Log nedir?
Log, bir sistemin gerçekleştirdiği işlem, hata, uyarı, kullanıcı hareketi ya da durum değişikliği hakkında ürettiği kayıt bilgisidir. İşletim sistemleri, sunucular, güvenlik cihazları, uygulamalar, veri tabanları, ağ ekipmanları ve kamera sistemleri farklı türde loglar üretir. Bu kayıtlar çoğu zaman arka planda sessizce oluşur; ancak olay sonrası değerlendirmede en güçlü teknik kaynaklardan biri haline gelir.
Bir kullanıcı sisteme giriş yapmış olabilir, çıkmış olabilir, bazı işlemler gerçekleştirmiş olabilir. O an görünür ekran kapanır; fakat log kayıtları bu davranışın izini taşıyabilir. Aynı şekilde bir uygulama hata vermiş olabilir, servis durmuş olabilir veya güvenlik duvarı olağan dışı hareket tespit etmiş olabilir. Bu izler, doğru okunduğunda sistemin ne yaptığına dair önemli bilgi sunar.
Log analizi ne anlama gelir?
Log analizi, kayıt satırlarını yalnızca okumak değil, onları olay bağlamı içinde anlamlandırmaktır. Bu nedenle log analizi salt metin inceleme işi değildir. Asıl mesele, dağınık görünen veri parçaları arasından olay akışını çıkarabilmektir.
Bir log satırı bazen doğrudan bir şey söyler, bazen ise ancak başka kayıtlarla birleştirildiğinde anlam kazanır. Örneğin başarısız oturum denemeleri tek başına ilginç olabilir; fakat aynı zaman aralığında başarılı giriş, IP değişimi ve yetki artışı da görülüyorsa tablo büyür. İşte log analizinin değeri burada ortaya çıkar.
Hangi durumlarda log analizi kritik hale gelir?
Log analizi özellikle üç ana alanda belirleyici olur:
1. Yetkisiz erişim ve hesap şüphesi
Bir sisteme kim girdi, hangi saatte girdi, hangi IP ile bağlandı, başarısız denemeler oldu mu, girişten sonra hangi kaynaklara erişildi; bu tür soruların cevabı çoğu zaman log kayıtlarındadır.
2. Sistem hataları ve servis sorunları
Uygulama neden çöktü, veri neden işlenmedi, servis neden kesildi, kullanıcı neden hata aldı, darboğaz hangi aşamada oluştu; bunların önemli bir bölümü loglarla anlaşılır.
3. Adli ve kurumsal teknik inceleme
Bir olayın gerçekten yaşanıp yaşanmadığı, hangi sırayla geliştiği ve teknik olarak neyin mümkün olduğu loglar üzerinden değerlendirilebilir. Bu nedenle loglar, adli bilişim ve dijital delil yaklaşımının da önemli parçalarından biridir.
Her log aynı şeyi söylemez
Log analizinde yapılan en büyük hatalardan biri, tüm logları aynı mantıkla okumaya çalışmaktır. Oysa farklı kaynakların ürettiği loglar farklı amaçlara hizmet eder.
- kimlik doğrulama logları giriş ve oturum davranışı anlatır
- web sunucusu logları istek-akış ilişkisi sunar
- veri tabanı logları sorgu ve işlem katmanını gösterir
- güvenlik duvarı logları ağ hareketi üretir
- NVR/DVR logları cihaz davranışını açıklar
Bu nedenle log analizi yaparken önce kaynağın ne anlattığını bilmek gerekir. Bir log satırını, üreten sistemin mantığından bağımsız yorumlamak çoğu zaman hatalı sonuca götürür.
Zaman bilgisi neden en kritik alanlardan biridir?
Log analizinin merkezinde zaman ilişkisi vardır. Bir olayın doğru anlaşılabilmesi için yalnızca hangi kaydın bulunduğu değil, o kaydın ne zaman üretildiği ve diğer kayıtlarla nasıl hizalandığı da önemlidir.
Sorun şuradadır: her sistem aynı saati kullanmayabilir. Sunucu saati, istemci saati, uygulama saati veya ağ cihazı saati birbirinden farklı olabilir. Eğer bu fark dikkate alınmazsa olayın sırası yanlış kurulabilir.
Zaman temelli hata riskleri
- saat kayması
- farklı saat dilimi kullanımı
- manuel saat değişikliği
- senkronizasyon eksikliği
- log kayıtlarının yuvarlatılmış zaman damgası üretmesi
Bu yüzden log analizi, sadece içerik değil zaman okuma işidir.
Erişim şüphesinde hangi kayıtlara bakılır?
Bir erişim şüphesi olduğunda tek bir log kaynağına bakmak yeterli değildir. Sağlam bir analiz için farklı katmanların birlikte incelenmesi gerekir.
İlk bakılması gereken alanlar
- kimlik doğrulama ve oturum kayıtları
- IP ve cihaz bilgileri
- başarısız giriş denemeleri
- yetki değişiklikleri
- erişilen kaynaklar
- veri hareketi veya export davranışı
- güvenlik çözümü uyarıları
Amaç sadece “giriş oldu mu” sorusuna cevap vermek değildir. Girişin olağan kullanıcı davranışına uyup uymadığı, aynı anda başka yerden işlem görünüp görünmediği ve giriş sonrası ne tür hareketler yapıldığı da değerlendirilmelidir.
Sistem hatalarında loglar nasıl anlam kazanır?
Kurumlar çoğu zaman logları yalnızca güvenlik olayı yaşandığında düşünür. Oysa loglar operasyonel sorunları anlamakta da çok değerlidir. Bir uygulama neden hata verdi, servis neden geç yanıt verdi, hangi aşamada tıkanıklık oluştu, veri tabanı sorgusu neden yavaşladı; bunların birçoğu loglar üzerinden anlaşılabilir.
Ancak burada da dikkat edilmesi gereken nokta aynıdır: belirti ile nedeni birbirine karıştırmamak. Bazen uygulama logunda görülen hata, asıl sorunun ağ katmanında olduğunu gösterir. Bazen veri tabanı gecikmesi, başka bir servisteki darboğazın sonucudur. Sağlam log analizi, kök neden arayışıdır; yalnızca yüzey semptomu tekrarlamak değildir.
Log varsa her şey anlaşılır mı?
Hayır. Bu da sık yapılan yanlış varsayımlardan biridir. Loglar çok güçlüdür; fakat her zaman eksiksiz değildir. Bazı sistemler ayrıntılı kayıt tutmaz. Bazı loglar kısa süre saklanır. Bazılarında kritik olay seviyesi aktif edilmemiş olabilir. Bazı durumlarda da kayıt bütünü bozuk olabilir.
Bu nedenle iyi bir log analizi yalnızca “neyi gördük” demez; “neyi göremedik ve neden göremedik” sorusuna da cevap verir. Teknik dürüstlük, sağlam uzmanlığın parçasıdır.
Sık sorulan sorular
Log analizi neyi gösterir?
Kullanıcı girişleri, hata akışı, erişim davranışı, sistem tepkisi ve olay zaman ilişkisi hakkında güçlü teknik görünürlük sağlar.
Loglardan tek başına kesin sonuca varılır mı?
Her zaman değil. Çoğu olayda başka verilerle birlikte değerlendirilmesi gerekir.
Log yoksa olay incelenemez mi?
İnceleme yapılabilir; ancak teknik görünürlük zayıflar ve bazı sorular yanıtsız kalabilir.
Log analizi, sistemlerin sessizce ürettiği kayıtların olay mantığı içinde okunmasıdır. Değeri, görünmeyeni görünür hale getirmesinden gelir. Ancak güçlü sonuç yalnızca kayıtların bulunmasıyla değil, doğru sorularla okunmasıyla ortaya çıkar. Bu nedenle loglar, yalnızca veri değil; sistem davranışının teknik hafızasıdır.