Microsoft Exchange Server Connectivity Log Mimarisi Exchange Server üzerinde iletileri iletmek için kullanılan giden bağlantı olay günlüklerini tutmaktadır.
Exchange Server Connectivity Log ayarları, Microsoft Exchange Server üzerinde Performans değerlerine bire-bir etki etmektedir. Performans değerlerine bire-bir etki ettiği için Connectivity Log ayarları kurum ihtiyacına bağlı olarak kapatılmakta ve istenirse kullanılmamaktadır. Fakat Exchange Server Connectivity Log ‘ları regülasyonlar gereği bir çok kurum için zorunludur. Kurumun uymakla zorunlu olduğu uyum yasalarına bağlı olarak bir çok kurum tarafından Exchange Server Connectivity Log özelliği aktif durumda olmakta ve böylece Regülasyonlara uyumluluk sağlanmaktadır.
Exchange Server Connectivity Log olay günlükleri regülasyonların haricinde güvenlik ihtiyaçları için de kullanılmakta ve bu olay günlükleri referans alınarak güvenlik taramaları, bulgular ve şüpheli eylemlerin tespiti kolaylaşmaktadır.
Exchange Server tarafından üretilen Connectivity Log olay günlükleri bir çok amaç için kullanılmakta ve aktif olarak açık olması önerilmektedir. Bu olay günlükleri önemli olduğu için üretilmeli ve ihtiyaçlar çerçevesinde saklanmalıdır. Bu ihtiyaç da Microsoft Exchange Server üzerinde performans değerlerine etki etmekte ve e-posta sisteminin kesintisiz hizmet vermesi ve beklentileri karşılaması için de Microsoft Exchange Server Connectivity Log Mimarisi her kurum için özel tasarlanmalıdır.
Çoğu zaman ön tanımlı olarak yapılan Microsoft Exchange Server Kurulum işlemleri kuruluşların e-posta ihtiyaçlarına cevap vermemektedir. Bu türde yapılan Exchange Server Kurulum işlemleri Microsoft Exchange Server üzerinde Performans problemleri oluşturmakta , bir olay oluştuğu zaman yada güvenlik problemi yaşandığı zaman problem tespiti zorlaşmakta ve bazen de cevapsız kalmaktadır.
Microsoft Exchange Server kurulum işlemi Exchange Server 2016 ile birlik çok kolaylaşmış olsa bile her bir Exchange Server kurulum işlemi, kuruluşa özel ve kuruluşun ihtiyaçları belirlenerek yapılmalıdır. Her bir Exchange Server ve e-posta organizasyon yapısı Exchange Server Kurulum işleminden sonra özelleştirme işlemlerine ihtiyaç duymaktadır. Bu özel ayarlar Exchange Server performans problemlerinin önüne geçecek ve Exchange Server kesinti sürelerini düşürecektir.
Windows Server Performans ve Virtual Memory makalesinde Page file mimarisinin önemini paylaştık ve windows Server üzerinde yapılan bu performans iyileştirmeleri Exchange Server gibi platform seviyesinde de yapılmalıdır. Exchange Server özelinde yapılan platform iyileştirme işlemlerine Exchange Server Queue Database Planlaması işlemleri ile başladık ve ileti dosyalarını tutan Message Queue veri tabanının taşınma işlemlerini gerçekleştirdik. Exchange Server Connectivity Log mimarisi de en az Message Queue veri tabanı kadar önemli ayarların başında gelmektedir.
Microsoft Exchange Server Connectivity Log Mimarisi makalesinde aşağıda ki bilgilere sahip olacaksınız.
1. Microsoft Exchange Server Connectivity Log Mimarisi Nedir?
Microsoft Exchange Server Connectivity Log Mimarisi ise Exchange Server bağlantılarına ve çalışmasına etki etmektedir.
Microsoft Exchange Server ‘a kim, ne zaman, hangi aygıt ile ne zaman bağlantı sağlamış gibi soruların cevapları Exchange Server Connectivity Log dosyalarında saklanmaktadır.
Bu dosyalar günümüz güvenlik tehtitleri dikkate alındığı zaman önemli veriler olarak karşımıza çıkmakta ve regülasyon süreçlerinde sorulmaktadır. Exchange Server Connectivity Log verileri güvenlik ve regülasyon süreçlerinde önemli olduğu gibi doğru ayarlanmalıdır.
Exchange Server Role Konsolidasyon Süreci tamamlandı ve günümüz Microsoft Exchange Server mimarisi tek bir Rol ve tek bir sunucuya sahip durumdadır.
Microsoft Exchange 2016 Client Access Architecture
Yukarıda paylaşmış olduğum Microsoft Exchange 2016 Client Access Architecture topolojisi içinde her bir Exchange Services ‘in görevi ve ilişkisi anlatılmıştır.
Bu yeni mimariyi iki farklı bölüm altında incelememiz gerekmekte.
1.1 Client Access Rol olay günlükleri
Client Access olarak bildiğimiz servislerdir. Bu servisler şemada görüldüğü üzere Http/Https protokolü üzerinden erişim kabul etmekte ve arka tarafta kullanmış oldukları Windows bileşeni Web Server (IIS) Rolüdür.
Exchange Server Connectivity Log IIS File Directory
Microsoft Exchange Server Client Access Servislerinin barınmış olduğu Log dizini varsayılan değerlerde %SystemDrive%\inetpub\logs\LogFiles yolu altında barınmakta ve değiştirilebilir durumdadır. Bu değişim Microsoft Exchange Server Performans değerlerine de etki edecek önemli bir değişimdir.
Şema içinde Client Access Services olarak görmüş olduğunuz Http Proxy ve IIS protokollerinin log dosyaları Default Web Site altında görülmektedir.
Şema içinde Backend Services olarak görmüş olduğunuz IIS, Remote Powershell, Rpc Proxy, RPC CA, EAS, EAC, EWS, OAB ve Outlook protokollerinin log dosyaları Exchange Back End Site’ ları altında bulunmaktadır.
Özet ile Microsoft Exchange Server ‘a yapılan bütün bağlantılar Exchange Server Connectivity Log dizinlerinde saklanmakta ve güvenlik tehditi oluştuğu zaman yada bir regülasyon sürecinde kullanılmaktadır.
Microsoft Exchange Server üzerinde W3C Logging Fields bölümünde ihtiyaç duyulan özel değerleri ekleyebilir yada çıkartabiliriz. Yapacak olduğumuz her bir değişiklik Exchange Server ‘a yapılan bağlantıların kayıt altına alınmasına, bu olayların olay günlüklerine kaydedilmesine ve doğal olarak da Microsoft Exchange Server e-posta sisteminin çalışmasına ve performansına bire-bir etki etmektedir.
Bu bölümde değişiklik yaparken bilmemiz gerekli olan en önemli konu Exchange Server ‘a yapılan bağlantı işlemlerinin kayıt altına alınıp – alınmayacağının belirlenmesidir.
IIS W3C Logging FieldsExchange Server Connectivity Log verilerini toplarken Microsoft Exchange Server Performans değerlerini de etkilemekteyiz.
1.2 Hub Transport Rol olay günlükleri
Hub Transport olarak bildiğimiz servislerdir ve bu makalenin konusudur. Makelemizin başlangıcında belirttiğimi gibi Microsoft Exchange Server üzerinde iletileri iletmek için kullanılan giden bağlantı olay günlüklerini tutmaktadır ve varsayılan değer de aktif durumdadır. Microsoft Exchange, kullanılan sabit disk alanını kontrol etmeye yardımcı olmak için bağlantı günlüğü dosyalarını boyuta ve yaşa göre sınırlamak için Circular Logging kullanır.
Microsoft Exchange Server 2016 ve sonra ki sistemler de aşağıda ki servislerde bu olay günlükleri tutulmaktadır.
- Microsoft Exchange Mailbox Server ve Edge Transport Server üzerinde Transport Servis katmanında.
- Microsoft Exchange Mailbox Server üzerinde Front End Transport Servis katmanında.
- Microsoft Exchange Mailbox Server üzerinde Transport Submission katmanında.
- Microsoft Exchange Mailbox Server üzerinde Transport Delivery katmanında.
Bağlantı kaydı, bireysel mesajların iletimini izlemez. Bunun yerine, bir bağlantı üzerinden iletilen mesajların sayısını ve boyutunu, hedef için DNS çözümleme bilgilerini ve bağlantıyla ilgili bilgilendirici mesajları izler.
2. Exchange Server Connectivity Log Verileri Nelerdir?
Microsoft Exchange Server üzerinde Connectivity Log verileri varsayılan olarak aktif durumdadır ve mevcut ayarları görebilmek için aşağıda ki komut kullanabilirsiniz.
Exchange Transport Service Connectivity Log
Yukarıda görmüş olduğunuz değerler varsayılan değerlerdir. Bu değerler Connectivity Log dosyalarının nerede barınacağını, en fazla büyüme boyutunu ve kaç gün saklanacak gibi verileri söylemektedir.
- ConnectivityLogEnabled : True
- ConnectivityLogMaxAge : 30.00:00:00
- ConnectivityLogMaxDirectorySize : 1000 MB (1,048,576,000 bytes)
- ConnectivityLogMaxFileSize : 10 MB (10,485,760 bytes)
- ConnectivityLogPath : C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\Hub\Connectivity
Exchange Transport Service Connectivity Log Services
Yukarıda paylaşmış olduğum komut ise;
- Front End Transport service
- Mailbox Transport Submission and Mailbox Transport Delivery services
- Transport service
özelinde alt kırılımlar ile hangi log ‘un nerede, ne kadar süre yaşayacağını gösteren bilgilerdir. İhtiyaç duymadığımız yada toplamak istemediğimiz her bir Exchange Server bağlantı olayı günlüğü için performans kazanabildiğimiz gibi kapatmış olduğumuz her bir değer sonrası da olası bir saldırıda eksik bilgilere sahip olacağız.
Exchange Server Connectivity Log Path Description
3. Exchange Server Connectivity Log Ayarları
Exchange Server Connectivity Log Path altında her bir bağlantı için olay günlükleri tutulmaktadır. Exchange Server e-posta sistemine kim bağlandı, ne zaman bağlandı, bağlantı içeriden mi, dışarıdan mı yapıldı, bağlantı yapılmak istenilen kullanıcı bilgileri, başarılı-başarısız bağlantılar ve çok daha fazlasını Microsoft Exchange Server Connectivity Log verilerinde görebiliriz.
Toplanan her bir veri, Exchange Server performansına da etki edecektir ve performans ihtiyacı olan Exchange Server e-posta sistemlerin de Exchange Server Connectivity Log verileri kapatılabilmektedir.
Exchange Server Connectivity Log verileri Exchange Administrator Center üzerinde yada Exchange Management Shell ile yapılmaktadır.
3.1 Exchange Server Connectivity Log Kapatılması
Exchange Server Connectivity Log verilerini kapattığımız zaman Exchange Server Performans değerlerini iyileştirmiş olsak bile yapacak olduğumuz bu değişiklikler sonrası olası bir saldırı durumunda bizleri cevapsız sorularla baş-başa bırakacak ve Exchange Server ‘a yapılan bir saldırı için önlem almamızı engelleyecektir.
Fakat, Exchange Server Connectivity Log Kapatılması bazı kurumlar için tercih edilmektedir. Bu özelliğin kapatılması yapılırken bilmemiz gerekli olan en önemli konu yukarıda paylaşmış olduğumuz olay günlüklerinin artık Microsoft Exchange Server tarafından tutulmayacak olmasıdır.
Microsoft Exchange Server ile bağlantıyı sağlayan uç nokta cihaz arasında bir güvenlik çözümü varsa bu görevi bu cihaza/uygulamaya devredebilir ve Exchange Server Performans değerlerinde iyileştirme yapabiliriz. Fakat, böyle bir cihazınız yok ise kapatılmasını kesinlikle önermemekteyiz..
Microsoft Exchange Server Connectivity Log
Exchange Server Connectivity Log bilgilerinin kayıt altına alınmaması için EAC\Servers\Servers bölümüne giriş yapıyoruz. Bu bölümde Exchange Server Connectivity Log kapatma işlemini yapacak olduğumuz Exchange Server üzerinde özelliklere geliyoruz. Exchange server 2016 üzerinde Transport Logs bölümünde Enable connectivity log ve Connectivity log path kutularını temizliyoruz.
Bu işlem sonrasında Exchange Server Connectivity Log verileri tutulmayacaktır. Bu işlem her bir Exchange Server üzerinde ayrı-ayrı yapmamız gerekmektedir.
3.2 Exchange Server Connectivity Log Parametreleri
Yukarıda paylaşmış olduğum komut ile aşağıda ki değişiklikleri gerçekleştirdik.
- Connectivity log dizinini G:\Connectivity Log\Hub bölümüne taşıdım.
- Connectivity log file boyutunun en fazla 20 MB olmasını belirledim.
- Connectivity log folder boyutunun en fazla 1.5 GB olmasını belirledim.
- Connectivity log file dosyalarının en fazla 45 Gün saklanması gerektiğini belirttim.
Exchange Connectivity Log Setting
Yapmış olduğumuz değişikliklerden sonra Microsoft Exchange Server üzerinde ki yeni Connectivity log ayarlarını görebilmektesiniz.
Connectivity log dosyalarının taşınmış olduğu klasör üzerinde aşağıda ki izinlerin önceden verilmiş olması gerekmektedir.
- Network Service: Full Control
- System: Full Control
- Administrators: Full Control
Eğer güvenlik izinleri Connectivity log dizini üzerinde bulunmazsa Connectivity log olay günlükleri oluşmayacaktır.
