LOG Nedir? Loglama Nasıl Yapılır?

LOG Nedir? Loglama Nasıl Yapılır?

LOG Nedir? Loglama Nasıl Yapılır?

/ Cu, 11/21/2025 - 13:06

Bir IT sistemi veya uygulamasında her saniye binlerce olay gerçekleşir: bir kullanıcının sisteme giriş yapması, bir veri tabanından bilgi çekilmesi, bir sunucunun yeniden başlatılması veya bir güvenlik duvarının bir tehdidi engellemesi. Tüm bu eylemler, sistemin "dijital ayak izleri" olarak adlandırılan kayıtlara dönüşür. İşte bu kayıtlara Log (Kayıt) denir.

Modern ve karmaşık IT altyapılarında şeffaflığı ve kontrolü sürdürmek hayati önem taşır. Loglama, bir olayın ne zaman, nerede ve kim tarafından gerçekleştirildiğini kesin olarak belgeleyen mekanizmadır. Bir sistemde “ne olduğunu” zamanında ve doğru anlamanın tek yolu log kayıtlarıdır. Log; güvenlik ihlallerini tespit eder, uyum gerekliliklerini kanıtlar, performans sorunlarının kök nedenini ortaya çıkarır ve olay müdahalesinde (IR) yasal/dijital delil niteliği taşır. Güvenlik operasyonları merkezi (SOC) ve modern analitik yaklaşımlar, log olmadan “kör uçuştur”.

Loglamanın Temel Amaçları:

  • Görünürlük: Sistemlerin ve uygulamaların gerçek zamanlı durumunu anlamak.
  • Güvenlik: Siber tehditleri ve anormal davranışları tespit etmek.
  • Uyumluluk: Yasal ve sektörel düzenlemelere uygun denetim izi (audit trail) sağlamak.

Temel Kavramlar - Log Nedir ve Neden Önemlidir?

Log Kaydının Tanımı ve Bileşenleri

Log kaydı, bir sistemde gerçekleşen olayların (event) kronolojik ve yapılandırılmış bir kaydıdır. Başarılı bir log kaydı, olayın bağlamını hızlıca anlamamızı sağlayan standart bileşenlere sahiptir:

  • Zaman Damgası (Timestamp): Olayın kesin olarak ne zaman gerçekleştiğini gösterir (NTP ile senkronize, UTC formatı tercih edilir).
  • Kaynak (Source/IP): Olayın hangi sunucudan, uygulamadan veya ağ cihazından geldiği.
  • Olay Kimliği (Event ID) / İşlem ID: Kaydedilen olayın türünü ve süreci gösteren benzersiz kod (örn: oturum açma, dosya silme, süreç numarası).
  • Seviye (Level): Olayın önem derecesi (Error, Warning, Information, Debug, Critical).
  • Korelasyon ID: Birden fazla sistemde gerçekleşen zincirleme olayları birbirine bağlamak için kullanılan benzersiz tanıtıcı.
  • Mesaj: Olayın içeriğini açıklayan serbest metin veya yapılandırılmış veri.

Log Türleri: Neyi, Nereden Topluyoruz?

Bir işletmenin topladığı loglar, altyapının katmanlarına göre çeşitlilik gösterir. Kritik log türleri şunlardır:

  • Sistem (OS) Logları: Linux Syslog (örneğin /var/log içerikleri), Windows Event Log. Sunucu başlangıcı, kullanıcı yetkilendirmesi, donanım ve sistem servislerinin durumunu içerir.
  • Uygulama Logları: İş mantığı, hata/istisna, API çağrıları ve kullanıcı etkileşimlerini kaydeder.
  • Veritabanı Logları: Sorgu, şema değişikliği, yavaş sorgu tespiti ve özellikle erişim denetimi kayıtları.
  • Güvenlik Logları: Antivirüs (AV), Uç Nokta Tespit ve Yanıt (EDR/XDR) tespitleri, karantina ve güvenlik politikası ihlalleri.
  • Kimlik ve Erişim Logları (IAM): Active Directory (AD)/LDAP, Tek Oturum Açma (SSO), Çok Faktörlü Kimlik Doğrulama (MFA) ve başarısız/şüpheli oturum açma denemeleri.
  • Ağ Logları: Güvenlik duvarı (FW), Saldırı Tespit/Önleme Sistemleri (IDS/IPS), Web Uygulama Güvenlik Duvarı (WAF), VPN, DNS ve proxy sunucularının trafik kayıtları.
  • Bulut ve SaaS Logları: AWS CloudTrail/Config, Azure Activity/Sentinel verileri, GCP Audit; M365/Google Workspace denetim logları.
  • Denetim (Audit) Logları: Yönetici işlemleri, kritik sistemlerdeki değişiklik (change) yönetimi ve yapılandırma geçmişi.

Loglama Standartları ve Formatları

Tutarlı ve analize uygun loglar için standart protokoller ve formatlar kullanılmalıdır.

  • Syslog Protokolü (RFC 5424): Ağ cihazları ve Linux/Unix işletim sistemleri tarafından kullanılan temel protokoldür.
  • JSON/NDJSON: Makine tarafından okunabilir, şemalı ve analize en elverişli modern formattır. Bulut ve modern uygulamalar bu formatı tercih eder.
  • CEF/LEEF: Özellikle SIM/SIEM sistemlerine entegrasyon için tasarlanmış, alanları önceden tanımlanmış standart formatlardır.

İyi bir pratik: Tüm kaynaklardan gelen logları, analiz ve korelasyon için ortak alan adlarıyla normalize etmek (eşlemek) ve sayı, tarih, metin tiplerini tutarlı saklamaktır.

Etkili Loglama Nasıl Yapılır? (Mimari ve Uygulama)

Etkili loglama, sadece kayıt toplamak değil, bu kayıtları yönetmek, analiz etmek ve onlardan anlam çıkarmaktır.

Merkezi Log Yönetimi ve SIM/SIEM

Modern IT altyapıları yüzlerce, hatta binlerce farklı kaynaktan log üretir. Bu dağınık logları yönetmek yerine, hepsini tek bir yerde toplamak zorunluluktur.

  • İhtiyaç: Tüm logları merkezi bir depolama alanına (Log Aggregation) aktarmak. Bu, farklı sistemler arasındaki ilişkileri (korelasyon) kurmayı ve arama yapmayı kolaylaştırır.
  • SIM/SIEM Nedir? Merkezi log yönetiminin en ileri formu SIM/SIEM (Security Information and Event Management) sistemleridir. SIM/SIEM, tüm log verisini gerçek zamanlı olarak alır, normal ve anormal davranış kalıplarını öğrenir ve bu veriler arasında çapraz korelasyon yaparak gizli tehditleri tespit eder.
  • SIM/SIEM'in Faydaları: Gerçek zamanlı analiz, karmaşık tehditlerin otomatik tespiti (örneğin, bir kullanıcının aynı anda farklı coğrafyalardan giriş yapması), olaylara anında müdahale için alarm üretme ve yasal denetimler için raporlama.

Log Mimarisi: Referans Tasarım

İdeal bir loglama mimarisi, logun üretildiği noktadan analize sunulduğu noktaya kadar bir dizi bileşeni içerir:

Kaynak → Ajan/shipper → Toplayıcı/kuyruk → Zenginleştirme/normalizasyon → Depolama → SIEM/Analitik → Alarm/Olay

  • Ajan/Shipper: Kaynağa (sunucu, uç nokta) yakın, hafif bir yazılım bileşenidir (örneğin, dosya takipçisi). Logları kaynaktan okur ve toplayıcıya iletir.
  • Kuyruklama (Message Bus): Ajan ile toplayıcı arasına yerleştirilen tampon katmandır. Log akışındaki sıçramalara dayanıklılık, yeniden deneme ve akış kontrolü sağlar.
  • Zenginleştirme (Enrichment): Log verisine dışarıdan bağlamsal bilgi eklenmesidir. Örneğin; coğrafi konum, tehdit istihbaratı etiketleri (kötü şöhretli IP/domain), veya Varlık (Asset) ve Kullanıcı Envanteri bilgileri ile logları güçlendirir.
  • Depolama Katmanları: Logların kullanım sıklığına ve yasal saklama gereksinimlerine göre ayrılması:
    • Hot (Sıcak): Son saatler/günler; yüksek sorgu performansı için anlık erişim.
    • Warm (Ilık): Operasyonel aralık (örneğin son 90 gün); nispeten sık erişim.
    • Cold (Soğuk)/Arşiv: Uyum saklaması (uzun süreli); düşük maliyetli obje depolama (WORM) veya teyp çözümleri.

Temel Gereksinimler:

  • NTP ile Saat Senkronizasyonu: Loglar arasında doğru zaman çizelgesi oluşturmak için kritiktir.
  • TLS ile Şifreli Aktarım: Logların ağ üzerinden güvenli bir şekilde iletilmesi.
  • Yük Dengeleme ve Ölçeklenebilirlik: Yüksek hacimli log akışını yönetebilmek.

Adım Adım Loglama Uygulaması

Etkili bir loglama programı, sadece teknik bir kurulumdan öte, kurumsal bir politika gerektirir.

  1. Politika ve Kapsam: Kurum genelinde "hangi kaynaktan hangi alanlar, hangi sıklıkla, hangi amaçla" toplanacağı yazılı hale getirilmelidir. Risk temelli kapsamda (iş kritik sistemler önce) başlanmalıdır.
  2. Alanlar ve Veri Minimizasyonu: KVKK/GDPR uyumlu olarak gerekli en az veri (veri minimizasyonu) prensibi uygulanmalıdır. PII (Kişisel Tanıtıcı Bilgiler) ve özel nitelikli veriler için maskeleme veya anonimleştirme yapılmalıdır.
  3. Normalizasyon ve Zenginleştirme: Toplanan logların ortak bir şemaya oturtulması ve varlık envanteri, kullanıcı kimliği ve tehdit istihbaratı (IOC) ile bağlamsal olarak güçlendirilmesi.
  4. İzleme, Uyarı ve Playbook’lar: SIEM'de kural setleri, eşikler ve Kullanıcı ve Varlık Davranış Analizi (UEBA) uygulanması. Alarmdan olaya geçiş (triage) ve SOAR (Güvenlik Orkestrasyonu, Otomasyon ve Yanıt) otomasyonu için runbook'lar hazırlanması.

Log Saklama ve Koruma

Logların bütünlüğü ve erişilebilirliği yasal ve adli süreçler için korunmalıdır.

  • Logların Değiştirilemezliği (Immutability): Kaydedildikten sonra logların hiç kimse tarafından değiştirilememesi veya silinememesi için WORM (Write Once Read Many) veya bulutta değiştirilemezlik politikaları uygulanmalıdır. Bu, adli analiz için kanıtların güvenilirliğini korur. İmzalama/özet (hash) ile mükerrerlik ve bütünlük kontrolü yapılmalıdır.
  • Saklama Süresi (Retention): İş ve uyum gereğine göre (örneğin 90/180/365+ gün) saklama politikaları oluşturulmalı, loglar uygun maliyetli arşiv katmanlarına taşınmalıdır.
  • Erişim Kontrolü: RBAC (Role-Based Access Control) ve ayrılmış yönetim hesabı ile loglara erişim kısıtlanmalıdır.

İşletmeler İçin Log Kayıtlarının Hayati Önemi

Siber Güvenlik ve Adli Analiz (Forensics)

Güvenlik olaylarına karşı loglar, hem önleyici hem de iyileştirici rol oynar.

  • Anormallik Tespiti: Loglar, kısa sürede çok sayıda başarısız oturum açma denemesi (Brute-Force), normal çalışma saatleri dışındaki erişimler veya yüksek miktarda veri transferi gibi anormallikleri tespit ederek tehditler henüz zarar vermeden uyarı verir.
  • Saldırı Sonrası Analiz: Bir ihlal gerçekleştiğinde, loglar tam bir adli analiz için vazgeçilmezdir. Loglar sayesinde, saldırının kök nedeni (hangi güvenlik açığı kullanıldı), sistemi nasıl istismar ettiği, ne kadar yayıldığı ve hangi hassas verilere erişilip erişilmediği kesin olarak belirlenebilir.

Performans ve Operasyonel Verimlilik

Loglar, sistemlerin sağlıklı ve verimli çalışması için de kritik bilgiler sunar.

  • Sistem Sağlığı Takibi: Uygulama gecikmeleri, veri tabanı sorgu süreleri, bellek kullanımı, sunucu yükü gibi performans metriklerini sürekli olarak kaydeder. Loglar, kullanıcılar bir sorunu fark etmeden önce potansiyel performans sorunlarının proaktif olarak tespit edilmesini sağlar.
  • Hata Ayıklama: Üretim ortamında ortaya çıkan beklenmedik hatalar veya müşteri şikayetleri, log kayıtları incelenerek saniyeler içinde doğru kod satırına kadar takip edilebilir. Bu, sorunun çözüm süresini (MTTR - Mean Time to Resolution) dramatik olarak kısaltır.

Yasal Uyumluluk (Compliance)

Pek çok yasal düzenleme, işletmelerin detaylı ve güvenilir denetim izleri tutmasını zorunlu kılar.

  • KVKK ve GDPR Uyumluluğu: Kişisel verilere erişimi olan tüm sistemlerde, kimin, ne zaman ve hangi amaçla bu verilere eriştiğinin kaydının tutulması yasal zorunluluktur. Loglar, bu erişim kanıtlarını sunar. Amaçla sınırlılık ve veri minimizasyonu loglama politikalarında önceliklendirilmelidir.
  • ISO 27001: Bilgi güvenliği yönetim sistemi (BGYS) standardı, günlükleme ve izleme kontrollerini, olay yönetimini, değişiklik ve erişim denetimini log kayıtlarıyla kanıtlamayı şart koşar.
  • PCI DSS: Kredi kartı verilerini işleyen sistemlerde, kritik sistemlerdeki erişim ve yönetici işlemlerinin loglanması; zaman senkronizasyonu ve log bütünlüğü (Immutability) şartları zorunludur.

Maliyet Optimizasyonu

Büyük veri hacimleri nedeniyle loglama maliyetleri hızla artabilir. Maliyeti düşürme stratejileri:

  • Katmanlı Depolama: Sıcak/Ilık/Soğuk depolama katmanlarının doğru kullanımı ve yaşam döngüsü (lifecycle) politikaları ile loglar uygun maliyetli arşivlere taşınır.
  • Sıkıştırma/Dedup: Veri tekilleştirme ve sıkıştırma yöntemleriyle depolama verimliliği artırılır.
  • İndeksleme ve Sorgu Stratejileri: Yalnızca sık kullanılan alanların indekslenmesi ve akıllı sorgu stratejileriyle analiz maliyetleri düşürülür.
  • Filtreleme ve Örnekleme (Sampling): Gerekli olmayan gürültüyü (örneğin sürekli başarılı bağlantı loglarını) kaynaktan filtrelemek veya örnekleme yoluyla gereksiz veri alımını azaltmak.

Log Kalitesi KPI’ları ve Olgunluk Kontrol Listesi

Loglama programının etkinliğini ölçmek için kritik performans göstergeleri (KPI) ve kontrol listesi kullanılmalıdır:

Kritik KPI’lar:

  • Log İngesyon Başarı Oranı: Kaynaktan toplayıcıya başarılı aktarılan log yüzdesi.
  • Veri Kaybı/Bozuk Kayıt Oranı: Aktarım veya depolama sırasında kaybolan/bozulan log oranı.
  • MTTD (Mean Time to Detect): Bir tehdidin tespit edilmesi için geçen ortalama süre.
  • MTTR (Mean Time to Respond): Bir olaya müdahale edip çözmek için geçen ortalama süre.
  • Kapsama Oranı (% Kaynak): İş kritik sistemlerin loglanma yüzdesi.

Sık Yapılan Hatalar:

  • NTP Yokluğu: Saat senkronizasyonu olmadığında, olaylar arasında doğru zaman çizelgesi oluşturulamaz.
  • Tutarsız Alanlar: Alanlar eksik veya serbest metin olarak kaydediliyor; bu da otomatik analizi imkansız hale getiriyor.
  • PII Sızıntısı: Kişisel verilerin gereksiz yere loglanması ve KVKK/GDPR ihlali.
  • Log Bütünlüğü Yok: Logların silinebilir veya değiştirilebilir olması.
  • “Her Şeye Alarm”: Uyarı yorgunluğu nedeniyle kritik olayların kaçırılması.

Kısaca;

Loglama, modern bir işletme için sadece bir IT görevi değil, kurumsal risk yönetimi, iş sürekliliği ve yasal uyumluluk stratejisinin temel taşıdır. Dijital varlıklarınızın güvenliğini ve operasyonel verimliliğini sağlamanın ilk adımı, görünürlük kazanmaktır.

Doğru kurgulanmış bir log mimarisi; saldırıları daha erken yakalar, uyum gerekliliklerine güvenle yanıt verir, operasyonu hızlandırır. Merkezi bir log toplama ve analiz platformuna (özellikle SIM/SIEM sistemlerine) yatırım yapmak, işletmenizin gelecekteki siber tehditlere ve operasyonel sorunlara karşı hazırlıklı olmasını sağlayacak kritik bir adımdır.

Ixpanse Teknoloji olarak biz, mimari tasarım → devreye alma → 7/24 SOC izleme → uyum raporlaması zincirini tek çatı altında sunuyoruz. Kurumunuza özel bir loglama ve izleme yol haritası için bize ulaşın.

Tags
veri tabanı güvenliği
sql injection
enjeksiyon saldırıları
yetkisiz erişim
ayrıcalık suistimali
rbac
mfa
zero trust
veri maskeleme
tokenizasyon
şifreleme
tde
tls
aes-256
veri tabanı güvenlik duvarı
database firewall
ağ segmentasyonu
waf
ddos koruması
loglama
denetim logları
siem
soc
ueba
nist 800-92
nist 800-53
owasp top 10
yama yönetimi
hardening
yedekleme
felaket kurtarma
saldırı kurtarma
RTO
RPO
kvkk
gdpr
pci dss v4.0.1
iso 27001:2022
Ixpanse Teknoloji
veri koruma

Kategoriler

Tags

Sorunuz mu Var?

Tel: +90 312 248 13 55

E-posta: info@ixpanse.com

Son Yazılar

Ixpanse Teknoloji