Microsoft Exchange Server Connectivity Log Mimarisi Exchange Server Performans ihtiyacına bire-bir etki etmekte ve Exchange Server tarafından üretilen olay günlüklerinin korelasyon ve güvenlik taramalarında kullanılmaktadır. Microsoft Exchange Server e-posta sisteminin kesintisiz hizmet vermesi ve beklentileri karşılaması için Microsoft Exchange Server Connectivity Log Mimarisi her kuruma özel tasarlanmalıdır.
Çoğu zaman ön tanımlı olarak yapılan Microsoft Exchange Server Kurulum işlemleri kuruluşların e-posta ihtiyaçlarına cevap vermemekte, bu türde yapılan Exchange Server Kurulum işlemleri Performans problemleri oluşturmakta ve bir olay oluştuğu zaman yada güvenlik problemi yaşandığı zaman saldırın tespitini zorlaştırmakta ve bazen de korelasyon çalışmalarında yetkilileri cevapsız bırakmaktadır.
Microsoft Exchange Server kurulum işlemi Exchange Server 2016 ile birlik çok kolaylaşmış olsa bile her bir Exchange Server kurulum işlemi, kuruluşa özel ve kuruluşun ihtiyaçları belirlenerek yapılmalıdır. Her bir Exchange Server ve e-posta organizasyon yapısı Exchange Server Kurulum işleminden sonra özelleştirme işlemlerine ihtiyaç duymaktadır. Bu özel ayarlar Exchange Server performans problemlerinin önüne geçecek ve Exchange Server kesinti sürelerine etki edecektir.
Windows Server Performans ve Virtual Memory makalesinde Page file mimarisinin önemini paylaştık ve windows Server üzerinde yapılan bu performans iyileştirmeleri Exchange Server gibi platform seviyesinde de yapılmalıdır. Exchange Server özelinde yapılan platform iyileştirme işlemlerine Exchange Server Queue Database Planlaması işlemleri ile başladık ve ileti dosyalarını tutan Message Queue veri tabanının taşınma işlemlerini gerçekleştirdik. Exchange Server Connectivity Log mimarisi de en az Message Queue veri tabanı kadar önemli ayarların başında gelmektedir.
Microsoft Exchange Server Connectivity Log Mimarisi makalesinde aşağıda ki bilgilere sahip olacaksınız.
1. Microsoft Exchange Server Connectivity Log Mimarisi Nedir?
Microsoft Exchange Server Message Queue Planlanması Exchange Server iletileri için önem teşkil ederken Exchange Server Connectivity Log Mimarisi ise Exchange Server bağlantılarına ve çalışmasına etki etmektedir.
Microsoft Exchange Server ‘a kim, ne zaman, hangi aygıt ile ne zaman bağlantı sağlamış gibi soruların cevapları Exchange Server Connectivity Log dosyalarında saklanmaktadır.
Bu dosyalar günümüz güvenlik tehtitleri dikkate alındığı zaman önemli veriler olarak karşımıza çıkmakta ve korelasyon süreçlerinde sorulmaktadır. Exchange Server Connectivity Log verileri güvenlik ve korelasyon süreçlerinde önemli olduğu gibi doğru yapılandırılmış Exchange Server Connectivity Log dizini Microsoft Exchange server performans değerlerine de etki etmekte, Exchange Server ‘in daha sağlıklı ve istenilen performansta çalışmasına neden olmakta ve Microsoft Exchange Server Business Continuity Plan ‘larını iyileştirmektedir.
Günümüz Microsoft Exchange Server mimarisinde tek bir Rol ve tek bir sunucuya sahip. Exchange Server Role Konsolidasyon Süreci tamamlanmış olsa bile aslında mevcut mimari eski mimarilerde olduğu gibi kendi içinde Exchange Server seviyesinde ayrılmış durumdadır.
Microsoft Exchange 2016 Client Access Architecture
Yukarıda paylaşmış olduğum Microsoft Exchange 2016 Client Access Architecture topolojisi içinde her bir Exchange Services ‘in görevi ve ilişkisi anlatılmıştır. Exchange Server Message Queue yapılandırmasında yapmış olduğumuz iyileştirmelerinin benzerini Microsoft Exchange Server Connectivity Log seviyesinde gerçekleştireceğiz.
Bu yeni mimariyi iki farklı bölüm altında incelememiz gerekmekte. İlk bölüm daha önceki Exchange server 2016 sürümünde Client Access Rol olarak bildiğimiz servisler. Bu servisler şemada görüldüğü üzere Http/Https protokolü üzerinden erişim kabul etmekte ve arka tarafta kullanmış oldukları Windows bileşeni Web Server (IIS) Rolüdür.
Exchange Server Connectivity Log IIS File Directory
Microsoft Exchange Server Client Access Servislerinin barınmış olduğu Log dizini varsayılan değerlerde %SystemDrive%\inetpub\logs\LogFiles yolu altında barınmakta ve değiştirilebilir durumdadır. Bu değişim Microsoft Exchange Server Performans değerlerine de etki edecek önemli bir değişimdir.
Şema içinde Client Access Services olarak görmüş olduğunuz Http Proxy ve IIS protokollerinin log dosyaları Default Web Site altında görülmektedir.
Şema içinde Backend Services olarak görmüş olduğunuz IIS, Remote Powershell, Rpc Proxy, RPC CA, EAS, EAC, EWS, OAB ve Outlook protokollerinin log dosyaları Exchange Back End Site’ ları altında bulunmaktadır.
Özet ile Microsoft Exchange Server ‘a yapılan bütün bağlantılar Exchange Server Connectivity Log dizinlerinde saklanmakta ve güvenlik tehditi oluştuğu zaman yada bir korelasyon sürecinde kullanılmaktadır.
2. Exchange Server Connectivity Log Verileri
Microsoft Exchange Server üzerinde W3C Logging Fields bölümünde ihtiyaç duyulan özel değerleri ekleyebilir yada çıkartabiliriz. Yapacak olduğumuz her bir değişiklik Exchange Server ‘a yapılan bağlantıların kayıt altına alınmasına, bu olayların olay günlüklerine kaydedilmesine ve doğal olarak da Microsoft Exchange Server e-posta sisteminin çalışmasına ve performansına bire-bir etki etmektedir.
Bu bölümde değişiklik yaparken bilmemiz gerekli olan en önemli konu Exchange Server ‘a yapılan bağlantı işlemlerinin kayıt altına alınıp – alınmayacağının belirlenmesidir.
IIS W3C Logging FieldsExchange Server Connectivity Log verilerini toplarken Microsoft Exchange Server Performans değerlerini de etkilemekteyiz.
İhtiyaç duymadığımız yada toplamak istemediğimiz her bir Exchange Server bağlantı olayı günlüğü için performans kazanabildiğimiz gibi kapatmış olduğumuz her bir değer sonrası da olası bir saldırıda eksik bilgilere sahip olacak, Exchange Server ‘a gelen bir saldırının nereden geldiğini hangi türden bir saldırı yapıldığını da bilemeyeceğiz.
Exchange Server Connectivity Log Path Description
3. Exchange Server Connectivity Log Kapatılması
Exchange Server Connectivity Log Path altında her bir bağlantı için olay günlükleri tutulmaktadır. Exchange Server e-posta sistemine kim bağlandı, ne zaman bağlandı, bağlantı içeriden mi, dışarıdan mı yapıldı, bağlantı yapılmak istenilen kullanıcı bilgileri, başarılı-başarısız bağlantılar ve çok daha fazlasını Microsoft Exchange Server Connectivity Log verilerinde görebiliriz.
Toplanan her bir veri, Exchange Server performansına da etki edecektir ve performans ihtiyacı olan Exchange Server e-posta sistemlerin de Exchange Server Connectivity Log verileri kapatılabilmektedir.
Exchange Server Connectivity Log verileri Exchange Administrator Center üzerinde yada Exchange Management Shell ile yapılmaktadır.
3.1 Exchange Administrator Center ile Exchange Server Connectivity Log Kapatılması
Exchange Server Connectivity Log verilerini kapattığımız zaman Exchange Server Performans değerlerini iyileştirmiş olsak bile yapacak olduğumuz bu değişiklikler sonrası olası bir saldırı durumunda bizleri cevapsız sorularla baş-başa bırakacak ve Exchange Server ‘a yapılan bir saldırı için önlem almamızı engelleyecektir.
Fakat, Exchange Server Connectivity Log Kapatılması bazı kurumlar için tercih edilmektedir. Bu özelliğin kapatılması yapılırken bilmemiz gerekli olan en önemli konu yukarıda paylaşmış olduğumuz olay günlüklerinin artık Microsoft Exchange Server tarafından tutulmayacak olmasıdır.
Microsoft Exchange Server ile bağlantıyı sağlayan uç nokta cihaz arasında bir güvenlik çözümü varsa bu görevi bu cihaza/uygulamaya devredebilir ve Exchange Server Performans değerlerinde iyileştirme yapabiliriz. Fakat, böyle bir cihazınız yok ise kapatılmasını kesinlikle önermemekteyiz..
Microsoft Exchange Server Connectivity Log
Exchange Server Connectivity Log bilgilerinin kayıt altına alınmaması için EAC\Servers\Servers bölümüne giriş yapıyoruz. Bu bölümde Exchange Server Connectivity Log kapatma işlemini yapacak olduğumuz Exchange Server üzerinde özelliklere geliyoruz. Exchange server 2016 üzerinde Transport Logs bölümünde Enable connectivity log ve Connectivity log path kutularını temizliyoruz.
Bu işlem sonrasında Exchange Server Connectivity Log verileri tutulmayacaktır. Bu işlem her bir Exchange Server üzerinde ayrı-ayrı yapmamız gerekmektedir.
3.1 Exchange Management Shell ile Exchange Server Connectivity Log Kapatılması
Exchange Admin Center üzerinde yapacak olduğumuz işlemler sınırlıdır. EAC üzerinde Exchange Server Connectivity Log yapılandırmasını kapatabiliyoruz ve açabiliyoruz. Ek olarak barınmış olduğu dizinin yolunu değiştirebiliyoruz.
Daha derinlemesine değişiklik için EAC taleplerimize cevap vermeyecektir. Exchange Management Shell ile aşağıda ki değişiklikleri yapabilmekteyiz.
- Exchange Mailbox Server üzerinde tanımlı Transport service içinde bulunan bir Send Connector ve Receive Connector için Exchange Connectivity Log verilerini yapılandırabiliriz.
- Exchange Mailbox Server üzerinde tanımlı Front End Transport service içinde bulunan bir Send Connector ve Receive Connector için Exchange Connectivity verilerini yapılandırabiliriz.
- Exchange Edge Server üzerinde tanımlı Transport service içinde bulunan bir Send Connector ve Receive Connector için Exchange Connectivity Log verilerini yapılandırabiliriz.
Bir kaç örneği aşağıda sizlere sunuyorum.
Mailbox01 isimli Exchange Mailbox sunucumuz üzerinde tanımlı Connection from pera.net isimli Receive Connector değerlerini varsayılan ayarlara getirir.
Connection to Internet isimli Receive Connector üzerinde Exchange Connectivity Log yapılandırmasını kapatır.
Mailbox01 isimli Exchange Mailbox sunucumuz üzerinde bulunan Transport Service için internal organizasyon Send Connector Exchange Connectivity Log varsayılan ayarlara getirir.
Mailbox01 isimli Exchange Mailbox sunucumuz üzerinde bulunan Front End Transport Service için internal organizasyon Send Connector Exchange Connectivity Log yapılandırmasını kapatır.
Mailbox01 isimli Exchange Mailbox sunucumuz üzerinde bulunan mailbox delivery Receive connector için Exchange Connectivity Log yapılandırmasını varsayılan ayarlara getirir.
Mailbox01 isimli Exchange Mailbox sunucumuz üzerinde bulunan mailbox delivery Receive connector için Exchange Connectivity Log yapılandırmasını kapatır.
