1. Giriş: Log Nedir ve Neden Önemlidir?
Bilişim dünyasında Log, bir sistemin, uygulamanın veya cihazın gerçekleştirdiği her türlü işlemi kaydeden dijital bir “günlük” veya “kütük” dosyasıdır. Bir siber güvenlik uzmanı adayı olarak logları, bir uçağın her hareketini kaydeden “kara kutu” gibi düşünmelisiniz. Dijital bir sistemde “Kim, ne zaman, nerede, hangi yöntemle ve ne yaptı?” sorularının yanıtları bu kayıtlarda gizlidir.
Örneğin, bir e-ticaret sitesindeki kullanıcı hareketlerini ele alalım:
• Bir kullanıcının sisteme giriş yapması (Login).
• Kritik bir veritabanı kaydının değiştirilmesi veya silinmesi.
• Sistem dosyalarına yetkisiz bir erişim denemesi.
Loglamanın temel amacını şu üç kritik başlıkta toplayabiliriz:
• Sorun Giderme (Troubleshooting): Sistemde bir aksaklık yaşandığında, hatanın kök nedenini (root cause) saptamak için geçmişe dönük kanıt sunar.
• Güvenlik (Security): Siber saldırıları, sızıntıları ve şüpheli hareketleri tespit ederek adli bir iz bırakır.
• Yasal Uyum (Compliance): Başta 5651 Sayılı Kanun olmak üzere, mevzuatların emrettiği kayıtları tutarak kurumu hukuki risklerden korur.
Loglamanın ne olduğunu anladığımıza göre, bu kayıtların hukuk karşısındaki yerini ve kimlerin bu kayıtları tutmakla yükümlü olduğunu inceleyelim.
2. Hukuki Çerçeve: 5651 Sayılı Kanun ve Rol Dağılımı
Türkiye’de internet ortamındaki yayınların düzenlenmesi 5651 Sayılı Kanun ile kontrol edilir. Bu modülde bilmeniz gereken en kritik nokta, kanunun aktörleri nasıl ayırdığı ve bu sorumlulukların ihlalindeki ağır yaptırımlardır. Kanuna aykırı hareket eden yer ve erişim sağlayıcılar için 10.000 TL’den 100.000 TL’ye kadar idari para cezaları öngörülmüştür.
| Aktör | Tanım | Örnek | Log Yükümlülüğü |
|---|---|---|---|
| Erişim Sağlayıcı | Kullanıcılarına internet erişimi sunan tüzel kişiler. | Türk Telekom, Turkcell, Turknet | Zorunlu (6 ay – 2 yıl) |
| Yer Sağlayıcı | İçerikleri barındıran sistemleri sağlayan veya işletenler. | YouTube, AWS, Trendyol, Şirket Web Siteleri | Zorunlu (1 yıl – 2 yıl) |
| İçerik Sağlayıcı | Veriyi üreten, değiştiren ve sunan gerçek/tüzel kişiler. | Haber siteleri, Blog yazarları | Zorunlu Değil (İçerikten sorumludur) |
Uzman Notu: KVKK (Kişisel Verilerin Korunması Kanunu) gereği, verilerin sonsuza dek saklanması bir ihlaldir. Bu nedenle 5651, logların en fazla 2 yıl saklanması gerektiğini belirterek bir “üst sınır” çizer.
Kanunların belirlediği bu sorumluluklar, aslında sistemlerimizde tutulan farklı log türlerinin temelini oluşturur.
3. Log Çeşitleri: Dijital Ayak İzlerinin Kategorileri
Her log türü, siber güvenlik savunma hattınızda farklı bir boşluğu doldurur. Bir uzman olarak “Bu kayıt neden kritik?” sorusunun yanıtını bilmelisiniz.
Erişim (Access) Logları
Kullanıcıların hangi IP’den, ne zaman ve hangi servise ulaştığını kaydeder.
• So What? “Sisteme kim sızdı?” sorusuna yanıt verir. Kimlik hırsızlığı vakalarında birincil kanıttır.
Hata (Error) Logları
Sistem veya uygulama seviyesindeki çökmeleri ve başarısız işlemleri listeler.
• So What? Saldırganların sistemde zafiyet ararken oluşturduğu “anormal hataları” yakalamanızı sağlar.
Sistem (System) Logları
İşletim sisteminin sağlığı, donanım uyarıları ve servis başlatma/kapatma bilgileridir.
• So What? Bir saldırganın izlerini silmek için sistem servislerini durdurup durdurmadığını buradan anlarsınız.
Güvenlik (Security) Logları
Başarılı/başarısız oturum açma, yetki yükseltme ve politika değişikliklerini kapsar.
• So What? Brute Force (Kaba Kuvvet) saldırılarını veya içeriden gelen tehditleri (Insider Threat) tespit etmenin en hızlı yoludur.
Ağ (Network) Logları
Firewall veya Router üzerinden geçen trafiğin kaynağını, hedefini ve miktarını tutar.
• So What? Data Exfiltration (Veri Sızıntısı) ve ağ içindeki yanal hareketleri (Lateral Movement) takip etmek için hayati önemdedir.
Bu kadar çok çeşit kayıt varken, hangi olayın ne kadar acil olduğunu nasıl anlarız? İşte burada log seviyeleri devreye girer.
4. Log Seviyeleri (Severity Levels): Öncelik Sıralaması
Log seviyeleri, bir sistem yöneticisinin müdahale hızını belirleyen “Trafik Işıkları” gibidir.
1. DEBUG (En Düşük): Sadece geliştiriciler için detaylı teknik veri. Normal operasyonda “Gereksiz Gürültü”dür.
2. INFO (Yeşil Işık): Rutin işlemler. “Kullanıcı giriş yaptı” gibi. Her şey yolunda demektir.
3. WARNING (Sarı Işık): “Proceed with Caution” (Dikkatli İlerle). Sistem çalışıyor ama disk dolmak üzere veya bir servis yavaşladı. Aksiyon planlanmalıdır.
4. ERROR (Turuncu Işık): Bir işlev durdu. E-posta gönderilemiyor veya veritabanı sorgusu başarısız. Müdahale gerektirir.
5. CRITICAL (Kırmızı Işık): “Stop Everything” (Her şeyi Durdur). Veritabanı çöktü veya sistem erişilemez durumda. Acil müdahale şarttır.
Kayıtları toplamak ve seviyelendirmek yetmez; bu kayıtların doğruluğunu ve yasal geçerliliğini korumak için belirli teknik standartlara uymak gerekir.
5. Güvenli Log Yönetimi ve 5651 Standartları
5651 Sayılı Kanun (Madde 2/j), bir log kaydının hukuki delil sayılabilmesi için belirli alanları içermesini zorunlu kılar. Sadece “IP kaydı tutmak” yeterli değildir.
Zorunlu Bileşenler:
• IP Adresi & Port: İşlemi yapanın adresi.
• Başlama ve Bitiş Zamanı: Olayın süresi.
• Hizmet Türü (Service Type): Yararlanılan servisin niteliği (HTTP, FTP vb.).
• Veri Miktarı (Data Amount): Aktarılan bayt miktarı.
• MAC Adresi: Cihazın fiziksel kimliği.
• Zaman Damgası (Hash): Kaydın değiştirilmediğini ispatlayan “Dijital Mühür”.
Örnek 5651 Log Satırı:
[Timestamp: 2025-05-20 10:15:02] | Src_IP: 192.168.1.10 | MAC: 00:1A:2B:3C:4D:5E | Service: HTTPS | Data_Size: 120MB | Hash: a7b8c9d0e1f2g3h4...
Teknik gereklilikleri tamamladıktan sonra, bir siber güvenlik uzmanı adayı olarak başarılı bir log yönetimi için hangi altın kuralları izlemeniz gerektiğine bakalım.
6. En İyi Uygulamalar (Best Practices) ve Anomali Tespiti
Modern sistemlerde saniyede binlerce log üretilir. Hepsini saklamak maliyetli ve imkansız olabilir. İşte burada Log Sampling (Log Örnekleme) devreye girer. Yüksek hacimli ortamlarda, performans ve maliyeti dengelemek için verinin bir kısmı (örneğin her 10. kayıt) saklanır. Ancak güvenlik logları asla örneklenmemeli, tamamı tutulmalıdır.
Öğrenci İçin Altın Kurallar
1. Merkezi Yönetim (SIEM): Logları tek bir merkezde toplayın. Dağınık loglar analiz edilemez.
2. Zaman Senkronizasyonu (NTP): Tüm cihazların saati aynı olmalıdır. NTP kullanılmazsa olaylar arasında korelasyon kurmak imkansızdır.
3. Hassas Veri Maskeleme: Parola ve kredi kartı bilgilerini asla loglamayın.
4. Log Örnekleme Stratejisi: Performans için rutin trafik loglarını örnekleyin; ancak güvenlik olaylarını (Auth, Firewall Alert) %100 kaydedin.
5. Saklama ve Bütünlük: Logları zaman damgasıyla mühürleyin ve 5651/KVKK sürelerine uygun arşivleyin.
Anomali Tespiti: “Normalin” Dışına Çıkmak
Anomali tespiti, klasik “eşik değerlerin” (Threshold) ötesine geçerek istatistiksel ve makine öğrenimi (ML) yöntemlerini kullanır.
| Anomali Türü | Açıklama | Analiz Yöntemi |
|---|---|---|
| Noktasal (Point) | Tekil veri sapması. (Örn: CPU’nun aniden fırlaması) | Z-score, IQR (İstatistik) |
| Bağlamsal (Context) | Duruma göre anomali. (Örn: Gece 03:00’te veri transferi) | Mevsimsellik Analizi |
| Kolektif (Collective) | Olaylar dizisinin şüpheli olması. | Isolation Forest, Autoencoder (ML) |
Log dünyasına attığınız bu ilk adım, siber güvenliğin en temel ve en güçlü savunma araçlarından birini temsil ediyor.
7. Özet ve Sonuç
Log yönetimi, sadece bir depolama süreci değil; sistem sağlığını koruyan ve yasal güvenliği sağlayan stratejik bir disiplindir. 5651 Sayılı Kanun kapsamındaki yükümlülüklerinizi (IP, Zaman Damgası, Hizmet Türü, Veri Miktarı vb.) eksiksiz yerine getirmek, kurumunuzu 100.000 TL’ye varan cezalardan ve siber saldırıların karanlıkta kalmasından korur. Bir siber güvenlik uzmanı olarak göreviniz, bu dijital hafızayı anlamlandırmak ve anomalileri birer tehdit haline gelmeden yakalamaktır.
• Loglama, dijital bir “kara kutu”dur ve her işlemin “Kim, Ne Zaman, Nasıl” bilgisini tutar.
• 5651 Sayılı Kanun, kayıtların doğruluğunu, bütünlüğünü (Hash) ve belirli sürelerle saklanmasını emreder.
• Başarılı Yönetim, zaman senkronizasyonu (NTP), akıllı örnekleme ve makine öğrenimi tabanlı anomali tespitiyle mümkündür.





