisine göre daha önemli, daha kritik) olaylardan alarm üretmeyi tercih ettim.

Ekranda görüldüğü üzere "Alert Description" kısmında bu tanımları kullanarak gelen olayı daha detaylandırmak ve ekranda / mobil cihazınızda okurken daha fazla bilgi edinmek mümkün.

Kural tanımlandığında SCOM sunucunuzda bir Syslog daemon çalışmaya başlıyor.

Ubuntu 10.04 Backup Exec agent yükleme

Backup Exec 2012 R2 agentının bir Ubuntu 10.04 sunucuya yüklenmesi sırasında aşağıdaki kütüphane için mızmızlık edebilir. Paketi bu linkten indirip, aşağıdaki komutla kurabilirsiniz :

http://packages.debian.org/lenny/amd64/libstdc++5/download

$ sudo dpkg -i libstdc++5_3.3.6-18_amd64.deb

SCOM 2012, ilk sürüş testi - 2

SCOM 2012 testlerim sırasında Solaris 10 sunucularına yeni SCOM 2012 agentı yüklemek istediğimde aşağıdaki hata ile karşılaştım.

"The WinRM client received an HTTP status code of 501 from the remote WS-Management service. "

Bu durumu çözen bir forum yazışması ve bir makaleyi ekte sunuyorum.

http://social.technet.microsoft.com/Forums/en-US/operationsmanagerunixandlinux/thread/ef611c9e-b36a-4d23-a680-de7e1b550fd6

http://operatingquadrant.com/2012/01/12/opsmgr-unixlinux-heartbeat-failures-after-applying-kb2585542/

Basit bir registry değişikliği sonrası sorun çözüldü. Ben bu yöntemi tercih ettim :)

SCOM 2012, ilk sürüş testi - 1

Hepiniz bilirsiniz, bazen Microsoft ürünlerinin kurulumu adamı çileden çıkartır. Yeterince anlamlı log üretmez, inatç keçi gibi tek satırlık bir "olmaz, kurulamadı" mesajıyla direnir durur.

SCOM 2012 testi sırasında da böyle bir şey geldi başıma. Kurulumu tamamlayıp ilk izlenimlerimi anlatmadan önce bu "fatal" sorunu nasıl hallettim onu paylaşmak istedim.

Test kurulumları için kullandığım Windows 2008 R2 Std. sunucuda genelde "Turkish" yerel ayar setini kullanırım. Hep de aynı pişti durumuna düşerim :)

SQL 2008'i Latin1_CP1_CI_AS kurdum ama SCOM 2012 kurulum kiti bir türlü veritabanı adımını geçmek istemedi.

Sırayla denediklerim.

- Sunucu yerel ayarları tamamiyle United States olarak değiştirildi.
- SQL 2008, yeniden aynı CP1_CI_AS kod seti ile kuruldu.

Ancak yine durum değişmedi.

Son olarak SQL Server SP3 geçince bu durumu düzeltti ve sonraki adıma geçmeme izin vermedi. Yama olarak doğrudan SP3 kurdum, daha düşük yamaları kullanmadım.

SCOM remote maintenance mode scheduler 2.0

SCOM remote maintenance mode scheduler 2.0 aracını seviyorum.

Bazen, bazı sunucuların belirli saatler arasında izlenmesi gerekmediğinde gereksiz alarm üretilmesini engellemek için ya elle bakım moduna alırsınız (-ki her gün bunu yapmak işkenceye dönebilir bir süre sonra) ya da bir şeyin bunu sizin için zaman ayarlı olarak her gün vaktinde yapmasını dilersiniz.

İşte bu araç, tam bu ihtiyacınızı karşılayacak türden.

http://www.scom2k7.com/scom-remote-maintenance-mode-scheduler-20/

Ancak çalıştırırken küçük bir triğini bilmek gerekiyor. Grafik arayüzden zaman ayarlı görev yazdınız, saati geldiğinde çalıştı ama sunucu bakım moduna geçmedi ? Muhtemelen "comment" alanını boş bırakmış durumdasınız. "Comment" alanına alfa karakter ve boşluk kullanmadan yazacağınız bir karakter dizisi veya anlamlı bir kelime , zaman ayarlı görevin sorunsuz çalışmasını sağlayacaktır.

ProcessMaker güncelleme.

ProcessMaker'ı 2.0.36'dan 2.0.37'ye güncellemem gerekti. Daha önce hiç 'upgrade' yapmamıştım bu üründe. Bu arada 2.0.36.'dan 37'ye geçişin sebebi de Active Directory entegrasyonu ile ilgili bir sıkıntının olması.


Adımlar şöyle.

1. /opt/processmaker/etc/pmos.conf ve /etc/apache2/sites-available/pmos.conf dosyalarının yedeği alınr.
2. Apache servisi durdurulur.
3. Ben tercihen /opt/processmaker klasörünün tam yedeğini de Tarlayarak almayı tercih ederim.
4. /opt klasörüne geçilir.
5. "tar -p --overwrite -xvzf /root/processmaker-2.0.32.tar.gz " komutu ile güncelleme yapılır.
6. Sırasıyla aşağıdaki komutlar çalıştırılır.

root@server:/opt# cd /opt/processmaker/

root@server:/opt/processmaker# chmod -R 770 shared/

root@server:/opt/processmaker# cd /opt/processmaker/workflow/engine/

root@server:/opt/processmaker/workflow/engine# chmod 770 config content/languages plugins xmlform js/labels

root@server:/opt/processmaker/workflow/engine# chown -R www-data:www-data /opt/processmaker

root@server:/opt/processmaker/workflow/engine# cd /opt/processmaker/

root@server:/opt/processmaker# ./processmaker upgrade

root@server:/# /etc/init.d/apache2 start

Link : Chrome Web Browser Finally Comes to Android Phones, Tablets

http://www.wired.com/gadgetlab/2012/02/chrome-android/

Link : Symantec AV kaynak kodları deşifre oldu

http://www.technewsworld.com/rsstory/74133.html

Link : Understanding the /bin, /sbin, /usr/bin, /usr/sbin Split

http://www.osnews.com/story/25556/Understanding_the_bin_sbin_usr_bin_usr_sbin_Split

Link : SCOM unsealed MP backup

http://scug.be/blogs/dieter/archive/2011/07/07/scom-2007-automated-backup-of-unsealed-management-packs.aspx

Denedim. Çalışıyor. Zaman ayarlı görev haline getirdikten sonra sorunsuz kullandım.