Log Yönetimi hakkında

Ertugrul Akbas
Log Yönetimi Tecrübeleri

Öncelikle İsmail hocama paylaşımdan ve Ertuğrul Hocama bu güzel raporu bizimle paylaştığı için teşekkür ederim.

Benimde loglama konusunda bazı çalışmlarım olmuştu. Ertuğrul Hocamın yazmış olduğu raporu refere ederek fikirlerimi aşağıda belirttim.

LOG PARSE
Sistemin ürettiği verinin yeterli parse mekanizması olmadığından dolayı sistemin içine dahil edilememesi yada eksik
dahil edilmesi. Bunun için built-in parse mekanizmasının, sistemde alınması planlanan log kaynaklarını karşılayacak
kadar geniş olması yada yetmediği durumlarda esnek bir parse mekanizmasının programlamasının mümkün olması
gerekmekte.

EPS
EPS değeri gelen verinin büyüklüğünü ölçen en önemli etken. Bir diğer etken gelen verinin boyutu ve parse edilmesi
gereken alanların çokluğu. EPS değerlerinin daha önceden POC ortamında belirlenmesi konumlandırılacak ürünün doğru
ölçeklendirilmesi konusunda öneme haiz bir durum.

Veri Kaybı
Log alınan kaynağın continuous olması durumunda network yada hizmet kesintisinden ötürü sürekliliğini kaybetmesi ve
geriye dönük logların alınamaması durumu söz konusu. Loglamama ürününün agent-server mantığı doğrultusunda çalışması
bu sorunu büyük ölçüde ortadan kaldırıyor ancak syslog gibi temel problemlere sahip aktarımlarda halen devam eden bir
problem. Aktarılan logun kaynağında sıralama mantığı ile alınması bu problemi büyük ölçüde kaldırıyor.

Aranılan verinin bulunamaması
Aranılan verinin bulunabilmesi için log yönetimi yapan yazılımın kendi içinde bir index ve normalleştirme sürecini
barındırması gerekiyor. Parse edilen logun düzenli bir veritabanı mantığı ile iç sistemde tutulması ve sorgulamaları
performanslı hale getirecek bir indexleme mekanizması bu problemi büyük ölçüde halledecektir.

Raporlamada yeteneklerinin ileride çıkacak ihtiyaçlara göre planlanmamış olması
Raporlamayı elde tutulan verinin grafik ve tablo mantığı ile özetlenerek sunması işi olarak düşünüyorum. Bu anlamda eğer verinin depolama sırasında parsing mekanizmasının etkinliğine göre minimal alanlarla ifadesi mümkünse geriye sadece grafik ve tablolama yazılımının yeteneği kalıyor.

Logların kısa süreli kaydedilmesi
Bu işlem için archiving yönteminin kullanılması logların ihtiyaç olduğu anda aktif edilmesi ile kısıt aşılabilir.

Korelasyon
Korelasyon loglama cihazlarında genelikle çokda irdelenmeyen bir madde. Korelasyon mekanizmasının güçlü olması atak önleme konusunda oldukça yardımcı olabiliyor. Hatta doğru cihazlardan toplanan verinin korelasyonu networkde bulunan hataların tespitinde dahi yardımcı olabilir.

Posted in SIEM

Leave a Reply

Your email address will not be published. Required fields are marked *

*