Vebende Akademi - logging-systems
Vebende Akademi
Uzmanla Konuşun
Blog
MAKALE

Logging Systems — Merkezi Log Mimarileri, Toplama, İşleme, Depolama ve Analiz

Yayınlayan: Vebende Akademi  |  Okuma süresi: ~90–220 dk

Logging Systems — Merkezi Log Mimarileri, Toplama, İşleme, Depolama ve Analiz

Yayınlayan: Vebende Akademi  |  Okuma süresi: ~90–220 dk

1. GİRİŞ

Log yönetimi, yazılım sistemlerinin çalışmasını anlamak, hataları teşhis etmek, güvenlik olaylarını incelemek ve iş süreçlerini izlemek için temel bir gereksinimdir. Dağıtık sistemler, mikroservis mimarileri ve bulut tabanlı altyapıların yaygınlaşmasıyla birlikte, tek bir makinedeki düz dosya tabanlı loglar artık yeterli değildir. Bugünün şartlarında, log verileri yüksek hacimli, heterojen ve hızla tüketilen bir telemetri kaynağıdır — doğru toplanması, işlenmesi, saklanması ve analiz edilmesi gerekir.

Neden bugün önemli?

  • Dağıtık uygulamalarda problem tespiti için tüm bileşenlerden gelen logların korelasyonu gereklidir.
  • Uyumluluk ve güvenlik gereksinimleri (audit trail, erişim kayıtları) logların güvenli saklanmasını zorunlu kılar.
  • Observability ve SRE pratikleri log verisini metrics ve traces ile birleştirerek kapsamlı içgörüler sağlar.

Kimler için önemli?

  • SRE ve platform mühendisleri — sistem sağlığını izleme ve incident yönetimi için.
  • Geliştiriciler — hata ayıklama ve performans analizleri için.
  • Güvenlik analistleri — forensics, SIEM entegrasyonu ve uyumluluk raporlaması için.

Hangi problemleri çözüyor?

  • Dağıtık ortamda olay korelasyonu ve root cause analysis (RCA).
  • Gerçek zamanlı alerting ve uzun dönem forensics için merkezi saklama.
  • İş ve güvenlik metriklerinin üretim verisiyle ilişkilendirilmesi.

2. KAVRAMSAL TEMELLER

2.1 Log nedir — yapı ve tipler

Log, bir sistemde gerçekleşen olayların zamanla sıralanmış kaydıdır. Temel iki log tipi vardır:

  • Unstructured logs: Serbest metin şeklinde, insan tarafından okunmaya uygun (ör. klasik uygulama logları).
  • Structured logs: JSON, protobuf veya key‑value formatında; makine tarafından parse edilebilir ve kolayca sorgulanabilir.

2.2 Logging pipeline ve bileşenleri

Modern logging sistemleri tipik olarak şu bileşenlerden oluşur:

  1. Producers (emitters): Uygulamalar, servisler, işletim sistemi ve altyapı bileşenleri log üretir.
  2. Collectors / Agents: Fluentd, Fluent Bit, Filebeat, Vector gibi agent'lar logları toplayıp ön işlemden geçirir.
  3. Ingestion / Broker: Kafka, Redis Streams veya doğrudan cloud ingestion endpoint'leri ile yüksek throughput sağlanır.
  4. Processing: Parsing, enrichment, redaction, filtering, aggregation — bu adım collector veya dedicated processing kümesi tarafından yapılır.
  5. Storage: Elasticsearch, ClickHouse, S3/Blob + index katmanı veya log‑specialized store'lar (Loki) gibi çözümler.
  6. Query & Visualization: Kibana, Grafana, custom UIs ile arama, dashboard ve alerting sağlanır.

2.3 Terminoloji

  • Retention: Log verisinin ne kadar süre saklanacağı.
  • Indexing: Logların arama performansı için organize edilmesi.
  • Sharding & Replication: Depolama ve sorgu ölçeklenebilirliği için verinin bölünmesi ve çoğaltılması.

3. NASIL ÇALIŞIR? — TEKNİK MİMARİ VE VERİ AKIŞI

3.1 Log üretimi ve enstrümantasyon

Uygulamaların doğru log üretmesi için enstrümantasyon gereklidir. Önerilen pratikler:

  • Structured logging (JSON) kullanın; bu, anahtar/alan bazlı arama ve otomatik parsinge izin verir.
  • Correlation ID ve trace context (traceparent, span id) ekleyin; bu sayede loglar traces ile bağlanır.
  • Log seviyelerini (DEBUG, INFO, WARN, ERROR, FATAL) tutarlı kullanın; production'da verbose seviyeleri filtreleyin.

3.2 Collector ve agent tasarımı

Collector'lar birkaç farklı modelde çalıştırılabilir:

  • Node‑level agent: Her node'da çalışan lightweight agent (Fluent Bit, Filebeat) ile local log toplanır ve merkezi pipeline'a gönderilir.
  • Sidecar: Kubernetes pod'larında uygulama ile aynı network namespace içinde çalışan collector; container loglarına erişim ve injection kontrolü sağlar.
  • Daemonset + central collector: Büyük kümelerde Daemonset ile agent dağıtılır, merkezde filter ve enrich yapan collector kümesi bulunur.

3.3 Ingestion ve buffering

Log ingestion yüksek burst'lere maruz kalabilir. Güvenilir ingestion için:

  • Local buffering ve backpressure mekanizmaları kullanın (disk buffer, memory buffer).
  • Mesaj broker (Kafka) ile durable queuing sağlayın ve downstream işleme gecikmelerinde veri kaybını önleyin.
  • Rate limiting ve sampling (özellikle debug level loglar için) uygulayarak maliyeti kontrol edin.

3.4 Processing: parsing, enrichment ve redaction

Processing aşaması log verisine değer katar:

  • Parsing: Structured olmayan veriyi JSON veya schema'ya mapleyin.
  • Enrichment: Deploy metadata, service owner, environment, SLO tags gibi alanlar eklenir.
  • Redaction: PII, secrets veya hassas alanların maskelenmesi; compliance gereği önemlidir.

3.5 Indexing ve storage stratejileri

Depolama seçimi kullanım senaryosuna göre değişir:

  • Elasticsearch: Full‑text arama, aggregations ve Kibana entegrasyonu için yaygındır ancak maliyet ve işletim yükü yüksektir.
  • ClickHouse: Analitik sorgular ve yüksek ingest için uygundur; log verisi için kolumnar depolama avantaj sağlar.
  • Object storage + indexer: S3/Blob üzerinde uzun dönem arşivleme + warm index katmanı (e.g. Elastic hot/warm tier) maliyetleri düşürebilir.
  • Loki: Grafana Loki daha düşük indexleme maliyeti sunan, label‑based arama yaklaşımı getiren bir çözümdür; ancak kullanım modeli Elastic'ten farklıdır.

3.6 Sorgulama, dashboard ve alerting

Sorgulama performansı için uygun indeksleme ve partitioning yapılmalıdır. Alerting kuralları:

  • Uyarıları SLO/SLI ile ilişkilendirin; sadece ham log sayısına değil, iş etkisine göre tetikleyin.
  • Alert deduplication ve noise reduction için aggregation window'ları uygulayın.

4. GERÇEK DÜNYA KULLANIMLARI

4.1 Netflix ve ölçeklenebilir log işleme

Netflix ölçek gereksinimleri nedeniyle log ve event pipeline'larını kendi çözümleriyle optimize etmiştir; yüksek bant genişliği, düşük latency ve güçlü sorgu yetenekleri için özelleştirmeler yaparlar. Event üretimi ile log verisi analizleri birleşerek operational insight sağlar.

4.2 Uber — düşük gecikmeli müşteri odaklı telemetri

Uber gibi gerçek‑zamanlı operasyonlarda log verisi müşteri deneyimi metrikleriyle birleştirilir. High cardinality etiket yönetimi ve özel ingestion stratejileri ile verimlilik sağlanır.

4.3 Finans sektörü — audit ve regülasyon

Finans kurumları için loglar yasal yükümlülük ve denetim kanıtıdır. Immutable log storage, tam erişim denetimi ve uzun dönem retention ile uyumluluk sağlanır.

5. AVANTAJLAR VE SINIRLAMALAR

Avantajlar

  • Merkezi log platformu ile hızlı RCA ve forensics.
  • Güvenlik ve uyumluluk için tam izlenebilirlik.
  • Observability kombinasyonuyla daha doğru operasyonel içgörüler.

Sınırlamalar

  • Yüksek ingest ve storage maliyetleri; retention planlaması gerektirir.
  • Yüksek cardinality yönetimi zordur ve sorgu maliyetini artırır.
  • Operasyonel yönetim (Elasticsearch, Kafka) karmaşıktır ve uzmanlık gerektirir.

6. ALTERNATİFLER VE KARŞILAŞTIRMA

Teknoloji Avantaj Dezavantaj
Elasticsearch + Kibana Güçlü full‑text arama ve aggregations; zengin ekosistem Yüksek işletim maliyeti, scaling zorlukları
ClickHouse + Grafana Yüksek ingest toleransı ve analitik sorgularda performans Full‑text search değil; yapılandırılmış sorgu odaklı
Grafana Loki Düşük index maliyeti, Grafana entegrasyonu Label‑based model farklı sorgu alışkanlığı gerektirir
Managed SIEM (Splunk, Elastic Cloud, Datadog) Hızlı kurulum, entegre güvenlik analizleri Yüksek lisans ve kullanım maliyeti

7. EN İYİ PRATİKLER

Production kullanımı

  • Structured logging (JSON) ile başlayın; her log'a correlation id ekleyin.
  • Collector'ları node‑level ve sidecar kombinasyonunda dağıtın; security için least privilege sağlayın.
  • Retention politikalarını iş ve regülasyon ihtiyaçlarına göre belirleyin; cold storage stratejileri kullanın.

Performans optimizasyonu

  • High cardinality etiket kullanımını sınırlayın; örneğin user‑id etiketini metrics'te değil traces/loglarda tutun.
  • Ingest tarafında sampling ve deduplication uygulayın; debug loglarını production'da ayrı path'te toplayın.

Güvenlik

  • Log'ları en transit ve at rest şifreleyin; access kontrolü için RBAC kullanın.
  • PII ve secrets için redaction kuralları uygulayın; collectors seviyesinde maskalama yapın.

Ölçeklenebilirlik

  • Kafka veya benzeri durable queue ile ingestion decoupling sağlayın.
  • Storage katmanında hot/warm/cold tiering uygulayarak maliyeti optimize edin.

8. SIK YAPILAN HATALAR

  • Unstructured log'lara dayalı monolitik aramalar; structured logging kullanılmaması.
  • Her şeyi indekslemeye çalışmak — cardinality explosion ve maliyet patlaması.
  • Log retention'ı plansız bırakmak; regülasyon riskleri ve maliyet artışı.
  • Alertleri sadece raw log frekansına bağlamak; iş etkisini dikkate almamak.

9. GELECEK TRENDLER

  1. AI destekli log korelasyonu: ML modelleri loglar arasında anlamsal ilişki kurarak RCA sürecini hızlandıracak.
  2. Observability converged platforms: Metrics, traces ve logs tek bir query dilinde ve depolama stratejisinde birleşecek.
  3. Edge logging ve offline sync: IoT/edge senaryolarında düşük bant genişliğine uygun log toplama ve senkronizasyon çözümleri artacak.
  4. Privacy‑aware logging: PII maskalama, differential privacy ve veri minimalizasyonu daha yaygın uygulanacak.

EK BÖLÜMLER

Sık Sorulan Sorular (FAQ)

  1. 1. Structured logging neden tercih edilmeli?

    Structured logging, logların alan bazlı sorgulanmasını, otomatik parse edilmesini ve daha doğru arama/analiz yapılmasını sağlar. JSON gibi formatlar ile enrichment ve indexing kolaylaşır.

  2. 2. Log retention nasıl planlanmalı?

    Retention, yasal gereksinimler, analiz ihtiyaçları ve maliyet dengesi göz önünde bulundurularak katmanlı planlanmalıdır: hot (kısa dönem, hızlı sorgu), warm (orta dönem) ve cold (uzun dönem arşiv) stratejileri kullanın.

  3. 3. High cardinality sorununu nasıl çözebilirim?

    Label kullanımını azaltın, user‑level bilgileri doğrudan metric'e eklemek yerine traces veya logs içinde tutun. Ayrıca aggregation ve rollup stratejileri uygulayın.

  4. 4. Log pipeline'da hangi araçlar tercih edilmeli?

    Collector için Fluentd/Fluent Bit/Vector; ingestion için Kafka; storage için Elasticsearch/ClickHouse/Loki; visualization için Grafana/Kibana kombinasyonları yaygın ve etkili çözümlerdir.

  5. 5. Logs ve traces nasıl korele edilir?

    Correlation ID ve trace context (W3C trace context) loglara eklenmeli; log'lar ve trace'ler aynı context ile enrich edilerek QA ve RCA süreçleri hızlandırılır.

  6. 6. Log'larda PII nasıl yönetilmeli?

    Collector seviyesinde redaction, tokenization veya hashing uygulayın. Ayrıca retention politikaları ile PII içeren verilerin saklama süresini sınırlayın.

  7. 7. Debug log'ları production'da nasıl kullanmalıyım?

    Debug seviyesindeki logları default olarak ingest etmeyin; gerektiğinde temporary sampling veya ephemeral debug mode ile açıp kapatın. Alternatif olarak debug logs'ları local storage'da tutup istenirse çekin.

  8. 8. Log pipeline'da maliyeti nasıl kontrol ederim?

    Sampling, deduplication, label yönetimi, tiered storage ve cold archival stratejileri ile maliyeti düşürün. Ayrıca ingestion filtreleri ile gereksiz veriyi göndermeyin.

Anahtar Kavramlar

Structured Logging
Log verisinin JSON veya key‑value formatında tutulması; makine tarafından parse edilebilir.
Correlation ID
Dağıtık izleme için istek bazlı eşleştirici ID; log, trace ve metrics arasında bağ kurar.
Collector
Logları toplayan, işleyen ve downstream'e gönderen agent veya servis.
Indexing
Logların sorgu performansı için organize edilmesi; alanlara göre indeksleme.
Retention
Verinin saklanma süresi ve saklama stratejisi.

Öğrenme Yol Haritası

  1. 0–1 ay: Log temelleri, structured logging, basic grep ve jq ile log analizi öğrenin.
  2. 1–3 ay: Fluent Bit/Filebeat ile collector kurun; küçük bir ELK/EFK stack ile end‑to‑end pipeline deneyimi kazanın.
  3. 3–6 ay: Kafka ile ingestion decoupling, ClickHouse/Elasticsearch ile storage optimizasyonu ve Grafana/Kibana dashboard'ları oluşturun.
  4. 6–12 ay: Large scale ingestion, cardinality kontrolü, SIEM entegrasyonu ve AI‑assisted log korelasyon projelerinde deneyim kazanın.