Kullanım Kılavuzu · Sürüm 4.0.x

Log Yönetimi ve İmzalama (Sürüm 4.0.x)

Kullanım kılavuzunun bu bölümünde log yönetimi ve imzalama sürecinden bahsedilmiştir.

Log İmzalama

KLog Server, 5651 sayılı Kanun kapsamında toplanan log kayıtlarının bütünlüğünü ve sonradan değiştirilmediğini güvence altına almak için nitelikli zaman damgası ile imzalama kullanır. İmzalama işleminde log dosyasının SHA-512 özeti hesaplanır ve Kamu SM (TÜBİTAK BİLGEM Kamu Sertifikasyon Merkezi) onaylı zaman damgası sunucusuna gönderilir; karşılığında alınan zaman damgası mührü dosyayla birlikte saklanır. Bu sayede log dosyasının belirtilen tarihte var olduğu ve o tarihten sonra değiştirilmediği bağımsız olarak doğrulanabilir.

Uyarı: KLog Server, log kayıtlarının zaman damgalı olarak imzalanması ve arşivlenmesi için bir altyapı sunar. Ancak hangi logların toplanıp saklanması gerektiği, saklama sürelerinin belirlenmesi ve başta 5651 sayılı Kanun ve ilgili ikincil mevzuat olmak üzere yürürlükteki yasa ve yönetmeliklere tam uyumun sağlanması son kullanıcının sorumluluğundadır. Sisteme tanımlı log kaynaklarının, imzalama ayarlarının ve saklama yapılandırmasının yasal yükümlülüklerinizi karşıladığını düzenli olarak kontrol etmeniz ve doğrulamanız önerilir.

Log kayıtları gün boyunca farklı kaynaklardan alınır ve her gün saat 00:00-01:00 arasında sıkıştırılarak Kamu SM onaylı sertifika ve SHA-512 karma algoritması ile imzalanır. Log dosyaları imzalanmadan önce sistemden indirilemez.

İmzalama ve lisans doğrulama için sunucunun aşağıdaki hedeflere kısıtlama olmaksızın bağlanabiliyor olması gerekmektedir:

  • klogserver.com (TCP 443)
  • kamusm.gov.tr (TCP 443)
  • zd.kamusm.gov.tr (TCP 80)

İmzalama sırasında sorun oluşursa veya Kamu SM sunucusuna bağlanılamazsa KLog Server log dosyasını bekletir ve bir sonraki gün yeniden imzalamayı dener. Daha fazla bilgi için Tercihler — Bildirimler bölümünü gözden geçirebilirsiniz.

Uyarı: İmzalama sırasında sunucunun saat ve tarih ayarlarının doğru olması gerekmektedir. Aksi hâlde imzalama işlemi başarısız olur.

İmzalama için log kaynağının geçerli lisansa sahip olması gereklidir. Daha fazla bilgi için Lisanslama bölümünü gözden geçirebilirsiniz.

Uyarı: KLog Server 30 gün boyunca lisans sunucusuna bağlanamazsa lisans pasif duruma alınır ve imzalama işlemi durur.

Canlı Log

"Log Yönetimi" > "Canlı Log" bölümünden Syslog kaynaklarından alınan log akışı anlık olarak izlenebilir. Birden fazla kaynak tanımlıysa kaynak seçiciden istediğiniz kaynağı seçebilirsiniz. "Otomatik Kaydır" butonunu kapatarak akışı duraklatabilirsiniz; bu işlem yalnızca ekrana yazmayı durdurur.

Not: Bu bölüm yalnızca canlı logları gösterir; geçmiş loglara bu ekrandan erişilemez.

Log Arama

"Log Yönetimi" > "Log Arama" bölümünden log dosyaları içinde arama yapabilirsiniz:

  1. "Log Yönetimi" > "Log Arama" bölümüne gidiniz.
  2. Birden fazla kaynak tanımlıysa arama yapılacak kaynağı kaynak seçiciden seçiniz.
  3. Tarih seçicisinden arama yapmak istediğiniz tarihi seçiniz. Güncel tarih seçilirse imzalanmamış loglarda, geçmiş tarih seçilirse imzalanmış loglarda arama yapılır.
  4. Anahtar kelimeyi giriş alanına yazınız ve "Dahil et" veya "Hariç tut" modunu seçiniz. Birden fazla anahtar kelime eklemek için "Ekle" butonunu kullanınız.
  5. "Ara" butonuna basınız.
Not: Arama sonuçları 1.000 satırla sınırlandırılmıştır.

Log Uyarıları

"Log Yönetimi" > "Log Uyarıları" bölümünden, gelen logların içeriğine göre otomatik e-posta uyarıları tanımlanabilir. Tanımladığınız desen (kelime veya düzenli ifade) belirlediğiniz sürede eşik sayısına ulaştığında ilgili alıcılara bildirim gönderilir. Eşleştirme loglar alınırken yapıldığı için veritabanı sorgusu gerektirmez.

Yeni Log Uyarısı Ekleme

Yeni bir log uyarı kuralı eklemek için:

  1. "Log Yönetimi" > "Log Uyarıları" bölümüne gidiniz.
  2. "Yeni Kural" butonuna tıklayınız.
  3. "Ad" alanına kuralı tanımlayan bir isim giriniz (örn. SSH Başarısız Giriş).
  4. "Kaynak" listesinden kuralın uygulanacağı log kaynağını seçiniz; tüm kaynaklar için "Tüm kaynaklar" seçeneğini kullanabilirsiniz.
  5. "Eşleşme Türü" olarak "Kelime" (düz metin) veya "Regex" (düzenli ifade) seçiniz. Regex desenleri ve kullanılabilecek karakterler hakkında daha fazla bilgi için Regex Rehberi bölümüne bakınız.
  6. "Desen" alanına aranacak ifadeyi giriniz. Sağdaki "Örnek Log" kartı en son log satırını alanlara ayırarak gösterir; bir alana ya da değere tıklayarak desene ekleyebilir, arama kutusuyla bugünün loglarında örnek arayabilirsiniz.
  7. Gerekirse "Büyük/küçük harf duyarlı" seçeneğini açınız.
  8. "Eşik" alanına kaç eşleşmede uyarı verileceğini, "Süre (dk)" alanına bu eşleşmelerin sayılacağı zaman penceresini, "Bekleme (dk)" alanına ise bir uyarıdan sonra tekrar uyarı gönderilmeden önce beklenecek süreyi giriniz.
  9. "Alıcılar" bölümünde "Alıcı Ekle" ile bildirim alacak kişileri ekleyiniz (admin, tüm yöneticiler, kaynak sahibi veya e-posta adresi).
  10. "Eşleşen Loglar" kartından desenin bugünün loglarıyla eşleşip eşleşmediğini doğrulayınız.
  11. "Kaydet" butonuna basınız.
Not: Uyarı e-postalarının gönderilebilmesi için SMTP ayarlarının yapılandırılmış olması gerekir. Yapılandırma için Ayarlar — SMTP bölümünü kullanabilirsiniz.

Tanımlı kurallar listede görüntülenir. "Aktif" sütunundaki anahtarla bir kural etkinleştirilebilir veya devre dışı bırakılabilir; düzenleme ve silme işlemleri satır sonundaki butonlardan yapılır. Bir kural devre dışı bırakıldığında birikmiş eşleşme kayıtları temizlenir.

Uyarı: "Regex" türünde geçersiz veya aşırı karmaşık (katastrofik) ifadeler güvenlik nedeniyle kabul edilmez. Desen, kaydedilmeden önce hem tarayıcıda hem de sunucuda doğrulanır.

Regex Rehberi

"Eşleşme Türü" olarak "Regex" seçildiğinde desen, POSIX Genişletilmiş Düzenli İfade (ERE) sözdizimiyle değerlendirilir ve log satırının tamamıyla karşılaştırılır. "Büyük/küçük harf duyarlı" seçeneği kapalıyken eşleştirme büyük/küçük harf ayrımı yapmadan çalışır.

Aşağıdaki karakterler özel anlam taşır:

KarakterAnlamıÖrnek
.Herhangi bir tek karaktera.c → "abc", "axc"
*Önceki ifade 0 veya daha fazla kezab*c → "ac", "abbc"
+Önceki ifade 1 veya daha fazla kezab+c
?Önceki ifade 0 veya 1 kezrenk(ler)?
[ ]Köşeli ayraç içindeki karakterlerden biri[Xgr] → X, g veya r
[^ ]Kümede olmayan bir karakter[^0-9]
[a-z]Karakter aralığı[0-9]
( )Gruplama(ab)+
|Veyahata|error
^ / $Satırın başı / sonu^May, denied$
{n,m}Tekrar sayısı aralığıa{2,4}
\Sonraki özel karakteri sıradan yapar (kaçış)\. → gerçek nokta

Sıradan karakterler oldukları gibi yazılır. Tırnak ("), eşittir (=), boşluk, harfler ve rakamlar özel değildir; doğrudan yazılabilir.

Sık yapılan hata: Tırnakları \" şeklinde kaçırmayınız. Regex'te " zaten sıradan bir karakterdir; \" ise "bir ters eğik çizgi ve ardından tırnak" anlamına gelir ve log satırında böyle bir dizi bulunmadığı için eşleşme gerçekleşmez. Örneğin device="XGS" aramak için deseni device="XGS" olarak yazınız, device=\"XGS\" olarak değil.

Gerçek bir özel karakteri (nokta, parantez, artı vb.) aramak için önüne ters eğik çizgi koyun: \. \( \[ \+ \*. Örnek (IP başlangıcı): src_ip=45\.136\.

Örnek desenler:

  • device="XG[12S]"device="XG1", device="XG2" ve device="XGS" ile eşleşir.
  • (Deny|Drop) → "Deny" veya "Drop" geçen satırlar.
  • failed.*password → aynı satırda "failed" ve sonrasında "password" geçen satırlar.
Not: Desen en fazla 256 karakter olabilir. Geçersiz veya iç içe tekrar içeren (katastrofik geri izleme riski taşıyan) ifadeler güvenlik nedeniyle kabul edilmez. Deseninizi kaydetmeden önce "Eşleşen Loglar" kartıyla bugünün loglarında test edebilirsiniz.

Log Dosyaları

"Log Yönetimi" > "Log Dosyaları" bölümünden log ve imza dosyaları indirilip yönetilebilir. Dosya adı formatları:

  • Syslog kaynakları: Pack_[IP]_[YYYY-AA-GG].zip
  • Paylaşılmış klasör kaynakları: Pack_[IP]_[PaylaşımAdı]_[YYYY-AA-GG].zip
  • İmza dosyaları: ilgili pack dosya adına .zd eklenerek adlandırılır.

Sayfa iki bölümden oluşmaktadır:

  • Yıl ısı haritası — Son 12 aylık log aktivitesi renk kodlu gösterilir. Bir aya ait takvime gitmek için ilgili satıra tıklayınız.
  • Aylık takvim — Seçilen aya ait log dosyaları gösterilir. Her güne ait hücrede indirme, dışa aktarma ve imza doğrulama simgeleri bulunur.

Kaynak seçim listesinde, aktif kaynakların yanı sıra kaynağı artık etkin olmayan iki tür arşiv de görünebilir:

  • Sahipsiz arşiv — Hiçbir log kaynağı kaydına bağlı olmayan, disk üzerinde bulunan imzalı arşivlerdir. Genellikle fabrika ayarlarına dönüş ya da başka bir sunucudan alınan bir yedeğin geri yüklenmesi sonucu oluşur. Arşiv Eşleştirme ile ilgili kaynağa yeniden bağlanabilir.
  • Silinmiş kaynak — Daha önce eklenip silinmiş bir kaynağa ait arşivlerdir. Kaynağın kaydı silinmiş olarak işaretlenir, ancak imzalı arşivleri yasal saklama gereği korunur. Bu arşivler de gerektiğinde Arşiv Eşleştirme ile başka bir kaynağa bağlanabilir.

Arşiv Eşleştirme

Sahipsiz arşivler, hiçbir log kaynağına bağlı olmayan, disk üzerinde bulunan imzalı log arşivleridir. Genellikle fabrika ayarlarına dönüş ya da başka bir sunucudan alınan bir yedeğin geri yüklenmesi sonucunda, arşiv klasör kimlikleri yeni log kaynaklarıyla örtüşmediğinde oluşur. Arşiv Eşleştirme aracı, bu arşivleri ait oldukları log kaynaklarına yeniden bağlamanızı sağlar.

Araca erişmek için "Log Yönetimi" > "Log Dosyaları" sayfasının üst kısmındaki "Arşiv Eşleştirme" butonuna tıklayınız. Açılan pencerede her sahipsiz arşiv için şu bilgiler listelenir:

  • Arşiv (son bilinen) — Arşivin en son bilinen takma adı.
  • Adres — Kaynağın IP/sunucu adresi ve (paylaşılmış klasörler için) paylaşım veya bucket adı.
  • Dosya — Arşivde paket bulunan gün sayısı.
  • Tarih Aralığı — Arşivin kapsadığı ilk ve son tarih.

Bir arşivi bağlamak için "Kaynak" listesinden hedef log kaynağını seçip "Bağla" butonuna tıklayınız ve açılan onay penceresinde işlemi doğrulayınız. Hedef kaynağın henüz bir arşivi yoksa arşiv doğrudan o kaynağa taşınır; hedef kaynağın zaten bir arşivi varsa iki arşiv birleştirilir.

Not: Bir arşiv yalnızca aynı türden (Syslog, SMB, Azure Dosyalar veya AWS S3) bir kaynağa bağlanabilir. Farklı türden kaynaklar listede gösterilmez.
Not: Birleştirme sırasında her iki arşivde de aynı güne ait paket bulunuyorsa, veri kaybını önlemek için işlem engellenir. Bu durumda çakışan günleri elle çözmeniz gerekir.
Uyarı: Arşiv eşleştirme ve birleştirme işlemleri geri alınamaz.

Toplu İşlemler

"Log Yönetimi" > "Toplu İşlemler" bölümünden log dosyaları toplu olarak aktarılabilir veya silinebilir.

Toplu Dışa Aktarma

  1. "Log Yönetimi" > "Toplu İşlemler" bölümüne gidiniz.
  2. "Log kaynağı" listesinden kaynağı seçiniz.
  3. "Tüm loglar" veya belirli bir tarih aralığı seçiniz (en az bir aylık).
  4. Tarih aralığı seçtiyseniz başlangıç ve bitiş aylarını belirleyiniz.
  5. "Aktarım hedefi" listesinden hedefi seçiniz. Hedef yoksa önce Aktarım Hedefleri bölümünden tanımlamanız gerekmektedir.
  6. "Logları dışa aktar" butonuna basınız ve uyarı penceresinde onaylayınız.
Not: Başlangıç tarih kutusu sistemdeki en eski log dosyasının tarihiyle sınırlandırılmıştır.
Uyarı: Aktarım hedefinde aynı isimli dosyalar varsa üzerlerine yazılır.

Dosyalar aktarım hedefinde KLogServer/[Kaynak Adı]/[Yıl]/[Ay]/ dizinine aktarılır.

Toplu Temizleme

  1. "Log Yönetimi" > "Toplu İşlemler" bölümüne gidiniz.
  2. "Log kaynağı" listesinden kaynağı seçiniz.
  3. Tüm logları veya belirli bir tarih aralığını seçiniz.
  4. "Logları sil" butonuna basınız ve uyarı penceresinde onaylayınız.
Uyarı: Log ve imza dosyalarının silme işlemi geri alınamaz. Silmeden önce dosyaların başarıyla dışa aktarıldığından emin olunuz.

Karantina Klasörü

Bilinmeyen (sisteme kayıtlı olmayan) veya silinmiş kaynaklardan gelen log dosyaları karantina klasöründe tutulur ve 30 gün sonra otomatik olarak silinir. Karantina klasörünü daha önce temizlemek için:

  1. "Log Yönetimi" > "Toplu İşlemler" bölümüne gidiniz.
  2. "Karantina Klasörü" kartında klasörün güncel boyutunu ve öğe sayısını görebilirsiniz.
  3. "Karantinayı Temizle" butonuna tıklayınız.
  4. Açılan onay penceresinde işlemi onaylayınız.
Uyarı: Karantina klasörünün temizlenmesi geri alınamaz. Klasördeki dosyalar kalıcı olarak silinir.
← ÖncekiTemel YapılandırmaSonraki →Log Kaynakları