Neden Log Yönetimi ve Analizi?

İlk olarak bu sorunun cevabını vermeden önce Log Analizi için yazmış olduğumuz yazı serilerine aşağıdaki linkler aracılığıyla ulaşabilirsiniz:

Linux Log Analizi Serimiz

Windows Log Analizi Yazı Serimiz

Sysmon Yazı Serimiz

Log yönetiminde kullanılan bazı terimler:

• Security Information Management — SIM; verileri kayıt altında tutar.
• Security Event Management — SEM; olaylar arasındaki ilişkiyi kurar.
• Security Information and Event Management — SIEM; hem verilerin kayıt altında tutulmasını hem de olaylar arasında ilişkilerin kurulmasını sağlar.

Log Yönetiminin yapılma nedenleri aşağıdaki şekildedir:

• Logların tek merkezde toplanması sağlanır.
• Logların toplanamadığı sistemler, log akışlarından izlenmesi, loglama hataları tespit edilebilir.
• Loglar arasında ilişkinin etkin bir şekilde kurulması sağlanır. (korelasyon kuralları)
• Tehdit avcılığı ile ilgilenen bir kişinin bütün sistemleri gezerek tehditi tespit etmesi çok zordur. Log yönetimi ile bu işlem kolaylaştırılır.
• Yedeklenme süreci otomatik halde yürütülebilir.
• Tek merkezden sistemin yönetilmesi ve izlenmesi sağlanır.

Ücretsiz olarak kullanılabilecek log yönetim yazılımları:

• Splunk(Günlük 500 MB kadar)
• Graylog
• ELK Stack

Splunk Kullanan Şirketler:

•Adobe

•Domino’s Pizza

•Ericsson

•Coca-Cola

•ING

• Intel
• Tesco

ELK Stack Kullanan Şirketler:

• Ebay
• Netflix
• Linkedln
• Salesforce
• Cisco

Splunk

• 500 MB ücretsiz
• Desteklenen Sunucu Platformu: Linux, Windows,Mac OS
• Veri toplama: App-addons,Splunk Forwarder
• Veri formatı: csv, json, xml
• Ek veri girişi: HTTP,TCP, syslog
• Korelasyon: SPL ile

ELK Stack

•Ücretsiz ve ücretli

•Desteklenen Sunucu Platformu: Windows, Linux, Mac OS

•Veri toplama: Beats,Logstash,…

•Veri formatı: Common Log Format

•Ek veri girişi: HTTP,TCP, Script, Syslog

•Korelasyon: Korelasyon olay filtresi