مقدمه 

همه مي‌دانيم Troubleshooting ، Debug کردن و Recovery  از جمله وظايف مسئولان شبکه است ولي در دنيايي که عصر تکنولوژي ناميده مي‌شود و شعار "Information is power" به  "Knowledge is power" تغيير کرده است بايد بيش از پيش از رخدادهاي شبکه مطلع باشيد، آنها را تحليل کنيد و به بهبود و پيشگيري بپردازيد. براي اين منظور بهترين روش اين است که اطلاعات را گروه‌بندي (Classified) کنيد و هر گروه را  ارزش گذاري نموده از فيلتر عبور دهيد تا آنها که مفيدترند سريعتر در اختيارتان باشند. به اين ترتيب از ميان حجم زيادي اطلاعات، به مختصر اطلاعات با ارزشي دست خواهيد يافت که مي‌توانيد آنها را تحليل کرده براساس آنها تصميم گيري نمائيد، اقدامات لازم را انجام دهيد و در نتيجه بتوانيد از وقوع بسياري از مشکلات در شبکه پيشگيري کنيد.
در شماره‌هاي قبل يکي از اين ابزارها (GFI End Point Security) را براي کنترل درگاه‌هاي ورود و خروج اطلاعات معرفي کرديم و حالا يکي ديگر از نرم‌افزارهاي خانواده GFI که کارايي بالايي براي مانيتورينگ رخدادهاي شبکه دارد را حضورتان معرفي مي‌کنيم. همانطور که مي‌دانيد بهترين راه براي پيشگيري از رخ دادن اتفاقات و خرابي تجهيزات و سرويس‌هاي شبکه مرور Logهاي آنها مي‌باشد. در اين شماره خواهيم ديد که چگونه مي‌توان با استفاده از اين ابزار از Logهاي تجهيزات مختلف استفاده مفيد کرد.

GFI  Event Manager
نصب و راه اندازي Event Manager نيز مانند End Point Security بسيار ساده است. با توجه به اينکه سرويس‌هاي GFI به کاربري که بار اول آن را نصب مي‌کند وابسته مي‌شوند براي اينکه ملاحظات امنيتي را درنظر گرفته باشيد و نيز در آينده (با تغيير رمزعبور کاربر يا حذف آن) سرويس Event Manager متوقف نشود، يک نام کاربري مخصوص اين سرويس‌ها تعريف کنيد و براي آن رمز عبور پيچيده‌اي انتخاب کنيد.
پس از اينکه نرم‌افزار را نصب کرديد در پنجره کنسول اوليه و در يک نگاه کلي از فعال بودن سرويس و بانک اطلاعاتي آن مطلع خواهيد شد.
ابتدا لازم است منابع Logها که همان تجهيزات شبکه هستند را مشخص کنيد. قوانيني براي پردازش و واکنش نسبت به آنها تعيين نمائيد و اگر گزينه خاصي مانند تنظيم هشداردهنده، تغيير فورمت آنها و غيره درنظر داريد در همين قدم اول تنظيم کنيد. در غير اينصورت با حجم زياد اطلاعاتي که روبرو خواهيد شد حتماٌ از خير مرور Logها خواهيد گذشت! به عبارت ديگر فقط Log‌ مربوط به دستگاه‌ها و تجهيزات مهم شبکه را ذخيره نماييد.
 براي اينکه آنچه در بالا گفته شد را انجام دهيد از منوهاي اصلي به قسمت Configuration برويد  و مطابق شکل‌هاي 1، 2 و 3 تنظيمات قسمت‌هاي Event Sources ، Event Processing Rules و Option را تنظيم نماييد. همانطور که در شکل مي‌بينيد Log ها را مي‌توان براساس نوع سرويسي که سرور ارائه مي‌کند گروه‌بندي نمود براي اينکار کافي است سرويس دهنده‌ها را بصورتي که در شکل 4 مشاهده مي‌کنيد به گروه مربوطه اضافه کنيد. در نتيجه پس از پايان تنظيمات و هنگامي که به صفحه Event Browser مراجعه مي‌کنيد تا Log ها را ببينيد، متوجه خواهيد شد که بصورت اتوماتيک Log ها در گروه‌هاي مشخص تقسيم شده‌اند و براحتي هر نوع از آنها را که لازم داريد، خواهيد ديد.

شکل 5در صفحه Event log که در شکل 8 نشان داده شده است مي‌توانيد Eventها را کم يا اضافه کنيد به عنوان مثال اگر سرور DHCP در شبکه شما نقش DNS را هم ايفا مي‌کند مي‌توانيد Event هاي مربوط به DNS را هم در اين صفحه اضافه کنيد. و در صفحه Condition (شکل 9) مشخص مي‌کنيد که اين قوانين از گروه مورد نظر شامل کدام Eventها، Critical‌ها يا Warning‌ها يا ... شوند و در صفحه Action  مشخص مي‌کنيد که در شرايط تعيين شده چه واکنشي توسط سرور انجام شود؟ به عنوان مثال ايميل يا SMS براي شخص خاصي ارسال کند؟ فايل خاصي را اجرا کند و يا ..  و بالاخره در صفحه آخر مشخص مي‌کنيد که بعد از چه مدت زمان يا چند بار رخ دادن يک رويداد اين واکنش انجام شود.

شکل 6

شکل 7

شکل 8

شکل 9ما يکي از Ruleها را بررسي کرديم اما اينکه چگونه تنظيمات کامل اين سرور را انجام مي‌دهيد به دقت و سياست شما بستگي دارد که بخواهيد کدام موارد را مانيتور کنيد و چه پيغام‌هاي هشدار دهنده‌اي دريافت نماييد و چه موقع از اتفاق افتادن يا احتمال وقوع يک رخداد مطلع شويد. اينها همه به نظر و خط مشي سازمان شما بستگي دارد.

شکل 10

تنظيمات Options
هميشه موارد اختياري نيز براي انجام تنظيمات وجود دارد. تنظيمات Eventها نيز از اين قضيه مستثني نيست و اگر مديريت توزيع شده‌اي در شبکه خود داريد مي‌توانيد مسئول مانيتورينگي داشته باشيد که Log ها را بصورت Read only مانيتور کند و به مسئول هر سرور بصورت اتوماتيک (از طريق Ruleهاي نرم‌افزار يا بصورت اداري و غيراتوماتيک) اطلاع دهد. از صفحه Options اين امکان را خواهيد داشت که گروه يا کاربري جديد با دسترسي کامل يا محدود تعريف کنيد.(شکل11)

شکل 11

اين نرم‌افزار ماهيت امنيتي دارد بنابراين بهتر است از امکانات امنيتي که براي ورود به کنسول آن در اختيار داريم استفاده کنيد و کاربر مسئول آن را موظف کنيد که هنگام بازشدن کنسول آن نيز نام کاربري و رمزعبور وارد کند و به امنيت چند لايه‌اي دست يابيد (شکل 12). از طرفي فراموش نکنيد که اين اهميت مانيتور شدن اين سرويس کمتر از ديگر سرويس ها نيست! پس Audit آن را هم فعال کنيد و مراقب باشيد فضاي کافي در دسترس باشد (شکل 13). سپس در قسمت Alerting Options فورمت پيش فرض انواع پيغام هاي هشدار دهنده را مشخص کنيد(شکل 14)
 

شکل 12

شکل 13خلاصه
ابزارهاي مختلفي براي مديريت رخدادهاي شبکه به بازار عرضه شده است و اغلب آنها امکانات مشابهي ارائه مي‌کنند. سعي مي‌کنيم نرم‌افزارهاي مختلف را به مرور معرفي کنيم و روش کار با آنها را تا حد ممکن آموزش دهيم. به هر حال مهم اين نيست که شما کدام نرم‌افزار را انتخاب مي‌کنيد مهم اين است که آن را بخوبي تنظيم کنيد و از بيشترين امکانات يک نرم‌افزار با بالاترين کارايي استفاده کنيد. اگر نرم‌افزار بخوبي تنظيم نشده باشد براساس گزارشات و هشدارهاي اشتباه تصميم مي‌گيريد و متاسفانه در شرايط اينچنيني بهتر است اصلا مانيتورينگي وجود نداشته باشد. از طرفي با توجه به اينکه هر سرويس و يا نرم‌افزار که به شبکه اضافه مي‌شود آسيب‌پذيري‌هاي مربوط به خود را به شبکه تحميل مي‌کند بهتر است چند نرم‌افزار با قابليت‌هاي يکسان نصب نکنيم و اگر قابليتي در نرم‌افزاري وجود دارد از همان نرم افزار موجود استفاده کنيم.

شکل 14

منبع : ماهنامه تخصصی رایانه خبر computernews.ir

شکل 1