Loglama ve İzleme Nedir? Aynı Şey mi?
Loglama (Logging)
Loglama; sistemlerde, uygulamalarda, ağ cihazlarında ve güvenlik bileşenlerinde gerçekleşen olayların kayıt altına alınmasıdır.
Örnek log kayıtları:
- Başarılı / başarısız oturum açma denemeleri
- Yetki yükseltme girişimleri
- Dosya erişimleri ve değişiklikler
- Ağ bağlantıları
- Uygulama hataları
- Güvenlik politikası ihlalleri
Loglama, geçmişi kaydeder. Yani “ne oldu?” sorusuna cevap verir.
İzleme (Monitoring)
İzleme ise bu logların ve sistem metriklerinin anlık ya da near-real-time analiz edilmesidir.
- Şüpheli davranış var mı?
- Olağan dışı trafik artışı oldu mu?
- Bir kullanıcı normalde yapmadığı bir işlemi mi yapıyor?
- Bir servis beklenmedik şekilde mi çalışıyor?
İzleme, “şu anda ne oluyor?” sorusuna cevap verir.
Kısa Özet:
- Loglama = Hafıza
- İzleme = Dikkat
Hafızası ve dikkati olmayan bir güvenlik sisteminin ne kadar sağlıklı olabileceğini tahmin etmek zor değil.
“Önlem Aldık, Zaten Güvendeyiz” Yanılgısı
Birçok kurum güvenliği şu üçlüyle tanımlar:
- Firewall
- Antivirüs
- Güçlü şifreler
Bunlar elbette önemlidir. Ancak bu yaklaşım önleyici güvenlik (preventive security) ile sınırlıdır. Gerçek dünya saldırıları ise çoğu zaman şu şekilde ilerler:
- Saldırgan sisteme fark edilmeden sızar
- Günler, haftalar hatta aylarca sistem içinde dolaşır
- Yetki yükseltir, veri toplar
- En sonunda ya veri sızdırır ya da sabotaj yapar
Bu süreçte asıl soru şudur:
“Bu süre boyunca kim, neyi, ne zaman yaptı?”
Log yoksa, cevap da yoktur.
Loglama Olmadan Güvenlik: Kapalı Gözle Nöbet Tutmak
Loglama olmayan bir ortamı düşünelim:
- Bir kullanıcı gece 03:00’te sisteme giriş yapıyor
- Normalde erişmemesi gereken bir klasöre ulaşıyor
- Hassas bir dosyayı kopyalıyor
- Sonra bağlantıyı kesiyor
Eğer:
- Giriş logu yoksa
- Dosya erişim logu yoksa
- Zaman damgaları tutulmuyorsa
Bu olay hiç yaşanmamış gibi olur.
Sistem çalışmaya devam eder, kullanıcılar işini yapar, yöneticiler “her şey yolunda” sanır.
Ta ki veriler karanlık bir forumda satışa çıkana kadar.
“Saldırı Olduğunu Nasıl Anlarız?” Sorusu
Loglama ve izleme olmayan bir ortamda şu sorular cevapsız kalır:
- Sisteme girildi mi?
- Ne zaman girildi?
- Hangi hesaptan?
- Hangi IP’den?
- Hangi veriler etkilendi?
- Hâlâ içeride mi?
Bu yüzden birçok büyük veri ihlali olayında şu cümleyi görürüz:
“İhlal aylar sonra fark edildi.”
Çünkü saldırganlar çoğu zaman alarm çalmadan hareket eder. Alarmı çalacak olan şey ise izleme sistemleridir.
İzleme Olmadan Güvenlik: Saldırıyı Sonradan Öğrenmek
Loglama tek başına yeterli değildir. Çünkü loglar çoğu zaman olay olduktan sonra incelenir.
İzleme yoksa:
- Brute-force saldırısını anında fark edemezsin
- İçeriden gelen şüpheli hareketleri kaçırırsın
- Lateral movement (yatay ilerleme) sessizce gerçekleşir
- Zararlı yazılım ağ içinde yayılır
İzleme, güvenliğin erken uyarı sistemidir.
Bir binayı düşün:
- Kamera kayıtları var ama kimse ekranlara bakmıyor
- Alarm var ama kimse dinlemiyor
Bu bina teknik olarak “korunuyor” gibi görünür. Ama pratikte korunmuyordur.
Loglama ve İzleme Olmadan Güvenli Olduğunu Sanan Kurumlar
En tehlikeli kurumlar, hiç saldırıya uğramadığını düşünenlerdir.
Gerçekte:
- Saldırı olmuş olabilir
- Ama fark edilmemiştir
- Log yoktur
- İzleme yoktur
- Kanıt yoktur
Bu durum, özellikle KOBİ’lerde çok yaygındır. “Biz kimiz ki bize saldırı olsun?” düşüncesi, siber saldırganların en sevdiği zeminlerden biridir.
Regülasyonlar Neden Loglamayı Zorunlu Kılıyor?
Birçok yasal düzenleme loglama ve izlemeyi zorunlu kılar:
- KVKK
- GDPR
- ISO 27001
- PCI-DSS
- NIST
- TSE Siber Güvenlik Standartları
Bunun sebebi basittir:
Güvenlik iddiası, kanıtlanabilir olmak zorundadır.
Log yoksa:
- İhlali kanıtlayamazsın
- Kapsamını belirleyemezsin
- Hukuki savunma yapamazsın
Bu da teknik bir eksiklikten çok, kurumsal risk anlamına gelir.
“Log Tutuyoruz Ama Bakmıyoruz” Sorunu
Bir diğer yaygın hata da şudur:
- Loglar vardır
- Ama kimse analiz etmez
Disk dolana kadar biriken, kimsenin okumadığı loglar, kilitli bir kasada unutulmuş deliller gibidir.
Gerçek güvenlik için:
- Logların merkezi toplanması
- Korelasyon yapılması
- Anomali tespiti
- Alarm mekanizmaları
gereklidir. İşte bu noktada SIEM, SOAR ve XDR gibi çözümler devreye girer.
SIEM Olmadan Güvenlik Olur mu?
SIEM (Security Information and Event Management), loglama ve izlemenin merkezi beynidir.
SIEM olmadan:
- Loglar dağınıktır
- Olaylar ilişkilendirilemez
- “Tek tek masum” görünen olaylar, büyük resmi oluşturamaz
Örneğin:
- Tek bir başarısız giriş normaldir
- Tek bir yetki denemesi normaldir
- Tek bir dosya erişimi normaldir
Ama bunlar aynı kullanıcıdan, kısa sürede geliyorsa, işte orada saldırı vardır.
Bunu ancak izleme ve korelasyon yakalar.
İç Tehditler: Loglama Olmadan Asla Yakalanamaz
Siber güvenlik sadece dış saldırganlar değildir.
Yetkili bir çalışanın kötü niyetli ya da dikkatsiz davranışı, çoğu zaman en büyük risktir.
İç tehditlerde:
- Saldırgan zaten yetkilidir
- Antivirüs alarm vermez
- Firewall durdurmaz
Geriye kalan tek savunma:
- Davranış logları
- Anomali izleme
Loglama yoksa iç tehdit tamamen görünmezdir.
“Performansı Düşürüyor” Bahaneleri Gerçek mi?
Loglama karşıtı argümanlardan biri de şudur:
“Çok log alırsak sistem yavaşlar.”
Modern sistemlerde bu argüman büyük ölçüde geçersizdir:
- Asenkron loglama
- Log seviyeleri
- Merkezi log sunucuları
- Cloud-native çözümler
Doğru yapılandırılmış bir loglama sistemi, performans sorunundan çok operasyonel farkındalık kazandırır.
Güvenlik Olayı Sonrası En Acı Soru
Bir siber olay yaşandıktan sonra yönetime şu soru sorulur:
“Ne oldu?”
Loglama ve izleme yoksa cevap genelde şudur:
“Tam olarak bilmiyoruz.”
Bu cümle, bir kurumun verebileceği en zayıf güvenlik cevabıdır.
Sonuç: Loglama ve İzleme Olmadan Güvenlik Bir Yanılsamadır
Tekrar baştaki soruya dönelim:
Loglama ve izleme olmadan güvenlik mümkün mü?
Teorik olarak:
- Bazı saldırılar engellenebilir
Pratikte:
- Saldırıların çoğu fark edilmez
- Hasar ölçülemez
- Sorumluluk belirlenemez
- Güvenlik iddiası ispatlanamaz
Yani cevap nettir:
Hayır. Loglama ve izleme olmadan gerçek güvenlik mümkün değildir.
Güvenlik; sadece duvar örmek değil, o duvarın arkasında neler olup bittiğini sürekli izleyebilmektir.
Loglama ve İzleme Olmadan Güvenlik Mümkün mü