Logların Toplanması ve Log Yönetimi Araçlarının Gerekliliği

Log Yönetiminin Önemi

Log kayıtlarının toplanarak analiz edilmesi işlemi gerek sistemleri gerek bu işlemlerde sorumlu personelleri zaman zaman oldukça zorlamaktadır. Günlük dosyaları kayıt altına alınırken düşülen en büyük yanlışlardan biri de fazla/gereksiz log kayıtlarını toplamaktır. Çok fazla günlük dosyasını toplamaktan ziyade önemli olan ihtiyaçlara göre belirlenerek herhangi bir olayda çözüm noktasında fayda sağlayacak günlüklerin kayıt altına alınması gerekmektedir. Tam da bu noktada merkezi olay günlük yönetimi araçları bu işlemleri yapmanıza kolaylık sağlamakta ve önemli olabilecek günlükler arasında bağlantılar kurarak, kolayca analiz işlemi yapmanıza olanak sağlamaktadır.

Kurumlar ve şirketler olay öncesi ve sonrasında tespitler yapabilmek için log kayıtları tutmaktadır. Bu noktada; tutulan log kayıtlarından en iyi şekilde yararlanmak için merkezi log yönetimi araçlarından faydalanarak bir uzman eşliğinde yapılması gerekenler hakkında bilgi sahibi olmak buralarda çalışan bilgi işlem sorumluları açısından kritik bir öneme sahiptir. Günümüzde tüm işleyen cihazların bir şekilde log kaydı tuttuğu ve gelişen siber dünyada her geçen gün siber saldırı olayların arttığını düşündüğümüzde durum daha anlaşılır hale gelecektir. Özellikle birçok cihazda log kayıtlarına kolay bir şekilde erişim sağlanırken bazı cihazlarda ise ayrı bir yazılıma ihtiyaç duyulmakta ya da hata ayıklama günlüğü moduna geçirilmesi gerekmektedir.Kullanmakta olduğunuz cihazlardan her ne kadar log kayıtlarına bakarak temel bilgiler elde etseniz de bazen daha fazla ayrıntıya sahip kayıtlar olayları ve sorunları çözümlemenizde oldukça fayda sağlar.

Sistem yöneticileri genellikle log kayıtlarının toplanması/normalleştirilmesi sürecinde yaşanan performans sorunlarından yakınmaktadır. Bu nedenle ihtiyaçların doğru belirlenmesi ve yapılandırmaların doğru bir şekilde olması için mutlaka tecrübe sahibi uzmanlardan yardım alınması gerekmektedir. Burada ayrıca gözden kaçırılmaması gereken nokta sistemi zorlamadan hangi kayıtların nasıl toplanacağı, ne zaman çok ayrıntılı log kayıtlarının alınmasının gerektiğini belirlenmesidir. Aksi takdirde gereksiz yapılandırmalar ile sistemi zorlamanın yanı sıra çökmesine bile sebebiyet verilebilir.

Genel olarak tüm sistemlerde varsayılan olarak belirlenmiş ayarlar log kayıtları hakkında temel bilgi almanızı sağlamaktadır. Bu aşamada işletmeler ihtiyaçlarını belirleyerek kayıt altına alınacak ayrıntıları arttırabilir. Sistem yöneticileri yüzlerce günlük dosyasına sahip olabilir ve bu günlük dosyalarında yüzlerce,binlerce hatta milyonlarca olay kaydı bulunabilir. Burada bu günlük dosyalarının merkezi bir yerde toplanması,saklanması ve analiz edilmesi ücretli/ücretsiz log yönetimi araçları vasıtası ile kolayca yapılabilir. Tabi bu noktada bu araçlardan ücretli olanların daha kullanışlı ve profesyonel olduğuna da değinmeden geçmeyelim. Bu araçlar ile ilgili tercih yapılırken mutlaka işletmenizi,ihtiyaçlarınızı göz önünde bulundurmanız ve hangi yazılımdan daha faydalı ve güvenli randıman alabileceğinizi doğru bir şekilde belirlemeniz gerekmektedir. Genel anlamda log yönetimi araçları verileri düzgün bir şekilde toplamalı, uygun bir formatta anlaşılabilir hale getirmeli, tehdit içeren olaylar ile ilgili uyarılar vermeli ve analiz işlemleriniz için sorgulama/filtreleme işlemlerine sahip olmalıdır. Log yönetimi aracı tercih ederken bu nedenle mutlaka tam anlamıyla satın almadan önce belirli bir test/deneme sürecinden geçirmeniz gerekmetkedir.

Günümüzde yaşanan birçok vakada örnekle açıklayacak olursak; bilgi işlem sorumluları sadece sunucu odaklı çalışmakta ve oradaki log kayıtlarını kendine hedef belirleyerek istemci bilgisayarlardaki log kayıtlarını toplamamaktadır. Bu durum aslına bakılırsa çoğu zaman önemli birçok verinin kaçmasına ve bazen sorunun çözüme kavuşmamasına neden olabilmektedir. Bu nedenle istemci bilgisayarlarda da ihtiyaç duyulabilecek kritik olaylar filtrenelerek merkezi log yönetimi sistemine gönderilmesi hem saldırı sonrası adli vakanın çözümlenmesinde hem de karşılaşılan herhangi bir sorunun çözüme kavuşmasına önemli katkı sağlayacaktır.

Özetle; yazımızın çoğu yerinden de anlaşılacağı üzere log yönetimi araçlarının en önemli faydaları:

  • Log kayıtlarının merkezi bir yerde toplanması,
  • Kritik olaylarda uyarılar vermesi,
  • Sistemde yaşanan sorunların tespiti ve çözümlenmesi vb. üzerinde duruldu.
  • Gerekli/gereksiz günlüklerin filtrelenmesi,

Unutmamak lazım ki; doğru bir şekilde log kayıtlarının toplaması, kritik kayıtlar ve uyarılar ile doğru aksiyonun alınması, işletmenizin güvenliğini sağlamasının yanı sıra birçok sorunun çözümüne de katkı sağlayarak bilgi işlem sorumlularının üzerindeki yükü ciddi anlamda azaltacaktır. Tüm bu nedenlerle sistemize göre kaliteli bir log yönetimi aracının tercih edilmesi oldukça önemlidir. Bir sonraki yazımızda ise log yönetimi araçları hakkında sizlere bilgiler aktarmayaca çalışacağız.

Faydalı ve Faydalanılan Kaynaklar:

  • https://www.csoonline.com/article/3280123/why-you-need-centralized-logging-and-event-log-management.html

Site Footer