فهرست مطالب: در دنیای امنیت سایبری و مدیریت سیستم‌ها، نظارت بر لاگ‌ها یکی از مهم‌ترین اقدامات برای شناسایی تهدیدات و حفظ سلامت زیرساخت‌های فناوری اطلاعات است. EventLog Analyzer ابزاری قدرتمند است که با جمع‌آوری، تحلیل، و ذخیره‌سازی لاگ‌های سیستمی، دید کاملی از رویدادهای شبکه ارائه می‌دهد. اما برای راه‌اندازی و عملکرد بهینه آن، شناخت دقیق معماری، پورت‌ها و الزامات اساسی ضروری است. مشخصات سیستم برای EventLog Analyzer این بخش مشخصات سیستم مورد نیاز برای نصب و استفاده از EventLog Analyzer (نسخه‌های توزیع‌شده و مستقل) را ذکر می‌کند. سخت‌افزار راه‌حل‌های مدیریت لاگ منابع زیادی مصرف می‌کنند، بنابراین انتخاب سخت‌افزار مناسب تأثیر زیادی در عملکرد بهینه سیستم خواهد داشت. جدول زیر الزامات سخت‌افزاری پیشنهادی را بر اساس نوع جریان داده نشان می‌دهد: عنوان پایین نرمال بالا تعداد هسته پردازنده 6 12 24 RAM 16 GB 32 GB 48 GB IOPS 150 750 1500 فضای دیسک 1.2 TB 3 TB 4 TB ظرفیت کارت شبکه 1 GB/s 1 GB/s 10 GB/s معماری CPU 64-bit 64-bit 64-bit توجه: این مقادیر تقریبی هستند و توصیه می‌شود یک محیط آزمایشی مشابه محیط تولید با جزئیات ذکر شده در جدول فوق راه‌اندازی شود. زیرساخت VM پردازنده و RAM دیسک مرورگرهای وب EventLog Analyzer با مرورگرهای زیر تست شده است و حداقل باید رزولوشن صفحه 1024×768 را پشتیبانی کند: پایگاه‌داده‌ها پایگاه‌داده‌های زیر به‌عنوان پایگاه‌داده پشتیبانی‌شده توسط EventLog Analyzer استفاده می‌شوند: سیستم‌عامل‌ها EventLog Analyzer می‌تواند روی سیستم‌عامل‌های زیر نصب شود: سرور نصبی راه‌حل‌های SIEM منابع زیادی مصرف می‌کنند. پیشنهاد می‌شود که یک سرور اختصاصی برای عملکرد بهینه آن‌ها فراهم شود. EventLog Analyzer از Elasticsearch استفاده می‌کند و این فرایند باید از حافظه خارج از پشته برای عملکرد بهتر استفاده کند. نتایج نهایی ابزار محاسبه نیازمندی‌های سخت‌افزاری: این ابزار به شما کمک می‌کند تا با توجه به میزان داده‌های دریافتی، سخت‌افزار مناسب را انتخاب کنید. نسخه مستقل EventLog Analyzer EventLog Analyzer یک راهکار جامع برای مدیریت لاگ‌ها و انطباق IT در سازمان‌ها است که به صورت وب‌محور عمل می‌کند. این ابزار از مکانیزم‌های بدون‌عامل و با عامل برای جمع‌آوری لاگ‌ها از منابع مختلف در شبکه شما استفاده می‌کند و همچنین گزارش‌ها، هشدارها و تحلیل‌های امنیتی عمیقی را در اختیار شما قرار می‌دهد. ماژول‌های اصلی EventLog Analyzer ماژول توضیحات جمع‌آورنده لاگ جمع‌آوری و متمرکز کردن داده‌های لاگ از منابع مختلف در شبکه، با یا بدون عامل (Agent). قادر به جمع‌آوری لاگ‌ها از سیستم‌عامل‌ها، پایگاه‌های داده، دستگاه‌های شبکه، دستگاه‌های امنیتی، برنامه‌ها و دیگر منابع است. موتور تجزیه فیلتر کردن لاگ‌های غیرضروری (طبق تنظیمات مدیر) و تبدیل لاگ‌های خام به فرمت استاندارد. پایگاه داده مرکزی ذخیره‌سازی اطلاعات پیکربندی کاربران و منابع لاگ. پایگاه داده پیش‌فرض PostgreSQL است و امکان مهاجرت به Microsoft SQL Server وجود دارد. ساخت گزارش پردازش لاگ‌های خام و نرمال‌شده برای ایجاد بیش از هزار گزارش پیش‌ساخته (از جمله گزارش‌های انطباق) و گزارش‌های سفارشی. گزارش‌ها به صورت زمان‌بندی‌شده تولید و به اشتراک گذاشته می‌شود. هشدارها و مدیریت حادثه ارسال اعلان‌های ایمیلی و SMS بر اساس پروفایل‌های هشدار پیکربندی‌شده؛ اختصاص حوادث به تکنسین‌ها و ذخیره وضعیت‌ها و اطلاعات مرتبط با هر حادثه. جریان‌های کاری خودکار خودکارسازی پاسخ به حوادث از طریق جریان‌های کاری از پیش‌تعریف‌شده که هنگام وقوع هشدارها فعال می‌شوند. موتور جستجوی لاگ جستجوی سریع در میلیون‌ها لاگ در چند ثانیه با استفاده از موتور جستجو powered by Elasticsearch. ذخیره‌سازی لاگ‌های تجزیه‌شده و داده‌های گزارش و هشدار. موتور همبستگی همبسته‌سازی لاگ‌ها از منابع مختلف برای شناسایی حملات احتمالی و تولید گزارش‌های امنیتی و هشدارهای جامع. تهدیدشناسی دریافت و ذخیره‌سازی داده‌های تهدید از فیدهای STIX/TAXII و سایر فیدهای منبع‌باز. مقایسه داده‌ها با رویدادهای شبکه و ایجاد هشدار تهدید در صورت شناسایی تهدیدات. موتور بایگانی ذخیره‌سازی لاگ‌های فشرده‌شده (خام یا تجزیه‌شده) از تمامی دستگاه‌ها و برنامه‌ها در یک مکان مشخص. پیکربندی سیاست‌های […]

یکپارچه‌سازی و مدیریت سه سرویس حیاتی زیرساخت شبکه — DNS، DHCP و IPAM — با DDI Central 🎬 سناریو: «مهاجرت از سیستم پراکنده DHCP/DNS به یک پلتفرم یکپارچه و امن» شرکت ایکس، یک اپراتور مخابراتی با بیش از ۵۰۰۰ کاربر داخلی و هزاران دستگاه متصل (مودم، روتر، تلفن VoIP و…) در سراسر کشور است. این شرکت تا پیش از این از چندین سرور DNS و DHCP پراکنده در شعب مختلف استفاده می‌کرد که بعضی ویندوزی و بعضی لینوکسی بودند. با افزایش حجم تجهیزات و کاربران، مشکلات زیر پدیدار شد: 🎯 هدف: یکپارچه‌سازی مدیریت DNS، DHCP و IPAM در سطح کشور و افزایش امنیت و قابلیت مانیتورینگ شبکه. 🛠 راهکار با DDI Central: ✅ نتیجه: اما DDI چیست و دقیقاً چه کاری می‌کند و چطور چنین نتایج درخشانی را برایمان رقم می‌زند؟… ادامه در صفحه بعد…

زیرساخت شبکه مانند ستون‌های یک ساختمان است؛ شاید در نگاه اول دیده نشود، ولی بنیان هر سازمانی بر آن استوار است. برای حفظ انگیزه‌ی کارشناسان زیرساخت، ابزارهایی مانند داشبورد دیجیتال، پورتال اطلاع‌رسانی، جلسات ارائه، اینفوگرافیک‌های جذاب، تیزرها یا خبرنامه‌های داخلی می‌توانند دستاوردهای آن‌ها را به نمایش بگذارند. کارشناسان این بخش بعنوان نگهبانان ستون فقرات سازمان همواره از دید مدیران ارشد و کاربران دورند. دلایلی زیادی برای این موضوع هست ولی در اینجا لیستی از دلایل دیده نشدن کارشناسان زیرساخت آورده شده: دلیل عدم دیده شدن کارشناسان زیرساخت شرح عدم توجه به ارزش فعالیت‌های زیرساختی بسیاری از سازمان‌ها به اهمیت زیرساخت‌ها توجه نمی‌کنند و این باعث نادیده گرفتن تلاش‌های کارشناسان زیرساخت می‌شود. مقایسه با تیم‌های دیگر تیم‌های فروش، بازاریابی یا توسعه محصول بیشتر دیده می‌شوند زیرا دستاوردهای آن‌ها مستقیماً به سود و درآمد سازمان مرتبط است. کمبود ابزارهای مناسب برای نمایش دستاوردها اگر ابزارهای مناسب برای مستندسازی و نمایش دستاوردهای زیرساختی وجود نداشته باشد، این دستاوردها به چشم نمی‌آیند. عدم ارتباط موثر با دیگر بخش‌ها اگر تیم زیرساخت ارتباط مؤثر و مستمر با دیگر بخش‌ها نداشته باشد، دستاوردهای آن‌ها منتقل نمی‌شود و دیده نمی‌شود. شکل‌گیری تصویری منفی از کارهای زیرساختی در برخی سازمان‌ها، زیرساخت‌ها به عنوان یک بخش پرزحمت و کم‌قدردانی در نظر گرفته می‌شوند که باعث نادیده گرفتن دستاوردها می‌شود. عدم وجود سیستم‌های بازخورد مناسب در بسیاری از سازمان‌ها، بازخورد برای فعالیت‌های زیرساختی به ندرت ارائه می‌شود، که باعث کاهش انگیزه برای نمایش دستاوردها می‌شود. تمرکز بر مشکلات به‌جای موفقیت‌ها معمولاً مشکلات و خرابی‌ها سریع‌تر از دستاوردهای مثبت زیرساختی جلب توجه می‌کنند، که باعث نادیده گرفتن موفقیت‌ها می‌شود. عدم حمایت و توجه مدیران اگر مدیران ارشد سازمان فعالیت‌های زیرساختی را در اولویت قرار ندهند یا آن‌ها را معرفی نکنند، تلاش‌های تیم زیرساخت دیده نخواهند شد. این دلایل می‌توانند باعث شوند که فعالیت‌های زیرساختی و تلاش‌های کارشناسان این حوزه نادیده گرفته شوند و نتایج مثبت آن‌ها به درستی منعکس نشوند. تا مدیریت زیرساخت حرفه‌ای داشته باشید مدیران برای انتقال اهمیت این فعالیت‌ها به دیگران و بخصوص مدیریت ارشد می‌توانند اقدامات زیر را انجام دهند: این اقدامات، نه‌تنها فعالیت‌های زیرساختی را در سازمان نمایان می‌کند، بلکه به درک ارزش واقعی آن‌ها نیز کمک می‌کند.

در فرآیند مدیریت وصله‌های امنیتی با ManageEngine Endpoint Central، گاهی با وضعیتی مواجه می‌شویم که یک پچ با موفقیت نصب می‌شود، اما همچنان در لیست Missing Patches باقی می‌ماند. پیام‌هایی مانند “The operation completed successfully”، “This version already exists” یا “Patch detected as Not applicable” نشان می‌دهند که عملیات نصب بدون خطا انجام شده، اما نرم‌افزار همچنان آن را به‌عنوان یک پچ ناموجود یا ناپذیرفته شناسایی می‌کند. در چنین شرایطی، سرپرستان IT ممکن است با مشکلاتی نظیر کاهش امنیت سیستم، هشدارهای مداوم درباره پچ‌های ناقص و اختلال در گزارش‌گیری مواجه شوند. این مسئله معمولاً به دلایل مختلفی از جمله عدم اجرای صحیح اسکن پچ، خطای تشخیص، وابستگی‌های پچ و نیاز به ری‌استارت سیستم رخ می‌دهد. برای حل این مشکل، بررسی مجدد فرآیند شناسایی، اجرای اسکن جدید، بررسی نصب در Windows Update و مدیریت سرویس‌های مربوطه ضروری است. با اجرای مراحل صحیح، می‌توان وضعیت پچ‌ها را به‌روزرسانی کرده و از خطاهای گزارش‌دهی جلوگیری کرد. در ManageEngine Endpoint Central، اگر برخی از پچ‌ها پس از نصب همچنان در لیست Missing Patches باقی می‌مانند، با وجود پیام‌هایی مانند موارد زیر: جدول پیام‌های Endpoint Central و توضیحات آن‌ها پیام معنی و توضیحات اقدام پیشنهادی ✅ The operation completed successfully عملیات نصب پچ بدون خطا انجام شده است، اما ممکن است هنوز در لیست Missing Patches باقی بماند. اجرای Patch Scan مجدد برای به‌روزرسانی وضعیت 🔄 This version already exists نسخه پچ موردنظر از قبل روی سیستم نصب شده است، اما Endpoint Central هنوز آن را شناسایی نکرده است. بررسی نصب از طریق wmic qfe list یا Windows Update، سپس اجرای اسکن مجدد ❌ Patch detected as Not applicable این پچ با نسخه سیستم‌عامل یا نرم‌افزار هدف سازگار نیست یا پیش‌نیازهای آن نصب نشده‌اند. بررسی پیش‌نیازهای پچ و بررسی تطابق نسخه سیستم ⚠ Patch installation failed نصب پچ به دلایل مختلفی مانند مشکل در دانلود، تنظیمات امنیتی، یا خرابی فایل پچ ناموفق بوده است. بررسی لاگ‌های PatchLogs، بررسی فضای دیسک و دسترسی‌های موردنیاز 🔄 Reboot required برای اعمال تغییرات پچ، ری‌استارت سیستم ضروری است. ری‌استارت سیستم و اجرای اسکن مجدد ⏳ Waiting for installation پچ برای نصب برنامه‌ریزی شده اما هنوز نصب نشده است. بررسی وضعیت سرویس‌های Endpoint Central Agent ❗ Installation in progress فرآیند نصب پچ در حال اجرا است و هنوز تکمیل نشده است. انتظار برای تکمیل نصب، سپس اجرای اسکن مجدد ⚠ Patch rolled back پچ نصب شد اما به دلیل ناسازگاری یا مشکل، سیستم آن را به حالت قبل بازگرداند. بررسی Event Viewer و تلاش برای نصب مجدد 🚫 Patch declined این پچ به‌صورت دستی یا خودکار در لیست رد شده‌ها (Declined Patches) قرار گرفته است. بررسی و تغییر وضعیت پچ در Patch Management > Declined Patches 🔹 نکته: پس از هر نصب یا تغییر در پچ‌ها، اجرای Patch Scan ضروری است تا وضعیت پایگاه داده به‌روز شود. برای حل مشکل باقی ماندن پچ‌ها در لیست missing patches در ManageEngine Endpoint Central، با وجود نصب و ریمارک‌های مختلف، می‌توانید مراحل زیر را بررسی کنید: سینک مجدد با سرور: پس از نصب و بروزرسانی، مطمئن شوید که سینک مجدد بین سرور و دستگاه‌ها به درستی انجام می‌شود. گاهی اوقات این سینک می‌تواند تغییرات را منعکس کند.احتمالاً مشکل به دلایل زیر مرتبط است: اطمینان از هم‌خوانی نسخه‌ها: بررسی کنید که نسخه پچ‌ها و سیستم عامل دستگاه‌ها هم‌خوانی داشته باشند. ممکن است پچ‌هایی که به طور دستی نصب شده‌اند، با نسخه‌ای که در Endpoint Central تعیین شده، هم‌خوانی نداشته باشند. بررسی وضعیت Agent: گاهی اوقات مشکل از خود Agent است. اطمینان حاصل کنید که Agent به درستی نصب شده و به درستی به سرور Endpoint Central متصل است. پاکسازی Cache و داده‌های قدیمی: در صورت امکان، پس از نصب پچ‌ها، Cache سیستم را پاک […]