Close

Not a member yet? Register now and get started.

lock and key

Sign in to your account.

Account Login

Forgot your password?

Netapp – Cluster Mode , 7Mode : CIFS Audit EVT Dosyasını Otomatik Şekilde SYSLOG Aktarma

Posted by in NETAPP | Comments

Merhabalar ,

Merhaba bu yazımda sizlere Netapp veya diğer sistemlerde üretilen CIFS Auidit LOG dosyalarının otomatik bir şekilde SYSLOG sunucuna nasıl aktarılacağı hakkında bilgi veriyor olacağım. Netapp üzerinde hardware sağlık durumu kontrollerinde sistem otomatik olarak SYSLOG sunucuna log gönderirken CIFS Audit loğlarını belirlenen volume içerisine EVT dosyası olarak kayıt etmektedir. Biz bu üretilen EVT dosyalarını otomatize bir şekilde SYSLOG sunucuna bir batch dosyası oluşturarak powershell yardımı ile gönderiyor olacağız.

Öncelikli olarak Cluster Mode veya 7 Mode üzerinde CIFS Audit özelliğini aktif hale getiriyoruz. 7 gün boyunca her günün sonunda yeni bir EVT dosya oluşturacak şekilde ayarlama yapıyoruz. 7. Günün sonunda ilk gün oluşturulan dosya silinip üzerine yazılacak.

Bir batch dosyası hazırlıyoruz. Bu batch dosyası netapp tarafına erişebilen ve belirlenen saatlerde çalışan powershell script olacak. Bu script her günün sonunda gece 00:05 gibi çalışacak ve bir önceki gün üretilen log’u alıp SYSLOG sunucusuna aktaracak. Bu aktarım işlemi için Windows Log Parser uygulamasını kullanıyor olacağız.

1 – ) Windows Log Parser uygulamasını belirlediğimiz Windows sunucu üzerine kuruyoruz.

https://technet.microsoft.com/en-us/scriptcenter/dd919274.aspx
https://www.microsoft.com/en-us/download/details.aspx?id=24659

2 – ) PowerShell için batch dosyası hazırlıyoruz. Uzantısını “ps1” olacak şekilde kayıt ediyoruz. Batch dosyasının içeriği aşağıda ki şekilde olacak . İnceleyecek olursak ;

Bugünün tarihini alıp bir önceki günü bulup değişkene atadık
$date2 = (get-date).AddDays(-1).ToString(“yyyyMMdd”)
CIFS audit file path değişkene atadık
$Source = “\\192.168.70.123\audit\”
EVT dosyasının kopyalanacağı windows sunucu path bilgisi.
$Destination1 = “C:\kopyala\”
Yedek aktarımı yapacaksak.
$Backup= “C:\yedek\”
EVT dosyasının kopyaladık.
Copy-Item $Source’audit.’$date2*.evt -Destination $Destination1
EVT dosyasını sıkıştırıp yedek klasöre aktardık
Compress-Archive -Path C:\kopyala\* -DestinationPath C:\yedek\$date2
EVT dosya ismini değişkene atadık
$gtname= Get-ChildItem C:\kopyala\ -name
Ismi değiştirdik.
Rename-Item $Destination1$gtname LOGfile.evt
EVT yi EVTX olarak değiştirdik.
wevtutil epl c:\kopyala\LOGfile.evt c:\kopyala\LOGfile.evtx /lf:true
Parser path’geçtik
cd ‘C:\Program Files (x86)\Log Parser 2.2’
EVTX dosyayı SYSLOG ‘a gönderdik.
.\logparser.exe -i:evt “select * into @192.168.70.97 from C:\kopyala\LOGfile.evtx” -o:SYSLOG
EVT dosyasını sildik
Remove-Item C:\kopayal\*

3 – ) Oluşturduğumuz powershell dosyasını Windows C:\ sürücüsünde oluşturduğumuz klasör içerisine kopyalıyoruz.

4 – ) Oluşturduğumuz Windows Task Scheduler oluşturup script olarak oluşturduğumuz batch dosyasını gösteriyoruz. Çalıştırma parametresi olarak aşağı ki komutu ekliyoruz.

-ExecutionPolicy RemoteSigned -File “C:\cifsaudit\ps.ps1”

5 – ) Task Scheduler her gece 00:05 de çalışacak şekilde ayarlama yapabiliriz.

6 – ) Toplu halde komut bilgisi

$date2 = (get-date).AddDays(-1).ToString(“yyyyMMdd”)
$Source = “\\192.168.70.123\audit\”
$Destination1 = “C:\kopyala\”
$Backup= “C:\yedek\”
Copy-Item $Source’audit.’$date2*.evt -Destination $Destination1
Compress-Archive -Path C:\kopyala\* -DestinationPath C:\yedek\$date2
$gtname= Get-ChildItem C:\kopyala\ -name
Rename-Item $Destination1$gtname LOGfile.evt
wevtutil epl c:\kopyala\LOGfile.evt c:\kopyala\LOGfile.evtx /lf:true
cd ‘C:\Program Files (x86)\Log Parser 2.2’
.\logparser.exe -i:evt “select * into @192.168.70.97 from C:\kopyala\LOGfile.evtx” -o:SYSLOG
Remove-Item C:\kopayal\*


7 – ) Bu işlem sonunda SYSLOG sunucusuna loğların aktarıldığını teyit ediyoruz.

Teşekkürler

Murat AKSU

Leave a Reply