Öncelikle log kelimesi kayıt anlamına gelmektedir. Loglama işlemi ise bu kayıtlar ile dijital hareketlerin tutulma işlemine denir. Gelişen teknoloji ile yazılımlar, işletim sistemleri, IOT cihazları gibi elektronik sitemler üzerinde yapılan her işin kayıtlarının tutulmasıdır. Log kayıtları tüm elektronik cihazlar için önemli ve siber güvenlik olaylarının aydınlatılması için de zorunlu hale getirilmiştir. Özelliklede siber olayların tespit edilmesi ve olay yönetimi için loglama önemli bir yer tutmaktadır. 5651 sayılı yönetmelik kanunu, ISO 27001 gibi bilişim sektörünün önemli kanunları loglamayı zorunlu hale getirmiştir. Kısaca loglama işlemi bir sistemin, bir cihazın ve sistem üzerindeki kullanıcıların hareketlerini kaydeden yapıdır.
Log toplama ise çeşitli yerlerden gelen kayıtların bir arada tutulmasındır. Ama log toplama, toplanan logların analizinin yapılması ve doğru cihazdan doğru formatta log gelmesi gibi birçok zorluğu vardır. Bundan dolayı gelen logların analizi ve loğu doğru formata dönüştüren birçok yazılım bulunmaktadır çünkü asıl mesele gelen kayıtların analizinin doğru yapılmasıdır. Log analizinde en önemlisi gelen kayıt içinde neyin aranmasıdır. Örneğin, kurum içinde kullanıcı yasaklı yerlere girdi. Bu kullanıcının loğu için kaynak ip, destination ip, hangi siteye gitti gibi bilgileri getirmek lazım. Bu karışık halde gelen logları düzenleyen çeşitli yazılımlar sayesinde log analizini daha kolay yapılabilir.
Loglar kayıt altına alınırken yaşanılan en büyük zorluk gereksiz, fazla log alınmasıdır. Önemli olan fazla log toplamaktansa ihtiyaçlara, olaylara göre belirlenerek çözüm için fayda verecek logların toplanması gerekir. İşte burada log yönetimi bu işleri yapmamıza yardım edecek ve olaylar arasında log bağlantısı kurarak log analizini rahat yapma imkânı sunar. Toplanan logların düzenlenmesi ve raporlanması oldukça zor bir iştir. Bunun için log yönetimi yazılımlarında bazı özellikler olması gerekiyor.
1-Normalizasyon: Farklı türdeki olayların ortak bir isim altında çıkmasını, raporlanmasını ve tutulmasını sağlar.
2- Sınıflandırma: Bu özellik sayesinde her yerden gelen logları ağ cihazlarından gelen loglar diye ayırma yapabiliriz ve abu ayrılan kayıtları herkesin değil yetkili birinin görmesini sağlayabiliriz.
3- Korelasyon: Bu özelliklerden en önemlisi bu olabilir. Birçok kurum SIEM kullanıyor ve her gün bir sürü log geliyor. Bu gelen loglar için korelasyon (kural) yazılması gerekiyor. Örneğin, kullanıcı kurumda 3 kere oturumunu yanlış girdi ve derhal yetkili kişiye uyarı gitsin denilebilir. Kurum bizim SIEM var loglar geliyor rahatız diyemez. Bu gelen logların yönetimi ve bu loglara korelasyon yazılması gerekir böylece loglar daha anlamlı hale gelir. Aksi takdirde loglar birikir ve yönetemeyiz.
Log Türleri
Transaction Log (SQL Server); Temel olarak veritabanındaki değişikliklerin kaydını tutar. Örneğin, bir kullanıcı veritabanına tablo ekler veya silerse transaction loga kaydedilir. Eğer veri tabanında bir arıza olursa veritabanının geri yüklemesini ve verilerin kaybolmasını önler.
Event Log; Windows sistemlerde log kayıtlarının tutulduğu yerdir. Sistem üzerinde gerçekleşen bütün işlemler kayıt olarak tutulur. Hesap kitlemeleri, oturum açma işlemi, uygulama hataları gibi güvenlik için farklı türde olayları kaydeder. Yaşanan siber güvenlik olayında hangi kullanıcı ne zaman sisteme giriş yapmış ve kullanıcı bilgileri gibi bilgileri tutarak olayların aydınlatılmasını sağlar.
Syslog; Sistem günlüğü protokolü anlamına gelir. Yönlendiriciler, güvenlik duvarları, yazıcılar gibi çeşitli cihazları syslog standardını kullanır ve günlük logları toplar. Unix ve Linux tabanlı sistemlerde kullanılabilir. Mesaj loglama standartıdır. Genel bilgi,analiz ve hata ayıklama gibi mesajlarının yanı sıra sistem güvenliği içinde kullanılabilir. Syslog loglama standardı iki bölümden oluşur: facility ve priority. Facility, hangi tip logların tutulacağını belirtir. Örneğin; ftp, mail, user, daemon. Priority; logların önem derecesini belirtir. Örneğin; emergency, alert, critical, error.