Dijital dünyada güvenliğin temeli “izlenebilirliktir.” Bir sistemde meydana gelen her olayın, her girişin, her hatanın kaydedilmesi bu izlenebilirliği sağlar. İşte bu kayıtlar log kaydı olarak adlandırılır. Günümüzde siber güvenliğin en önemli bileşenlerinden biri olan log yönetimi, kurumların veri güvenliğini sağlamak, tehditleri erken tespit etmek ve yasal yükümlülüklerini yerine getirmek açısından kritik rol oynar.
Log Kaydı Nedir?
Log kaydı, bir bilgi sisteminde gerçekleşen olayların zaman damgası (timestamp) ile birlikte kayıt altına alınmasıdır. Sunucular, ağ cihazları, uygulamalar veya güvenlik duvarları üzerinde gerçekleşen her türlü işlem, olay veya hata log dosyalarında saklanır.
Basit bir örnekle açıklayalım:
Bir kullanıcı bir web sunucusuna giriş yaptığında, sistem bu olayın gerçekleştiği zamanı, kullanıcının IP adresini ve yapılan işlemi log kaydı olarak kaydeder. Eğer aynı kullanıcı yanlış parola ile giriş denemesi yaparsa, bu da bir log olarak eklenir. Bu bilgiler, ileride olası güvenlik olaylarını analiz etmek için son derece değerlidir.
Log kaydı örneği:
2025-10-14 09:22:34 INFO User “admin” logged in from IP 192.168.1.45
2025-10-14 09:25:11 WARNING Failed login attempt for user “admin” from IP 192.168.1.102
Bu örnek, sistemin hem başarılı hem de başarısız girişleri izlediğini gösterir. Bu kayıtlar, saldırı tespiti veya kullanıcı davranışlarının analizi için temel veridir.
Log Yönetimi Nedir ve Neden Önemlidir?
Log yönetimi, bir organizasyondaki tüm log kayıtlarının toplanması, saklanması, analiz edilmesi ve raporlanması sürecidir. Bu süreç, sadece verileri depolamakla kalmaz; aynı zamanda anlamlı bilgiye dönüştürülmesini sağlar.
Log yönetiminin önemi:
- Siber Tehditlerin Tespiti:
Güvenlik logları incelenerek olağan dışı aktiviteler belirlenebilir. Örneğin, farklı ülkelerden gelen eşzamanlı giriş denemeleri, bir siber saldırının göstergesi olabilir. - Yasal Uyumluluk:
Türkiye’de 5651 Sayılı Kanun ve KVKK (Kişisel Verilerin Korunması Kanunu), belirli sistemlerin log tutmasını zorunlu kılar. Log yönetimi, bu düzenlemelere uyum sağlamada hayati rol oynar. - Olay Müdahalesi (Incident Response):
Bir güvenlik ihlali yaşandığında, geçmiş log kayıtları sayesinde olayın kaynağı, zamanı ve etkisi hızlıca analiz edilebilir. - Performans ve Hata Yönetimi:
Sadece güvenlik için değil, sistem performansını izlemek ve hataları gidermek için de log yönetimi kullanılır.
Modern organizasyonlar, logları manuel olarak izleyemez; çünkü günde milyonlarca olay gerçekleşir. Bu noktada SIEM (Security Information and Event Management) sistemleri devreye girer.
SIEM Nedir?
SIEM, “Security Information and Event Management” ifadesinin kısaltmasıdır. Türkçesiyle Güvenlik Bilgisi ve Olay Yönetimi anlamına gelir. SIEM sistemleri, ağınızdaki farklı kaynaklardan gelen log verilerini toplar, korelasyon kurallarıyla ilişkilendirir ve olası tehditleri tespit eder.
Bir SIEM çözümü şunları yapabilir:
- Sunucu, firewall, antivirüs, IDS/IPS gibi sistemlerden log toplar.
- Bu logları analiz ederek anormal davranışları belirler.
- Güvenlik uzmanlarını uyarır veya otomatik aksiyon alır.
Örneğin, SIEM sistemi bir kullanıcının gece saatlerinde aniden yüzlerce dosyayı silmeye çalıştığını fark ederse, bu bir iç tehdit olarak algılanabilir.
Popüler SIEM çözümlerine örnek olarak Splunk, IBM QRadar, ArcSight, Elastic SIEM ve Azure Sentinel verilebilir.
Hangi Sistemler Log Kaydı Tutar?
Neredeyse her dijital sistem log kaydı tutar. Ancak log yönetiminde en kritik veriler aşağıdaki sistemlerden gelir:
- Sunucular (Windows, Linux, macOS):
Giriş-çıkış işlemleri, hatalar, sistem olayları loglanır. - Ağ Cihazları (Router, Switch, Firewall):
Ağ trafiği, IP bağlantıları ve güvenlik politikaları loglara kaydedilir. - Uygulamalar ve Web Sunucuları:
Kullanıcı aktiviteleri, hata mesajları, API istekleri log dosyalarında yer alır. - Veritabanları:
Erişim denemeleri, sorgular ve veri değişiklikleri loglanır. - Güvenlik Sistemleri (Antivirüs, IDS, IPS):
Saldırı tespitleri, karantina işlemleri ve uyarılar güvenlik logları içinde bulunur.
Bu sistemlerden gelen logların merkezi olarak toplanması, olayların bütüncül bir şekilde analiz edilmesini sağlar.
Log Kayıtları Ne Kadar Süre Saklanmalıdır?
Logların saklama süresi, kurumun faaliyet alanına ve yasal gerekliliklere göre değişir.
- 5651 Sayılı Kanun kapsamında internet servis sağlayıcıları log kayıtlarını en az 1 yıl saklamak zorundadır.
- KVKK ve ISO 27001 standartlarına göre ise, logların “gerektiği kadar” ve “yetkili kişilerce erişilebilir” biçimde saklanması gerekir.
- Finans, sağlık ve kamu gibi regülasyona tabi sektörlerde bu süre 2 ila 10 yıl arasında değişebilir.
Saklama süresi boyunca logların bütünlüğü (integrity) korunmalı, silinmemeli ve değiştirilememelidir. Bu amaçla hashleme, dijital imza veya WORM (Write Once Read Many) depolama yöntemleri kullanılabilir.
Güvenlik Logları ve Analiz Önemi
Güvenlik logları, özellikle saldırı, izinsiz erişim veya sistem zafiyetlerini tespit etmek için kullanılır. Bu loglar; firewall, antivirüs, IDS/IPS ve sistem erişim kayıtlarını içerir.
Analiz aşamasında güvenlik logları;
- Yetkisiz erişim girişimlerini,
- Brute-force (şifre deneme) saldırılarını,
- Zararlı yazılım aktivitelerini,
- Veri sızıntılarını tespit etmeye yardımcı olur.
Düzenli olarak yapılan log analizi, kurumların “proaktif güvenlik” yaklaşımı geliştirmesine katkı sağlar.
Log Yönetimi Sürecinde Dikkat Edilmesi Gerekenler
- Merkezi Log Toplama:
Tüm sistemlerin loglarını tek bir merkezde toplamak, analizi kolaylaştırır. - Zaman Senkronizasyonu:
Tüm cihazların saati aynı olmalıdır; aksi takdirde olay zamanları karışabilir. - Logların Sınıflandırılması:
Uygulama logları, güvenlik logları, sistem logları gibi kategorilere ayrılmalıdır. - Yetkilendirme:
Loglara erişim sadece yetkili güvenlik personeline açık olmalıdır. - Otomatik Uyarı Sistemleri:
SIEM veya log analiz yazılımları ile belirli eşik değerler aşıldığında otomatik alarm üretmek gerekir.
