Log 

Bilişim sistemlerinin çeşitli amaçlar için (güvenlik, hata giderme, performans, denetim vs.) üretilen kayıt bilgileridir. Sadece Güvenlik ile ilgili bir kavram değildir. Sistem üzerinde gerçekleşen bütün eylemler için geçerlidir.

 

Log Kayıtlarının Amacı

Performans sorunları, kaynak tüketim oranları, sistemlerin erişilebilirlik durumlarını izleme, ağda yaşanan problemlerin çözümü, sistemde yapılan değişikliklerin takibini yapmaktır. Eskiden daha çok sistem içerisinde sorunların çözülmesi için kullanılmaktaydı, günümüzde ise güvenlik, adli bilişim analizi ve standartlara uyumluluk için kullanılmaktadır.

 

Log Analizi

Ağlar üzerinde gelen-giden verinin kayıt altına alınıp, sonrasında kayıtlar sayesinde ağ üzerindeki güvenlik olaylarının belirlenmesi ve önlem alınması sağlanmaktadır. Yapılan bu işleme Log Analizi denmektedir.

 

Log Yönetimi

Farklı kaynaklarda toplanan farklı tip ve çeşitlerdeki logların tek bir merkeze yönlendirilerek değer ifade edecek şekilde işlenmesidir. Log Yönetimi ile Log Toplama farklı işlemlerdir. Log yönetimi olabilmesi için öncelikle sağlıklı log toplama mekanizması kurulu olması gerekir. Toplanan loglardan anlamlı sonuçlar üretecek işlemler gerçekleştiriliyorsa log toplamadan log yönetimine doğru geçiş yapılıyor demektir.

Log sistemleri karakterleri itibari ile dağıtık yapıya sahip sistemlerdir.

Bu özelliklere sahip sistemlerin özellikleri:

  • Logların merkeze toplanması
  • Log saklama
  • Verilere hızlı erişimi ve gösterimi
  • Desteklediği Log formatının çokluğu
  • Veri analizi
  • Kayıtların saklanması
  • Arşivleme ve geri getirme
  • Verilerin yetkiler ve ilişkiler seviyesinde erişim
  • Veri bütünlüğünün sağlanması
  • Logların erişim denetimlerinin tutulması

Sistemlerden loglara, agent kurarak ya da log sunucu tarafından uzaktan çekirlerek toplanır. Her ikisinin de avantaj ve dezavantajları vardır.

Ajanlı Yönetim

Avantajları:  Log sunucu kapalı da olsa veri kaybı olmaz, log sunucu ne zaman toplayacağına karar verebilir, log sunucu istemcinin durumunu tespit edebilir.

Dezavantajları: Bütün makinelerin önceden konfiguürasyon ihtiyacı olması, sistem ele geçirilirse ajanın log göndermesi engellenebilir. Kurulum ve konfigürasyon uzun zaman alır ve yaşam döngüsünde bakım, tutum ve yaşatmak için çok fazla işgücü gerektirir.

Ajansız Yönetim

Avantajları:  Kurulum ve kofigürasyon çok kolayi çok esnek ve çok büyük sistemler için ölçeklenebilir.

Dezavantajları: Sysylog UDP temelli bir protokol ve veri kaybı olabilir, bazı durumlarda log sunucu istemcileri takip edemez.

 

Log Normalleştirme

Kaynak verilerdeki bütünlüğü bozmayacak şekilde, log dosyası verilerinden uygun bir bilgi ortaya çıkarmak için, korelasyon aracının bu yeteneğe sahip olması lazımdır. Bu logları alıp ortak bir haznede toplayıp, aynı ifadeler kullanarak yazması gerekmektedir. Veriler üzerinde indexleme, korelasyon ve filtreleme/raporlama yapabilmesi için gerçekleştirmesi gerekmektedir.

 

Log Korelasyonu

Log yönetimi projelerinde anahtar bileşendir. Birden fazla kaynaktan gelen, birden fazla log kaydının tek bir satırda ifade edilmesidir. Aynı anda onlarca porta yönelik gelen SYN paketlerinin her birini ayrı ayrı loglamak yerine tek bir satırda gösterip Port Tarama olarak yazmaktır.

 

, , , ,