Günlük verileriyle ilgili bilmeniz gereken her şey

Günlük verilerine giriş

Günlük verileri, bir sistemde, bir uygulamada veya bir ağ cihazında gerçekleşen tüm olayların kayıtlarını içerir. Günlük kaydı etkinleştirildiğinde, günlükler sistem tarafından otomatik oluşturulur ve bunlara zaman damgası uygulanır. Günlük verileri, olayın parçası olan tarafları, olayın ne zaman, nerede ve nasıl gerçekleştiği gibi ayrıntılı bilgiler verir. Dolayısıyla, operasyonel sorunların giderilmesi ve güvenlik tehditlerinin tespit edilmesinde önemli bir kanıt olarak işlev görürler.

Günlük verisi türleri

Her ağ bileşeni farklı biçimlerde günlükler oluşturur. BT güvenliği ve operasyonları açısından önemli kabul edilen günlük verisi türlerinden bazılarını aşağıda bulabilirsiniz.

Çevre cihaz günlükleri

Çevre cihazlar, ağ trafiğini gözetlemek ve düzenlemek amacıyla kullanılır. Çevre cihazlara örnek olarak VPN'ler, güvenlik duvarları ve saldırı tespit sistemleri gösterilebilir. Çevre cihazlardan alınan günlükler, kullanılan protokoller, IP adresleri ve kaynakların ile hedeflerin bağlantı noktası numaraları hakkında bilgiler içerir. Bu günlükler kayda değer miktarda veri barındırır ve ağ saldırıları ile diğer güvenlik olaylarını tespit etme konusunda önemli bir rol üstlenir.

2022-05-05 11:15:26 ALLOW TCP 10.40.4.182 10.40.1.11 63064 135 0 - - SEND

Yukarıdaki günlük girişinde, olayın zaman damgasının ardından eylem belirtilmiştir. Bu durumda, güvenlik duvarının trafiğe izin verdiği gün ve saat gösterilmektedir.

Windows olay günlükleri

Windows olay günlüklerinde bir Windows sisteminde gerçekleşen tüm etkinliklerin kaydı tutulur. Windows makinelerinde gerçekleşen, bir kullanıcı oturum açma işlemi, yeni bir işlemin başlatılması veya bir izin değişikliği gibi her türlü olay sisteme kaydedilir ve bunlar dahili Olay Görüntüleyicisi aracı kullanılarak görüntülenebilir. Bu günlükleri izleyerek, saldırıları erken aşamalarda tespit edebilir ve kritik kaynakların işleyişine dair daha iyi içgörüler elde edebilirsiniz. Windows olay günlükleri farklı türler halinde sınıflandırılır:

• Uygulama günlükleri: Bunlar, Windows işletim sistemindeki uygulamalar tarafından, bir uygulamayı kapanmaya zorlayan hatalar gibi olayları kaydetmek üzere oluşturulur.
• Güvenlik günlükleri: Güvenlik günlükleri, sistemin güvenliğini etkileyebilecek olan, birden fazla oturum açma girişiminde bulunulması veya kimlik doğrulamasının başarısız olması gibi olayları kaydeder.
• Sistem günlükleri: Bunlar, işlemlerin ve sürücülerin başarılı bir şekilde yüklenmesi gibi olayları kaydetmek üzere işletim sistemi tarafından oluşturulur.
• Dizin hizmeti günlükleri: Bunlar, ayrıcalıklar için kimlik doğrulaması gibi olayları kaydetmek üzere Active Directory tarafından oluşturulur.
• DNS sunucusu günlükleri: Bu günlükler yalnızca DNS sunucuları için kullanılabilir ve istemci IP adreslerini, sorgulanan etki alanlarını ve istenen kayıtları barındırır.
• Dosya çoğaltma hizmeti günlükleri: Bu günlükler yalnızca etki alanı denetleyicileri için kullanılabilir ve bu günlüklerde etki alanı denetleyicisi çoğaltma olayları saklanır.

Warning 5/11/2022 1:12:07 PM WLAN-AutoConfig 4003 None

Yukarıdaki örnek, kullanıcıların bir WLAN'a dinamik olarak bağlanmasını sağlayan bir bağlantı yönetimi uygulaması olan WLAN AutoConfig hizmetinden alınmıştır. Günlüğün ilk kısmında önem derecesi ve sonrasında olayın tarihi ve saati belirtilir.

Uç nokta günlükleri

Uç noktalar, bir ağ üzerinden birbirine balanmış olan cihazlar veya düğümlerdir. Yazıcılar, masaüstü bilgisayarlar ve dizüstü bilgisayarlar bu cihazlara örnek olarak gösterilebilir. Uç nokta günlüklerini izleyerek veri sızdırma, sistemde güvenlik ihlali, kimlik dolandırıcılığı, kötü amaçlı yazılım bulaşmaları ve daha fazlasını önleyebilirsiniz. Uç nokta günlükleri güvenlik ve sistem yöneticilerinin ilke ihlallerini tespit etmesine de yardımcı olur.

Error 6/20/2019 5:00:45 PM Terminal Services- Printers 1111 None

Hata kaynağı ve olay kimliği (1111), Terminal Services Easy Print sürücüsünde bir hata oluştuğunu gösterir. Bir kullanıcı dosyayı yazdırma konusunda sorun yaşadığı zaman, sorunun tam nedenini ve nasıl düzeltileceğini belirlemek amacıyla günlükler analiz edilebilir.

Uygulama günlükleri

Bu günlükler, SQL veritabanı sunucuları, Oracle Veritabanı sunucuları, DHCP uygulamaları, Salesforce gibi SaaS uygulamaları, IIS web sunucusu uygulamaları ve Apache web sunucusu uygulamaları gibi iş açısından kritik uygulamalar tarafından oluşturulur. Uygulama günlükleri, bir uygulama içindeki devam eden etkinlikler ile ilgili bilgiler içerir. Bunlar, hatalardan bilgilendirme olaylarına kadar her şeyi kaydeder. Uygulama günlüklerinin izlenmesi, bir uygulamanın sorunlarının tespit edilmesi ve giderilmesine yardımcı olur.

02-AUG-2013 17:38:48 * (CONNECT_DATA=(SERVICE_NAME=dev12c)
(CID=(PROGRAM=sqlplus)(HOST=oralinux1)(USER=oracle))) *
(ADDRESS=(PROTOCOL=tcp)(HOST=192.168.2.121)(PORT=21165))
* establish * dev12c * 0

Yukarıdaki günlük, veritabanı sunucusunun isteği aldığı saati ve tarihi kaydetmektedir. Aynı zamanda, isteğin kaynağı olan kullanıcı ve ana bilgisayar ile IP adresi ve bağlantı noktası numarası ile ilgili bilgileri içerir.

Proxy günlükleri

Bunlar ağ proxy'leri tarafından oluşturulur. Ağ erişimini yönetmek ve gizliliği sağlamaktan sorumludurlar. Proxy günlükleri kullanım istatistikleri gibi kritik önem taşıyan verileri içerdiğinden, bu günlükleri izleyerek şüpheli etkinlikleri tespit edebilirsiniz.

4/8/2020 2:20:55 PM User-001 192.168.10.10 GET https://encyclopedia.com/

Yukarıdaki günlük, belirtilen tarih ve saatte User-001'in encyclopedia.com'dan sayfa istediğini göstermektedir.

IoT günlükleri

IoT, veri toplayan ve veri alışverişinde bulunan bağlı cihazların bulunduğu geniş bir ağdır. IoT günlüklerini, bir IoT sisteminde yer alan cihazlar oluşturur.

Günlük kaydını neden etkinleştirmelisiniz?

Bir BT sistemi, her gün binlerce günlük girişi oluşturur. Günlük kaydının amacı, sistemde gerçekleşen tüm olayların sürekli bir kaydını tutmaktır. BT yöneticileri aşağıdaki nedenlerden dolayı günlük kaydını etkinleştirmelidir:

• Günlük dosyaları, sistem içinde gerçekleşen, arızalar dahil tüm olayları incelemek amacıyla kullanılabilecek olmanın yanı sıra SIP istekleri gibi istekleri de kaydeder.
• Kullanıcıların hataların nerede oluştuğunu görmesine imkan vererek bir ürün veya yazılımı daha iyi anlamalarına yardımcı olur.
• Bunlar, neyi, ne zaman ve nasıl yaptıkları gibi ayrıntılar ile kullanıcıların etkinlikleri ile ilgili ayrıntılı bilgiler verir ve böylece güvenlik tehditlerinin tespit edilmesini kolaylaştırır.
• Bir ürün veya yazılımın kurulum süreci sırasında ortaya çıkabilecek sorunları tespit eder.
• Algılama ve düzeltmeyi kolaylaştıracak biçimde uygulama performansı ve güvenliğiyle ilgili sorunları kaydederek, sorun giderme süreçlerinde yardımcı olur.

Sadece günlük kaydı yapmakla yetinmeyin—Günlükleri izlemeye başlayın

Ağınızın yönetimi için sadece günlük kaydını etkinleştirmek yeterli olmayacaktır. Operasyonların sorunsuz ilerlemesi ve ağ güvenliğinin sağlanması için BT yöneticilerinin bu günlükleri izlemesi gerekir. Günlük izleme, bir ağ içinde oluşturulan tüm günlükleri toplayarak merkezi bir sunucuda depolamakla başlar. Bunun ardından, yöneticiler bu günlükleri belirli bilgiler açısından analiz eder. Kuruluşlar, uyumluluk talimatlarının gerekliliklerini yerine getirmek için, genellikle belirli kritik altyapıların günlüklerini belirli bir süre boyunca saklamak durumunda kalır.

Günlük yönetimi araçlarının yardımıyla, teknisyenler uygulama ile ilgili sorunların detaylarına hızla ulaşabilir. Örneğin, günlük verilerini kullanarak işlevsiz performans bölgelerini belirlemeleri mümkündür. Ancak günlükleri yönetmek kolay bir iş değildir. EventLog Analyzer tam da bu konuda size yardımcı olur. EventLog Analyzer, günlük yönetimi süreçlerini uçtan uca kapsayan güçlü bir araçtır. Uygulama denetimi, güvenlik analizleri ve günlük yönetimi gibi dikkate değer özellikleriyle tüm günlük yönetimi ihtiyaçlarınızı karşılayabilecek bir çözümdür.

Tüm özelliklerini iş başında görmek için EventLog Analyzer'ın 30 günlük ücretsiz deneme sürümünü inceleyin.

Sırada ne var?