Canlı uygulama trafiğinde anomaliyi yakalamak çoğu kurumda hâlâ log dosyası takip etmek, regex ile aramak veya veriyi ayrı bir SIEM sistemine göndermek anlamına gelir. Bu model olay sonrası inceleme için değerlidir; ancak üretim trafiğinde sorun yaşanırken operatörün saniyeler içinde karar vermesini zorlaştırır. Özellikle saldırı, gecikme artışı veya yanlış engelleme gibi durumlarda gecikmiş görünürlük doğrudan operasyon riskidir.
Toplu log sistemleri genellikle her isteğin tam bağlamını taşımaz. Header, cookie, body alanı, WAAP skor kırılımı, ülke, ASN, kullanıcı bilgisi, yönlendirilen kurum servisi ve yanıt süresi aynı satırda bulunmayabilir. Operatör, bir isteğin neden engellendiğini veya hangi koşulla farklı yönlendiğini anlamak için farklı sistemlerden parçaları birleştirmek zorunda kalır.
Aggregate dashboard'lar da tek başına yeterli değildir. Ortalama yanıt süresi, toplam istek sayısı veya genel hata oranı sorunun varlığını gösterir; fakat hangi path, hangi kullanıcı, hangi ülke, hangi kaynak IP veya hangi WAAP kuralı nedeniyle yaşandığını doğrudan göstermez. Bu yüzden olaydan kurala geçiş çoğu zaman manuel analiz, tekrar test ve deneme-yanılma sürecine dönüşür.
Doğru yaklaşım, canlı akışı istek bazında göstermek ve her isteği platformun karar değişkenleriyle birlikte sunmaktır. Operatör izlemek istediği değişkenleri seçebilmeli, tabloyu durdurabilmeli, son olayları tekrar inceleyebilmeli ve ilgili istekten doğrudan kural üretme sürecine geçebilmelidir.
TR7 Canlı Trafik Takibi bu boşluğu kapatır: canlı trafiği yalnızca izlenen veri değil, doğrudan aksiyona dönüştürülebilen operasyon sinyali haline getirir.
TR7, canlı trafik takibini anlık iletim, ortak istatistik toplama, FX değişken görünürlüğü ve kural üretimi arasında kurulan bir operasyon köprüsü olarak tasarlar.
Diğer on-prem ADC ve WAAP ürünlerinde bu derinlikte canlı analiz için ayrı bir yönetim VM'i ya da merkezi controller platformu dağıtmak ve işletmek gerekir. TR7 canlı trafik takibi, trafiği taşıyan cihazın içindeki operatör konsolunda çalışır; ikinci bir platforma lisans, kapasite veya operasyon yükü gelmez.
Operatör izlemek istediği havuzu, güncelleme aralığını ve filtreyi seçerek canlı akışa abone olur. Sistem belirlenen aralıkta veriyi istemciye iletir; operatörün sürekli sorgu çalıştırmasına gerek kalmaz.
Katman 7 ve katman 4 havuzlarından gelen istatistikler aynı canlı takip modeline taşınır. Operatör farklı trafik tipleri için ayrı ekran veya ayrı izleme mantığı öğrenmez.
TR7'nin değişken kataloğundaki istek, yanıt, kullanıcı, güvenlik ve ağ bağlamı canlı takip ekranında kullanılabilir. Operatör tüm alanları aynı anda görmek yerine ihtiyacı olan değişkenleri seçer, filtreler ve gruplar.
Canlı tabloda görülen bir istek, yeni trafik veya güvenlik kuralı için başlangıç noktası olabilir. Path, kaynak IP, ülke, kullanıcı, WAAP skoru veya header değeri kural editörüne önceden doldurulmuş şekilde taşınır.
Canlı Trafik Takibi, üretim trafiğini seçilebilir değişkenlerle görünür kılar ve gözlemi doğrudan operasyon aksiyonuna bağlar.
Operatör izlemek istediği havuzu seçer ve canlı güncelleme aralığını belirler. Aralık 1 ile 60 saniye arasında ayarlanabilir; varsayılan değer 5 saniyedir. Bu model, hem yoğun trafik ortamlarında kontrollü izleme hem de düşük hacimli servislerde daha yakın takip sağlar. Canlı akış, seçili havuzun durumuna göre başlatılır ve yönetilir.
Canlı tabloda request line, header, cookie, body alanı, yanıt kodu, yanıt süresi, kurum servisi adı, WAAP skoru, ülke, ASN ve kullanıcı bağlamı gibi alanlar izlenebilir. Operatör 200+ değişken içinden ihtiyacı olanları seçerek tabloyu sadeleştirir. Bu yaklaşım, her şeyi aynı anda göstermeye çalışmak yerine amaca uygun görünürlük sağlar. Sorunun kaynağına göre tablo güvenlik, performans veya kullanıcı bağlamına odaklanabilir.
Canlı akış filtreyle daraltılarak yalnızca belirli alan setleri veya belirli koşullara uyan istekler izlenebilir. Operatör path, durum kodu, WAAP skoru, ülke, kaynak IP veya kullanıcı bilgisi gibi alanlara odaklanabilir. Bu, yoğun trafik altında tabloyu okunabilir tutar ve gereksiz veri taşınmasını azaltır. İzleme ekranı log yığınına dönüşmeden karar destek paneli olarak kalır.
Operatör canlı akışı durdurabilir ve istemci tarafındaki replay buffer'da tutulan son olayları tekrar inceleyebilir. Bu özellikle hızlı geçen WAAP engellemesi, ani gecikme artışı veya tekil şüpheli isteklerde değerlidir. Canlı akış kesilmeden önceki olaylar tablo üzerinde analiz edilebilir. Böylece anomaliyi yakalamak için aynı isteğin tekrar oluşmasını beklemek gerekmez.
Seçili bir istekten yola çıkarak kural editörüne geçilebilir. İsteğin path, header, kaynak IP, kullanıcı, ülke veya WAAP skoru gibi değerleri kural koşulu için önceden doldurulabilir. Operatör bu başlangıcı daraltır, genelleştirir veya güvenli hale getirerek kaydeder. Bu akış, "bu isteği nasıl engellerim veya yönlendiririm?" sorusunu manuel analizden çıkarıp uygulanabilir kural tasarımına taşır.
Canlı trafik abonelikleri sınırsız açık kalacak şekilde tasarlanmaz. Maksimum abonelik süresi 30 dakikadır; süre sonunda abonelik otomatik sonlandırılır. Bağlantısı kopan istemciler için düzenli temizlik yapılır ve zombie aboneliklerin kaynak tüketmesi engellenir. Aynı istemci-havuz kombinasyonu yeniden abone olduğunda eski abonelik temizlenerek yeni akış başlatılır.
İzlenen havuz silinirse veya artık erişilebilir değilse sistem canlı akışı sessizce bozuk bırakmaz. İstemciye hata olayı gönderilir ve ekran tarafında temizlik yapılabilir. Bu davranış, operasyon ekranında eski veya geçersiz verinin canlı trafik gibi görünmesini engeller. Değişen konfigürasyon canlı izleme sürecine güvenli biçimde yansır.
Canlı trafik aboneliklerinin başlama ve bitiş olayları loglanabilir. Kim hangi havuzu izledi, ne zaman abonelik başlattı veya durdurdu bilgisi operasyonel takip için değerlidir. Özellikle güvenlik olaylarında canlı izleme erişimi de inceleme zincirinin parçası olur. Bu görünürlük, canlı takip ekranının kontrolsüz bir gözlem aracı haline gelmesini engeller.
Canlı trafik takibi; zamanlayıcı güvenliği, bağlantı kopması, bant genişliği, konfigürasyon değişimi ve audit davranışlarıyla birlikte işletilir.
Canlı veri toplama belirlenen aralıklarla çalışır ve ilk veri mümkün olduğunda hemen gönderilir. Uzun süren toplama işlemlerinin sonraki döngüleri kontrolsüz biçimde üst üste bindirmemesi gerekir. Bu model, canlı izleme sırasında yönetim düzleminin kararlı kalmasına yardımcı olur.
Her izleme aralığında havuzun güncel konfigürasyonu dikkate alınır. Havuz değişiklikleri canlı takip ekranına yansıyabilir ve operatör eski topolojiye göre karar vermek zorunda kalmaz. Bu özellikle bakım, geçiş ve ani yönlendirme değişikliklerinde önemlidir.
İstemci bağlantısı koptuğunda ilgili canlı trafik abonelikleri temizlenir. Böylece sunucu tarafında sahipsiz izleme işleri birikmez. Ağ kesintisi yaşandığında istemcinin görmediği olaylar kaybolabilir; replay buffer istemci tarafında tutulduğu için bu sınır operasyonel olarak bilinmelidir.
İstek başına canlı veri yükü seçilen alanlara göre değişir. Tipik istek bağlamı 2-5 KB düzeyinde olabilir; saniyede 100 istek izlendiğinde operatör başına yaklaşık 500 KB/s canlı trafik oluşabilir. Bu nedenle yoğun sistemlerde alan seçimi, filtreleme ve aralık ayarı birlikte planlanmalıdır.
Sistem aktif abonelik sayılarını düzenli aralıklarla loglayabilir. Bu bilgi, yönetim düzlemi üzerindeki izleme yükünü anlamak için kullanılır. Operasyon ekipleri yoğun canlı takip kullanımlarını kapasite ve erişim kontrolü açısından değerlendirebilir.
Yüksek erişilebilirlik kümesinde canlı trafik görünümü bağlanılan düğümün gördüğü trafikle sınırlıdır. Bu davranış net biçimde bilinmelidir; operatör hangi düğüm üzerinden gözlem yaptığını dikkate almalıdır. Küme genelindeki toplam görünüm bu sayfada gerçek özellik olarak konumlandırılmaz.
Güvenlik ekibi, engellenen bir isteği canlı tabloda WAAP skoru ve kural bağlamıyla birlikte görebilir. İstek gerçekten güvenliyse, aynı ekrandan uygun whitelist veya daraltılmış istisna kuralı üretme akışına geçilir.
SRE ekibi, belirli bir kurum servisinde yanıt süresinin yükseldiğini canlı tabloda fark edebilir. Path, havuz, düğüm ve yanıt süresi birlikte görünür olduğu için sorun aggregate grafikte kaybolmaz.
Telekom ve güvenlik operasyon ekipleri, belirli ülke veya ASN kaynaklı anormal istek yoğunluğunu canlı akışta takip edebilir. Gözlenen örnek isteklerden kaynak, path veya pattern bazlı koruma kuralı üretilebilir.
SaaS ekipleri, belirli bir kullanıcı veya API anahtarının normal dışı trafik üretip üretmediğini canlı tabloda izleyebilir. Kullanıcı bağlamı, path ve yanıt davranışı birlikte görüldüğü için oran sınırlama veya erişim kuralı daha doğru yazılır.
200+ FX değişkeniyle istek bazında görünürlük, pause/replay ve tek tıkla kural üretimi. Kendi ortamınızla canlı bir kurulumda gezdirelim.