Syslog server hangi protokollerle log iletimi yapar?

Syslog server üç farklı protokolle log iletimi yapar. UDP (Kullanıcı Datagram Protokolü) varsayılan olarak 514 numaralı portu kullanır; hızlı aktarım sağlar ancak paketin hedefe ulaşma garantisi yoktur. TCP (İletim Kontrol Protokolü) aracılığıyla iletilen veriler güvenli ve eksiksiz şekilde hedefe ulaşır. RELP/TLS protokolü ise güvenli ve şifreli veri iletimi gerektiren durumlarda tercih edilir.

Rsyslog, Unix ve Linux işletim sistemlerinde olay kayıtlarını toplayıp filtreleyen, güvenli bir şekilde başka konumlara yönlendiren açık kaynaklı ve yüksek performanslı bir log yönetim motorudur. Linux dağıtımlarında varsayılan olarak gelen, özellikle yüksek trafikli sistemlerde hem filtreleme hem de yönlendirme işlemleri için tercih edilen log işleyicisidir.

Syslog server güvenlik amaçlı nasıl kullanılır?

Syslog server güvenlik amaçlı dört temel senaryoda kullanılır. Saldırı tespitinde (IDS/IPS) güvenlik duvarlarından geçen şüpheli paketler ve engellenen bağlantı denemeleri izlenerek siber saldırılar erken tespit edilir. Yetkisiz oturum takibinde SSH, RDP, VPN giriş denemeleri log olarak toplanır. Tehdit avcılığında tüm ağ trafiği merkezileştirilerek zararlı yazılımların yanal hareketleri tespit edilir. Veri sızıntısı (DLP) önlemede ise şüpheli veri transferleri ve politika dışı internet erişimleri izlenir.

Syslog server monitoring amaçlı hangi senaryolarda kullanılır?

Syslog server monitoring amaçlı üç temel senaryoda kullanılır. Sistem sağlığı ve performans takibinde sunucuların CPU, bellek ve disk kullanımı gibi kritik metriklerindeki anormallikler log'lar aracılığıyla izlenir. Uygulama ve servis takibinde kritik iş uygulamalarının 404 ve 500 gibi hata kodları gerçek zamanlı olarak izlenerek kesintilerin önüne geçilir. Ağ trafik analizinde ise ağ anahtarları ve yönlendiricilerden gelen veriler aracılığıyla ağdaki sorunlar ve hatayı tetikleyen cihazlar tespit edilir.

Popüler syslog server yazılımları hangileridir?

Linux ve açık kaynaklı altyapılar için en popüler syslog server yazılımları şunlardır: Rsyslog (Linux'ta varsayılan gelen, yüksek trafikli sistemler için ideal), Syslog-ng (gelişmiş filtreleme ve güçlü güvenlik özellikleriyle öne çıkan), Graylog (merkezi log yönetimi ve arama arayüzü sunan kurumsal çözüm). Windows tabanlı altyapılar için ise SolarWinds Kiwi Syslog Server (gerçek zamanlı uyarı ve e-posta raporlama), Visual Syslog Server (hafif ve basit görsel arayüz) ve PRTG Network Monitor (dahili syslog alıcısı ve görselleştirme özellikleri) tercih edilmektedir.

Syslog Server Nedir? Merkezi Log Yönetiminin Temeli

İçeriği Yapay Zeka ile Özetleyin:

ChatGPT Gemini Perplexity Claude

Syslog server nedir? Syslog server, ağınızda yer alan tüm cihazlardan gelen olay kayıtlarını tek merkezde toplayan, saklayan ve analiz eden sisteme verilen isimdir. Merkezi log yönetimi sayesinde dağınık haldeki tüm sistem verilerini tek elde toplar. Siber saldırıları tespit eder, yetkisiz girişleri izler, uyumluluk raporları oluşturur. Ağların veya sistem çökmelerinin kök sebeplerini bulmak için geçmiş kayıtların incelenmesini sağlar.

Syslog Protokolü Nedir?

Syslog protokolü, sunucular, uygulamalar, anahtarlar veya yönlendiriciler gibi ağ cihazlarının log adı verilen olay günlüklerini oluşturan yazılımdır. Oluşturduğu olay günlüklerini merkezi bir sisteme aktarır. Bilgi teknolojileri alanında sistem izleme ve güvenlik analizi gibi alanlarda oldukça önemli temel bileşendir.

Syslog Server Nasıl Çalışır?

Syslog server çalışmak için üç temel bileşene ihtiyaç duyar. Bunlardan ilki, kaynak yani Syslog sender, diğer adıyla olayı oluşturan kaynak ya da uygulamadır. Syslog mesaj formatı ikinci bileşendir. Bu format, olayı tanımlayan standartlaşmış bir metin yapısıdır. Sunucu/alıcı (Syslog server/receiver) gönderilen log kayıtlarını toplayan, saklayan, analiz eden merkezi sistemdir. Syslog server, istemci-sunucu mimarisi üzerinde çalışır. İstemci, günlük mesajları oluşturarak sunucuya gönderir. Sunucu günlük mesajlarını aldıktan sonra depolar, analiz eder, izlemek ya da sorun gidermek için kullanılabilir hale getirir.

Ağ Cihazlarından Log Toplama Mantığı

Syslog server, log’ları toplamak için ilk aşamada üretim ve formatlama işlemlerine ihtiyaç duyar. Başarısız giriş denemeleri veya paket düşüşleri gibi ağ cihazlarında meydana gelen olaylar, cihazın işletim sistemi tarafından tespit edilir. Olaylar belli bir tarih / saat bilgisi ve önem derecesi eklenerek standart bir syslog formatına getirilir. Bu yapılırken olaylara 0-7 arasında numaralar verilir.

İkinci aşamada ağ üzerinden iletim gerçekleşir. Oluşturulan log mesajları, ağ üzerinden UDP, TCP, RELP/TLS protokolleri aracılığıyla syslog sunucusuna aktarılır. UDP yani kullanıcı datagram protokolü için varsayılan olarak 514 numaralı port kullanılır. Hızlı aktarım sağlar ama paketin hedefe ulaşma garantisi yoktur. TCP yani iletim kontrol protokolü aracılığıyla iletilen veriler, güvenli ve eksiksiz şekilde hedefe ulaşır. RELP/TLS protokolü ise güvenli ve şifreli veri iletimi için tercih edilir.

Üçüncü aşamada sunucunun çalışması yer alır. Sunucunun çalışması ve alım gerçekleştirmesi için syslog toplayıcısı ya da SIEM çözümüne ihtiyaç duyulur. Sunucudaki Syslog dinleyicisi, cihazlardan gelen UDP/TCP paketlerini karşılar. Gelen verileri kategorize edip filtreler. Merkezi olarak diskte saklanmasını ve arama-raporlama amacıyla veri tabanına yazılmasını sağlar.

Linux, Firewall ve Switch’te Syslog Yapılandırması

1. Linux için syslog server yapılandırması şu şekildedir:

Linux sunucusunun Ubuntu/Debian veya RHEL/CentOS gibi dışarıdan gelen log paketlerini kabul etmesi için rsyslog servisini yapılandırmak gerekir.

Rsyslog nedir?

Unix ve Linux işletim sistemlerinde olay kayıtlarını toplayıp filtreleyen, güvenli bir şekilde başka konumlara yönlendiren açık kaynaklı ve oldukça yüksek performanslı bir log yönetim motorudur.

Yapılandırma Dosyasını Açın:

sudo nano /etc/rsyslog.conf

UDP veya TCP Portlarını Aktif Edin:

module(load=”imudp”)
input(type=”imudp” port=”514″)

Cihazların IP numaralarına göre ayrı klasörleme kuralları ekleyin:

$template RemoteLogs,”/var/log/remote/%FROMHOST-IP%/%PROGRAMNAME%.log”
*.* ?RemoteLogs
& stop

Bu aşamadan sonra servisi yeniden başlatarak güvenlik duvarını açabilirsiniz:

sudo systemctl restart rsyslog
sudo ufw allow 514/udp

2. Firewall yapılandırması için şu adımları takip edin:

Firewall cihazları çok yoğun log üretir. Bu nedenle UDP 514 portu yerine TCP veya güvenli TLS tercih edebilirler. Standart syslog server kurulum adımları şu şekildedir:

CLI üzerinden komutlar için:

config log syslogd setting
set status enable
set server “192.168.1.50”
set mode udp
set port 514
end

Web ara yüzünden komutlar için aşağıdaki adımları takip edin:

Log & Report > Log Settings
Syslog Logs to Syslog seçeneğini aktif hale getirin.
Linux sunucunuzun IP adresine gidin.
Apply butonuna basarak işlemi tamamlayın.

Güvenlik ve Monitoring Amaçlı Kullanım Senaryoları

1. Syslog server için güvenlik amaçlı kullanım senaryoları arasında saldırı tespiti, yetkisiz oturum takibi, tehdit avcılığı ve veri sızıntısı gibi durumlar yer alır.

Saldırı Tespiti (IDS/IPS) sayesinde güvenlik duvarlarından ya da ağ geçitlerinden geçen şüpheli paketler, engellenen bağlantı denemeleri syslog üzerinden izlenir. Bu sayede siber saldırıların erken teşhis edilmesi sağlanır.
Yetkisiz oturum takibi sayesinde kritik sunuculara yapılan SSH, RDP, VPN giriş denemeleri log olarak toplanır. Tehditler anında fark edilir.
Tehdit avcılığı sayesinde tüm ağ trafiği merkezileştirilir. Zararlı yazılımların iç ağda yanal hareketleri veya sıra dışı port kullanımları tespit edilir.
Veri sızıntısı (DLP) önleme özelliğiyle ağ cihazlarından çıkan şüpheli veri transferinin izlenmesi sağlanır. Şirket politikalarına aykırı internet erişim log’ları incelenir. Bu işlem sayesinde veri kayıplarının önüne geçilmesi mümkün hale gelir.

2. Monitoring amaçlı kullanım senaryoları arasında şunlar yer alır: sistem sağlığı ve performans, uygulama ve sistem takibi, ağ trafiği analizi.

Sistem sağlığı ve performansı için kullanım senaryoları arasında sunucuların CPU, bellek ve disk kullanımı gibi kritik metriklerinde anormalliklerin log’lar aracılığıyla izlenmesi yer alır.
Uygulama ve servis takibi, kritik iş uygulamaları ve web servislerinin 404, 500 gibi hata kodlarının gerçek zamanlı izlenmesini ve meydana gelebilecek kesintilerin önüne geçilmesini sağlar.
Ağ trafik analizi ise ağ anahtarları ve yönlendiriciler üzerinden gelen veriler aracılığıyla ağdaki sorunları ve hatayı tetikleyen cihazları tespit etmeyi sağlar.

Popüler Syslog Server Yazılımları

Syslog server yazılımları farklı altyapılara özel olarak farklı seçeneklerden oluşur. Linux ya da açık kaynaklı altyapılar için şu yazılımlar kullanılır:

Rsyslog: Linux dağıtımlarında en çok varsayılan olarak gelen ve hızlı olmasının yanında güvenilirliğiyle de tercih edilen log işleyicisidir. Özellikle yüksek trafikli sistemlerde hem filtreleme hem de yönlendirme işlemleri için tercih edilir.
Syslog-ng: Rsyslog’a güçlü rakiplerden bir tanesidir. Filtreleme, yapılandırılmış verileri işleme gibi alanlarda oldukça gelişmiş bir yapıya sahiptir. Verilerin güvenle filtrelenmesini ve şifrelendikten sonra aktarılmasını sağlayan güçlü güvenlik özellikleriyle bilinir.
Graylog: Merkezi log yönetiminin yanında arama ara yüzü de sunan hem açık kaynaklı hem kurumsal yazılımlardan bir tanesidir. Büyük veri kümeleri söz konusu olduğunda hızlı arama yapmayı, görselleştirmeyi, uyarı mekanizması kurmayı oldukça başarılı şekilde gerçekleştirir.

Windows Tabanlı Yazılımlar:

SolarWinds Kiwi Syslog Server: Kullanımının kolay ve programın güvenilir olması nedeniyle Windows ortamında en çok tercih edilen sunucu türüdür. Gerçek zamanlı uyarılar ve detaylı e-posta raporlama özellikleriyle öne çıkar.
Visual Syslog Server: Log’ları gerçek zamanlı izler, sisteme yük bindirmez. Basit görsel ara yüzü ile de kullanım kolaylığı sunar.
PRTG Network Monitor: İçerisinde dahili bir syslog alıcı yer alır. Bunun yanında içinde birçok syslog izleme aracı da bulundurur. Ağ cihazlarındaki log’ları görselleştirerek pratik uyarılar oluşturmayı sağlar.

Kurulum ve Yapılandırma Örnekleri

Syslog server nasıl kurulur? Syslog server kurulumu yukarıda detaylı şekilde verilmiştir. Basitçe kurulum aşamalarına geçmeden önce Rsyslog yazılımını aktifleştirdiğinizden emin olun.

Kurulum aşamaları şu şekildedir:

Rsyslog servisini etkinleştirin:

sudo nano /etc/rsyslog.conf

Dosya içinde aşağıdaki satırlara giderek başlarına # işareti ekleyin.

UDP için:

module(load=”imudp”)
input(type=”imudp” port=”514″)

TCP için:

module(load=”imtcp”)
input(type=”imtcp” port=”514″)

İkinci aşamada gelen log’ları sınıflandırın:

Bu işlemi yaparken uzak cihazlardan gelen sistem log’larının sizin sistem log’larınızla karışmaması için özel bir klasör şablonu oluşturarak yapabilirsiniz.

Yapılandırma dosyasının en altına şu komutu ekleyin:

$template remote-incoming-logs, “/var/log/rsyslog/%HOSTNAME%/%PROGRAMNAME%.log”
*.* ?remote-incoming-logs
& ~

Böylece log’lar gönderen cihazın adına göre klasörlere ayrılacaktır.

Üçüncü aşamada servisi yeniden başlatın:

sudo systemctl restart rsyslog

Dördüncü aşamada güvenlik duvarı izinlerini aktifleştirin. Bunun için syslog güvenlik amacıyla 514 portunu kullanır:

# UFW (Ubuntu) kullanıyorsanız:
sudo ufw allow 514/tcp
sudo ufw allow 514/udp

Son olarak ağ cihazlarını yapılandırın. Ağınızda yer alan switch, router, firewall ya da diğer sunucuların ara yüzüne giriş yapabilirsiniz. Syslog ya da log server ayarlarına gidin. Hedef IP adresi bölümü için Syslog sunucunuzun IP adresini, protokol olarak ise UDP/TCP 514 portunu belirttiğinizden emin olun.