Log Yönetimi ve İmzalama (Sürüm 3.1.x)
Kullanım kılavuzunun bu bölümünde log yönetimi ve imzalama sürecinden bahsedilmiştir.
Log İmzalama
Log kayıtları gün boyunca farklı log kaynaklarından alınır ve bir sonrası gün saat 0:00 ve 1:00 arasında sıkıştırıldıktan sonra Kamu SM onaylı sertifika ve SHA-512 karma algoritması ile imzalanır. Log dosyaları imzalanmadan önce KLog Server’den indirilemez.
İmzalama ve lisans doğrulama işlemleri için sunucunun herhangi bir tarama uygulanmadan aşağıdaki hedeflere bağlanabiliyor olması gerekmektedir:
- klogserver.com (TCP 80, TCP 443, ve ICMP)
- kamusm.gov.tr (TCP 80 ve 443)
- zd.kamusm.gov.tr (TCP 80 ve 443)
- googleapis.com (TCP 443)
- google.com (TCP 80 ve 443)
Eğer imzalama sırasında bir sorun ortaya çıkarsa veya Kamu SM imza sunucusuna bağlantı yapılamazsa, KLog Server log dosyasını beklemeye alır ve bir sonraki gün tekrar imzalamaya çalışır. Eğer log imzalanamaması durumuyla ilgili bildirim seçeneği aktif edilmişse, KLog Server sistem yöneticisine bilgilendirme email’i gönderir. Bildirim ayarları konusunda daha fazla bilgi için Bildirim Seçenekleri bölümünü ziyaret edebilirsiniz.
Uyarı: İmzalama aşamasında sunucunun saat ve tarih ayarlarının doğru olması gerekmektedir. Aksi durumda imzalama işlemi başarısız olur.
İmzalama işlemi için log kaynağının geçerli lisansa sahip olması gerekmektedir. Eğer log kaynağının geçerli lisansı bulunmuyorsa, log dosyaları için imzalama işlemi gerçekleştirilmez. İmzalanmayan loglar sunucuda tutulur. Lisans durumu otomatik olarak KLog Server lisans sunucusu ile senkronize edilir. Lisanslama konusunda daha fazla bilgi için Lisanslama bölümünü gözden geçirebilirsiniz.
Uyarı: Eğer KLog Server 30 gün zarfında lisans sunucusuna bağlanamazsa lisans pasif duruma alınır ve imzalama işlemi durdurulur. Bu sorunu önlemek için KLog Server’ın lisans sunucusuna bağlanabildiğinden emin olunuz.
Log Akışı
Syslog kaynaklarından alınan log akışını canlı olarak “Log Yönetimi” menüsündeki “Log Akışı” bölümünden takip edebilirsiniz. Canlı loglar anlık olarak ekrana yazılır. Log içeriğini inceleyebilmek için, “Duraklat” butonunu kullanarak akışı duraklatabilirsiniz. Log akışını duraklatmanız durumunda sadece logların ekrana yazılması duraklatılır ve Syslog kaynağından log alma işlemi arka planda devam eder.
Bu ekranda sadece sisteme kaydettiğiniz Syslog kaynaklarından alınan logları izleyebilirsiniz. Eğer birden fazla Syslog kaynağı sisteme tanımlandıysa, logunu görmek istediğiniz kaynağı, “Log kaynağı” listesinden seçebilirsiniz. Log kaynağını değiştirebilmek için, önce akışı duraklatmanız gerekmektedir. Eğer sisteme herhangi bir Syslog kaynağı kaydedilmediyse, bu ekranda ilgili uyarı gösterilecektir. Aşağıdaki görüntüde örnek bir uyarı mesaj gösterilmiştir:
Geçerli Syslog kaynağı olarak sisteme eklenmeyen kaynaklardan alınan günlükler bu bölümden takip edilemez. Sisteme kaydedilmeyen bir Syslog kaynağından log alınıp alınmadığını kontrol etmek istiyorsanız, Dashboard ekranındaki “Canlı Log Grafiği” bölümünü kullanabilirsiniz.
Not: Bu bölüm sadece canlı logları göstermektedir ve geriye dönük loglar bu ekrandan takip edilemez.
Log Arama
“Log Yönetimi” menüsündeki “Log Arama” bölümünden log dosyalarının içeriğinde arama yapabilirsiniz. Arama işlemi sadece sisteme kaydettiğiniz log kaynaklarından alınan loglarda yapılabilir. Eğer sisteme herhangi bir Syslog kaynağı kaydedilmediyse, bu ekranda ilgili uyarı gösterilecektir. Aşağıdaki görüntüde örnek bir uyarı mesaj gösterilmiştir:
Loglarda arama yapmak için aşağıdaki adımları izleyebilirsiniz:
- “Log Yönetimi” menüsünde “Log Arama” bölümüne gidiniz.
- Eğer birden fazla log kaynağı sisteme tanımlandıysa, loglarında arama işlemini yapmak istediğiniz kaynağı, “Log kaynağı” listesinden seçiniz. Aksi durumda bir sonraki adıma gidiniz.
- “Tarih” bölümünden arama yapmak istediğiniz tarihi seçiniz. Eğer bu bölümde geçerli tarihi seçerseniz, gün içerisinde alınan ve halen imzalanmayan loglarda arama gerçekleştirilecektir. Geriye dönük tarih seçmeniz durumunda imzalanan loglarda arama yapılacaktır.
Not: Syslog kaynaklarından alından loglarda, saat 23:00:00 ve 23:59:59 arasında alınan loglar bir sonrası günün log dosyasında yer alır. Paylaşılmış klasör kaynaklarından alından loglarda, log toplama zamanına göre değişkenlik gösterebilir.
- Önceden kaydedilmiş bir aramanız varsa ve bunu kullanmak istiyorsanız, “Kaydedilmiş aramalar”‘” butonunun yanındaki aşağıya bakan oka tıklayın ve listeden istediğiniz aramayı seçin. Aksi takdirde, arama kriterlerini manuel olarak tanımlamak için bir sonraki adıma geçin.
- Aratmak istediğiniz kelime veya kelimeleri “Anahtar kelime” bölümünde yazınız. Bu bölümde sadece harf, rakam, boşluk, nokta, et işareti (@), orta tire, ve alt çizgi girebilirsiniz. Eğer aratmak istediğiniz terim özel karakter, VE veya VEYA gibi mantıksal işleçler, veya herhangi bir metin kalıbı içeriyorsa, “Gelişmiş arama” butonuna tıkladıktan sonra, açılan pencerede aratmak istediğiniz ibareyi ilgili butonları kullanarak giriniz. Gelişmiş arama konusunda daha fazla bilgi için Gelişmiş Arama ve Gelişmiş Arama Örnekleri bölümlerini ziyaret edebilirsiniz.
- Eğer aramadan bir veya daha fazla anahtar kelimeyi hariç tutmak isterseniz, bu anahtar kelimeleri “Hariç tutulan kelimeler” kutusuna ekleyin. Kelimeleri virgülle ayırarak listeleyin.
- Aramanın büyük küçük harflere duyarlı olup olmayacağını ilgili bölümden belirtiniz.
- “Ara” butonuna basınız.
Not: Arama sonuçları 1000 satırla sınırlandırılmıştır.
Not: Tanımladığınız arama kriterlerini sık kullanılan bir kaydedilmiş arama olarak kaydetmek istiyorsanız, “Kaydedilmiş Aramalar” bölümünü takip edebilirsiniz.
Gelişmiş Arama
Gelişmiş arama özelliğini kullanarak özel karakter, VE veya VEYA gibi mantıksal işleçler, veya özel bir metin kalıbı içeren arama ifadeleri oluşturabilirsiniz. Bu bölümdeki mevcut araçlar ve açıklamaları aşağıda yer almaktadır. Gelişmiş arama örnekleri için Gelişmiş Arama Örnekleri bölümünü ziyaret edebilirsiniz.
Sabit metin: Bu bölümden aratmak istediğiniz sabit metini arama ifadesine ekleyebilirsiniz. Bu kutuda sadece harf, rakam, boşluk, nokta, et işareti (@), orta tire, ve alt çizgi girebilirsiniz.
İşleç: Bu bölümdeki seçenekleri kullanarak, mantıksal ifadeler oluşturabilirsiniz. VE işleci her iki ibarenin arama sonuçlarına dahil olmasını sağlarken, VEYA işleci arama ifadelerinden herhangi birini içeren kayıtları bular.
Gruplama: “Öğe grubu aç” ve “Öğe grubu kapa” butonları öğe grupları oluşturmak için kullanılabilirler. İç içe gruplar ve işleçleri kullanarak karmaşık arama ifadeleri oluşturabilirsiniz.
Değişken: Bu bölümdeki değişkenleri kullanarak metin kalıpları oluşturabilirsiniz. “karakter” değişkeni bir harf, rakam, veya özel karakter yerine kullanılabilir. “harf” ve “rakam” değişkenleri, adlarından da anlaşılacağı gibi, sırayla birer harf ve rakam aramak için kullanılabilir. “harf/rakam” değişkeni ise herhangi bir harf veya rakam yerine kullanılabilir.
Özel karakter: Log kayıtlarında özel karakter aramak için bu bölümdeki butonları kullanabilirsiniz.
Bağlayıcı: Eğer bir ibarenin sadece satırın başında veya sonunda olması şartıyla aramak istiyorsanız, ilgili bağlayıcıları arama ifadesinde kullanabilirsiniz.
Hazır kalıplar: Hazır kalıplar, IP adres, FQDN, veya email adresi gibi hazır metin kalıplarını aramak için kullanılabilir.
Not: Yukarıda bahsı geçen öğelerden maksimum 64 adet ekleyeyebilirsiniz.
“Aranacak İbare” kısmında oluşturduğunuz arama ifadesi gösterilecektir. Bu bölümde herhangi bir öğenin üzerinde tıklayarak öğeyi değiştirebilir, sola veya sağa taşıyabilir, veya belli öğeler için minimum ve maksimum tekrar tanımlayabilirsiniz. Herhangi bir öğeyi silmek için hemen sağındaki çarpı işaretine tıklayabilirsiniz.
Gelişmiş Arama Örnekleri
Örnek 1: “youtube” ve “allow” sözcüklerini içeren kayıtları aratmak |
Aranacak ibare: |
Örnek sonuç: |
Örnek 2: herhangi bir email adresi ve “spam” sözcüğünü içeren kayıtları aratmak |
Aranacak ibare: |
Örnek sonuç: |
Örnek 3: “DHCP” ibaresini, bir IPv4 adres ve bir MAC adres içeren log kayıtlarını aratmak |
Aranacak ibare: |
Örnek sonuç: |
Örnek 4: saat “11:50” ve “11:59” aralığına ait olup, “GW is Down” veya “GW is Up” ibaresini içeren log kayıtlarını aratmak |
Aranacak ibare: |
Örnek sonuç: |
Örnek 5: “malicious” ibaresini ve bir FQDN içeren log kayıtlarını aratmak |
Aranacak ibare: |
Örnek sonuç: |
Örnek 6: “<113>” veya “<118>” ile başlayan ve “Balanced Security and Connectivity” ibaresini içeren log kayıtlarını aratmak |
Aranacak ibare: |
Örnek sonuç: |
Kaydedilmiş Aramalar
Sık kullanılan anahtar kelimeleri veya gelişmiş arama ifadelerini daha hızlı erişim için kaydedebilirsiniz. Bunu yapmak için aşağıdaki adımları izleyin:
- “Log Yönetimi” menüsünde “Log Arama” bölümüne gidiniz.
- Kaydetmek istediğiniz arama anahtar kelimesini veya gelişmiş arama ifadesini tanımlayın.
- “Aramayı kaydet” butonuna tıklayın.
- Açılan pencerede, kaydedilen arama ifadesi için “Takma ad” kutusuna bir ad yazın.
- “Kaydet” butonuna tıklayın.
Kaydedilen arama şunları içerir:
- Arama anahtar kelimesi veya gelişmiş arama ifadesi.
- Hariç tutulan anahtar kelimeler.
- Anahtar kelimenin büyük/küçük harf duyarlılığı olup olmadığı.
Ancak, kaydedilen arama log kaynağını ve arama tarihini içermez.
Kaydedilen aramaları görmek için “Kaydedilmiş aramalar” düğmesinin sağındaki aşağı bakan oka tıklayın. KLog Server, basit aramaları “A” harfi ile ve gelişmiş aramaları “*” sembolü ile görüntüler. Ayrıca, kilitli bir asma kilit simgesi büyük/küçük harf duyarlılığını, açık bir asma kilit ise duyarlı olmadığını gösterir. Listeden bir kaydedilmiş aramaya tıklayarak bu ifadeyi sayfaya yükleyebilirsiniz.
Kaydedilmiş bir aramayı silmek için aşağıdaki adımları izleyin:
- “Log Yönetimi” menüsünde “Log Arama” bölümüne gidiniz.
- “Kaydedilmiş aramalar” butonunun sağındaki aşağı bakan oka tıklayın.
- Silmek istediğiniz kaydedilmiş aramanın sağındaki çöp kutusu simgesine tıklayın.
- “Aramayı Sil” penceresinde, silme işlemini onaylamak için “Evet” düğmesine tıklayın.
Log Dosyaları
İmzalanan log dosyaları ve herhangi bir sebepten dolayı imzalanamayan loglar, web arayüzde “Log Yönetimi” menüsündeki “Log Dosyaları” bölümünden indirilebilir veya harici depolama alanına aktarılabilir. Başarılı imzalama durumunda imza dosyası da aynı bölümden indirilebilir. Log dosyaların ismi “Pack” ile başlar, log kaynağının IP adresi ve logların ait olduğu tarihi içerir ve zip formatındadır. Örneğin 1 Ocak 2020 tarihinde 192.168.1.1 IP adresli Syslog kaynağından alınan loglar “Pack_192.168.1.1_2020-01-01.zip” isimli dosyada saklanır. Paylaşılmış klasör log kaynaklarına ait dosyaların isminde paylaşım ismi de bulunur. Örneğin “Pack_192.168.1.1_DHCP_2020-01-01.zip” ki “DHCP” SMB ve Azure Dosyalar kaynaklarında, paylaşılmış klasörün paylaşım ismi ve AWS S3 kaynaklarında, kaynak klasörün ismidir.
Not: Syslog kaynaklarından alından loglarda, saat 23:00:00 ve 23:59:59 arasında alınan loglar bir sonrası günün log dosyasında yer alır. Paylaşılmış klasör kaynaklarından alından loglarda, log toplama zamanına göre değişkenlik gösterebilir.
“Log Dosyaları” bölümünde imza dosyaları da saklanmaktadır. İmza dosyaları ilgili log dosyasının ismine “.zd” eklenerek adlandırılır. Örneğin yukarıdaki örneklerde imza dosyalarının ismi sırasıyla “Pack_192.168.1.1_2020-01-01.zip.zd” ve “Pack_192.168.1.1_DHCP_2020-01-01.zip.zd” olarak geçer.
“Log Dosyaları” bölümü takvim formatında tasarlanmıştır ve her güne ait hücrede log ve imza dosyalarını indirme ve dışa aktarma, ve zaman damgasını doğrulamak için farklı simgeler bulunmaktadır. Her takvim hücresinde ayrıca, sıkıştırılmış ve sıkıştırılmadan önceki veri boyutu gösterilmektedir. Eğer imzalama işlemi başarısız olmuş ise, imza dosyanın indirme ve zaman damgasını doğrulama simgeleri pasif durumda olurlar. Aşağıdaki görüntüde örnek bir takvim hücresi ve ilgili simgeler gösterilmiştir:
Örnek takvim hücresi
Simge | Açıklama |
Log dosyasını indir | |
İmza dosyasını indir | |
Zaman damgasını doğrula | |
Log ve imza dosyalarını depolama alanına aktar | |
Log dosyasının sıkıştırıldıktan sonraki boyutu | |
Log dosyasının sıkıştırılmadan önceki boyutu |
Dosyaları sistemden indirmeden, imzalanan günlük dosyalarının zaman damgasının geçerliliğini “Zaman damgasını doğrula” simgesini kullanarak kontrol edebilirsiniz. KLog Server bu işlem için Kamu SM’ye ait zaman damgası istemci yazılımını kullanmaktadır.
Eğer log dosyasının imzalandığında günlük dışa aktarma seçeneği “Aktar ve sil” olarak ayarlandıysa, log ve imza dosyaları dışa aktarılır ve ilgili takvim hücresinde “Dışa aktarılmıştır” ibaresi gözükür. Ancak eğer log ve imza dosyaları toplu olarak silindiyse, ilgili takvim hücresinde “Log dosyası bulunamadı” ibaresi gözükecektir. Toplu dışa aktarma ve toplu temizleme konusunda daha fazla bilgi için, sırayla Toplu Dışa Aktarma ve Toplu Temizleme bölümlerini ziyaret ediniz.
Log Grafikleri
Log Grafikleri sayfasında farklı log kaynakları tarafından kullanılan disk alanı yuvarlak diyagram olarak bulunmaktadır. Ayrıca “Log Boyutu” bölümünde farklı zaman aralıklarında alınan veri boyutu toplu olarak veya log kaynağı ve log kaynağı türü bazında grafik olarak gösterilmektedir.
Toplu Dışa Aktarma
Toplu dışa aktarma bölümünden log ve imza dosyalarını toplu şekilde tanımladığınız harici depolama alanlarına aktarabilirsiniz. Log dosyalarını toplu şekilde dışa aktarmak için aşağıdaki adımları izleyebilirsiniz:
- “Log Yönetimi” menüsündeki “Dışa Aktarma” bölümüne gidiniz.
- “Toplu Dışa Aktarma” kutusunda, “Log kaynağı” listesinden loglarını dışa aktarmak istediğiniz log kaynağını seçiniz.
- Eğer seçtiğiniz log kaynağına ait tüm logları dışa aktarmak istiyorsanız, “Tarih aralığı” bölümünde “Tüm loglar” butonuna tıklayınız. Eğer belli tarih aralığına ait log dosyaları aktarmak istiyorsanız, “Tarih aralığı” butonuna tıklayınız. Toplu dosya aktarımı için en küçük tarih aralığı bir ay olarak tanımlanabilir.
- Eğer bir önceki adımda “Tarih aralığı” seçeneğini seçtiyseniz, “Tarih aralığı başlangıç ve bitişi” kutularında başlangıç ve bitiş ayları tanımlayınız. Aksi durumda bu bölüm pasif durumda olacaktır.
Not: Başlangıç tarih kutusu, sistemdeki en eski log dosyası tarihine göre sınırlanmıştır ve ondan önceki tarihler seçilemez durumdadır.
- “Harici depolama alını” listesinden dosyaların aktarılacağı depolama alanını seçiniz. Eğer bu listede herhangi bir depolama alanı bulunmuyorsa, dosyaları aktarmadan önce harici bir depolama alanı tanımlamanız gerekmektedir. Harici depolama alanları hakkında daha fazla bilgi için Harici depolama alanları bölümünü ziyaret ediniz.
Uyarı: Log dosyaları dışa aktarmadan önce, harici depolama alanına bağlanmak için kullandığınız kullanıcının yazma yetkisi olduğundan emin olunuz.
- Eğer dosyaların aktarılmadan önce sıkıştırılmasını istiyorsanız, “Sıkıştır” bölümünde “Evet” butonunu aktif ediniz.
Not: Toplu dışa aktarmadan önce sıkıştırma seçeneğini kullanabilmek için disk üzerinde sıkıştırma işlemi için yeterli boş alanın bulunması gerekmektedir. Aksi durumda dışa aktarma işlemi başarısız olacaktır.
Not: Log dosyaları imzalanmadan hemen önce zaten sıkıştırılır. Toplu dışa aktarmadan önce sıkıştırdığınız durumda iki defa sıkıştırılmış olacaklar.
- “Logları dışa aktar” butonuna basınız ve Uyarı penceresinde işlemi onaylayınız.
Log ve imza dosyaları harici depolama alanında KLogServer/[Log kaynağı takma adı]/[Yıl]/[Ay]/ dizinine aktarılacaktır. Dışa aktarma işlemini başlattıktan sonra veri aktarımını bu ekrandaki ilgili bölümden takip edebilirsiniz. Veri aktarma sırasında web arayüzüne olan oturumu açık tutmak zorunda değilsiniz.
Uyarı: Eğer harici depolama alanında aynı isme sahip dosya varsa, yeni dosyalar üzerine yazılacaktır.
Toplu Temizleme
Log ve imza dosyaları dışa aktardıktan sonra veya herhangi bir sebepten ötürü dosyaları silmek istediğiniz durumda log dosyaları toplu olarak diskten silebilirsiniz. Log dosyalarını toplu şekilde diskten silmek için aşağıdaki adımları izleyebilirsiniz:
- “Log Yönetimi” menüsündeki “Dışa Aktarma” bölümüne gidiniz.
- “Toplu Temizleme” kutusunda, “Log kaynağı” listesinden loglarını silmek istediğiniz log kaynağını seçiniz.
- Eğer seçtiğiniz log kaynağına ait tüm logları silmek istiyorsanız, “Tarih aralığı” bölümünde “Tüm loglar” butonuna tıklayınız. Eğer belli tarih aralığına ait log dosyaları silmek istiyorsanız, “Tarih aralığı” butonuna tıklayınız. Toplu dosya silmek için en küçük tarih aralığı bir ay olarak tanımlanabilir.
- Eğer bir önceki adımda “Tarih aralığı” seçeneğini seçtiyseniz, “Tarih aralığı başlangıç ve bitişi” kutularında başlangıç ve bitiş ayları tanımlayınız. Aksi durumda bu bölüm pasif durumda olacaktır.
Not: Başlangıç tarih kutusu, sistemdeki en eski log dosyası tarihine göre sınırlanmıştır ve ondan önceki tarihler seçilemez durumdadır.
- Log dosyalarını silmek için, “Logları sil” butonuna basınız ve Uyarı penceresinde işlemi onaylayınız.
Uyarı: Log dosyaları silmeden önce sorunsuz dışa aktarıldığından emin olunuz. Log ve imza dosyalarının silme işlemi geri alınamaz.