Merhaba Değerli Okuyucular, Arkadaşım Eren Ekmekçi ile birlikte hazırladığımız bu teknik rehberi keyifle okumanızı dileriz. Sistem yönetimi ve siber güvenlik alanlarındaki deneyimlerimizi birleştirerek, syslog protokolünden Wazuh SIEM entegrasyonuna kadar kapsamlı bir rehber oluşturduk.
Modern IT altyapılarında güvenlik ve sistem yönetimi açısından log izleme kritik bir öneme sahip. Bu yazıda, sistem yöneticilerinin ve güvenlik uzmanlarının sıkça karşılaştığı syslog protokolünden başlayarak, bu logları Wazuh SIEM sistemi ile nasıl merkezi olarak yönetebileceğimize kadar detaylı bir yolculuk yapacağız.
Syslog Nedir ve Neden Önemlidir?
Syslog (System Logging Protocol), sistem olaylarını merkezi bir yere iletmek için kullanılan endüstri standardı bir protokoldür. İlk olarak UNIX/Linux sistemlerinde yaygın olarak kullanılmaya başlanan bu protokol, günümüzde ağ cihazları (router, switch, firewall), güvenlik uygulamaları ve hatta bazı IoT cihazları tarafından da desteklenmektedir.
Syslog’un Temel Özellikleri
Syslog protokolü üç temel bileşenden oluşan standardize edilmiş log mesajları üretir:
- Zaman damgası (Timestamp): Olayın gerçekleştiği an
- Kaynak bilgisi: Hostname veya IP adresi
- Log içeriği: Olayın detaylı açıklaması
RFC 3164 (klasik syslog) ve RFC 5424 (modern syslog) standartlarıyla tanımlanan protokol, şu format yapısını kullanır:
<PRI>Timestamp Hostname Process: Message
Örnek bir syslog mesajı:
<134>Jul 25 20:13:45 router1 sshd[2345]: Accepted password for admin
Bu örnekte <134> kısmı Priority bilgisini içerir ve hem severity (önem düzeyi) hem de facility (kategori) kodunu barındırır.
Severity Seviyeleri
| Severity | Anlamı | Açıklama |
|---|---|---|
| 0 | Emergency | 🔥 Sistem kullanılamaz durumda |
| 1 | Alert | 🚨 Hemen müdahale gerekiyor |
| 2 | Critical | ⚠️ Kritik durumlar |
| 3 | Error | ❌ Hata koşulları |
| 4 | Warning | ⚡ Uyarı mesajları |
| 5 | Notice | 📢 Normal ama önemli koşullar |
| 6 | Informational | ℹ️ Bilgilendirme mesajları |
| 7 | Debug | 🐞 Hata ayıklama mesajları |
Syslog Server: Merkezi Log Toplama Merkezi
Syslog Server, birden fazla cihazdan gelen syslog mesajlarını merkezi olarak toplayan, saklayan ve analiz eden sistemdir. Bu merkezi yaklaşım, sistem yöneticilerine şu avantajları sağlar:
- Gerçek zamanlı izleme: Logları anlık olarak takip etme
- Filtreleme ve sınıflandırma: Önemli olayları ayırt etme
- Arşivleme: Uzun vadeli saklama ve uyumluluk gereksinimleri
- Analiz ve raporlama: Trend analizi ve güvenlik değerlendirmesi
Popüler syslog server çözümleri arasında rsyslog, syslog-ng, Graylog, Wazuh ve Splunk bulunmaktadır.
Syslog’un Çalışma Mantığı
Syslog protokolünün çalışma prensibi oldukça basittir:
- Olay Oluşumu: Bir cihaz (örneğin router) belirli bir olay yaşar
- Log Oluşturma: Bu olay syslog formatında bir mesaja dönüştürülür
- İletim: Mesaj, belirlenen protokol ve port üzerinden syslog server’a gönderilir
- Toplama: Syslog server mesajı alır ve işler
- Saklama/Analiz: Log dosyaya kaydedilir veya analiz sistemine aktarılır
Önemli bir nokta, syslog bağlantılarının genellikle “stateless” olmasıdır. Yani oturum açılmaz, cihaz logu gönderir ve bağlantı kapanır.
Protokoller ve Port Yapılandırması
Desteklenen Protokoller
| Protokol | Port | Açıklama | Güvenlik |
|---|---|---|---|
| UDP | 514 | En yaygın kullanılan, hızlı ama güvensiz | ❌ Şifresiz |
| TCP | 514 | Daha güvenilir iletim, bağlantı kontrollü | ❌ Şifresiz |
| TCP+TLS | 6514 | Şifreli bağlantı (RFC 5425) | ✅ Şifreli |
Cihaz Yapılandırması Örnekleri
Cisco Router:
conf t
logging host 192.168.1.100 transport udp port 514
logging trap informational
Linux Sistemi (/etc/rsyslog.conf):
*.* @@192.168.1.100:514 # TCP için çift @
*.* @192.168.1.100:514 # UDP için tek @
pfSense Firewall:
- Status > System Logs > Settings menüsünden
- Enable Remote Logging seçeneğini aktifleştir
- Remote log server IP: 192.168.1.100
- Port: 514, Transport: UDP/TCP
Wazuh ile Syslog Entegrasyonu
Wazuh, açık kaynak kodlu bir SIEM (Security Information and Event Management) çözümü olarak syslog loglarını doğrudan okuyabilir ve analiz edebilir. Bu entegrasyon iki farklı yöntemle gerçekleştirilebilir.
Görsel.1 Wazuh Mimarisi
Yöntem 1: Wazuh Syslog Listener
Wazuh Manager’ın syslog mesajlarını doğrudan dinlemesi için /var/ossec/etc/ossec.conf dosyasına şu yapılandırma eklenir:
<remote>
<connection>syslog</connection>
<port>514</port>
<protocol>udp</protocol>
<allowed-ips>192.168.1.0/24</allowed-ips>
<local_ip>192.168.1.100</local_ip>
</remote>
Yapılandırma Parametrelerinin Açıklaması:
<connection>syslog</connection>: Wazuh’a bu bağlantının syslog protokolü kullanacağını belirtir. Agent kurulamayan cihazlar için kullanılır.<port>514</port>: Wazuh’ın hangi portta syslog mesajlarını dinleyeceğini tanımlar. 514, standart syslog portudur.<protocol>udp</protocol>: İletişim protokolünü belirler. UDP hızlı ama güvensiz, TCP daha güvenilir ancak yavaştır.<allowed-ips>192.168.1.0/24</allowed-ips>: Sadece belirtilen IP aralığından gelen syslog mesajlarını kabul eder. Güvenlik için kritik öneme sahiptir.<local_ip>192.168.1.100</local_ip>: Wazuh Manager’ın hangi network interface’inde dinleme yapacağını belirtir. Çoklu ağ kartı olan sistemlerde önemlidir.
Bu yapılandırma ile:
- Wazuh doğrudan syslog mesajlarını alır
- İlgili logları kendi analiz motorunda işler
- Tanımlı kurallara göre güvenlik olaylarını değerlendirir
Yöntem 2: Rsyslog ile Dosya Tabanlı Entegrasyon
Bu yöntemde rsyslog sunucusu logları dosyalara yazar, Wazuh bu dosyaları izler:
1. Rsyslog Yapılandırması (/etc/rsyslog.d/50-firewall.conf):
if $fromhost-ip == '192.168.1.1' then /var/log/firewall.log
2. Wazuh Yapılandırması (ossec.conf):
<localfile>
<log_format>syslog</log_format>
<location>/var/log/firewall.log</location>
</localfile>
Localfile Parametrelerinin Açıklaması:
<log_format>syslog</log_format>: Wazuh’a bu dosyadaki logların syslog formatında olduğunu belirtir. Parser’ın doğru çalışması için gereklidir.<location>/var/log/firewall.log</location>: İzlenecek log dosyasının tam yolunu belirtir. Wazuh bu dosyayı sürekli izler ve yeni satırları analiz eder.
Agent’lı vs Agent’sız Cihazlar
Wazuh ekosisteminde cihazlar iki kategoriye ayrılır:
Agent Kurulabilen Cihazlar
- Windows/Linux sunucular
- Bağlantı türü:
<connection>secure</connection> - Port: 1514 (TLS şifreli)
- Avantaj: Güvenli, çift yönlü iletişim
Agent Kurulamayan Cihazlar
- Router, Switch, Firewall, IoT cihazları
- Bağlantı türü:
<connection>syslog</connection> - Port: 514 (UDP/TCP)
- Kısıtlama: Tek yönlü iletişim
Görsel.2 Ağ Cihazlarından Wazuh SIEM’e Syslog Protokolü ile Log Akışı
Entegrasyon Tablosu
| Cihaz Türü | Agent Durumu | Bağlantı Türü | Port | Protokol |
|---|---|---|---|---|
| Windows/Linux PC | ✅ Kurulabilir | secure | 1514 | TCP+TLS |
| Router/Switch/FW | ❌ Kurulamaz | syslog | 514 | UDP/TCP |
Güvenlik: Syslog Şifreleme
Varsayılan syslog (UDP/TCP 514) şifrelenmemiştir ve güvenlik açığı oluşturabilir. Şifreli log iletimi için şu çözümler kullanılabilir:
TLS ile Güvenli Syslog (RFC 5425)
Rsyslog TLS Yapılandırması:
$DefaultNetstreamDriverCAFile /etc/rsyslog.d/ca.crt
$DefaultNetstreamDriverCertFile /etc/rsyslog.d/server.crt
$DefaultNetstreamDriverKeyFile /etc/rsyslog.d/server.key
module(load="imtcp")
input(type="imtcp" port="6514" StreamDriver="gtls")
Alternatif Güvenlik Çözümleri
- IPSec Tüneli: Ağ seviyesinde şifreleme
- VPN: Sanal özel ağ üzerinden log aktarımı
- SSH Tüneli: Özel durumlar için
Pratik Uygulama Senaryosu
Senaryo Topolojisi
[Router/Firewall] → UDP 514 → [Rsyslog Server] → (File) → [Wazuh Manager]
Adım Adım Kurulum
1. Router Yapılandırması:
logging host 192.168.2.10
logging trap warning
2. Rsyslog Server Yapılandırması:
# /etc/rsyslog.d/10-firewall.conf
if $fromhost-ip == '192.168.1.1' then {
/var/log/firewall.log
stop
}
3. Wazuh Manager Yapılandırması:
<localfile>
<log_format>syslog</log_format>
<location>/var/log/firewall.log</location>
</localfile>
4. Servis Yeniden Başlatma:
systemctl restart rsyslog
systemctl restart wazuh-manager
Best Practices ve Öneriler
Log Yönetimi İçin Öneriler
- Log rotasyonu implementasyonu yapın
- Disk alanını düzenli olarak izleyin
- Kritik loglar için ayrı filtreleme kuralları oluşturun
- Zaman senkronizasyonu (NTP) kullanın
Güvenlik Önerileri
- Mümkün olduğunca TLS şifreleme kullanın
- Firewall kuralları ile log trafiğini kısıtlayın
- Log bütünlüğü kontrollerini implementasyon yapın
- Düzenli backup prosedürlerini uygulayın
Performans Optimizasyonu
- UDP protokolünü yüksek hacimli loglar için tercih edin
- Log filtreleme ile gereksiz trafiği azaltın
- Wazuh kurallarını optimize edin
- Hardware kapasitesini log hacmine göre planlayın
Sonuç
Syslog protokolü, modern IT altyapılarında merkezi log yönetiminin temel taşıdır. Wazuh ile entegrasyonu sayesinde, sadece log toplama değil, aynı zamanda gelişmiş güvenlik analizi de yapabilir, potansiyel tehditleri erken tespit edebilirsiniz.
Bu rehberde anlatılan yapılandırmalar ve best practice’ler, küçük ölçekli ofis ağlarından büyük kurumsal altyapılara kadar her seviyede uygulanabilir. Önemli olan, organizasyonunuzun ihtiyaçlarına uygun protokol ve güvenlik seviyesini seçmek ve düzenli bakım yaparak sistemin etkinliğini korumaktır.
Syslog ve Wazuh entegrasyonu, sadece teknik bir implementasyon değil, aynı zamanda organizasyonunuzun güvenlik olgunluk seviyesini artıran stratejik bir adımdır. Bu rehberin size log yönetimi yolculuğunuzda rehberlik etmesi dileğiyle…
Bu yazı, sistem yöneticileri ve güvenlik uzmanları için hazırlanmış teknik bir rehber niteliğindedir. Okuduğunuz için Teşekkürler.