1. GİRİŞ

Güvenlik günlükleme (security logging) modern bilgi güvenliği programlarının merkezi bileşenidir. Sistem, uygulama ve altyapı seviyesindeki telemetri; saldırı tespiti, olay müdahalesi, uyumluluk ve adli inceleme için hayati öneme sahiptir. Bulut‑native ortamlar, mikroservisler, container tabanlı dağıtımlar ve dağıtık uygulamalar günlük hacmini ve karmaşıklığını dramatik biçimde artırdı. Bu nedenle yalnızca günlük toplamak yetmez; doğru olayları, doğru formatta, gerekli bağlamla ve güvenli şekilde saklamak gerekir.

Bu neden bugün önemli?

• Siber saldırılar daha sofistike hâle geldi; erken tespit için geniş ve kaliteli telemetri gerekiyor.
• Regülasyonlar ve denetimler (PCI‑DSS, GDPR, HIPAA vb.) belirli logging ve retansiyon gereksinimleri koyuyor.
• Bulut ve çok katmanlı mimariler izleme ve korelasyon gerektiriyor; dağıtık izler (tracing), metrik ve log'un birlikte değerlendirilmesi şart.

Kimler için önemli?

• SRE/DevOps ekipleri — operasyonel görünürlük ve performans izleme için
• Güvenlik mühendisleri — SIEM, EDR, UEBA ile korelasyon ve olay yanıtı için
• Uyumluluk ve denetim ekipleri — kayıtların doğrulanması ve raporlama için
• Uygulama geliştiriciler — doğru log seviyeleri ve bağlamı sağlamak için

2. KAVRAMSAL TEMELLER

2.1 Nedir — temel tanımlar

• Log / Event: Sistem veya uygulama tarafından üretilen yapılandırılmış veya yapılandırılmamış kayıt.
• Telemetry: Log, metric ve trace verisinin birlikte ele alınması; güvenlik için zengin bağlam sunar.
• SIEM: Security Information and Event Management — log toplama, korelasyon, alarm ve uzun dönem depolama platformu.
• UEBA: User and Entity Behavior Analytics — anomali tespiti için davranış bazlı modeller.
• WORM: Write Once Read Many — değiştirilemez log depolama, uyumluluk için kullanılır.

2.2 Log türleri ve kaynaklar

• Operating system logs (auditd, Windows Event Log)
• Application logs (structured JSON, tekstual logs)
• Network logs (flow, NetFlow/IPFIX, firewall logs)
• Identity provider logs (OIDC/OAuth events, SAML assertions)
• Cloud provider audit (CloudTrail, Activity Logs)
• Container/orchestration logs (kube‑audit, kubelet, container stdout/stderr)

3. NASIL ÇALIŞIR? — TEKNİK MIMARI VE VERI AKIŞI

3.1 Log pipeline — toplama, taşıma, işleme, depolama

Güvenlik günlükleme pipeline'ı tipik olarak şu adımlardan oluşur: koleksiyon (agents, forwarders), ingestion (message bus / streaming — Kafka, Kinesis), normalization (parsing, enrichment), storage (hot storage, cold archive), analysis (SIEM/analytics), alerting ve long‑term retention (WORM/immutable). Her adım güvenlik, performans ve veri bütünlüğü açısından dikkatle tasarlanmalıdır.

3.2 Kolleksiyon: agent vs agentless

Agent‑based toplama (Fluentd, Filebeat, Vector) genelde uygulama ve host seviyesinde daha zengin bağlam sunar; ancak yönetim yükü artar. Agentless seçenekler (syslog, cloud APIs) yönetimi kolaylaştırır ama bağlam (container metadata, trace ids) eksik kalabilir. Hibrit strateji çoğu organizasyon için uygundur.

3.3 Normalizasyon ve yapılandırılmış log

Structured logging (JSON gibi) parsing, enrichment ve korelasyon işlemlerini kolaylaştırır. Common Schema (e.g., Elastic Common Schema — ECS) veya OpenTelemetry semantic conventions gibi standartlar kullanmak, farklı kaynaklardan gelen log'ların analitikte kullanılabilirliğini artırır. Normalization aşamasında IP to host, user enrichment, geoip lookup, asset classification gibi bilgiler eklenmelidir.

3.4 Enrichment ve bağlamsal veri

Bir olayın faydalı hale gelmesi için zengin bağlam gerekir: kullanıcı kimliği, service name, environment (prod/staging), trace id, asset owner ve risk skorları. Enrichment ile SIEM korelasyonu ve otomatik playbook tetiklemeleri daha doğru çalışır.

3.5 Depolama katmanları: hot, warm, cold, archive

Hot storage: hızlı sorgu ve gerçek‑zaman analiz için kısa süreli saklama. Warm/cold storage: daha uzun dönemli arşivleme için maliyet optimizasyonu. Archive/WORM: uyumluluk ve adli inceleme için değiştirilemez depolama. Retention politikaları regülasyon gereksinimleri ve olay inceleme ihtiyaçları göz önünde bulundurularak belirlenmelidir.

3.6 Güvenlik ve bütünlük: imzalama, TLS, access control

Log pipeline'ın bütünlüğü kritik önemdedir. TLS ve mTLS ile taşıma katmanında şifreleme; log verisinin yazma aşamasında HMAC/cryptographic signing ile bütünlüğün sağlanması gerekiyor. Erişim kontrolleri, role based access ve key management ile log'lara izinsiz müdahale engellenmelidir.

4. GERÇEK DÜNYA KULLANIMLARI

4.1 Büyük ölçekli SIEM kullanımı (Netflix, AWS, Google)

Büyük ölçekli organizasyonlar kendi log pipeline'larını kurar; streaming platformlar (Kafka/Kinesis) ile yüksek hacimli telemetri toplanır, OpenSearch/Elasticsearch, ClickHouse veya özel analytics katmanları ile sorgulanır. SIEM'ler korelasyon kuralları, playbooks ve SOAR entegrasyonu ile güvenlik operasyonlarını hızlandırır.

4.2 Cloud‑native örnekler

Cloud provider'lar (AWS CloudTrail, Azure Monitor, GCP Audit Logs) temel denetim telemetrisini sağlar. Ancak uygulama seviyesindeki bağlam için uygulama‑taraflı structured logging ve OpenTelemetry kullanımı önemlidir. Kubernetes ortamlarında kube‑audit, audit policy ve network policy'ler loglamanın temel parçalarıdır.

4.3 Incident response ve adli inceleme

Olay müdahalesinde log'lar saldırı yüzeyi, zaman çizelgesi, erişim metodları ve sızıntı kapsamını belirlemek için kullanılır. Zaman senkronizasyonu (NTP), tam zamanlı event correlation ve immutable archives adli süreçlerde kritik rol oynar.

5. AVANTAJLAR VE SINIRLAMALAR

Avantajlar

• Erken tespit: geniş telemetri ile saldırılar daha erken aşamada tespit edilebilir.
• Uyumluluk: loglar uygun biçimde saklandığında denetimler daha hızlı tamamlanır.
• Olay müdahalesi: korelasyon ve bağlam ile RTIR süreçleri hızlanır.

Sınırlamalar

• Maliyet: yüksek hacimli log'ların depolanması ve işlenmesi maliyetlidir.
• Gürültü (noise): kötü tasarlanmış logging yüksek false positive üretir.
• Gizlilik: PII/PHI içeren log'ların yönetimi regülasyon kısıtları gerektirir.

6. ALTERNATİFLER VE KARŞILAŞTIRMA

7. EN İYİ PRATİKLER

7.1 Logging tasarımı — hangi olayları kaydetmeli?

• Authentication events: success/failure, MFA events, token issuance/refresh
• Authorization changes: role changes, privilege assignments
• Administrative actions: configuration changes, cert/key rotation, deploy events
• Data access: bulk exports, large queries, access to sensitive objects
• Network events: inbound/outbound connections, firewall denies, proxy logs
• Integrity and system events: process crashes, code changes, container restarts

7.2 Format ve schema

• Use structured JSON logs and adopt a common schema (ECS, OpenTelemetry).
• Include trace_id, span_id, request_id to correlate logs with traces and metrics.
• Timestamp in ISO8601 + timezone and monotonic counters for ordering.

7.3 Privacy ve PII yönetimi

• Mask or redact sensitive fields before ingestion (PII, PHI, secrets).
• Use tokenization or pseudonymization for identifiers when full detail is unnecessary.
• Define retention periods by data sensitivity and legal requirements.

7.4 Storage ve retention

• Implement tiered storage: hot for real‑time analysis, cold for forensic, WORM for compliance.
• Automate retention and secure deletion according to policy.

7.5 Detection ve response

• Design detection rules based on known TTPs (MITRE ATT&CK mappings).
• Implement tuning iterations to reduce false positives; measure MTTR/MTTD.
• Integrate SOAR playbooks to automate containment (IP block, revoke tokens, isolate hosts).

8. SIK YAPILAN HATALAR

• Only logging errors or exceptions — missing security‑critical telemetri.
• Storing sensitive data in logs without masking — PII leaks.
• Not synchronizing clocks — difficult timelines for investigations.
• Over‑logging and ignoring storage costs — overwhelmed SIEM and slow queries.
• Failing to secure log transport and storage — attackers can tamper with evidence.

9. GELECEK TRENDLER

9.1 Observability convergence: logs, metrics, traces

Observability yaklaşımı log, metric ve trace'i birleşik olarak ele almayı zorunlu kılıyor. Güvenlik operasyonları için bu convergence daha hızlı root cause analysis ve daha isabetli korelasyon sağlar.

9.2 AI/ML‑driven detection

ML tabanlı anomaly detection, UEBA ve davranış modelleri operatif korelasyonu güçlendiriyor; ancak adversarial ML ve explainability (açıklanabilirlik) sorunları beraberinde geliyor.

9.3 Privacy preserving logging

Gizliliği koruyan logging (differential privacy for telemetry, on‑device aggregation) ve edge preprocessing ile hem analitik hem gizlilik hedeflenebilecek.

EK BÖLÜMLER

Sık Sorulan Sorular (FAQ)

1. 1. Hangi olayları loglamalıyım?

   Authentication/authorization events, admin actions, data access, network denies, integrity events ve uygulama hataları gibi güvenlikle ilgili tüm kritik olayları. Öncelik risk ve iş önemine göre belirlenmelidir.

2. 2. Loglarda PII nasıl yönetilmeli?

   Ingestion öncesinde masking, hashing veya tokenization uygulayın. Yasal gereksinimler doğrultusunda retention ve erişim kontrolleri belirleyin.

3. 3. SIEM yerine ELK yeterli mi?

   ELK/OpenSearch güçlü arama ve analitik sağlar; ancak SIEM özellikleri (korelasyon, hazır güvenlik içeriği, compliance reporting) gerekiyorsa managed SIEM veya SIEM entegrasyonları gerekir.

4. 4. Log pipeline nasıl güvenli hale getirilir?

   TLS/mTLS, signing, access control ve immutable storage ile; ayrıca ingestion noktalarında authentication/authorization gereklendirilmelidir.

5. 5. NTP neden önemli?

   Olay zaman çizelgesi için tüm kaynakların senkronize saat kullanması gerekir; farklı zaman damgaları korelasyonu zorlaştırır.

6. 6. Log retention politikası nasıl belirlenir?

   Regülasyon, iş gereksinimi ve maliyet dengesi göz önünde bulundurularak; PII içeriğine göre farklı sınıflar oluşturularak belirlenmelidir.

7. 7. Kayıtların bütünlüğü nasıl sağlanır?

   HMAC veya dijital imzalama ile logların yazım anındaki bütünlüğü korunmalı; WORM/immutable storage ile değişiklik engellenmelidir.

8. 8. Küçük ekipler nereden başlamalı?

   1) Krit