Log
Hakkında
vService'e gelen isteklerin log sunucularına gönderilmesi için Log Profilleri kullanılmaktadır. TR7 ASP cihazı tarafından desteklenen 7 adet log formatı vardır. Log formatlarının detaylarına yazının devamında ulaşabilirsiniz.
Nasıl Eklenir?
Yeni bir Log Profili eklemek için TR7 ASP web arayüzü üzerinden, Traffic Manager > Profiles > Logs > Add adımları takip edilir.
Arayüz
Log Profillerini Listeleme Ekranı
"Traffic Manager > Profiles > Log" adımları takip edilerek TR7 ASP cihazı üzerinde ekli olan tüm Log Profillerinin listesine ulaşılır. Bu ekran üzerinde Log Profillerini ekleme, düzenleme ve silme işlemleri yapılır.
- 1 (Information to be Displayed in the Table)
Log Profillerinin listesinin bulunduğu tabloda hangi bilgilerin gösterilip gösterilmeyeceği seçilir.
Seçilebilecek ve varsayılan olarak seçili gelen bilgiler;
- Name
- Log Standard
- Log Addresses
- 2 (Add)
Add butonuna tıklanarak yeni bir Log Profili oluşturma formu açılır.
- 3 (Delete)
Bir veya birden fazla Log Profili seçilerek Delete butonuna tıklanarak ilgili Log Profilleri TR7 ASP cihazı üzerinde silinir.
- 4 (Edit)
Edit butonuna tıklanarak ilgili Log Profilinin düzenleme ekranı açılır.
- 5 (Search)
Tabloda bulunan tüm ifadeleri aramak için kullanılır.
- 6 (RegExp Search)
Tabloda bulunan tüm ifadeleri regexp olarak aramak için kullanılır.
- 7 (Column Based Search)
Tabloda bulunan tüm ifadeleri sütun bazlı aramak için kullanılır.
- 8 (Usage Filter)
Tabloda bulunan tüm ifadelerin hangi vService'lerde kullanıldığını filtrelemek için kullanılır.
- 9 (Page Information)
Açılan listede kaç adet Log Profilinin olduğunun ve kaç adet Log Profilinin listelendiğinin bilgisi bulunmaktadır. Silmek için Log Profilleri sol taraftan seçildiğinde, seçili olan Log Profilinin bilgiside burada görüntülenir.
- 10 (Page Size)
Açılan listede maksimum kaç adet Log Profilinin listeleneceği seçilir. Ok simgeleri ile sayfalar arasında geçiş yapılabilir.
- Preview of the Selected Log Profile
"Traffic Manager > Profiles > Log" adımları takip edildikten sonra herhangi bir profilin üzerine tıklandığında ekranın sağ tarafında ilgili profile ait bilgilerin olduğu pencere açılır.
Bu pencerede ilgili profile ait bilgilerin yanı sıra "Used In" bilgisi de verilmektedir. "SIEM_2" adlı log profilinin "www.tr7.com" adındaki vService'de kullanıldığı görülmektedir.
Açılan pencerenin sağ üstünde bulunan (x) butonuna tıklanarak önizleme kapatılabilir.
Arayüz
Log Profili Ekleme Formu
"Traffic Manager > Profiles > Log > Add" adımları takip edilerek TR7 ASP cihazı üzerine yeni bir Log Profili eklenir.
- Name
Oluşturulacak olan Log Profiline isim girilir.
- Log Addresses
Logların gönderileceği log sunucusunun IP:Port bilgileri girilir.
En sağda bulunan mavi (+) butonuna tıklanarak birden log sunucusu tek bir Log Profiline eklenebilir.
Örnekleme varsayılan olarak devre dışı gelir.
Örnekleme devreye alındığında "1-10" arasında bir sayı girilebilir. Örnek olarak 5 girildiğinde log sunucusuna gönderilecek olan her 10 logtan 5’i log sunucusuna gönderilecektir. İlgili butona basılarak devreye alınabilir.
- Log Standard
Logların log sunucusuna hangi standart ile gönderileceği seçilir. Varsayılan olarak "local" kullanılmaktadır.
Loglar "local" olarak gönderilir.
Loglar "rfc3164" olarak gönderilir.
Loglar "rfc5424" olarak gönderilir.
Loglar "priority" olarak gönderilir.
Loglar "raw" olarak gönderilir.
- Line Format
TR7 ASP tarafından desteklenen, logların hangi formatla gönderileceği satır formatı seçilir.
o Standard Log Format
KullanılabildiğivService Tipleri
- HTTP
- L7 TCP
- Network
Örnek Log Satırı (HTTP):
>> 172.16.101.16 - - [30/Jun/2022:14:45:26 +0000] "GET /tr7.png?q=val HTTP/1.1" 200 57598
Format:
| Log İçinde Geçen Değer | Açıklaması |
|---|---|
| 172.16.101.16 | İstemci IP Adresi |
| [30/Jun/2022:14:45:26 +0000] | İstek Yapılan Zaman (GMT) |
| "GET /tr7.png?q=val HTTP/1.1" | İstek Bilgisi ("METOT PATH+QUERY HTTP_VERSİYON") |
| 200 | Dönen HTTP Cevap Kodu |
| 57598 | Byte Cinsinden Cevap Boyutu |
Örnek Log Satırı (TCP):
Uyarı
TCP vService'lerde Standart Log Formatı, Apache Combined Log Formatı, Apache VHost Log Formatı seçildiğinde TCP için standart tek bir format sistem tarafından oluşturulmaktadır.
>> 172.16.101.111:49490 [05/Jul/2022:11:02:34.847] DFE DBE/lbBackends-kw4qm5g5 5003/0/59539 0 cD 1/1/0/0/0 0/0
Format:
| Log İçinde Geçen Değer | Açıklaması |
|---|---|
| 172.16.101.111 | İstemci IP Adresi |
| 49490 | İstemci Port Numarası |
| [05/Jul/2022:11:02:34.847] | İstek Zamanı |
| DFE | vService Konfigürasyon Adı |
| DBE | İsteğin Yönlendirildiği Sunucu Grubu Adı |
| lbBackends- kw4qm5g5 | Kurum Servisi Eşsiz Adı |
| 5003 | İsteğin Bağlantı için Kuyrukta Bekleme Süresi (ms) |
| 0 | Sunucuya Bağlanma Süresi (ms) |
| 59539 | Toplam Süre (ms) |
| 0 | Kurum Servisinden İstemciye Gönderilen Toplam (bytes) |
| cD | Oturumun Sona Ermesi |
| 1 | Toplam Bağlantı Sayısı |
| 1 | vService'deki Toplam Bağlantı Sayısı |
| 0 | Kurum Servisindeki Toplam Bağlantı Sayısı |
| 0 | Kurum Servisinde Etkin Olan Toplam Bağlantı Sayısı |
| 0 | Bağlantı Denemeleri Sayısı |
| 0 | Sunucu Kuyrukta Bekleme |
| 0 | vService Kuyrukta Bekleme |
o Apache Combined Log Format (Standart + Referrer + User-Agent)
Kullanılabildiği vService Tipleri
- HTTP
- L7 TCP
- Network
Örnek Log Satırı (HTTP):
>> 172.16.101.16 - - [30/Jun/2022:15:28:56 +0000] "GET /index2.php HTTP/1.1" 200 1763 "http://172.16.101.160:8080/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
Format:
| Log İçinde Geçen Değer | Açıklaması |
|---|---|
| 172.16.101.16 | İstemci IP Adresi |
| [30/Jun/2022:15:28:56 +0000] | İstek Yapılan Zaman (GMT) |
| "GET /index2.php HTTP/1.1" | İstek Bilgisi ("METOT PATH+QUERY HTTP_VERSİYON") |
| 200 | Dönen HTTP Cevap Kodu |
| 1763 | Byte Cinsinden Cevap Boyutu |
| "http://172.16.101.160:8080/" | İsteğe Ait Referer Başlık Bilgisi |
| "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36" | İsteğe Ait User-Agent Başlık Bilgisi |
Örnek Log Satırı (TCP):
Uyarı
TCP vService'lerde Standart Log Formatı, Apache Combined Log Formatı, Apache VHost Log Formatı seçildiğinde TCP için standart tek bir format sistem tarafından oluşturulmaktadır.
>> 172.16.101.111:49490 [05/Jul/2022:11:02:34.847] DFE DBE/lbBackends-kw4qm5g5 5003/0/59539 0 cD 1/1/0/0/0 0/0
Format:
| Log İçinde Geçen Değer | Açıklaması |
|---|---|
| 172.16.101.111 | İstemci IP Adresi |
| 49490 | İstemci Port Numarası |
| [05/Jul/2022:11:02:34.847] | İstek Zamanı |
| DFE | vService Konfigürasyon Adı |
| DBE | İsteğin Yönlendirildiği Sunucu Grubu Adı |
| lbBackends- kw4qm5g5 | Kurum Servisi Eşsiz Adı |
| 5003 | İsteğin Bağlantı için Kuyrukta Bekleme Süresi (ms) |
| 0 | Sunucuya Bağlanma Süresi (ms) |
| 59539 | Toplam Süre (ms) |
| 0 | Kurum Servisinden İstemciye Gönderilen Toplam (bytes) |
| cD | Oturumun Sona Ermesi |
| 1 | Toplam Bağlantı Sayısı |
| 1 | vService'deki Toplam Bağlantı Sayısı |
| 0 | Kurum Servisindeki Toplam Bağlantı Sayısı |
| 0 | Kurum Servisinde Etkin Olan Toplam Bağlantı Sayısı |
| 0 | Bağlantı Denemeleri Sayısı |
| 0 | Sunucu Kuyrukta Bekleme |
| 0 | vService Kuyrukta Bekleme |
o Apache VHost Log Format (VHost + Standart + Referrer + User-Agent)
Kullanılabildiği vService Tipleri
- HTTP
- L7 TCP
- Network
Örnek Log Satırı (HTTP):
>> www.domain.com:8080 172.16.101.16 - - [30/Jun/2022:15:32:09 +0000] "GET /index2.php HTTP/1.1" 200 1736 "http://www.domain.com:8080/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
Format:
| Log İçinde Geçen Değer | Açıklaması |
|---|---|
| www.domain.com:8080 | İstek Yapılan Virtual Host Bilgisi |
| 172.16.101.16 | İstemci IP Adresi |
| [30/Jun/2022:15:32:09 +0000] | İstek Yapılan Zaman (GMT) |
| "GET /index2.php HTTP/1.1" | İstek Bilgisi ("METOT PATH+QUERY HTTP_VERSİYON") |
| 200 | Dönen HTTP Cevap Kodu |
| 1736 | Byte Cinsinden Cevap Boyutu |
| "http://www.domain.com:8080/" | İsteğe Ait Referer Başlık Bilgisi |
| "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36" | İsteğe Ait User-Agent Başlık Bilgisi |
Örnek Log Satırı (TCP):
Uyarı
TCP vService'lerde Standart Log Formatı, Apache Combined Log Formatı, Apache VHost Log Formatı seçildiğinde TCP için standart tek bir format sistem tarafından oluşturulmaktadır.
>> 172.16.101.111:49490 [05/Jul/2022:11:02:34.847] DFE DBE/lbBackends-kw4qm5g5 5003/0/59539 0 cD 1/1/0/0/0 0/0
Format:
| Log İçinde Geçen Değer | Açıklaması |
|---|---|
| 172.16.101.111 | İstemci IP Adresi |
| 49490 | İstemci Port Numarası |
| [05/Jul/2022:11:02:34.847] | İstek Zamanı |
| DFE | vService Konfigürasyon Adı |
| DBE | İsteğin Yönlendirildiği Sunucu Grubu Adı |
| lbBackends- kw4qm5g5 | Kurum Servisi Eşsiz Adı |
| 5003 | İsteğin Bağlantı için Kuyrukta Bekleme Süresi (ms) |
| 0 | Sunucuya Bağlanma Süresi (ms) |
| 59539 | Toplam Süre (ms) |
| 0 | Kurum Servisinden İstemciye Gönderilen Toplam (bytes) |
| cD | Oturumun Sona Ermesi |
| 1 | Toplam Bağlantı Sayısı |
| 1 | vService'deki Toplam Bağlantı Sayısı |
| 0 | Kurum Servisindeki Toplam Bağlantı Sayısı |
| 0 | Kurum Servisinde Etkin Olan Toplam Bağlantı Sayısı |
| 0 | Bağlantı Denemeleri Sayısı |
| 0 | Sunucu Kuyrukta Bekleme |
| 0 | vService Kuyrukta Bekleme |
o CEF Format
Kullanılabildiği vService Tipleri
- HTTP
- L7 TCP
- Network
Örnek Log Satırı (HTTP > WAF Devre Dışı):
>> CEF:0|TR7|TR7 ASP|v1.9|200|DBE|5|name=www.tr7.com src=192.168.1.136 srcPort=52304 dst=192.168.1.46 dstPort=8080 serverIP=192.168.1.165 serverPort=80 fCipher=- fProtocol=- sCipher=- sProtocol=- reqMethod=GET reqBase=/ reqQuery= reqProtocol=HTTP/1.1 reqHost=192.168.1.46:8080 reqUA=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36 Edg/113.0.1774.50 reqHeaders=host: 192.168.1.46:8080\r\ncache-control: max-age=0\r\nupgrade-insecure-requests: 1\r\nuser-agent: Mozilla\/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/113.0.0.0 Safari\/537.36 Edg\/113.0.1774.50\r\naccept: text\/html,application\/xhtml+xml,application\/xml;q=0.9,image\/webp,image\/apng,\/;q=0.8,application\/signed-exchange;v=b3;q=0.7\r\naccept-encoding: gzip, deflate\r\naccept-language: tr,en;q=0.9,en-GB;q=0.8,en-US;q=0.7\r\n\r\n resHeaders=date: Tue, 23 May 2023 07:57:06 GMT\r\nserver: Apache\/2.4.38 (Debian)\r\ncontent-length: 1074\r\ncontent-type: text\/html; charset=UTF-8\r\n\r\n reqUploadBytes=449 resDownloadBytes=1223 username=- isWafAttack=0 wafInfo={}
Format:
| Log İçinde Geçen Değer | Açıklaması |
|---|---|
| CEF:0 | CEF Formatı |
| TR7 | Üretici |
| TR7 ASP | Ürün Adı |
| V1.9 | Ürün Versiyonu |
| 200 | Dönen HTTP Cevap Kodu |
| DBE | Cevap Kaynağı |
| 5 | CEF Kodu |
| www.tr7.com | vService Adı |
| 192.168.1.136 | İstemci IP Adresi |
| 52304 | İstemci Port Numarası |
| 192.168.1.46 | vService IP Adresi |
| 8080 | vService Port Numarası |
| 192.168.1.165 | Kurum Servisi IP Adresi |
| 80 | Kurum Servisi Port Numarası |
| fCipher=- | SSL vService Cipher Bilgisi |
| fProtocol=- | SSL vService Protokol Bilgisi |
| sCipher=- | Kurum Servisi SSL Cipher Bilgisi |
| sProtocol=- | Kurum Servisi SSL Protokol Bilgisi |
| GET | HTTP İstek Metotu |
| / | HTTP İstek Adresi |
| reqQuery= | HTTP İstek Query Değişkenleri |
| HTTP/1.1 | HTTP İstek Protokolü |
| 192.168.1.46:8080 | HTTP İstek Host Başlık Bilgisi |
| Mozilla/5.0 (Windows NT 10.0; Win64; x64)...Edg/113.0.1774.50 | HTTP İstek U-A Başlık Bilgisi |
| host: host: 192.168.1.46:8080\r\ncache-control: max-age=0\r\nupgrade-insecure-requests: 1\r\nuser-agent: Mozilla\/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/113.0.0.0 Safari\/537.36 Edg\/113.0.1774.50\r\naccept: text\/html,application\/xhtml+xml,application\/xml;q=0.9,image\/webp,image\/apng,\/;q=0.8,application\/signed-exchange;v=b3;q=0.7\r\naccept-encoding: gzip, deflate\r\naccept-language: tr,en;q=0.9,en-GB;q=0.8,en-US;q=0.7\r\n\r\n | HTTP İstek Başlık Bilgisi |
| date: date: Tue, 23 May 2023 07:57:06 GMT\r\nserver: Apache\/2.4.38 (Debian)\r\ncontent-length: 1074\r\ncontent-type: text\/html; charset=UTF-8\r\n\r\n | HTTP Cevap Başlık Bilgisi |
| 663 | İstek Boyutu (bytes) |
| 57598 | Cevap Boyutu (bytes) |
| username=- | Kullanıcı Doğrulaması Yap Aksiyon |
| isWafAttack=0 | Waf Atak Durumu (WAF Devre Dışı) |
| wafInfo={} | Waf Atak Bilgisi |
Örnek Log Satırı (HTTP > WAF Devrede):
>> CEF:0|TR7|TR7 ASP|v1.9|418|TR7|5|name=www.tr7.com src=192.168.1.136 srcPort=52431 dst=192.168.1.46 dstPort=8080 serverIP=- serverPort=- fCipher=- fProtocol=- sCipher=- sProtocol=- reqMethod=GET reqBase=/cmd.exe reqQuery= reqProtocol=HTTP/1.1 reqHost=192.168.1.46:8080 reqUA=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36 Edg/113.0.1774.50 reqHeaders=host: 192.168.1.46:8080\r\nupgrade-insecure-requests: 1\r\nuser-agent: Mozilla\/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/113.0.0.0 Safari\/537.36 Edg\/113.0.1774.50\r\naccept: text\/html,application\/xhtml+xml,application\/xml;q=0.9,image\/webp,image\/apng,\/;q=0.8,application\/signed-exchange;v=b3;q=0.7\r\naccept-encoding: gzip, deflate\r\naccept-language: tr,en;q=0.9,en-GB;q=0.8,en-US;q=0.7\r\n\r\n resHeaders=- reqUploadBytes=434 resDownloadBytes=686 username=- isWafAttack=1 wafInfo={"bodyLen":0,"path":"\/cmd.exe","wafTime":0.59,"body":"","totalScore":8,"ua":"Mozilla\/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/113.0.0.0 Safari\/537.36 Edg\/113.0.1774.50","host":"192.168.1.46:8080","query":"","headers":{"user-agent":{"0":"Mozilla\/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/113.0.0.0 Safari\/537.36 Edg\/113.0.1774.50"},"accept-encoding":{"0":"gzip, deflate"},"accept-language":{"0":"tr,en;q=0.9,en-GB;q=0.8,en-US;q=0.7"},"accept":{"0":"text\/html,application\/xhtml+xml,application\/xml;q=0.9,image\/webp,image\/apng,\/;q=0.8,application\/signed-exchange;v=b3;q=0.7"},"host":{"0":"192.168.1.46:8080"},"upgrade-insecure-requests":{"0":"1"}},"date":1684829882692.6,"uid":"C0A80188:CCCF646C76BA:2A50616","method":"GET","cp":52431,"attacks":[{"id":130005,"scope":"path","score":8,"desc":"\/cmd.exe"}],"fpc":false,"ssl":0,"mon":false,"ci":"192.168.1.136"}
| Log İçinde Geçen Değer | Açıklaması |
|---|---|
| CEF:0 | CEF Formatı |
| TR7 | Üretici |
| TR7 ASP | Ürün Adı |
| V1.9 | Ürün Versiyonu |
| 418 | Dönen HTTP Cevap Kodu |
| DBE | Cevap Kaynağı |
| 5 | CEF Kodu |
| www.tr7.com | vService Adı |
| 192.168.1.136 | İstemci IP Adresi |
| 52431 | İstemci Port Numarası |
| 192.168.1.46 | vService IP Adresi |
| 8080 | vService Port Numarası |
| serverIP=- | Kurum Servisi IP Adresi |
| serverPort=- | Kurum Servisi Port Numarası |
| fCipher=- | SSL vService Cipher Bilgisi |
| fProtocol=- | SSL vService Protokol Bilgisi |
| sCipher=- | Kurum Servisi SSL Cipher Bilgisi |
| sProtocol=- | Kurum Servisi SSL Protokol Bilgisi |
| GET | HTTP İstek Metotu |
| /cmd.exe | HTTP İstek Adresi |
| reqQuery= | HTTP İstek Query Değişkenleri |
| HTTP/1.1 | HTTP İstek Protokolü |
| 192.168.1.46:8080 | HTTP İstek Host Başlık Bilgisi |
| Mozilla/5.0 (Windows NT 10.0; Win64; x64)...Edg/113.0.1774.50 | HTTP İstek U-A Başlık Bilgisi |
| host: 192.168.1.46:8080\r\nupgrade-insecure-requests: 1\r\nuser-agent: Mozilla\/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/113.0.0.0 Safari\/537.36 Edg\/113.0.1774.50\r\naccept: text\/html,application\/xhtml+xml,application\/xml;q=0.9,image\/webp,image\/apng,\/;q=0.8,application\/signed-exchange;v=b3;q=0.7\r\naccept-encoding: gzip, deflate\r\naccept-language: tr,en;q=0.9,en-GB;q=0.8,en-US;q=0.7\r\n\r\n | HTTP İstek Başlık Bilgisi |
| - | HTTP Cevap Başlık Bilgisi |
| 434 | İstek Boyutu (bytes) |
| 686 | Cevap Boyutu (bytes) |
| username=- | Kullanıcı Doğrulaması Yap Aksiyon |
| isWafAttack=1 | Waf Atak Durumu (WAF Devrede) |
| wafInfo | Waf Atak Bilgisi |
| 0 | İstek Gövde Boyutu |
| \/cmd.exe | HTTP İstek Adresi |
| 0.59 | İsteğin WAF'lanma Süresi |
| "body":"" | İsteğe Ait Gövde Bilgisi |
| 8 | İstek İçerisinde Bloklanan Argümanın WAF Skoru |
| Mozilla\/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/113.0.0.0 Safari\/537.36 Edg\/113.0.1774.50 | HTTP İstek U-A Başlık Bilgisi |
| 192.168.1.46:8080 | HTTP İstek Host Başlık Bilgisi |
| "query":"" | HTTP İstek Query Değişkenleri |
| {"user-agent":{"0":"Mozilla\/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/113.0.0.0 Safari\/537.36 Edg\/113.0.1774.50"},"accept-encoding":{"0":"gzip, deflate"},"accept-language":{"0":"tr,en;q=0.9,en-GB;q=0.8,en-US;q=0.7"},"accept":{"0":"text\/html,application\/xhtml+xml,application\/xml;q=0.9,image\/webp,image\/apng,\/;q=0.8,application\/signed-exchange;v=b3;q=0.7"},"host":{"0":"192.168.1.46:8080"},"upgrade-insecure-requests":{"0":"1"}} | HTTP Başlık Bilgileri |
| 1684829882692.6 | İstek Zamanı |
| C0A80188:CCCF646C76BA:2A50616 | İsteğe Ait Eşsiz Numara |
| GET | HTTP İstek Metotu |
| 52431 | İstemci Port Numarası |
| {"id":130005,"scope":"path","score":8,"desc":"\/cmd.exe"} | Atağa Ait Detaylar |
| false | Waf Atak Bilgisi |
| 0 | İsteğe Ait SSL Bilgisi |
| false | İzleme Mod Durumu |
| 192.168.1.136 | İstemci IP Adresi |
Örnek Log Satırı (TCP):
>> CEF:0|TR7|TR7 ASP|v1.9|TCP|TCP|5|name=TCP TEST src=172.16.101.111 srcPort=64289 dst=172.16.101.97 dstPort=7500 fCipher=- fProtocol=- reqUploadBytes=7395 resDownloadBytes=6502
Format:
| Log içinde geçen değer | Açıklaması |
|---|---|
| CEF:0 | CEF Formatı |
| TR7 | Üretici |
| TR7 ASP | Ürün Adı |
| V1.9 | Ürün Versiyonu |
| TCP | Protokol |
| TCP | Cevap Kaynağı |
| 5 | CEF Kodu |
| TCP TEST | vService Adı |
| 172.16.101.111 | İstemci IP Adresi |
| 54756 | İstemci Port Numarası |
| 172.16.101.97 | vService IP Adresi |
| 7500 | vService Port Numarası |
| fCipher=- | SSL vService Cipher Bilgisi |
| fProtocol=- | SSL vService Protokol Bilgisi |
| 7395 | İstek Boyutu (bytes) |
| 6502 | Cevap Boyutu (bytes) |
o TR7 JSON Format
Kullanılabildiği vService Tipleri
- HTTP
- L7 TCP
- Network
Örnek Log Satırı (HTTP > WAF Devre Dışı):
>> {"pool":"TEST","ident":"tr7","time":{"tq":"24","tw":"0","tc":"0","tr":"1","tt":"25"},"conn":{"act":"2","f":"2","b":"0","s":"0"},"queue":{"b":"0","s":"0"},"tstate":"----","retries":"0","network":{"ci":"172.16.101.16","cp":"54708","fi":"172.16.101.160","fp":"8080","si":"172.16.101.212","sp":"80"},"ssl":{"fAlgKeysize":"-","fCipher":"-","fProtocol":"-","fNpn":"-","fAlpn":"-","fKeyAlg":"-","fSigAlg":"-","fVersion":"-","fNotAfter":"-","fNotBefore":"-","fClientDn":"-","fIssuerDn":"-","sAlgKeysize":"-","sCipher":"-","sProtocol":"-","sNpn":"-","sAlpn":"-","sKeyAlg":"-","sSigAlg":"-","sVersion":"-","sNotAfter":"-","sNotBefore":"-","sClientDn":"-","sIssuerDn":"-"},"request":{"method":"GET","uri":"\/tr7.png","protocol":"HTTP/1.1","headers":"host: 172.16.101.160:8080\r\npragma: no-cache\r\ncache-control: no-cache\r\nUser-Agent: Mozilla\/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/103.0.0.0 Safari\/537.36\r\ndnt: 1\r\naccept: image\/avif,image\/webp,image\/apng,image\/svg+xml,image\/,\/*;q=0.8\r\nreferer: http:\/\/172.16.101.160:8080\/index2.php\r\naccept-encoding: gzip, deflate\r\naccept-language: tr-TR,tr;q=0.9,ru-RU;q=0.8,ru;q=0.7,en-US;q=0.6,en;q=0.5\r\ncookie: app-token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6InRyN0tZSyIsImlwIjoiMTcyLjE2LjEwMS4xNiIsIiRfJCI6MjIxMjI5LCJleHAiOjE2NTcyMDA1MDh9.HsgZCqc8Xf8EXXv9u6Aw204uLh25ft7hO8X6of_Fp_s; Deneme1=TR71; Deneme2=TR72\r\n\r\n"},"response":{ "status_code":"200", "headers":"date: Thu, 30 Jun 2022 15:41:35 GMT\r\nserver: Apache\/2.4.38 (Debian)\r\nlast-modified: Mon, 04 Apr 2022 12:19:26 GMT\r\netag: \"e023-5dbd323b12d67\"\r\naccept-ranges: bytes\r\ncontent-length: 57379\r\ncontent-type: image\/png\r\n\r\n"}, "ids":{"p":"lbPools-l4yit8ld__lb", "b":"DBE","f":"DFE","s":"lbBackends-l4yircod"}, "bytes":{"uploaded":"663","read":"57598"},"resFrom":"-","isWafAttack":"-", "wafInfo":- }
Format:
| Log içinde geçen değer | Açıklaması |
|---|---|
| "pool":"TEST", | vService Adı |
| "ident":"tr7", | Üretici Adı |
| "tq":"24", | İsteğin Kabul Edilme Süresi (ms) |
| "tw":"0", | İsteğin Bağlantı İçin Kuyrukta Bekleme Süresi (ms) |
| "tc":"0", | Sunucuya Bağlanma Süresi (ms) |
| "tr":"1", | Sunucunun Cevap Verme Süresi (ms) |
| "tt":"25" | Toplam Süre (ms) |
| "act":"2", | İsteğin Yapıldığı Andaki Toplam Eşzamanlı Bağlantı Sayısı |
| "f":"2", | İsteğin Yapıldığı Andaki vService'deki Eşzamanlı Bağlantı Sayısı |
| "b":"0", | İsteğin Yapıldığı Andaki Dağıtım Grubundaki Toplam Eşzamanlı Bağlantı Sayısı |
| "s":"0" | İsteğin Yapıldığı Andaki Kurum Servisindeki Eşzamanlı Bağlantı Sayısı |
| "b":"0", | Dağıtım Grubunda Kuyruğa Giren Toplam İstek Sayısı |
| "s":"0" | Kurum Servisinde Kuyruğa Giren Toplam İstek Sayısı |
| "tstate":"----", | İsteğe Ait Sonlandırma Kodu |
| "retries":"0", | Kurum Servisine Bağlantı İçin Yapılan Deneme Sayısı |
| "ci":"172.16.101.16", | İstemci IP Adresi |
| "cp":"54708", | İstemci Port Numarası |
| "fi":"172.16.101.160", | vService IP Adresi |
| "fp":"8080", | vService Port Numarası |
| "si":"172.16.101.212", | Cevap Veren Kurum Sunucu IP Adresi |
| "sp":"80" | Cevap Veren Kurum Sunucu port Numarası |
| "fAlgKeysize":"-", | SSL vService Simetrik Anahtar Boyutu |
| "fCipher":"-", | SSL vService Cipher Bilgisi |
| "fProtocol":"-", | SSL vService Protokol Bilgisi |
| "fNpn":"-", | SSL vService Npn Bilgisi |
| "fAlpn":"-", | SSL vService Alpn Bilgisi |
| "fKeyAlg":"-", | SSL vService Anahtar Algoritması |
| "fSigAlg":"-", | SSL vService İmza Algoritması |
| "fVersion":"-", | SSL vService SSL Versiyonu |
| "fNotAfter":"-", | SSL vService Sertifika Geçerlilik Süresi (NotAfter) |
| "fNotBefore":"-", | SSL vService Sertifika Geçerlilik Süresi (NotBefore) |
| "fClientDn":"-", | SSL vService Sertifika İstemci DN Bilgisi |
| "fIssuerDn":"-", | SSL vService Sertifika İssuer DN Bilgisi |
| "sAlgKeysize":"-", | Kurum Servisi SSL Simetrik Anahtar Boyutu |
| "sCipher":"-", | Kurum Servisi SSL Cipher Bilgisi |
| "sProtocol":"-", | Kurum Servisi SSL Protokol Bilgisi |
| "sNpn":"-", | Kurum Servisi SSL Npn Bilgisi |
| "sAlpn":"-", | Kurum Servisi SSL Alpn Bilgisi |
| "sKeyAlg":"-", | Kurum Servisi SSL Anahtar Algoritması |
| "sSigAlg":"-", | Kurum Servisi SSL İmza Algoritması |
| "sVersion":"-", | Kurum Servisi SSL Versiyonu |
| "sNotAfter":"-", | Kurum Servisi SSL Sertifika geçerlilik Süresi (NotAfter) |
| "sNotBefore":"-", | Kurum Servisi SSL Sertifika geçerlilik Süresi (NotBefore) |
| "sClientDn":"-", | Kurum Servisi SSL Sertifika İstemci DN Bilgisi |
| "sIssuerDn":"-" | Kurum Servisi SSL Sertifika Issuer DN Bilgisi |
| "method":"GET", | İstek Metodu |
| "uri":"\/tr7.png", | İstek Yapılan Adres Bilgisi |
| "protocol":"HTTP/1.1", | HTTP Protokol Bilgisi |
| "headers":"host: 172.16.101.160:8080\r\npragma: no-cache\r\ncache-control: no-cache\r\nUser-Agent: ... | İstek İçerisindeki HTTP Başlık Bilgileri |
| status_code":"200", | Kurum Servisi HTTP Cevap Kodu |
| "headers":"date: Thu, 30 Jun 2022 15:41:35 GMT\r\nserver: Apache\/2.4.38 (Debian)\r\nlast-modified: Mon, 04 Apr 2022 12:19:26 GMT\r\netag: \"e023-5dbd323b12d67\"\r\naccept-ranges: bytes\r\ncontent-length: 57379\r\ncontent-type: image\/png\r\n\r\n" | Cevap İçerisindeki HTTP Başlık Bilgileri |
| "p":"lbPools-l4yit8ld__lb", | vService Eşsiz Numarası |
| "b":"DBE", | İsteğin Yönlendirildiği Sunucu Grubu Adı |
| "f":"DFE", | vService Konfigürasyon Adı |
| "s":"lbBackends-l4yircod" | Kurum Servisi Eşsiz Numarası |
| "uploaded":"663", | İstek Boyutu (bytes) |
| "read":"57598" | Cevap Boyutu (bytes) |
| "resFrom":"-", | Cevap Kaynağı |
| "isWafAttack":"-" | WAF Atak Durumu (WAF Devre Dışı) |
| "wafInfo":{} | WAF Bilgisi |
Örnek Log Satırı (HTTP > WAF Devrede):
>> {"pool":"TEST","ident":"tr7","time":{"tq":"24","tw":"0","tc":"0","tr":"1","tt":"25"},"conn":{"act":"2","f":"2","b":"0","s":"0"},"queue":{"b":"0","s":"0"},"tstate":"----","retries":"0","network":{"ci":"172.16.101.16","cp":"54708","fi":"172.16.101.160","fp":"8080","si":"172.16.101.212","sp":"80"},"ssl":{"fAlgKeysize":"-","fCipher":"-","fProtocol":"-","fNpn":"-","fAlpn":"-","fKeyAlg":"-","fSigAlg":"-","fVersion":"-","fNotAfter":"-","fNotBefore":"-","fClientDn":"-","fIssuerDn":"-","sAlgKeysize":"-","sCipher":"-","sProtocol":"-","sNpn":"-","sAlpn":"-","sKeyAlg":"-","sSigAlg":"-","sVersion":"-","sNotAfter":"-","sNotBefore":"-","sClientDn":"-","sIssuerDn":"-"},"request":{"method":"GET","uri":"\/tr7.png","protocol":"HTTP/1.1","headers":"host: 172.16.101.160:8080\r\npragma: no-cache\r\ncache-control: no-cache\r\nUser-Agent: Mozilla\/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/103.0.0.0 Safari\/537.36\r\ndnt: 1\r\naccept: image\/avif,image\/webp,image\/apng,image\/svg+xml,image\/,\/*;q=0.8\r\nreferer: http:\/\/172.16.101.160:8080\/index2.php\r\naccept-encoding: gzip, deflate\r\naccept-language: tr-TR,tr;q=0.9,ru-RU;q=0.8,ru;q=0.7,en-US;q=0.6,en;q=0.5\r\ncookie: app-token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6InRyN0tZSyIsImlwIjoiMTcyLjE2LjEwMS4xNiIsIiRfJCI6MjIxMjI5LCJleHAiOjE2NTcyMDA1MDh9.HsgZCqc8Xf8EXXv9u6Aw204uLh25ft7hO8X6of_Fp_s; Deneme1=TR71; Deneme2=TR72\r\n\r\n"},"response":{ "status_code":"200", "headers":"date: Thu, 30 Jun 2022 15:41:35 GMT\r\nserver: Apache\/2.4.38 (Debian)\r\nlast-modified: Mon, 04 Apr 2022 12:19:26 GMT\r\netag: \"e023-5dbd323b12d67\"\r\naccept-ranges: bytes\r\ncontent-length: 57379\r\ncontent-type: image\/png\r\n\r\n"}, "ids":{"p":"lbPools-l4yit8ld__lb", "b":"DBE","f":"DFE","s":"lbBackends-l4yircod"}, "bytes":{"uploaded":"663","read":"57598"},"resFrom":"-","isWafAttack":"1", "wafInfo":{"ssl":0,"host":"172.16.101.192:8080","date":1656949983730.5,"cp":64472,"wafTime":0.256,"totalScore":4,"method":"GET","mon":false,"ci":"172.16.101.111","uid":"AC10656F:FBD862C30CDF:3BE0181","attacks":[{"score":4,"scope":"header","id":130005,"desc":"...16.101.192:8080\/cmd.exe..."}],"bodyLen":0,"ua":"Mozilla\/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/102.0.5005.115 Safari\/537.36 OPR\/88.0.4412.53}}
Format:
| Log içinde geçen değer | Açıklaması |
|---|---|
| "pool":"TEST", | vService Adı |
| "ident":"tr7", | Üretici Adı |
| "tq":"24", | İsteğin Kabul Edilme Süresi (ms) |
| "tw":"0", | İsteğin Bağlantı İçin Kuyrukta Bekleme Süresi (ms) |
| "tc":"0", | Sunucuya Bağlanma Süresi (ms) |
| "tr":"1", | Sunucunun Cevap Verme Süresi (ms) |
| "tt":"25" | Toplam Süre (ms) |
| "act":"2", | İsteğin Yapıldığı Andaki Toplam Eşzamanlı Bağlantı Sayısı |
| "f":"2", | İsteğin Yapıldığı Andaki vService'deki Eşzamanlı Bağlantı Sayısı |
| "b":"0", | İsteğin Yapıldığı Andaki Dağıtım Grubundaki Toplam Eşzamanlı Bağlantı Sayısı |
| "s":"0" | İsteğin Yapıldığı Andaki Kurum Servisindeki Eşzamanlı Bağlantı Sayısı |
| "b":"0", | Dağıtım Grubunda Kuyruğa Giren Toplam İstek Sayısı |
| "s":"0" | Kurum Servisinde Kuyruğa Giren Toplam İstek Sayısı |
| "tstate":"----", | İsteğe Ait Sonlandırma Kodu |
| "retries":"0", | Kurum Servisine Bağlantı İçin Yapılan Deneme Sayısı |
| "ci":"172.16.101.16", | İstemci IP Adresi |
| "cp":"54708", | İstemci Port Numarası |
| "fi":"172.16.101.160", | vService IP Adresi |
| "fp":"8080", | vService Port Numarası |
| "si":"172.16.101.212", | Cevap Veren Kurum Sunucu IP Adresi |
| "sp":"80" | Cevap Veren Kurum Sunucu port Numarası |
| "fAlgKeysize":"-", | SSL vService Simetrik Anahtar Boyutu |
| "fCipher":"-", | SSL vService Cipher Bilgisi |
| "fProtocol":"-", | SSL vService Protokol Bilgisi |
| "fNpn":"-", | SSL vService Npn Bilgisi |
| "fAlpn":"-", | SSL vService Alpn Bilgisi |
| "fKeyAlg":"-", | SSL vService Anahtar Algoritması |
| "fSigAlg":"-", | SSL vService İmza Algoritması |
| "fVersion":"-", | SSL vService SSL Versiyonu |
| "fNotAfter":"-", | SSL vService Sertifika Geçerlilik Süresi (NotAfter) |
| "fNotBefore":"-", | SSL vService Sertifika Geçerlilik Süresi (NotBefore) |
| "fClientDn":"-", | SSL vService Sertifika İstemci DN Bilgisi |
| "fIssuerDn":"-", | SSL vService Sertifika İssuer DN Bilgisi |
| "sAlgKeysize":"-", | Kurum Servisi SSL Simetrik Anahtar Boyutu |
| "sCipher":"-", | Kurum Servisi SSL Cipher Bilgisi |
| "sProtocol":"-", | Kurum Servisi SSL Protokol Bilgisi |
| "sNpn":"-", | Kurum Servisi SSL Npn Bilgisi |
| "sAlpn":"-", | Kurum Servisi SSL Alpn Bilgisi |
| "sKeyAlg":"-", | Kurum Servisi SSL Anahtar Algoritması |
| "sSigAlg":"-", | Kurum Servisi SSL İmza Algoritması |
| "sVersion":"-", | Kurum Servisi SSL Versiyonu |
| "sNotAfter":"-", | Kurum Servisi SSL Sertifika geçerlilik Süresi (NotAfter) |
| "sNotBefore":"-", | Kurum Servisi SSL Sertifika geçerlilik Süresi (NotBefore) |
| "sClientDn":"-", | Kurum Servisi SSL Sertifika İstemci DN Bilgisi |
| "sIssuerDn":"-" | Kurum Servisi SSL Sertifika Issuer DN Bilgisi |
| "method":"GET", | İstek Metodu |
| "uri":"\/tr7.png", | İstek Yapılan Adres Bilgisi |
| "protocol":"HTTP/1.1", | HTTP Protokol Bilgisi |
| "headers":"host: 172.16.101.160:8080\r\npragma: no-cache\r\ncache-control: no-cache\r\nUser-Agent: ... | İstek İçerisindeki HTTP Başlık Bilgileri |
| status_code":"200", | Kurum Servisi HTTP Cevap Kodu |
| "headers":"date: Thu, 30 Jun 2022 15:41:35 GMT\r\nserver: Apache\/2.4.38 (Debian)\r\nlast-modified: Mon, 04 Apr 2022 12:19:26 GMT\r\netag: \"e023-5dbd323b12d67\"\r\naccept-ranges: bytes\r\ncontent-length: 57379\r\ncontent-type: image\/png\r\n\r\n" | Cevap İçerisindeki HTTP Başlık Bilgileri |
| "p":"lbPools-l4yit8ld__lb", | vService Eşsiz Numarası |
| "b":"DBE", | İsteğin Yönlendirildiği Sunucu Grubu Adı |
| "f":"DFE", | vService Konfigürasyon Adı |
| "s":"lbBackends-l4yircod" | Kurum Servisi Eşsiz Numarası |
| "uploaded":"663", | İstek Boyutu (bytes) |
| "read":"57598" | Cevap Boyutu (bytes) |
| "resFrom":"-", | Cevap Kaynağı |
| "isWafAttack":"1" | WAF Atak Durumu (WAF Devrede) |
| "wafInfo":{} | WAF Bilgisi |
| "ssl":0, | SSL Aktif Değil |
| "date":1656949983730.5, | İstek Zamanı |
| "ci":"172.16.101.111", | İstemci IP adresi |
| "uid":"AC10656F:FBD862C30CDF:3BE0181", | İsteğe Ait Eşsiz Numara |
| "method":"GET", | İstek Metodu |
| "wafTime":0.256, | İsteğin WAF’lanma Süresi |
| "mon":false, | İzleme Mod Durumu |
| "totalScore":4, | İstek İçerisinde Bloklanan Argümanın Toplam WAF Skoru |
| "ua":"Mozilla\/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/102.0.5005.115 Safari\/537.36 OPR\/88.0.4412.53", | İsteğe Ait User-Agent Başlık Bilgisi |
| "bodyLen":0, | İstek Gövde Boyutu |
| "host":"172.16.101.192:8080", | İstek Yapılan vService |
| "cp":64472, | İstemci Port Numarası |
| "desc":"...16.101.192:8080\/cmd.exe...", | Bloklanan Argüman ile İlgili Açıklama |
| "scope":"header", | Bloklanan Argümanın Nerede Bulunduğu |
| "id":130005, | Bloklanan Argüman ID’si |
| "v":true, | Değer “false” ise atak argüman isminde bulunmuştur, “true” ise atak argümanın değerinde bulunmuştur, “2” ise atak dosya yükleme durumunda dosya içerisinde yada dosya isminde bulunmuştur. |
| "score":4, | İstek İçerisinde Bloklanan Argümanın Toplam Skoru |
| "arg":"referer" | Argüman Adı |
Örnek Log Satırı (TCP):
>> {"pool":"TCP TEST","ident":"tr7","time":{"tw":"13","tc":"0","tt":"10511"},"conn":{"act":"2","f":"2","b":"1","s":"1"},"queue":{"b":"0","s":"0"},"tstate":"cD","retries":"0","network":{"ci":"172.16.101.111","cp":"64347","fi":"172.16.101.97","fp":"7500","si":"172.16.111.211","sp":"80"},"ssl":{"fAlgKeysize":"-","fCipher":"-","fProtocol":"-","fNpn":"-","fAlpn":"-","fKeyAlg":"-","fSigAlg":"-","fVersion":"-","fNotAfter":"-","fNotBefore":"-","fClientDn":"-","fIssuerDn":"-","sAlgKeysize":"-","sCipher":"-","sProtocol":"-","sNpn":"-","sAlpn":"-","sKeyAlg":"-","sSigAlg":"-","sVersion":"-","sNotAfter":"-","sNotBefore":"-","sClientDn":"-","sIssuerDn":"-"},"ids":{"p":"lbPools-l3ormj0l__lb", "b":"DBE","f":"DFE","s":"lbBackends-kw4qm5g5"}, "bytes":{"uploaded":"4968","read":"5023"}}
Format:
| Log İçinde Geçen Değer | Açıklaması |
|---|---|
| "pool":"TCP TEST", | vService Adı |
| "ident":"tr7", | Üretici Adı |
| "tw":"13", | İsteğin Bağlantı İçin Kuyrukta Bekleme Süresi (ms) |
| "tc":"0", | Sunucuya Bağlanma Süresi (ms) |
| "tt":"10511" | Toplam Süre (ms) |
| "act":"2", | İsteğin Yapıldığı Andaki Toplam Eşzamanlı Bağlantı Sayısı |
| "f":"2", | İsteğin Yapıldığı Andaki vService'deki Eşzamanlı Bağlantı Sayısı |
| "b":"1", | İsteğin Yapıldığı Andaki Dağıtım Grubundaki Toplam Eşzamanlı Bağlantı Sayısı |
| "s":"1" | İsteğin Yapıldığı Andaki Kurum Servisindeki Eşzamanlı Bağlantı Sayısı |
| "b":"0", | Dağıtım Grubunda Kuyruğa Giren Toplam İstek Sayısı |
| "s":"0" | Kurum Servisinde Kuyruğa Giren Toplam İstek Sayısı |
| "tstate":"cD", | İsteğe ait sonlandırma kodu |
| "retries":"0", | Kurum Servisine Bağlantı için Yapılan Deneme Sayısı |
| "ci":"172.16.101.111", | İstemci IP Adresi |
| "cp":"64347", | İstemci Port Numarası |
| "fi":"172.16.101.97", | vService IP Adresi |
| "fp":"7500", | vService Port Numarası |
| "si":"172.16.111.211", | Cevap Veren Kurum Sunucu IP Adresi |
| "sp":"80" | Cevap Veren Kurum Sunucu Port Numarası |
| "fAlgKeysize":"-", | SSL vService Simetrik Anahtar Boyutu |
| "fCipher":"-", | SSL vService Cipher Bilgisi |
| "fProtocol":"-", | SSL vService Protokol Bilgisi |
| "fNpn":"-", | SSL vService Npn Bilgisi |
| "fAlpn":"-", | SSL vService Alpn Bilgisi |
| "fKeyAlg":"-", | SSL vService Anahtar Algoritması |
| "fSigAlg":"-", | SSL vService İmza Algoritması |
| "fVersion":"-", | SSL vService SSL Versiyonu |
| "fNotAfter":"-", | SSL vService Sertifika Geçerlilik Süresi (NotAfter) |
| "fNotBefore":"-", | SSL vService Sertifika Geçerlilik Süresi (NotBefore) |
| "fClientDn":"-", | SSL vService Sertifika İstemci DN Bilgisi |
| "fIssuerDn":"-", | SSL vService Sertifika İssuer DN Bilgisi |
| "sAlgKeysize":"-", | Kurum Servisi SSL Simetrik Anahtar Boyutu |
| "sCipher":"-", | Kurum Servisi SSL Cipher Bilgisi |
| "sProtocol":"-", | Kurum Servisi SSL Protokol Bilgisi |
| "sNpn":"-", | Kurum Servisi SSL Npn Bilgisi |
| "sAlpn":"-", | Kurum Servisi SSL Alpn Bilgisi |
| "sKeyAlg":"-", | Kurum Servisi SSL Anahtar Algoritması |
| "sSigAlg":"-", | Kurum Servisi SSL İmza Algoritması |
| "sVersion":"-", | Kurum Servisi SSL Versiyonu |
| "sNotAfter":"-", | Kurum Servisi SSL Sertifika Geçerlilik Süresi (NotAfter) |
| "sNotBefore":"-", | Kurum Servisi SSL Sertifika Geçerlilik Süresi (NotBefore) |
| "sClientDn":"-", | Kurum Servisi SSL Sertifika İstemci DN Bilgisi |
| "sIssuerDn":"-" | Kurum Servisi SSL Sertifika Issuer DN Bilgisi |
| "p":"lbPools-l3ormj0l__lb", | vService Eşsiz Numarası |
| "b":"DBE", | İsteğin Yönlendirildiği Sunucu Grubu Adı |
| "f":"DFE", | vService Konfigürasyon Adı |
| "s":"lbBackends-kw4qm5g5" | Kurum Servisi Eşsiz Numarası |
| "uploaded":"4968", | İstek Boyutu (bytes) |
| "read":"5023" | Cevap Boyutu (bytes) |
o TR7 WAF Log
Kullanılabildiği vService Tipleri
- HTTP
- L7 TCP
- Network
Örnek Log Satırı (HTTP > WAF Devrede):
>> {"host":"172.16.101.192:8080","wafTime":0.338,"path":"\/favicon.ico","mon":false,"date":1656944781536.4,"totalScore":10,"ssl":0,"bodyLen":0,"method":"GET","uid":"AC10656F:F9C162C2F88D:2ED025F","attacks":[{"scope":"header","desc":"...16.101.192:8080\/cmd.exe\/insert...","v":true,"arg":"referer","id":130005,"score":4},{"scope":"header","desc":"...92:8080\/cmd.exe\/insert...","v":true,"arg":"referer","id":110003,"score":6}],"cp":63937,"ua":"Mozilla\/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/102.0.5005.115 Safari\/537.36 OPR\/88.0.4412.53","ci":"172.16.101.111"}
Format:
| Log İçinde Geçen Değer | Açıklaması |
|---|---|
| "host":"172.16.101.192:8080", | İstek Yapılan vService |
| "wafTime":0.338, | İsteğin WAF’lanma Süresi |
| "path":"\/favicon.ico", | İstek Tapılan Path Bilgisi |
| "mon":false, | İzleme Mod Durumu |
| "date":1656944781536.4, | İstek Zamanı |
| "totalScore":10, | İstek İçerisinde Bloklanan Argümanın Toplam WAF Skoru |
| "ssl":0, | SSL Aktif Değil |
| "bodyLen":0, | İstek Gövde Boyutu |
| "method":"GET", | İstek Metodu |
| "uid":"AC10656F:F9C162C2F88D:2ED025F", | İsteğe Ait Eşsiz Numara |
| "scope":"header", | Bloklanan Argümanın Nerede Bulunduğu |
| "desc":"...16.101.192:8080\/cmd.exe\/insert...", | Bloklanan Argüman ile İlgili Açıklama |
| "v":true, | Değer “false” ise atak argüman isminde bulunmuştur, “true” ise atak argümanın değerinde bulunmuştur, “2” ise atak dosya yükleme durumunda dosya içerisinde yada dosya isminde bulunmuştur. |
| "arg":"referer", | Argüman Adı |
| "id":130005, | Bloklanan Argüman ID’si |
| "score":4 | İstek İçerisinde Bloklanan Argümanın Toplam Skoru |
| "cp":63937, | İstemci Port Numarası |
| "ua":"Mozilla\/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/102.0.5005.115 Safari\/537.36 OPR\/88.0.4412.53", | İsteğe Ait User-Agent Başlık Bilgisi |
| "ci":"172.16.101.111" | İstemci IP Adresi |
o Manuel JSON format
Applicable vServices
- HTTP
- L7 TCP
- Network
Manuel JSON formatı, log sunucusuna JSON formatı olarak gönderilecek belirli bilgilerin seçilmesine olanak tanır. Bu, Key girilen yerin sağ tarafındaki (Value) düğmesine tıklayarak yapılabilir. Kullanmak istediğiniz değerleri Value kısmından seçin ve isim olarak Key kısmından isim verin. (+) butonu ile 1'den fazla seçebilirsiniz. Bu seçenekler ile log sunucunuzda sadece belirtilen değerleri görebilirsiniz.
o Manuel CEF format
Applicable vServices
- HTTP
- L7 TCP
- Network
Manuel CEF formatı, log sunucusuna CEF formatı olarak gönderilecek belirli bilgilerin seçilmesine olanak tanır. Bu, Key girilen yerin sağ tarafındaki (Value) düğmesine tıklayarak yapılabilir. Kullanmak istediğiniz değerleri Value kısmından seçin ve isim olarak Key kısmından isim verin. (+) butonu ile 1'den fazla seçebilirsiniz. Bu seçenekler ile log sunucunuzda sadece belirtilen değerleri görebilirsiniz.
o Manuel Log Line Format
Kullanılabildiği vService Tipleri
- HTTP
- L7 TCP
- Network
Gelişmiş log satır formatında log sunucusuna gönderilmesi istenilen bilgiler sağ tarafta bulunan (fx) butonuna tıklanarak eklenebilir. Birden fazla eklenebilir.
- Add
Add butonuna tıklanarak Log Profili eklenir.
Arayüz
Log Profili vService'e Nasıl Eklenir?
Adım > 1
İlk olarak TR7 web arayüzü üzerinden "Settings Mode > vServices" adımları takip edilir.
Adım > 2
Gelen ekran üzerinden Log Profilinin ekleneceği vService'e sağ tıklanarak Edit seçilir ya da ilgili vService'in üzerine tıklanarak sağda açılan pencereden "Actions > Edit" adımları takip edilerekte aynı pencereye ulaşılabilir.
Adım > 3
vService'in düzenleme ekranında "Details > LOG" seçilerek Log devreye alınmış olur.
Adım > 4
Daha önceden eklenmiş bir profil kullanmak ya da yeni bir profil eklemek için profilin yanında bulunan ok işaretine tıklanır. Ekli olan profillerden seçim yapılabilir.
Add butonuna tıklanarak yeni bir Log Profili vService ekranında da eklenebilir.
Adım > 5
Save butonuna tıklanarak yapılan değişiklikler kaydedilir ve vService'in yeniden düzenlenmesi beklenir.