DİJİTAL AYAK İZLERİNİN PEŞİNDE(LOGLAR BİZE NE ANLATIYOR?)

      Dijital dünyada attığınız her adım, aslında arkada görünmez bir iz bırakıyor. Ve sistemde bir hata oluştuğunda ya da saldırı gerçekleştiğinde; 'Nerede oldu?' ve 'Nasıl oldu?' sorularına yanıt arıyoruz. İşte tam da bu durumda tahminler değil kanıtlar konuşur. Bu soruların cevabı çoğunlukla log kayıtlarında gizlidir. Peki, nedir bu log? Neden bu kadar önemli?

LOG NEDİR?

      Log, bir sistemde gerçekleşen tüm olayların zaman damgalı teknik kayıtlarıdır. Kullanıcı girişleri, hatalar servis hareketleri ve ağ istekleri loglara yazılır. Bir log kaydı temel olarak 4 bilgiyi taşır; zaman, kaynak, işlem ve sonuç. Yani ne oldu? Ne zaman oldu? Kim yaptı? ve Başarılı oldu mu? gibi sorulara cevap verir.

      Adli bilişim süreçlerinde log kayıtları, bir olayın zaman çizelgesini(timeline) oluşturmak için kullanılır. Yetkisiz erişimler, veri sızıntıları, kullanıcı hareketleri, sistem hataları; doğru şekilde tutulmuş loglar sayesinde adım adım analiz edilebilir. Bu sayede olayın sadece sonucu değil, meydana gelme aşaması hakkında da bilgi sahibi olunur. Logların önemi yalnızca saldırıyla kısıtlı değildir. Aynı zamanda kullanıcının gerçekleştirdiği işlemlerin kanıtlanabilirliği açısından da büyük önem taşır. Özellikle hukuki süreçlerde log kayıtları dijital delil niteliği taşıyabilir. Tabi ki bu niteliği taşıması için bütünlüğünün korunması gereklidir, değiştirilmemiş olmalı ve tutarlı zaman damgası içermelidir.

     Kayıtlar genellikle [Zaman] [Seviye] [Konu] [Mesaj] şeklinde tutulur.

Örnek#

     15/09/2024 02:18:45 UTC[WARNİNG] Authentication:Failed login attempt

     {Username:admin , IP: 185.23.44.10}

Bu log kaydı bize ne anlatıyor?

Zaman: 15 Eylül 2024

Seviye: WARNİNG

Konu: Authentication (Kimlik Doğrulama)

Mesaj: Başarısız giriş denemesi  ,  Örnekle paralel olarak LOG LEVEL(Log Seviyelerini) inceleyelim.

LOG SEVİYELERİ

     Uygulamanın çalışması sırasında ortaya çıkan olayların ( hatalar, bilgi mesajları, performans verileri vb..) ciddiyetine/önceliğine göre sınıflandırılmasıdır. Bu sayede log sistemi:

*Hangi log mesajlarını kaydedeceğini kontrol eder.

*Kritik öncelikli hataları diğerlerinden ayırır.

*Fazla detaylı logları yalnızca gerektiğinde alır. Bu sayede karmaşıklığı önler.

    Yaygın log seviyeleri , en kritik olandan(FATAL)  en ayrıntılı olana(TRACE) doğru şöyle sıralanıyor; Fatal, Error, Warn, Info, Debug, Trace.

INFO(Information): Sistemin beklendiği gibi çalıştığını gösteren bilgilendirici kayıtlardır.

WARN(Warning): Sistem çalışır ancak risk taşıyan bir durum oluşmuştur. Hata değildir ama izlenmesi gerekir.

ERROR:Bir işlemin başarısız olduğunu ve beklenen sonucun alınamadığını gösterir.

DEBUG: Uygulamanın çalışma esnasında iç detaylarını  görmek için kullanılan log seviyesidir.

Hazır yeri gelmişken "Logları Debug'a Çıkarmak" nedir peki?

    Eğer bir uygulama INFO seviyesinde çalışıyorsa , sistem sadece INFO, WARN, ERROR, FATAL loglarını yazar. Yani arka plandaki teknik detayları göremezsiniz. İşte bu durumda log seviyesini Debug seviyesine çekersiniz. Yani çıkartmak olarak kullandığımız bu ifade , daha detaylı seviyeye yükseltmektir. Tabi dezavantajları da bulunmakta, performans düşüşü , depolama maliyetiniz arttırma , gizli bilgi sızıntısı riskini de taşır.

TRACE : Sistemin en ince ayrıntısına kadar ne yaptığını görmek için kullanılır. İşlemin hangi adımlarda gerçekleştiği , hangi fonksiyonun hangi sırayla gerçekleştiği bu seviye sayesinde takip edilebilir. Peki ya Debug seviyesinden farkı ne? Debug seviyesi, bir şeyler ters gittiğinde "sorun nerede?" sorusuna cevap vermek için kullanılır. Trace ise "bu işlem saniye saniye nasıl ilerledi?"sorusuna cevap verir.

Trace, Debug 'dan daha detaylı ve gürültülüdür.

    Şimdi log kayıtlarının bir diğer özelliğini inceleyebiliriz. Bu kayıtlar ortamdan bağımsızdır. Daha doğrusu uygulamanın hangi ortam için hazırlandığı önemli değildir. Web uygulamaları, mobil uygulamalar veya masaüstü uygulamalar gibi nerdeyse tüm ortamlarda bu işlemler yapılabilir.

WEB UYGULAMA LOG ÖRNEĞİ

10/01/2025 14:22:10 UTC[INFO] Auth:User logged in succesfully

{Username:Enes , Ip:192.168.1.25}

MOBİL UYGULAMA LOG ÖRNEĞİ

10/01/2025 14:25:42 UTC[ERROR]API: Request timeout

{Endpoint: /api/peyment/userıd: 789}

   Ortamdan bağımsız olarak tutulan log kayıtları ,izlenen olayın niteliğine göre  çeşitli türlere ayrılmaktadır. Aşağıda bu log türleri ele alınmıştır.)

LOG TÜRLERİ

   Dijital dünyada hiçbir iz tamamen kaybolmaz; doğru log türüne bakıldığında her olay konuşmaya başlar. 

1-System Logs(Sistem Logları): Sistem tarafından üretilen loglardır. Servis, donanım ve çekirdek seviyesinde olan olaylar bu loglarda tutulur. İçerdiği başlıca olaylar;  sistem açılış-kapanış, servis başlatma-durdurma, donanım hataları vb. durumlardır.

2-Application Logs(Uygulama Logları): Yazılımın kendi içinde ürettiği loglardır. Web, masaüstü, mobil uygulamalar bu logları üretebilir. Genellikle kullanıcı işlemlerini, iş mantığına ait süreçleri içerir.

3-Security Logs(Güvenlik Logları):Temelde güvenlik ile ilgili olayları kaydeder.İçerdiği bazı kayıtlar; yetkilendirme, erişim, başarılı-başarısız girişler, şüpheli işlemler vb. durumlardır.

4-Network Logs(Ağ Logları): Ağ trafiği ve bağlantılarla ilgili bilgileri içerir. Çoğunlukla swich,router,firewall gibi cihazlar tarafından üretilir. Örnek kayıtlar; gelen-giden bağlantılar, ıp bilgileri , port taramalarıdır.

5-Authentication Logs(Kimlik Doğrulama Logları): Kimlik doğrulama ve yetkilendirme süreçlerini kayıt altına alır. Rol-yetki değişikliklerini, giriş-çıkış işlemlerini içerir.

Her biri farklı bir katmanı temsil etse de, hepsi bir araya geldiğinde olayın perde arkasını ortaya çıkaran güçlü bir kanıt zinciri oluşturur.

Logları sadece okumak değil, anlamlandırabilmek dileğiyle. Adli Bilişim yolculuğunuzda başarılar.

Okuduğunuz için teşekkürler..)