SlideShare a Scribd company logo

Log yonetimi tecrubeleri

Ertugrul Akbas
Ertugrul Akbas

Aşağıda gerçekleştirilen projeler, daha önceden başka ekipler tarafından yapılan projelerin analizlerinde elde ettiğim tecrübelerimi paylaşmaya çalıştım. Aşağıda teknik unsurlar özetlenmeye çalışılacak. Bununla birlikte bir projenin başarılı olabilmesi için proje ekibinin çok önemli bir etken olduğu unutulmamalıdır.

1 of 14
Download to read offline
Log Yönetimi Tecrübeleri eakbas@gmail.com Aşağıda gerçekleştirilen projeler, daha önceden başka ekipler tarafından yapılan projelerin analizlerinde elde ettiğim tecrübelerimi paylaşmaya çalıştım. Aşağıda teknik unsurlar özetlenmeye çalışılacak. Bununla birlikte bir projenin başarılı olabilmesi için proje ekibinin çok önemli bir etken olduğu unutulmamalıdır. Log yönetimi projelerinde genelde karşılaşılan problemleri özetlemek gerekirse: o o o Sistemin ürettiği verinin Log Yönetim yazılımı tarafından karşılanamaması Log Yönetim Sisteminin EPS değerlerinin yeterli olmaması ve kullanıcının bunun farkında olmaması o Veri kaybı o Aranılan verinin bulunamaması o Yedeklerden geri dönememe o Arama kriterlerinin beklenen seviyede olmaması o Raporlama yeteneklerinin ileride çıkacak ihtiyaçlara göre planlanmamış olması o Logların eksik alınması o Mail Server o WEB Server o FTP Server o DC ve diğer Serverlar vb.. Logların kısa süreli kaydedilmesi. o Satın almaya kadar ortam ölçeklendirmesini ertelemek (EPS değerleri) o Sadece fiyatına bakıp seçim yapmak (En çok rastlana durumlardan biri) o Neleri log'lamanız gerektiğini üretici firmanın size söylemesini beklemek o Hukuk ekibini gözardı etmek o Arayüz çok kullanışlı o yüzden desteğe ihtiyaç yok vb.. Son 5 madde ayrıca Anton Chuvakin'in Six MIstakes of Log Management makalesinde de ifade edilmiştir. http://www.slideshare.net/anton_chuvakin/csi-netsec-2007-six-mistakes-of-log-management-byanton-chuvakin
1 Log Yakalama veya Log Kaçırmama Özelliği Bir log yönetim sisteminin en önemli özelliği gelen bütün logları yakalamak ve işlemektir. Sistemin bu özelliği bir proje yapılırken neredeyse hiç göz önünde bulundurulmamaktadır. Saniyede 100 lerce 1000 lerce log oluştuğu ve bu loglar ekrandan çok hızlıca aktığı için gözle oluşan logların kontrolü mümkün değildir. Dolayısı ile gözle kontrol çok yanıltıcıdır. SYSLOG Simulator Sistemlerin gönderilen bütün logları karşılayıp karşılayamadıklarını ölçmenin pek çok yöntemi mevcuttur. En kolay yöntemi bir SYSLOG Simulator kullanıp saniyede belirlenen adette log göndermek ve bunun sistem tarafından yakalanıp yakalanmadığına bakmaktır. Bunu yaparken sistemin ortalamanın 2-3 katına belli tepe ( peak) zamanlarında çıkabileceğini de hesaba katıp ona göre log göndermektir. Log Yönetimi projelerinin demo aşamalarında en önemli parametrenin atlandığı ve bundan dolayı aslında amaca hizmet etmeyen ya da lazım olduğunda işe yaramayan, aranan verinin bulunamadığı bir kurulum ortaya çıkmış olur. Bu parametre kurulan sistemlerin vaat edilen EPS değerlerini sağlayabilmeleridir. Sistemlerin gönderilen bütün logları karşılayıp karşılayamadıklarını ölçmenin pek çok yöntemi mevcuttur. En kolay yöntemi bir SYSLOG Simulator kullanıp saniyede belirlenen adette log göndermek ve bunun sistem tarafından yakalanıp yakalanmadığına bakmaktır. Bunu yaparken sistemin ortalamanın 2-3 katına belli tepe ( peak) zamanlarında çıkabileceğini de hesaba katıp ona göre log göndermektir. Örnek SYSLOG Simulatorler: http://www.theonesoftware.com/syslog_sender.php http://sourceforge.net/projects/nxlog-ce/?source=directory http://sourceforge.net/projects/syslog-slogger/ ayrıca profesyonel ürünün üreticilerinin tamamı bu testleri hem kendi ürünleri hem de müşteri talebi ile herhangi bir ürün üzerinde yapabilmektedir.
2 ANET yazılım olarak 100 K EPS değerlerine erişmemizi sağlayacak bir altyapıyı test etmek için özel olarak geliştirdiğimiz SYSLOG simülatörümüzü kullanmaktayız. Bu aracın konfigürasyon dosyasında log üretme hızı vs.. ayarlanabilmektedir logsize=10000 totallogs=50000000 sleeptime=1000 fast=true logsize parametresi EPS değerini totlalogs ise toplamda kaç log gönderileceğini belirtmektedir. Ayrıca projelerde geliştirdiğimiz bu ve benzeri araçlarda danışmanlık desteği de sunmaktayız. Testler yapılırkan normal şartlar için değil Peak EPS değerleri için test edilmelidir. Burada en önemli kriter 1. Belirli bir sayıdaki logu belirli sürede gönderebilmek 2. Toplam log sayısına değil de saniyede kaç adet gönderilebildiğini hesaba katmaktır. Kiwi veya yukarıda linki verilen yazılımlar ile 30-40 EPS i aşmak mümkün değildir. Bunun için ANET yazılımdan destek alınabilir info@anetyazilim.com.tr Ya da üçüncü bir parti yazılım kullanılmak istenirse aşağıdaki linkteki ürün kullanılabilir
3 http://sourceforge.net/projects/syslog-slogger/ bu linkten Slogger-v0.6.zip dosyası indirilip açıldıktan sonra aşağıdaki gibi bir dosya yapısı ile karşılaşılacaktır Burada sadece run.bat dosyası kullanıcı tarafından oluşturulmalıdır. Bu dosyanın içeriği ise “java -cp .bin;.3rdPartySyslog.jar org.slogger.Slogger” şeklindedir. Tabi sistemde java yüklü olduğundan emin olun. Bunu için komut satırında aşağıdaki komut “java -version” çalıştırılır Yazılım çalıştıktan sonra aşağıdaki gibi bir sonuç üretir.
4 Burada EPS değerini 977 olarak görürsünüz. Bu parametreler ise slogger.properties dosyasından ayarlanmaktadır. Örneğin 1000 EPS hız ile 200 000 log göndermek için aşağıdaki parametreleri kullanabilirsiniz. ## slogger Properties file ## configure slogger options. ## program options. syslogProvider=org.slogger.provider.randomMessageProvider.RandomSyslogProvider #syslogPublisher=org.slogger.publisher.FilePublisher syslogPublisher=org.slogger.publisher.NetworkPublisher ## Control the rate at which messages are sent. ##Delay added between messages in millis. 0 means no delay. ## If maxEpsRate is specfied, this value is ignored. #delayBetweenMessages=0 maxEpsRate=1000 promptForStart=FALSE displayCounters=TRUE displaySentMessages=TRUE ## FileTarget Options FilePublisher.file=syslog.log ## Network publisher options NetworkPublisher.host=localhost NetworkPublisher.port=514 NetworkPublisher.sourceAddressEncapString= NetworkPublisher.keepMessageCounters=FALSE ## RandomMessageProvider options. ## Global message options ## Message Count rmp.messageCount=200000 rmp.useEmblem=true rmp.sources=10.1.1.1,10.1.1.2,10.1.1.3 rmp.levels=3 rmp.facility=ASA rmp.sourcePort=5555
5 rmp.targetHost=2.2.2.2 rmp.targetPort=targetPort rmp.timeStamp=timeStamps rmp.inputSyslogFile=input_syslogs.log ###Messages to be generated rmp.message.1.multiplier=1 rmp.message.1.messageText=302013: Built <<inbound,outbound>> TCP connection <<1-100000>> for inside:<<1.1.0.0,1.1.255.255>>/<<10000-50000>> (<<10.10.10.0,10.10.10.255>>/<<10000-50000>>) to outside:<<128.1.1.1-200.1.1.2>>/<<11024>> (<<21.1.1.1,21.1.1.255>>/<<1-1024>>) rmp.message.2.multiplier=1 rmp.message.2.messageText=302014: Teardown TCP connection <<1-100000>> for <<inside,outside,dmz>>:<<1.1.0.0,1.1.255.255>>/<<10000-50000>> to <<inside,outside,dmz>>:<<128.1.1.1-200.1.1.2>>/<<1-1030>> duration <<100,200,300>> bytes <<100,200,300>> Richa (Ric) rmp.message.3.multiplier=1 rmp.message.3.messageText=302015: Built <<inbound,outbound>> UDP connection <<1-100000>> for inside:<<1.1.0.0,1.1.255.255>>/<<10000-50000>> (<<10.10.10.0,10.10.10.255>>/<<10000-50000>>) to outside:<<128.1.1.1-200.1.1.2>>/<<11024>> (<<21.1.1.1,21.1.1.255>>/<<1-1024>>) rmp.message.4.multiplier=1 rmp.message.4.messageText=302016: Teardown UDP connection <<1-100000>> for <<inside,outside,dmz>>:<<1.1.0.0,1.1.255.255>>/<<10000-50000>> to <<inside,outside,dmz>>:<<128.1.1.1-200.1.1.2>>/<<1-1030>> duration <<100,200,300>> bytes <<100,200,300>> rmp.message.5.multiplier=1 rmp.message.5.messageText=106100: access-list <<acl1,acl2,acl3>> permitted <<TCP,UDP>> outside/<<1.1.0.0,1.1.255.255>>(<<1000050000>>) -> inside/<<128.1.0.0,128.1.255.255>>(<<10000-50000>>) hit-cnt 10 Something [0x1001, 0x1000] rmp.message.6.multiplier=1 rmp.message.6.messageText=106023: Deny tcp src outside:<<1.1.0.0,1.1.255.255>>/<<10000-50000>> dst inside:<<192.168.131.10192.168.135.10>>/<<5060-17000>> by access-group "TRANSIT" [0x298f38e5, 0x0] rmp.message.7.messageText=302020: Built outbound ICMP connection for faddr <<10.20.14.141-10.20.255.255>>/<<0-7>> gaddr <<192.168.5.21-192.168.6.255>>/512 laddr <<192.168.5.21-192.168.6.255>>/512 Yukarıdaki programı kullanarak 1. Belirli bir sayıdaki logu belirli sürede gönderebilmeyi sağlayabiliriz. Burada 200 000 log 2. Toplam log sayısına değil de saniyede kaç adet gönderilebildiğini hesaba katmaktır. Bu da mümkün yaklaşık 1000 EPS değeri (997) sağlanabilmektedir. Ve tabi en önemlisi gönderilen toplam log sayısı ve süresi gözükmektedir. Log Yönetimi Sistemlerinin Log Yakalama (Toplama) Hızı Bir log yönetim sisteminin en önemli özelliği gelen bütün logları yakalamak ve işlemektir. Sistemin bu özelliği bir proje yapılırken neredeyse hiç göz önünde bulundurulmamaktadır. Maalesef görsel unsurlar bu özelliği perdelemektedir.
6 EPS Nedir? Bazı sistemler kullanıcı ve bilgisayar sayısına göre kurgulama ve fiyatlandırma yapmaktadır. Bu doğru bir yaklaşım olmadığı gibi sektörce bilinen yazılımlar EPS değeri kullanmaktadır. Yukarıdaki verilen örnekleri kullanarak bir ölçekleme yaparsak: 100 Cihazlık bir ağ için Ortalama EPS : 40 Peak EPS : 2500 Ortalama Peak EPS: 1500 250 Cihazlık bir ağ için Ortalama EPS : 100 Peak EPS : 6000 Ortalama Peak EPS: 4000 500 Cihazlık bir ağ için Ortalama EPS : 200 Peak EPS : 12500 Ortalama Peak EPS: 7500
7 1000 Cihazlık bir ağ için Ortalama EPS : 400 Peak EPS : 25000 Ortalama Peak EPS: 15000 Önemli olan sistemin Peak EPS değerlerini karşılayabilmesidir. Ortalama EPS ve Ortalama Peak EPS sadece storage ihtiyacı için hesaplamada kullanılacak parametrelerdir.
8 Arama Hızı Diğer önemli bir husus da bu loğların ne hızla raporlara yansıdığıdır. Aşağıda pek çok raporda Big Data ve Veri arama (Search) için önerilen ve milyonlarca dolar ciro yapan firmaların search hızları ile ilgili bir fikir oluşturması açısından alınan örnekleri görebilirsiniz. Herhangi biri daha hızlıdır diye bir görüş ortaya atmak bu çalışmanın konusu değildir. Ticari Ürünlerden Örnek Arama Senaryoları ve süreleri Aşağıdaki örnekler sadece bir fikir oluşturması açısından verilmiştir. Fikir oluşturması açısından Bir fortinate firewalldan gelen SYSLOG paketleri dosyaya yazılırsa ortalama : 1 000 000 (bir milyon) satır 1 GB lık bir text (ASCII) dosya oluşturmaktadır. Örnek Arama Hızları: http://splunk-base.splunk.com/answers/5987/is-there-any-way-to-speed-up-searches http://splunk-base.splunk.com/answers/50503/reducing-time-taken-for-search-in-splunk-query
9 http://splunk-base.splunk.com/answers/36166/from-forwarder-to-index-to-search-is-taking-too-longroughly-10-to-15-minutes
10 http://splunk-base.splunk.com/answers/54306/reasonable-search-performance http://splunk-base.splunk.com/answers/12559/searches-taking-long http://splunk-base.splunk.com/answers/13354/slow-search-for-squid-for-a-30-days-report
11 Örnek Bir Arama Kriteri: EPS : 5000 Dakikada oluşan log: 5000 X60 =300 000 (Üçyüzbin) Saatte oluşan log=300 000 X60=18 000 000 (Onsekiz milyon) 10 Saatte Oluşan log = 18 000 000 X10= 180 000 000 (Yüzseksen milyon) Yukarıdaki değerlere bakarak 5000 EPS log akışına sahip bir sistemde 10 saate 180 milyon log oluştuğu ve dolayısı ile herhangi bir 10 saatlik aramanın 180 milyon kayıt arasından olacağı unutulmamalı. Dolayısı ile son 1 ayda en çok “social media “ da gezen kullanıcıların listesi ve sıralaması istendiğinde Eğer 5000 EPS lik bir ağda bu sorgu yapılacaksa 18 000 000 x 24 x 30=12 960 000 000 (yaklaşık 13 milyar) kayıt içerisinde arama , sayma ve sıralama yapılmak zorunda olduğu unutulmamalı Eğer seçilen sistem günlük birkaç milyon log biriktirebiliyorsa (yukarıdaki rakamlarla kıyaslanırsa ne kadar küçük bir rakam olduğu görülür) log arama handikapları gözle tespit edilemez. Sistemlerin kapasiteleri milyarlarca log oluştuğunda ortaya çıkar
12 Kendi Geliştirdiğimiz Sistemlerdeki Durum Nedir? Benzer arama hızı testlerini ANET yazılım tarafından geliştirilen ürünlerle yapınca ortaya çıkan durum: 487 milyon kayıt oluşturuldu. Bu kayıtlar içerisinde KAYNAK IP si diğerlerindne farklı farklı olan logu ilk once ve de en sonra göndererek (Zaman olarak) yaptığıız aşağıdaki fiziksel özelliklere sahip bir sistemdeki testlerde 487 milyon kayıt içerisinde aranan o iki logu bulma süresi 60 saniyedir. Bu arama system 6500 EPS log işlemeye devam ederken yapılan bir testtir ANET yazılım ürün detayları için http://www.anetyazilim.com.tr/Downloads/doc/tr/log_management_compare/ANE T_Log_Compare.pdf
13 Örnek Bir Arama Kriteri: EPS : 5000 Dakikada oluşan log: 5000 X60 =300 000 (Üçyüzbin) Saatte oluşan log=300 000 X60=18 000 000 (Onsekiz milyon) 10 Saatte Oluşan log = 18 000 000 X10= 180 000 000 (Yüzseksen milyon) Yukarıdaki değerlere bakarak 5000 EPS log akışına sahip bir sistemde 10 saate 180 milyon log oluştuğu ve dolayısı ile herhangi bir 10 saatlik aramanın 180 milyon kayıt arasından olacağı unutulmamalı. Dolayısı ile son 1 ayda en çok “social media “ da gezen kullanıcıların listesi ve sıralaması istendiğinde Eğer 5000 EPS lik bir ağda bu sorgu yapılacaksa 18 000 000 x 24 x 30=12 960 000 000 (yaklaşık 13 milyar) kayıt içerisinde arama , sayma ve sıralama yapılmak zorunda olduğu unutulmamalı

Recommended

Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Ertugrul Akbas
 
Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siem
Ertugrul Akbas
 
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleriLog yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Ertugrul Akbas
 
Log yönetimi sisteminizin log kaçırıp kaçırmadığını test etmek ister misiniz?
Log yönetimi sisteminizin log kaçırıp kaçırmadığını test etmek ister misiniz?Log yönetimi sisteminizin log kaçırıp kaçırmadığını test etmek ister misiniz?
Log yönetimi sisteminizin log kaçırıp kaçırmadığını test etmek ister misiniz?
Ertugrul Akbas
 
ANET SureLog SIEM avantajları
ANET SureLog SIEM avantajlarıANET SureLog SIEM avantajları
ANET SureLog SIEM avantajları
Ertugrul Akbas
 
Log yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMLog yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEM
Ertugrul Akbas
 
Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse
Ertugrul Akbas
 
SIEM Neden Gerekli?
SIEM Neden Gerekli?SIEM Neden Gerekli?
SIEM Neden Gerekli?
Ertugrul Akbas
 

Recommended

Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Log yonetmi ve siem ürünlerinde veri analizi, sonuclarin tutarliligi ve dogru...
Ertugrul Akbas
 
Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siem
Ertugrul Akbas
 
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleriLog yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Ertugrul Akbas
 
Log yönetimi sisteminizin log kaçırıp kaçırmadığını test etmek ister misiniz?
Log yönetimi sisteminizin log kaçırıp kaçırmadığını test etmek ister misiniz?Log yönetimi sisteminizin log kaçırıp kaçırmadığını test etmek ister misiniz?
Log yönetimi sisteminizin log kaçırıp kaçırmadığını test etmek ister misiniz?
Ertugrul Akbas
 
ANET SureLog SIEM avantajları
ANET SureLog SIEM avantajlarıANET SureLog SIEM avantajları
ANET SureLog SIEM avantajları
Ertugrul Akbas
 
Log yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEMLog yonetimi korelasyon ve SIEM
Log yonetimi korelasyon ve SIEM
Ertugrul Akbas
 
Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse Anet SureLog SIEM IntelligentResponse
Anet SureLog SIEM IntelligentResponse
Ertugrul Akbas
 
SIEM Neden Gerekli?
SIEM Neden Gerekli?SIEM Neden Gerekli?
SIEM Neden Gerekli?
Ertugrul Akbas
 
Log siem korelasyon
Log siem korelasyonLog siem korelasyon
Log siem korelasyon
Ertugrul Akbas
 
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
Ertugrul Akbas
 
KORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRKORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİR
Ertugrul Akbas
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
Ertugrul Akbas
 
Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi
Ertugrul Akbas
 
Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!
Ertugrul Akbas
 
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİKORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
Ertugrul Akbas
 
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
Ertugrul Akbas
 
Ajansız log toplama
Ajansız log toplamaAjansız log toplama
Ajansız log toplama
Ertugrul Akbas
 
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
Ertugrul Akbas
 
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriLog Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Ertugrul Akbas
 
Loglari nerede saklayalım?
Loglari nerede saklayalım?Loglari nerede saklayalım?
Loglari nerede saklayalım?
Ertugrul Akbas
 
Log yönetimi ve siem farkı
Log yönetimi ve siem farkıLog yönetimi ve siem farkı
Log yönetimi ve siem farkı
Ertugrul Akbas
 
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
Ertugrul Akbas
 
Siem, log yönetimi ve 5651 projelerinin performans ve log kaçirip kaçirmadiği...
Siem, log yönetimi ve 5651 projelerinin performans ve log kaçirip kaçirmadiği...Siem, log yönetimi ve 5651 projelerinin performans ve log kaçirip kaçirmadiği...
Siem, log yönetimi ve 5651 projelerinin performans ve log kaçirip kaçirmadiği...
Ertugrul Akbas
 
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651logyonetimi
 
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
Ertugrul Akbas
 
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 
Log yonetimi
Log yonetimiLog yonetimi
Log yonetimi
Ertugrul Akbas
 
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Ertugrul Akbas
 
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiDHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
Ertugrul Akbas
 

More Related Content

What's hot

Log siem korelasyon
Log siem korelasyonLog siem korelasyon
Log siem korelasyon
Ertugrul Akbas
 
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
Ertugrul Akbas
 
KORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRKORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİR
Ertugrul Akbas
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
Ertugrul Akbas
 
Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi
Ertugrul Akbas
 
Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!
Ertugrul Akbas
 
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİKORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
Ertugrul Akbas
 
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
Ertugrul Akbas
 
Ajansız log toplama
Ajansız log toplamaAjansız log toplama
Ajansız log toplama
Ertugrul Akbas
 
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
Ertugrul Akbas
 
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriLog Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Ertugrul Akbas
 
Loglari nerede saklayalım?
Loglari nerede saklayalım?Loglari nerede saklayalım?
Loglari nerede saklayalım?
Ertugrul Akbas
 
Log yönetimi ve siem farkı
Log yönetimi ve siem farkıLog yönetimi ve siem farkı
Log yönetimi ve siem farkı
Ertugrul Akbas
 
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
Ertugrul Akbas
 
Siem, log yönetimi ve 5651 projelerinin performans ve log kaçirip kaçirmadiği...
Siem, log yönetimi ve 5651 projelerinin performans ve log kaçirip kaçirmadiği...Siem, log yönetimi ve 5651 projelerinin performans ve log kaçirip kaçirmadiği...
Siem, log yönetimi ve 5651 projelerinin performans ve log kaçirip kaçirmadiği...
Ertugrul Akbas
 
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651logyonetimi
 
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
Ertugrul Akbas
 
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 
Log yonetimi
Log yonetimiLog yonetimi
Log yonetimi
Ertugrul Akbas
 

What's hot (20)

Log siem korelasyon
Log siem korelasyonLog siem korelasyon
Log siem korelasyon
 
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
 
KORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRKORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİR
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
 
Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi Log Yonetimi ve SIEM Kontrol Listesi
Log Yonetimi ve SIEM Kontrol Listesi
 
Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!
 
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİKORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
KORELASYON MOTORU, İLERİ ANALİTİK YÖNTEMLER, BİLGİ GÜVENLİĞİ VE LOG YÖNETİMİ
 
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖ...
 
Ajansız log toplama
Ajansız log toplamaAjansız log toplama
Ajansız log toplama
 
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
SureLog SIEM Compliancy Korelasyon Log Yonetimi Tehdit istihbarati Threat Int...
 
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriLog Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
 
Loglari nerede saklayalım?
Loglari nerede saklayalım?Loglari nerede saklayalım?
Loglari nerede saklayalım?
 
Log yönetimi ve siem farkı
Log yönetimi ve siem farkıLog yönetimi ve siem farkı
Log yönetimi ve siem farkı
 
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
SIEM ÜRÜNLERİNİN KORELASYON ÖZELLİKLERİ NASIL KARŞILAŞTIRILIR?
 
Siem, log yönetimi ve 5651 projelerinin performans ve log kaçirip kaçirmadiği...
Siem, log yönetimi ve 5651 projelerinin performans ve log kaçirip kaçirmadiği...Siem, log yönetimi ve 5651 projelerinin performans ve log kaçirip kaçirmadiği...
Siem, log yönetimi ve 5651 projelerinin performans ve log kaçirip kaçirmadiği...
 
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651
 
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
SIEM ÜRÜNLERİ GÖRÜNÜŞTE BİRBİRİNE BENZİYOR HATTA LOG YÖNETİMİ ÇÖZÜMÜ OLUP DA ...
 
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
SIEM ÇÖZÜMLERİNDE TAXONOMY NE İŞE YARAR?
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
Log yonetimi
Log yonetimiLog yonetimi
Log yonetimi
 

Viewers also liked

Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Ertugrul Akbas
 
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiDHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
Ertugrul Akbas
 
Ertugrul akbas
Ertugrul akbasErtugrul akbas
Ertugrul akbas
Ertugrul Akbas
 
Threat intelligence ve siem
Threat intelligence ve siemThreat intelligence ve siem
Threat intelligence ve siemErtugrul Akbas
 
Log management siem 5651 sayılı yasa
Log management siem 5651 sayılı yasaLog management siem 5651 sayılı yasa
Log management siem 5651 sayılı yasaErtugrul Akbas
 
Ajanlı ve ajansız log toplama
Ajanlı ve ajansız log toplamaAjanlı ve ajansız log toplama
Ajanlı ve ajansız log toplama
Ertugrul Akbas
 
5651 sayili kanun
5651 sayili kanun5651 sayili kanun
5651 sayili kanun
Ertugrul Akbas
 
Enhancing SIEM Correlation Rules Through Baselining
Enhancing SIEM Correlation Rules Through BaseliningEnhancing SIEM Correlation Rules Through Baselining
Enhancing SIEM Correlation Rules Through Baselining
Ertugrul Akbas
 
Hep İşin Geyiğini Yapıyoruz: AR-GE, İnovasyon, Endüstri 4.0, Ahlak, Eğitim, P...
Hep İşin Geyiğini Yapıyoruz: AR-GE, İnovasyon, Endüstri 4.0, Ahlak, Eğitim, P...Hep İşin Geyiğini Yapıyoruz: AR-GE, İnovasyon, Endüstri 4.0, Ahlak, Eğitim, P...
Hep İşin Geyiğini Yapıyoruz: AR-GE, İnovasyon, Endüstri 4.0, Ahlak, Eğitim, P...
Ertugrul Akbas
 
Juniper Srx Log
Juniper Srx LogJuniper Srx Log
Juniper Srx Log
Ertugrul Akbas
 
SureLog SIEM Jobs
SureLog SIEM JobsSureLog SIEM Jobs
SureLog SIEM Jobs
Ertugrul Akbas
 

Viewers also liked (11)

Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
Log Yönetimi yazılımımın veritabanında günlük ne kadar log olmalı?
 
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiDHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik Takibi
 
Ertugrul akbas
Ertugrul akbasErtugrul akbas
Ertugrul akbas
 
Threat intelligence ve siem
Threat intelligence ve siemThreat intelligence ve siem
Threat intelligence ve siem
 
Log management siem 5651 sayılı yasa
Log management siem 5651 sayılı yasaLog management siem 5651 sayılı yasa
Log management siem 5651 sayılı yasa
 
Ajanlı ve ajansız log toplama
Ajanlı ve ajansız log toplamaAjanlı ve ajansız log toplama
Ajanlı ve ajansız log toplama
 
5651 sayili kanun
5651 sayili kanun5651 sayili kanun
5651 sayili kanun
 
Enhancing SIEM Correlation Rules Through Baselining
Enhancing SIEM Correlation Rules Through BaseliningEnhancing SIEM Correlation Rules Through Baselining
Enhancing SIEM Correlation Rules Through Baselining
 
Hep İşin Geyiğini Yapıyoruz: AR-GE, İnovasyon, Endüstri 4.0, Ahlak, Eğitim, P...
Hep İşin Geyiğini Yapıyoruz: AR-GE, İnovasyon, Endüstri 4.0, Ahlak, Eğitim, P...Hep İşin Geyiğini Yapıyoruz: AR-GE, İnovasyon, Endüstri 4.0, Ahlak, Eğitim, P...
Hep İşin Geyiğini Yapıyoruz: AR-GE, İnovasyon, Endüstri 4.0, Ahlak, Eğitim, P...
 
Juniper Srx Log
Juniper Srx LogJuniper Srx Log
Juniper Srx Log
 
SureLog SIEM Jobs
SureLog SIEM JobsSureLog SIEM Jobs
SureLog SIEM Jobs
 

Similar to Log yonetimi tecrubeleri

Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziBilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Ertugrul Akbas
 
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonAçık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
BGA Cyber Security
 
Yazilim mi̇mari̇leri̇(aoy)
Yazilim mi̇mari̇leri̇(aoy)Yazilim mi̇mari̇leri̇(aoy)
Yazilim mi̇mari̇leri̇(aoy)Ahmet Yanik
 
Solarwinds SAM ve Patch Manager
Solarwinds SAM ve Patch ManagerSolarwinds SAM ve Patch Manager
Solarwinds SAM ve Patch Manager
Kavi International
 
Infraskope Security Event Manager
Infraskope Security Event ManagerInfraskope Security Event Manager
Infraskope Security Event Managerlogyonetimi
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
BGA Cyber Security
 
Cp Scom
Cp ScomCp Scom
Cp Scom
ÇözümPARK
 
agem_intern_report
agem_intern_reportagem_intern_report
agem_intern_reportMeliz Ersoy
 
Visual Studio Developer Tools
Visual Studio Developer ToolsVisual Studio Developer Tools
Visual Studio Developer Tools
Uğur Tılıkoğlu
 
VERİTABANI SIZMA TESTLERİ
VERİTABANI SIZMA TESTLERİVERİTABANI SIZMA TESTLERİ
VERİTABANI SIZMA TESTLERİ
BGA Cyber Security
 
İleri Seviye T-SQL Programlama - Chapter 19
İleri Seviye T-SQL Programlama - Chapter 19İleri Seviye T-SQL Programlama - Chapter 19
İleri Seviye T-SQL Programlama - Chapter 19
Cihan Özhan
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
Ertugrul Akbas
 
45965 php-source-code-analysis
45965 php-source-code-analysis45965 php-source-code-analysis
45965 php-source-code-analysis
Attaporn Ninsuwan
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
SCOM 2007 R2 ile SBS 2011 İzlenmesi
SCOM 2007 R2 ile SBS 2011 İzlenmesiSCOM 2007 R2 ile SBS 2011 İzlenmesi
SCOM 2007 R2 ile SBS 2011 İzlenmesiMustafa
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
BGA Cyber Security
 
Yazilim projeleri maliyet tahmini ve cocomo modeli
Yazilim projeleri maliyet tahmini ve cocomo modeliYazilim projeleri maliyet tahmini ve cocomo modeli
Yazilim projeleri maliyet tahmini ve cocomo modeli
Zafer Düzen
 
Ossec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit SistemiOssec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit Sistemi
BilgiO A.S / Linux Akademi
 

Similar to Log yonetimi tecrubeleri (20)

Audit Policy
Audit PolicyAudit Policy
Audit Policy
 
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziBilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
 
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonAçık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
 
Yazilim mi̇mari̇leri̇(aoy)
Yazilim mi̇mari̇leri̇(aoy)Yazilim mi̇mari̇leri̇(aoy)
Yazilim mi̇mari̇leri̇(aoy)
 
Solarwinds SAM ve Patch Manager
Solarwinds SAM ve Patch ManagerSolarwinds SAM ve Patch Manager
Solarwinds SAM ve Patch Manager
 
Infraskope Security Event Manager
Infraskope Security Event ManagerInfraskope Security Event Manager
Infraskope Security Event Manager
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
 
Cp Scom
Cp ScomCp Scom
Cp Scom
 
agem_intern_report
agem_intern_reportagem_intern_report
agem_intern_report
 
Visual Studio Developer Tools
Visual Studio Developer ToolsVisual Studio Developer Tools
Visual Studio Developer Tools
 
VERİTABANI SIZMA TESTLERİ
VERİTABANI SIZMA TESTLERİVERİTABANI SIZMA TESTLERİ
VERİTABANI SIZMA TESTLERİ
 
İleri Seviye T-SQL Programlama - Chapter 19
İleri Seviye T-SQL Programlama - Chapter 19İleri Seviye T-SQL Programlama - Chapter 19
İleri Seviye T-SQL Programlama - Chapter 19
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
 
Mart
MartMart
Mart
 
45965 php-source-code-analysis
45965 php-source-code-analysis45965 php-source-code-analysis
45965 php-source-code-analysis
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
 
SCOM 2007 R2 ile SBS 2011 İzlenmesi
SCOM 2007 R2 ile SBS 2011 İzlenmesiSCOM 2007 R2 ile SBS 2011 İzlenmesi
SCOM 2007 R2 ile SBS 2011 İzlenmesi
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
 
Yazilim projeleri maliyet tahmini ve cocomo modeli
Yazilim projeleri maliyet tahmini ve cocomo modeliYazilim projeleri maliyet tahmini ve cocomo modeli
Yazilim projeleri maliyet tahmini ve cocomo modeli
 
Ossec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit SistemiOssec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit Sistemi
 

More from Ertugrul Akbas

BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
Ertugrul Akbas
 
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiOlay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Ertugrul Akbas
 
SOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde KorelasyonSOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde Korelasyon
Ertugrul Akbas
 
SIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda AlmakSIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda Almak
Ertugrul Akbas
 
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve FiyatıSureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
Ertugrul Akbas
 
Neden SureLog?
Neden SureLog?Neden SureLog?
Neden SureLog?
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 
SureLog SIEM Fast Edition
SureLog SIEM Fast EditionSureLog SIEM Fast Edition
SureLog SIEM Fast Edition
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 
SureLog intelligent response
SureLog intelligent responseSureLog intelligent response
SureLog intelligent response
Ertugrul Akbas
 
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
Ertugrul Akbas
 
Detecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEMDetecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEM
Ertugrul Akbas
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
Ertugrul Akbas
 
Siem tools
Siem toolsSiem tools
Siem tools
Ertugrul Akbas
 
KVKK
KVKKKVKK
KVKK
Ertugrul Akbas
 
KVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data DiscoveryKVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data Discovery
Ertugrul Akbas
 
SureLog SIEM Profiler
SureLog SIEM ProfilerSureLog SIEM Profiler
SureLog SIEM Profiler
Ertugrul Akbas
 

More from Ertugrul Akbas (20)

BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetiml...
 
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının ÖnemiOlay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
Olay Müdahale İçin Canlı Kayıtların Saklanmasının Önemi
 
SOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde KorelasyonSOC ve SIEM Çözümlerinde Korelasyon
SOC ve SIEM Çözümlerinde Korelasyon
 
SIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda AlmakSIEM den Maksimum Fayda Almak
SIEM den Maksimum Fayda Almak
 
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve FiyatıSureLog SIEM Fast Edition Özellikleri ve Fiyatı
SureLog SIEM Fast Edition Özellikleri ve Fiyatı
 
Neden SureLog?
Neden SureLog?Neden SureLog?
Neden SureLog?
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM Fast Edition
SureLog SIEM Fast EditionSureLog SIEM Fast Edition
SureLog SIEM Fast Edition
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
SureLog intelligent response
SureLog intelligent responseSureLog intelligent response
SureLog intelligent response
 
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
SureLog SIEM Has The Best On-Line Log Retention Time (Hot Storage).
 
Detecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEMDetecting attacks with SureLog SIEM
Detecting attacks with SureLog SIEM
 
SureLog SIEM
SureLog SIEMSureLog SIEM
SureLog SIEM
 
Siem tools
Siem toolsSiem tools
Siem tools
 
KVKK
KVKKKVKK
KVKK
 
KVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data DiscoveryKVKK Siperium Data Analyzer & Data Discovery
KVKK Siperium Data Analyzer & Data Discovery
 
SureLog SIEM Profiler
SureLog SIEM ProfilerSureLog SIEM Profiler
SureLog SIEM Profiler
 

Log yonetimi tecrubeleri

  • 1. Log Yönetimi Tecrübeleri eakbas@gmail.com Aşağıda gerçekleştirilen projeler, daha önceden başka ekipler tarafından yapılan projelerin analizlerinde elde ettiğim tecrübelerimi paylaşmaya çalıştım. Aşağıda teknik unsurlar özetlenmeye çalışılacak. Bununla birlikte bir projenin başarılı olabilmesi için proje ekibinin çok önemli bir etken olduğu unutulmamalıdır. Log yönetimi projelerinde genelde karşılaşılan problemleri özetlemek gerekirse: o o o Sistemin ürettiği verinin Log Yönetim yazılımı tarafından karşılanamaması Log Yönetim Sisteminin EPS değerlerinin yeterli olmaması ve kullanıcının bunun farkında olmaması o Veri kaybı o Aranılan verinin bulunamaması o Yedeklerden geri dönememe o Arama kriterlerinin beklenen seviyede olmaması o Raporlama yeteneklerinin ileride çıkacak ihtiyaçlara göre planlanmamış olması o Logların eksik alınması o Mail Server o WEB Server o FTP Server o DC ve diğer Serverlar vb.. Logların kısa süreli kaydedilmesi. o Satın almaya kadar ortam ölçeklendirmesini ertelemek (EPS değerleri) o Sadece fiyatına bakıp seçim yapmak (En çok rastlana durumlardan biri) o Neleri log'lamanız gerektiğini üretici firmanın size söylemesini beklemek o Hukuk ekibini gözardı etmek o Arayüz çok kullanışlı o yüzden desteğe ihtiyaç yok vb.. Son 5 madde ayrıca Anton Chuvakin'in Six MIstakes of Log Management makalesinde de ifade edilmiştir. http://www.slideshare.net/anton_chuvakin/csi-netsec-2007-six-mistakes-of-log-management-byanton-chuvakin
  • 2. 1 Log Yakalama veya Log Kaçırmama Özelliği Bir log yönetim sisteminin en önemli özelliği gelen bütün logları yakalamak ve işlemektir. Sistemin bu özelliği bir proje yapılırken neredeyse hiç göz önünde bulundurulmamaktadır. Saniyede 100 lerce 1000 lerce log oluştuğu ve bu loglar ekrandan çok hızlıca aktığı için gözle oluşan logların kontrolü mümkün değildir. Dolayısı ile gözle kontrol çok yanıltıcıdır. SYSLOG Simulator Sistemlerin gönderilen bütün logları karşılayıp karşılayamadıklarını ölçmenin pek çok yöntemi mevcuttur. En kolay yöntemi bir SYSLOG Simulator kullanıp saniyede belirlenen adette log göndermek ve bunun sistem tarafından yakalanıp yakalanmadığına bakmaktır. Bunu yaparken sistemin ortalamanın 2-3 katına belli tepe ( peak) zamanlarında çıkabileceğini de hesaba katıp ona göre log göndermektir. Log Yönetimi projelerinin demo aşamalarında en önemli parametrenin atlandığı ve bundan dolayı aslında amaca hizmet etmeyen ya da lazım olduğunda işe yaramayan, aranan verinin bulunamadığı bir kurulum ortaya çıkmış olur. Bu parametre kurulan sistemlerin vaat edilen EPS değerlerini sağlayabilmeleridir. Sistemlerin gönderilen bütün logları karşılayıp karşılayamadıklarını ölçmenin pek çok yöntemi mevcuttur. En kolay yöntemi bir SYSLOG Simulator kullanıp saniyede belirlenen adette log göndermek ve bunun sistem tarafından yakalanıp yakalanmadığına bakmaktır. Bunu yaparken sistemin ortalamanın 2-3 katına belli tepe ( peak) zamanlarında çıkabileceğini de hesaba katıp ona göre log göndermektir. Örnek SYSLOG Simulatorler: http://www.theonesoftware.com/syslog_sender.php http://sourceforge.net/projects/nxlog-ce/?source=directory http://sourceforge.net/projects/syslog-slogger/ ayrıca profesyonel ürünün üreticilerinin tamamı bu testleri hem kendi ürünleri hem de müşteri talebi ile herhangi bir ürün üzerinde yapabilmektedir.
  • 3. 2 ANET yazılım olarak 100 K EPS değerlerine erişmemizi sağlayacak bir altyapıyı test etmek için özel olarak geliştirdiğimiz SYSLOG simülatörümüzü kullanmaktayız. Bu aracın konfigürasyon dosyasında log üretme hızı vs.. ayarlanabilmektedir logsize=10000 totallogs=50000000 sleeptime=1000 fast=true logsize parametresi EPS değerini totlalogs ise toplamda kaç log gönderileceğini belirtmektedir. Ayrıca projelerde geliştirdiğimiz bu ve benzeri araçlarda danışmanlık desteği de sunmaktayız. Testler yapılırkan normal şartlar için değil Peak EPS değerleri için test edilmelidir. Burada en önemli kriter 1. Belirli bir sayıdaki logu belirli sürede gönderebilmek 2. Toplam log sayısına değil de saniyede kaç adet gönderilebildiğini hesaba katmaktır. Kiwi veya yukarıda linki verilen yazılımlar ile 30-40 EPS i aşmak mümkün değildir. Bunun için ANET yazılımdan destek alınabilir info@anetyazilim.com.tr Ya da üçüncü bir parti yazılım kullanılmak istenirse aşağıdaki linkteki ürün kullanılabilir
  • 4. 3 http://sourceforge.net/projects/syslog-slogger/ bu linkten Slogger-v0.6.zip dosyası indirilip açıldıktan sonra aşağıdaki gibi bir dosya yapısı ile karşılaşılacaktır Burada sadece run.bat dosyası kullanıcı tarafından oluşturulmalıdır. Bu dosyanın içeriği ise “java -cp .bin;.3rdPartySyslog.jar org.slogger.Slogger” şeklindedir. Tabi sistemde java yüklü olduğundan emin olun. Bunu için komut satırında aşağıdaki komut “java -version” çalıştırılır Yazılım çalıştıktan sonra aşağıdaki gibi bir sonuç üretir.
  • 5. 4 Burada EPS değerini 977 olarak görürsünüz. Bu parametreler ise slogger.properties dosyasından ayarlanmaktadır. Örneğin 1000 EPS hız ile 200 000 log göndermek için aşağıdaki parametreleri kullanabilirsiniz. ## slogger Properties file ## configure slogger options. ## program options. syslogProvider=org.slogger.provider.randomMessageProvider.RandomSyslogProvider #syslogPublisher=org.slogger.publisher.FilePublisher syslogPublisher=org.slogger.publisher.NetworkPublisher ## Control the rate at which messages are sent. ##Delay added between messages in millis. 0 means no delay. ## If maxEpsRate is specfied, this value is ignored. #delayBetweenMessages=0 maxEpsRate=1000 promptForStart=FALSE displayCounters=TRUE displaySentMessages=TRUE ## FileTarget Options FilePublisher.file=syslog.log ## Network publisher options NetworkPublisher.host=localhost NetworkPublisher.port=514 NetworkPublisher.sourceAddressEncapString= NetworkPublisher.keepMessageCounters=FALSE ## RandomMessageProvider options. ## Global message options ## Message Count rmp.messageCount=200000 rmp.useEmblem=true rmp.sources=10.1.1.1,10.1.1.2,10.1.1.3 rmp.levels=3 rmp.facility=ASA rmp.sourcePort=5555
  • 6. 5 rmp.targetHost=2.2.2.2 rmp.targetPort=targetPort rmp.timeStamp=timeStamps rmp.inputSyslogFile=input_syslogs.log ###Messages to be generated rmp.message.1.multiplier=1 rmp.message.1.messageText=302013: Built <<inbound,outbound>> TCP connection <<1-100000>> for inside:<<1.1.0.0,1.1.255.255>>/<<10000-50000>> (<<10.10.10.0,10.10.10.255>>/<<10000-50000>>) to outside:<<128.1.1.1-200.1.1.2>>/<<11024>> (<<21.1.1.1,21.1.1.255>>/<<1-1024>>) rmp.message.2.multiplier=1 rmp.message.2.messageText=302014: Teardown TCP connection <<1-100000>> for <<inside,outside,dmz>>:<<1.1.0.0,1.1.255.255>>/<<10000-50000>> to <<inside,outside,dmz>>:<<128.1.1.1-200.1.1.2>>/<<1-1030>> duration <<100,200,300>> bytes <<100,200,300>> Richa (Ric) rmp.message.3.multiplier=1 rmp.message.3.messageText=302015: Built <<inbound,outbound>> UDP connection <<1-100000>> for inside:<<1.1.0.0,1.1.255.255>>/<<10000-50000>> (<<10.10.10.0,10.10.10.255>>/<<10000-50000>>) to outside:<<128.1.1.1-200.1.1.2>>/<<11024>> (<<21.1.1.1,21.1.1.255>>/<<1-1024>>) rmp.message.4.multiplier=1 rmp.message.4.messageText=302016: Teardown UDP connection <<1-100000>> for <<inside,outside,dmz>>:<<1.1.0.0,1.1.255.255>>/<<10000-50000>> to <<inside,outside,dmz>>:<<128.1.1.1-200.1.1.2>>/<<1-1030>> duration <<100,200,300>> bytes <<100,200,300>> rmp.message.5.multiplier=1 rmp.message.5.messageText=106100: access-list <<acl1,acl2,acl3>> permitted <<TCP,UDP>> outside/<<1.1.0.0,1.1.255.255>>(<<1000050000>>) -> inside/<<128.1.0.0,128.1.255.255>>(<<10000-50000>>) hit-cnt 10 Something [0x1001, 0x1000] rmp.message.6.multiplier=1 rmp.message.6.messageText=106023: Deny tcp src outside:<<1.1.0.0,1.1.255.255>>/<<10000-50000>> dst inside:<<192.168.131.10192.168.135.10>>/<<5060-17000>> by access-group "TRANSIT" [0x298f38e5, 0x0] rmp.message.7.messageText=302020: Built outbound ICMP connection for faddr <<10.20.14.141-10.20.255.255>>/<<0-7>> gaddr <<192.168.5.21-192.168.6.255>>/512 laddr <<192.168.5.21-192.168.6.255>>/512 Yukarıdaki programı kullanarak 1. Belirli bir sayıdaki logu belirli sürede gönderebilmeyi sağlayabiliriz. Burada 200 000 log 2. Toplam log sayısına değil de saniyede kaç adet gönderilebildiğini hesaba katmaktır. Bu da mümkün yaklaşık 1000 EPS değeri (997) sağlanabilmektedir. Ve tabi en önemlisi gönderilen toplam log sayısı ve süresi gözükmektedir. Log Yönetimi Sistemlerinin Log Yakalama (Toplama) Hızı Bir log yönetim sisteminin en önemli özelliği gelen bütün logları yakalamak ve işlemektir. Sistemin bu özelliği bir proje yapılırken neredeyse hiç göz önünde bulundurulmamaktadır. Maalesef görsel unsurlar bu özelliği perdelemektedir.
  • 7. 6 EPS Nedir? Bazı sistemler kullanıcı ve bilgisayar sayısına göre kurgulama ve fiyatlandırma yapmaktadır. Bu doğru bir yaklaşım olmadığı gibi sektörce bilinen yazılımlar EPS değeri kullanmaktadır. Yukarıdaki verilen örnekleri kullanarak bir ölçekleme yaparsak: 100 Cihazlık bir ağ için Ortalama EPS : 40 Peak EPS : 2500 Ortalama Peak EPS: 1500 250 Cihazlık bir ağ için Ortalama EPS : 100 Peak EPS : 6000 Ortalama Peak EPS: 4000 500 Cihazlık bir ağ için Ortalama EPS : 200 Peak EPS : 12500 Ortalama Peak EPS: 7500
  • 8. 7 1000 Cihazlık bir ağ için Ortalama EPS : 400 Peak EPS : 25000 Ortalama Peak EPS: 15000 Önemli olan sistemin Peak EPS değerlerini karşılayabilmesidir. Ortalama EPS ve Ortalama Peak EPS sadece storage ihtiyacı için hesaplamada kullanılacak parametrelerdir.
  • 9. 8 Arama Hızı Diğer önemli bir husus da bu loğların ne hızla raporlara yansıdığıdır. Aşağıda pek çok raporda Big Data ve Veri arama (Search) için önerilen ve milyonlarca dolar ciro yapan firmaların search hızları ile ilgili bir fikir oluşturması açısından alınan örnekleri görebilirsiniz. Herhangi biri daha hızlıdır diye bir görüş ortaya atmak bu çalışmanın konusu değildir. Ticari Ürünlerden Örnek Arama Senaryoları ve süreleri Aşağıdaki örnekler sadece bir fikir oluşturması açısından verilmiştir. Fikir oluşturması açısından Bir fortinate firewalldan gelen SYSLOG paketleri dosyaya yazılırsa ortalama : 1 000 000 (bir milyon) satır 1 GB lık bir text (ASCII) dosya oluşturmaktadır. Örnek Arama Hızları: http://splunk-base.splunk.com/answers/5987/is-there-any-way-to-speed-up-searches http://splunk-base.splunk.com/answers/50503/reducing-time-taken-for-search-in-splunk-query
  • 12. 11 Örnek Bir Arama Kriteri: EPS : 5000 Dakikada oluşan log: 5000 X60 =300 000 (Üçyüzbin) Saatte oluşan log=300 000 X60=18 000 000 (Onsekiz milyon) 10 Saatte Oluşan log = 18 000 000 X10= 180 000 000 (Yüzseksen milyon) Yukarıdaki değerlere bakarak 5000 EPS log akışına sahip bir sistemde 10 saate 180 milyon log oluştuğu ve dolayısı ile herhangi bir 10 saatlik aramanın 180 milyon kayıt arasından olacağı unutulmamalı. Dolayısı ile son 1 ayda en çok “social media “ da gezen kullanıcıların listesi ve sıralaması istendiğinde Eğer 5000 EPS lik bir ağda bu sorgu yapılacaksa 18 000 000 x 24 x 30=12 960 000 000 (yaklaşık 13 milyar) kayıt içerisinde arama , sayma ve sıralama yapılmak zorunda olduğu unutulmamalı Eğer seçilen sistem günlük birkaç milyon log biriktirebiliyorsa (yukarıdaki rakamlarla kıyaslanırsa ne kadar küçük bir rakam olduğu görülür) log arama handikapları gözle tespit edilemez. Sistemlerin kapasiteleri milyarlarca log oluştuğunda ortaya çıkar
  • 13. 12 Kendi Geliştirdiğimiz Sistemlerdeki Durum Nedir? Benzer arama hızı testlerini ANET yazılım tarafından geliştirilen ürünlerle yapınca ortaya çıkan durum: 487 milyon kayıt oluşturuldu. Bu kayıtlar içerisinde KAYNAK IP si diğerlerindne farklı farklı olan logu ilk once ve de en sonra göndererek (Zaman olarak) yaptığıız aşağıdaki fiziksel özelliklere sahip bir sistemdeki testlerde 487 milyon kayıt içerisinde aranan o iki logu bulma süresi 60 saniyedir. Bu arama system 6500 EPS log işlemeye devam ederken yapılan bir testtir ANET yazılım ürün detayları için http://www.anetyazilim.com.tr/Downloads/doc/tr/log_management_compare/ANE T_Log_Compare.pdf
  • 14. 13 Örnek Bir Arama Kriteri: EPS : 5000 Dakikada oluşan log: 5000 X60 =300 000 (Üçyüzbin) Saatte oluşan log=300 000 X60=18 000 000 (Onsekiz milyon) 10 Saatte Oluşan log = 18 000 000 X10= 180 000 000 (Yüzseksen milyon) Yukarıdaki değerlere bakarak 5000 EPS log akışına sahip bir sistemde 10 saate 180 milyon log oluştuğu ve dolayısı ile herhangi bir 10 saatlik aramanın 180 milyon kayıt arasından olacağı unutulmamalı. Dolayısı ile son 1 ayda en çok “social media “ da gezen kullanıcıların listesi ve sıralaması istendiğinde Eğer 5000 EPS lik bir ağda bu sorgu yapılacaksa 18 000 000 x 24 x 30=12 960 000 000 (yaklaşık 13 milyar) kayıt içerisinde arama , sayma ve sıralama yapılmak zorunda olduğu unutulmamalı