HÅNDBOG FOR PARTNERSKABET

Correlog
Server
Vigtig information om Correlog Server
Draware A/S beskriver her der vigtigste elementer du skal være klar over ved installationen og
driften af din Correlog Server. Det er VIGTIGT for en kontinuerlig drift uden problemer at du har
læst og gjort dig bekendt med alle punkterne i dette dokument. Du er altid velkommen til at
kontakte Draware A/S på www.draware.dk, info@draware.dk eller på telefon +45 45 76 20 21. God
fornøjelse med Correlog!
1-1-2015
Nyttige informationer om brugen af Correlog
Indhold
Hvordan virker min licens til Correlog? ............................................................................................................. 2
Hvad er nyt i den nyeste version af Correlog? .................................................................................................3
Hvilke services kører Correlog under? ............................................................................................................. 4
Hvordan opgraderer jeg Correlog til en nyere version? ..................................................................................5
Hvordan opretter jeg en support sag? ............................................................................................................ 6
Hvor finder jeg dokumentation til Correlog.....................................................................................................7
Hvor meget fylder mine log data? ................................................................................................................... 8
Hvordan opretter jeg en ny log node?............................................................................................................ 10
Hvad er arbejdsgangen i Correlog?.................................................................................................................. 11
Kan jeg flytte Correlog installationen til en anden maskine? ........................................................................ 12
Skal jeg tage backup af Correlog?................................................................................................................... 13
Hvordan konfigurerer jeg Correlog agenten? ................................................................................................ 14
Hvilken gadget skal jeg vælge for at vise mine data? .................................................................................... 15
Hvordan virker søgningen i Correlog? ............................................................................................................ 16
Hvad Correlog professorternings funktionen ”Analyze”? ............................................................................ 18
Hvad er en adaptor? ....................................................................................................................................... 20
Hvad er en Thread? .......................................................................................................................................... 21
Hvordan formaterer jeg mine e-mails fra Correlog? ...................................................................................... 22
Hvordan søger jeg i ældre data? ..................................................................................................................... 23
© 2014 Draware A/S
Side 1 af 24
www.draware.dk
Hvordan virker min Correloglicens?
Din Correlog licens ligger i filen AUTH.TXT som skal kopieres til folderen
Correlog\config. Derefter skal du genstarte Correlog services. Når du ser på web
interfacet står der i nederste linje hvem licensen er udstedt ti log hvornår den
løber ud. Din licens dækker følgende:
1. Et max antal noder som sender logs ind i Correlog
2. Et max antal brugere som kan registreres i Correlog
3. Et max antal bytes som kan arkiveres pr. dag.
Det er udelukkende antallet af noder der betales for men det er gratis at få en ny
licens der dækker et større antal brugere og / eller større mængde af data der kan
arkiveres pr. dag.
Licensbetingelserne kan du se i filen CO-LICENSE.DPF der ligger i S-DOC folderen.
Proceduren for at registrere din licens i din Correlog installation finder du i
dokumentet license-procedure.pdf der leveres med din licens.
Bemærk at din Correlog licens er en ejelicens hvor til der hvert år skal betales et
maintenance fee på 20% som dækker teknisk support og produktopdateringer.
Hvis du gerne vil se hvor belastet din Correlog server er, skal du bruge følgende
gadget kombinationer i dit Dashboard:
1.
2.
3.
4.
5.
Gauge-Loading-Gadget / Device Delay / Summary
Gauge-Loading-Gadget / Correlstion Delay / Summary
Gauge-Loading-Gadget / Qued-Actions / Summary
Gauge-Loading-Gadget / Daily Messages / Summary
Graph-Message-Rate-Gadget / Summary
© 2014 Draware A/S
Side 2 af 24
www.draware.dk
Hvad er nyt i den nyeste version af Correlog?
Hvis du går til http://support.correlog.com og klikker på ” Intermediate Release:
CorreLog Server Version 5.4.4” under announcements, så vil du se en ligge tekst
fil kaldet CHANGES.txt og her står hvad der er nyt i den nyeste version:
VERSION 5.4.4 RELEASE NOTES, Release Nov 1st, 2014
1. This CorreLog Server version is a minor enhancement that includes new features, slightly altered navagation
and adds new background processes. The version is not backward compatible with previous CorreLog versions,
and no earlier CorreLog version or PTF should be retro-installed after installing this update.
2. The "Devices", "Users", "Facilities", and "Severities" tabs have been relocated under a new "Messages >
Catalogs" tab. This permits expansion of "Message" type tabs by new add-ons such as the "WinEvt", and "ZTerminals" plug-ins.
3. This version offers a new "Messages > Catalogs > WinEvts" adapter that will create catalogs of all Windows
Events, useful for sites that are monitoring windows event logs. By default, this new screen works only with the
CorreLog Windows agent program. ContactCorreLog support for assistance. The adapter is available on request.
4. The "Analyze" link now includes a new "Common Fields" link that will parse and list the common fields
associated with a message set. This simplifies the "Analyze > Parse" function (which still exists, with no significant
changes.) Click on the "Analyze" link at the top of any "Catalog" display to see this new field.
5. The "Messages > Search" link now includes a new "Analyze Recent "Messages" link, to permit easy analysis of
current messages. The "Query" function link has been renamed "Forensic Query", and is featured at the leftmost
link towards the top of the screen.
6. The "CO-calert.exe" process has been added to the system. This may affect user startup scripts. The functions
of this program were formerly performed by the CO-action.exe program, now performed by a separate process.
7. This version fixes a long standing issue with encryption that could cause data with control characters
to fault with an authentication error. This mainly affected syslog messages from third-party agents,
now corrected in this version.
© 2014 Draware A/S
Side 3 af 24
www.draware.dk
Hvilke services kører Correlog under?
Der er to Correlog services:
1. Correlog Framework Service
2. Correlog Syslog Service
Begge skal køre når Correlog er i drift og begge skal lukkes når du opgraderer eller installerer nye
adaptors. Den medfølgende ”Correlog Start and Stop Correlog Services” funktion virker normalt kun
når du kører den som administrator.
© 2014 Draware A/S
Side 4 af 24
www.draware.dk
Hvordan opgraderer jeg Correlog til en nyere version?
1. Klik på ” More / Sys info” i toppen af Correlog og se den version du har nu. I
skrivende stund (december 2014) hedder den 5.4.4
2. Brug følgende link til at hente den nyeste version. På denne side kan du se
hvilken version som du kan downloade og som følge deraf er den sidste
version.
https://correlog.com/purchase/free-trial-download-rcpt.html
3. Stop Correlog syslog service og framework service
4. Eksekver download filen (du skal evt. højre klikke på filen og vælge
properties og ”unblock”) ved at højre klikke på filen og vælge ”Run as
Administrator”.
5. Pak filen ud i Correlog folderen (Normalt c:\correlog) og følge
instruktionerne.
6. Hvis du har problemer med at genvælge port 80 så kontakt Draware.
7. Sikr dig at Correlog syslog og framework er startet og start så
programmets web UI. Når du har logget dig ind kan du kontrollere den nye
version som vist under punkt 1.
Bemærk: Kun i meget sjældne tilfælde vil en opgradering betyde at du også skal
opgradere versionerne af alle de agenter de ligger på Windows endpoints og
sender logs til Correlog. Til gengæld skal du opgradere alle de adaptors du har
installeret. Du findes en beskrivelse af disse på forsiden ”Home Page” af Correlog
og på følgende link: https://correlog.com/support-public/CO-ADAPTERS.pdf
© 2014 Draware A/S
Side 5 af 24
www.draware.dk
Hvordan opretter jeg en support sag?
Det nemmeste er at skrive en e-mail direkte til support@correlog.com men du er
også velkommen til at lade Draware A/S håndtere dette for dig ved at skrive en
mail til support@draware.dk
Husk at inkludere information om din nuværende Correlog Server version (More /
Sys Info i øverste højre hjørne af skærmen).
Hvis du kan skrive dit spørgsmål på engelsk er det nemmest for os, men skriver
du det på dansk så oversætter vi det bare. No problem!
Svartiden er indenfor 24 timer.
© 2014 Draware A/S
Side 6 af 24
www.draware.dk
Hvor finder jeg dokumentation til Correlog
Når du installerer Correlog laver installeren en folder der hedder ”S-DOC” i
Correlog biblioteket hvor alle dokumenter ligger i .PDF format. Fra Home menuen
i Correlog kan du nå de vigtigste dokumenter der bl.a. tæller ”User Reference
Manual”.
På Draware hjemmeside (www.draware.dk)
http://www.draware.dk/producent/correlog/produkt/correlog-server/ finder du
en mængde information om Correlog og du kan finde alle vores træningsvideoer
på YouTube playlisten
https://www.youtube.com/playlist?list=PL685A0F4257DA5D4F
Beskrivelsen af alle plug-ins til Correlog – kaldet adaptors – finder du enten på
Home menuen i programmet eller under følgende link:
https://correlog.com/support-public/CO-ADAPTERS.pdf
Producentens supportside hedder http://support.correlog.com og finder du
nyttig information om support relaterede emner. Vil du gerne vide hvilke nye
funktioner der er introduceret i den nyeste Correlog version skal du på support
hjemmesiden klikke på linket ”CorrelogServer Update …” og derefter på
CHANGES.txt” i bunden af skærmen.
Det nemmeste er at se i folderen ”S-DOC” i Correlog biblioteket på din Correlog
server. Her ligger alle dokumenterne i PDF format.
Du kan også nå de vigtigste dokumenter direkte fra Home Page i Correlog’s web
interface.
Du kan også finde en masse videoer på youtube.com om Correlog. Fx denne
playliste: https://www.youtube.com/playlist?list=PL685A0F4257DA5D4F
Eller: https://www.youtube.com/user/CorreLog
© 2014 Draware A/S
Side 7 af 24
www.draware.dk
Hvor meget fylder mine log data?
Det kommer naturligvis meget an på hvor mange devices der logger data til din
Correlog server og specielt på hvilke typer af devices. Specielt Firewalls, Domain
Controllere og Layer-3 netværks devices kan logge flere gigabytes pr. dag.
Din Correlog server er licensieret efter antallet af devices der logger data, men
den er også begrænset i mængden af data den kan modtage pr. dag. Hvis du
chekker ”More / Sys info / License Type” kan du se hvor mange data din Correlog
server kan modtage pr. dag. Hvis grænserne (undtaget antallet af devices) er for
små kan du gratis få en større licens ved at henvende dig til Draware. Dette
gælder ”Max bytes” pr. dag og ”Max Users” totalt.
Ønsker du at monitorere hvor mange data du logger pr. dag skal du bruge et
dashboard med den gadget der hedder ”Gauge-Loading-Gadget” og typen ”DailyMessages”. Sørg gerne for at vælge visningen som ”Summary” for der står det
tydeligt hvor mange data du logger under ”Current Value”. Hvis du ønsker at se
hvor mange brugere du har registreret i systemet skal du vælge ”Messages+ /
Catalogs+ / Users”. Scroll ned til bunden af skærmen. Her står total # users.
Correlog gemmer indekserede men ikke komprimerede data i folderen
Correlog\logs mens de arkiverede data gemmes i folderen Correlog\archive. Hvor
mange dage der ligger i disse folderen bestemmer du ved settinges under
”Messages+ / Config+ / Parms”. Det er MEGET vigtigt at du lader din server
overvågning måle på mængden af fri diskplads på din Correlog server så du
undgår at serveren løber fuld. Correlog serveren monitorerer dog selv mængden
af fri diskplads (”More / Sys info / Free Disk Space”) og kommer dette tal under
95% så vises en ”Advisory” om low disk space (”Advisory / Advisory Preferences /
Log Disk Storage Approaching Full eller Archive Disk Storage Approaching Full”).
Men for at få disse på en mail disse skal du have sat alarmer for dem…
Hvis du vil begrænse dine datamængder kan du specificere at dine devices fx ikke
skal sende syslog DEBUG severity messages ind i Correlog eller specificere at
bestemte logs skal pipes uden om Correlogs correlation engine til en bestemt
© 2014 Draware A/S
Side 8 af 24
www.draware.dk
lokation (”Messages+ / Config+ / Filters” & ”Messages+ / Config+ / Parms” og
External data Path”).
Men tilbage til mængden af data. Du kan bruge følgende som vejledende tal, men
husk at det kan variere meget!
Firewall pr. dag: 1-5 GB
Domain Controller pr. dag: 1-2 GB
L3 Netværksenhed pr. dag: op til en 1 GB
Almindelig Windows Server pr. dag: op til 100KB
Du skal også være opmærksom på hvor meget Correlog kan håndtere/ behandle
hvilket måles i Events Per Second (EPS). Tallet her er 2.500 og i bursts op til 5.000.
Du kan se hvor mange EPS Correlog håndterer i et dashboard med en GaugeMessage-Rate gadget. Sæt Display Mode til Summary og se resultatet under ”Avg
Msgs per Sec”. Brug evt regnearket fra dette link til at beregne dit forventede
EPS og log storage krav: http://www.draware.dk/fileadmin/Draware/EPS/EPSDRAWARE.zip
© 2014 Draware A/S
Side 9 af 24
www.draware.dk
Hvordan opretter jeg en ny log node?
Det er normalt ikke nødvendigt at oprette en ny node da Correlog automatisk
opretter noden når de første logs fra den nye node modtages. Derefter prøver
Correlog med en DNS reverse lookup, men at dette ikke muligt optræder noden
med den IP adresse hvorfra syslogs modtages.
Du kan se alle dine noder under ”Messages+ / Catalogs+ / Devices”. Du kan klikke
på ”+” ikonet ud for en node og vælge ”Device Info” og derefter ”Edit Device
Info” for at redigere i indstillinger, navne mm. Device Types kan redigeres under
linket ” Messages+ / Catalogs+ / Devices” og klikke på Advanced knappen og
derefter på Edit Device Types og du kan indstille default SNMP community string
under ”Messages+ / Config+ / Parms”.
Hvis du af en eller anden grund gerne selv vil oprette et device kan dette lade sig
gøre under menupunktet ”Messages+ / Catalogs+ / Devices” og derefter AddNew
Knappen.
Nogle devices er markeret som grønne mens andre er røde som tegn på at det er
for længe siden at Correlog serveren har modtaget logs fra dette device. Hvis du
vil ændre denne timeout setting skal du gøre det under linket ” Messages+ /
Catalogs+ / Devices” og klikke på Advanced knappen. Læk mærke til linket ”Drop
Inactive devices After”. Denne setting er vigtig da inaktive devices ellers
automatisk fjernes efter 30 dage.
Du kan slette et device ved at gå til ”Messages+ / Catalogs+ / Devices” og klikke
på Advanced knappen og derefter på ”Delete Devices By List”.
© 2014 Draware A/S
Side 10 af 24
www.draware.dk
Hvad er arbejdsgangen i Correlog?
1. Søg i dine logs for at finde den kombination, der nemmest viser de logs du
ønsker. Dette gøres v.h.a. AD HOC fritekst søgning fra Messages+ menuen
eller fra Messages+/Advanced eller Search menuerne.
2. Når du har fundet de søgekriterier, der give det relevante logudtræk, skal
du skabe en eller flere threads der matcher disse søgekriterier. Dine
threads ”fyldes” gradvist med logs efterhånden som logs der matcher dine
søgekriterier kommer ind i Correlog.
3. Du kan nu oprette et eller flere dashboards baseret på dine threads og de
gadgets der bedst viser indholdet fra dine logs. Her kan specielt Parse
funktionen være nyttig.
4. Opret en alarm (Alert) baseret på antallet af logs i en thread pr. tidsenhed
eller på en bestemt rækkefølge via triggers. Alarmen fører til oprettelsen af
en ticket som er tildelt en bestemt bruger.
5. Baseret på en ticket kan du udløse fx en e-mail så du får at vide når noget
skal undersøges på basis af de logs der kommer ind i Correlog.
6. Ønsker du det, kan du også lave rapporter baseret på dine threads som fx
”Recent user logons” eller ”Failed Admin logons”.
Husk at fortsætte med oprettelsen af threads da dette er kernen til intelligensen i
Correlog og tilpasnings til dine systemer.
© 2014 Draware A/S
Side 11 af 24
www.draware.dk
Kan jeg flytte Correlog installationen til en anden maskine?
Det er beskrevet i følgende link hvordan du flytter en Correlog installation men
her er de vigtigste punkter:
https://correlog.zendesk.com/entries/53051783-I-need-to-move-the-CorreLogServer-Installation-to-a-New-Location-Possible1. Stop CorreLog Framework Service vær sikker på at alle processer med "CO"
er stoppede.
2. Kopier alle filer fra Correlog folderen ti len ny destination.
3. Skift til den nye lokation og kør "system\CO-install.exe" programmet.
4. Hvis Apache-TLS serveren installeret skal du også køre "apache-tls\bin\COSecure.exe" programmet.
5. Omdøb eller slet den gamle Correlog installation.
6. Der kan også være nogen stier i custom alerts, custom actions, eller lokale
windows agenter som skal justeres efterfølgende.
© 2014 Draware A/S
Side 12 af 24
www.draware.dk
Skal jeg tage backup af Correlog?
Hvis du ønsker at tage backup af dine data skal du tage kopi af folderne Archive
og Logs. I S-DOC folderen ligger dokumentet CO-BACKUP.PDF I dette dokument
beskrives også hvordan du genskaber disse data tilbage i Correlog. Udover
archive og logs folderen er følgende foldere også interessant i backup mæssig
sammenhæng:
1. CorreLog\config Folder
Denne folder og under foldere indeholder kofigurations data fra Correlog
hvad angår templates, standarder og checkpoints
2. CorreLog\actions Folder
Denne folder indeholder scripts til "Correlation > Actions"
3. CorreLog\c-alerts Folder
Denne folder indeholder scripts til "Alerts > Custom"
4. CorreLog\dash Folder
Denne folder og underfoldere indeholder informationer som bruges til
definition af Dashboards i Correlog
5. CorreLog\graph Folder
Denne folder indeholder data til brug sammen med Correlogs Graph viewer
6. CorreLog\t-actions Folder
Denne folder indeholder de actions scripts der bruges i "Correlation >
Ticket Actions"
© 2014 Draware A/S
Side 13 af 24
www.draware.dk
Hvordan konfigurerer jeg Correlog agenten?
Når du har installeret Correlog Serveren kan du fra forsiden af Home page
downloade logagenten der bruges til at omdanne Windows eventlogs til syslogs
og sende dem in i Correlog serveren – kaldet WT Agent. Dertil hører en
dokumentation som du finder i WT-MANUAL.PDF.
Du kan ændre konfigurationen af agenten direkte inde fra Correlog ved at gå til
Messages+/Catalogs+/Devices. Klik på ”+” ikonet ud for et device og derefter på
”Device Info”. Klik så på ”Remote Agent Config” (Dette kræver adgang på UPD
port 55514). Du kan nu redigere direkte i Config filen (Directly Edit Remote Agent
Configuration File) eller bruge wizarden til at tilføje specifikke logs du gerne vil
hente fra den remote server.
Indholdet af Agent config filen og de rettelser / ændringer du kan tilføje er
beskrevet i WT-MANUAL på side 23 og frem. Blandt de mange mulige
kommandoer kan nævnes:
1.
2.
3.
4.
5.
6.
7.
MessagePrefix
MsgDelayMsecs
LogLocal
EncryptData
MarkerMessage
MarkerMinutes
LogFile
Du kan teste om agenten virker ved på den remote windows maskine at gå til
folderen Correlog\WinTools og eksekvere kommandoen:
sendlog [IP PÅ CORRELOG SERVER] “First Test Message.” [SEVERITY] [FACILITY]
Du kan også bruge programmet (der ligger samme sted) wsendlog.exe der er et
mere venligt Windows UI til afsendelse af testlogs.
Der findes også en ”Silent” install version kaldet wt-silent.exe som ligger i
folderen S-DOC og kan bruges til masse udrulning af windows agenter.
© 2014 Draware A/S
Side 14 af 24
www.draware.dk
Hvilken gadget skal jeg vælge for at vise mine data i et
Dashboard?
Gadgets er de individuelle grafiske fremvisninger i et Dashboard. Du kan se en
liste med alle gadgets på følgende link
http://www.draware.dk/fileadmin/CorreLog/Correlog_Gadgets_Explained.pdf ,
men her kommer on oversigt over de vigtigste gadgets. Husk at udgangspunktet
for alle gadgets er Threads som du skal have lavet før du vælger en gadget (med
få undtagelser). Der findes mange andre gadgets så det er en god idé at gå på
opdagelse for at se hvilke muligheder du har.
Hvor mange data kommer der fra en bestemt thread?
 Graph-Thread-Rate-Gadget
Hvor belastet er min Correlog server?
 Gauge-Loading-Gadget
Analyse af bestemt indhold i en thread?
 Parse-Thread-Gadget
 Analyze-Thread-Gadget
Hvordan får jeg vist mine alarmer?
 Custom-Alerting-Gadget
 Gauge-Alert-Gadget
Hvilke Keywords er de mest forekommende?
 Keyword-Gadget
Forekommer der afvigelser i mængden af logs?
 Device-Rate-Gadget
© 2014 Draware A/S
Side 15 af 24
www.draware.dk
Hvordan virker søgningen i Correlog?
Alle logs der sendes ind i Correlog bliver indekseret og gemt i ukomprimeret form
i folderen ”logs” indtil de når datoen for aktivering (se side 2) hvorefter de
komprimeres og gemmes i ”arkiv” folderen. Derfor kan du søge efter bestemte
logs som fritekstsøgning i ”Match” feltet øverst på skærmen under
”Messages+”.
Her kan du bruge tekst i ”” eller logiske operatorer så som AND, OR og NOT. Men
også LT (Less), LE (Less Than or Equal To), GT (Greater), GE (Greater then or
Equal to), EQ (Equal to), NE (Not Equal To), IN (Something in something else),
NOT IN (Something not in something else). Du finder beskrivelse I manualen “COADVANCED.PDF”. Her kommer nogle eksempler:
 ”Successful logon”
 Malware AND Symantec
 Adobe AND (Not Error)
Din søgning i indekserede logs kan gøres mere specifik ved at vælge ”Advanced”
linket under ”Messages+” eller klikke på ”Search” linket i øverste højre hjørne af
skærmen.
Det er vigtigt at vide et du kun søger i indekserede ord og således kan misse
endnu ikke indekserede ord eller misse ord som normalt ikke indekseres så som
tal. Hvis du vil lede efter bestemte keywords så kan du klikke på ”Keyword Index”
linket og finde det keyword du leder efter.
I mere specifikke søgninger kan du også bruge globale variable så som $Address
(IP of the device that sent the log), $Username, $Devname, $Facility, $Facnum
(Facility number), $Severity, $Sevnum (Severity number 0-7 where 0 is Emergency
and 7 is debug), $date, $Wday (weekday some r “mon” til “sun”) og $Time.
Ønsker du en mere specifik søgning, så skal du bruge funktionen ”Forensic
Query”. Her søger du logs igennem efter specifikt de termer du angiver og der
søges i alle logs og ikke kun indekserede ord. Dette tager normalt noget længere
© 2014 Draware A/S
Side 16 af 24
www.draware.dk
tid men det giver også en mere specifik søgning. Når du ser resultatet af en
forensic query har du flere muligheder:
1. Søge i resultatet af den aktuelle søgning (Search These Results)
2. Se resultatet af tidligere Forensic Queries (meget nyttigt så du ikke behøver
at søge igen)
3. Vise en graf over hvor ofte disse logs forekommer (Graph results)
4. Analyse søgningen for Users, Devices, Facilities og Severities. Du kan også
bruge Parse funktionen til at udtrække information fra loggen efter
bestemte kriterier.
Husk at når du har fundet ud af hvordan du søger efter bestemte data og gerne
vil kunne genbruge disse søgninger bør du oprette en thread med denne søgning
således at du altid har resultatet af søgningen klar til brug.
Du kan bruge værktøjet under ”More / Expr Tool” til at evaluere om dine
søgninger giver det forventede resultat.
Søgningen i Correlog er forklaret nærmere i følgende YouTube video:
https://www.youtube.com/watch?v=cId3vyHETrY&list=PL685A0F4257DA5D4F
© 2014 Draware A/S
Side 17 af 24
www.draware.dk
Hvad er Correlog ”professorternings-funktionen” Analyze?
1. I ”Messages+/Search” menuen finder du ”Analyze recent Messages”
2. Under ”Messages+/Catalogs+/Devices og Users og facilities og Severities”
menuer finder du et lille ”+” tegn ud for hver emne under hvilket du finder
Analyze funktionen
3. Det samme gælder under under ”Correlation+/Threads”
Når du bruger Analyze kan du med udgangspunkt i Devices, Users, Facilities og
Severities frit vælge at fokusere på:
1. Devices. Hvor mange logs kommer der pr. periode fra bestemte devices
Fx hvilke Users, Facilities og Severities er associeret med et bestemt device
2. Users. Hvor mange logs kommer der pr. periode fra bestemte Users
Fx hvilke Devices, Facilities og Severities er associeret med en bestemt User
3. Facilities. Hvor mange logs kommer der pr. periode fra bestemte Facilities
Fx hvilke Devices, Users og Severities er associeret med en bestemt Facility
4. Severities. Hvor mange logs kommer der pr. periode fra bestemte
Severities
Fx hvilke Devices, Users og Facilities er associeret med en bestemt Severity
Når du foretager en analyse med Analyze skal du fortælle Correlog hvor mange
entries du vil se og over hvor lang tid. Pas på med at vælge for lang tid ad gangen
men eksperimenter dig lidt frem da en analyse over mange dage kan tage MEGET
lang tid.
© 2014 Draware A/S
Side 18 af 24
www.draware.dk
Hvis du gerne vil specificere fx bestemte brugere eller bestemte device type skal
du enten lave en thread der samler data efter disse kriterier eller brug funktionen
”Parse Spec” som du finder i Analyse menuen. Her kan du angive et søge kriterie
for at få udtrukket data af en bestemt type som fx:
1. ”Login Type: *”
2. Security ID:*
Du kan få hjælp til parsing kommandoerne ved at klikke på linket ”Parse Help” ud
for Parse Spec tekstboksen eller se dokumentet i s-doc folderen ”COPARSE.PDF”.
Du kan også se YouTube videoen som forklarer Parse funktionen på følgende link:
https://www.youtube.com/watch?v=SpQhfyP9LG4&list=PL685A0F4257DA5D4F
© 2014 Draware A/S
Side 19 af 24
www.draware.dk
Hvad er en Adaptor?
Du kan udvide funktionaliteten i Correlog med gratis plug-ins kaldet Adaptors
som gør det endnu lettere og mere spændende at arbejde med Correlog.
 Du HENTER dine adaptors ved at bruge de links som er specficeret i
dokumentet http://www.draware.dk/fileadmin/CorreLog/CO-ADAPTERS.pdf
 Du kan få et adaptors OVERBLIK ved at klikke på det relevante link i
Correlogs web interface på Home page.
 Du skal normalt STOPPE Correlog services når du installerer en ny adaptor
og naturligvis huske at starte den igen når den er installeret.
Vigtige adaptors:
 PING: Lader dig pinge devices og skabe en log entry hvis dette ping fejler
 SNMP: Lader dig overvåge SNMP MIB objekter og skabe logs hvis noget
fejler eller få informationen om bestemte OIDs
 SNMP-TRAP: Lader dig modtage og fortolke traps
 SESSION: Ladr dig tracke hvilke brugere der er logget ind i hvilke systemer
og logon historik
 ASSOCIATION: Lader dig tracke hvilke processer der er startet af hvile
brugere, hvilke computere en bruger logger ind på mm.
 WINDOWS EVENT ID: Lader dig analysere Windows Eventlogs
Husk at dine adaptors og skal opgraderes når du opgraderer Correlog til en ny
version, da alle adaptors også kommer i en ny relateret version.
Der findes en udmærket udokumenteret ”Adaptor” som hedder PDF generator.
Du kan hente den fra følgende link: http://correlog.com/Download/co-5-4-4genpdf.exe. Denne fil tilføjer en Generate PDF funktionalitet til mange
skærmbilleder så det er lettere at få eksportere data til i PDF format.
© 2014 Draware A/S
Side 20 af 24
www.draware.dk
Hvad er en Thread?
En Correlation Thread er et filter som altid fanger et udsnit af de logs som
kommer ind i Correlog efter de søgekriterier som du har sat op. Du kan fx søge på
en kombination af:
1.
2.
3.
4.
5.
Fri tekst i logs
Logs fra bestemte devices
Logs med en bestemt severity eller facility
Logs der parses
Logs der kommer ind på helt specifikke tidspunkter
Du kan begrænse logs baseret på adresse grupper
(”Correlations+/Config+/Address Groups”) eller expressions (), Macroer
(”Correlation+/Config+/Macros”) og lister (”Correlation+/Config+/Lists”). Og
naturligvis også efter Severity og facility.
En correlation er det mest grundlæggende i Correlog og bruges i Dashboards,
Rapporter, Analyser, Pivots, Alerts mm. Men en thread belaster også din Correlog
engine og jo flere du laver af dem jo mere belastet bliver din Correlog server.
Derfor kan du dirigere en del af datastrømmen uden om din correlation engine
ved at bruge funktionen ”Messages+/AUX”.
Det er en god idé at opdele din Threads is Thread groups ved at navngive dine
threads som følger: ”Authentication: Logon Success” – hvor det første er den
overordnede funktion og det der følger efter kolon er delfunktionen som denne
thread løser (”Correlation+/Threads/All Thread Groups”).
Baseret på en thread kan du udløse en række følgefunktioner i Correlog og du
kan læse mere om disse og det naturlige process flow i Correlog på side 17.
Du kan både ekspotere og importere threads så de er nemme at dele med andre
brugere eller du kan eksportere dem for at have en backup af dine threads.
© 2014 Draware A/S
Side 21 af 24
www.draware.dk
Hvordan formaterer jeg mine e-mails fra Correlog?
Dette beskrives på følgende link men herunder finder en outline:
https://correlog.zendesk.com/entries/50955775-How-to-Change-the-Subject-of-EMail-Messages-
1. Kopier "t-actions\SENDMAIL.bat" filen til "t-actions\CUSTMAIL.bat" eller
brug et andet navn hvis du ønsker det
2. Rediger t-actions\CUSTMAIL.bat filen i notepad
3. I CUSTMAIL.bat filen finder du linjen med "Subject:" eller andre keywords
om modificerer dem efter behov. Husl at du kan bruge variable fra Correlog
4. Gem ændringerne.
5. Kopier CUSTMAIL.bat tilbage til SENDMAIL.bat eller modificer ticket
actions til at referere til CUSTMAIL.bat filen
“t-actions" folderen indeholder en README.txt fil der forklarer nærmere om at
oprette ticket actions og du kan se i "t-actions\TEMPLATE.bat for at se alle de
variable du kan bruge. Sidst men ikke mindst kan du se i Correlog manualen
sektion 7 under ticket actions for en mere detaljeret forklaring,
© 2014 Draware A/S
Side 22 af 24
www.draware.dk
Hvordan søger jeg i ældre data?
Der findes en række forskellige steder i Correlog hvor du kan specificere hvad du
søger efter, hvor når søgningen skal starte og hvor langt den skal gå tilbage. Her
er de vigtigste beskrevet:
1. Under Messages+/Search kan du specificere AD HOC søgning i indekserede
ord og i det første felt (normalt markeret med ”Today”) angive en start
data og i det næste felt hvor mange dage tilbage fra denne startdato du vil
søge. Husk også at specificere i det næste felt hvor mange logs du vil
returnere i søgningen.
2. Når du i ovenstående skærmbillede klikker på Forensic Search kan du
foretage en mere specifik søgning i ALLE logs (ikke kun de indekserede ord)
og her yderligere specificere et tidspunkt for søgningen. I feltet ”Query file
type” kan du vælge at søge i LogFile, Thread, Archive, AUXfile, Tickets og
External filer.
© 2014 Draware A/S
Side 23 af 24
www.draware.dk
3. Du kan søge i logs for et bestemt device, en bestemt bruger, en bestemt
severity eller en bestemt facility ved a gå til Messages+/Catalogs+ og klikke
på ”+” ikonet ud for det emne du vil søge på og så vælge ”View All
Messages” eller en af de andre søge metoder.
© 2014 Draware A/S
Side 24 af 24
www.draware.dk