Kurumsal güvenlik operasyonlarında WAAP, ADC, AAM, sağlık kontrolü, yönetici aksiyonları ve GTM olayları tek başına ürün ekranında kalmamalıdır. SOC ekipleri bu olayları kendi SIEM, log analitiği ve uyumluluk sistemlerinde görmek ister. Eğer üretici logları kapalı veya dönüştürmesi güç formatlarda tutuyorsa, olay inceleme süreci parçalanır.
Farklı SIEM sistemleri farklı format beklentileriyle çalışır. Bazı ekipler JSON ile arama ve indeksleme yapmak ister, bazıları CEF ile hazır parser kullanır, bazıları ise sade plainText syslog akışını tercih eder. Tek format dayatan ürünler entegrasyon süresini uzatır ve log normalizasyonunu kurumun üzerine bırakır.
Multi-tenant veya namespace ayrımlı ortamlarda log akışı daha da hassas hale gelir. Her tenant'ın logu kendi SIEM'ine gitmeli, farklı namespace'lerdeki olaylar birbirine karışmamalıdır. Tek global syslog çıkışı bu tür yapılarda hem izolasyon hem denetim açısından yetersiz kalır.
Bir başka sorun log hacmidir. Sağlık kontrolü veya yoğun güvenlik olaylarında her küçük olayın SIEM'e taşınması maliyet ve gürültü oluşturabilir. Bu nedenle kaynak bazlı filtreleme, sağlık kontrolü verbose ayarı, çoklu profil ve gerekirse örnekleme yaklaşımı log operasyonunun parçası olmalıdır.
TR7 SIEM Log Akışı, namespace bazlı transport profilleri, UDP/TCP syslog, RFC3164/RFC5424 desteği, JSON/CEF/plainText mesaj formatları ve kaynak bazlı filtreleme ile platform olaylarını kurumun kendi SIEM hattına taşır.
TR7, log aktarımını tek bir global çıkış olarak değil, namespace, format, kaynak ve hedef bazında yönetilen profil modeliyle ele alır.
Her network namespace için ayrı log transport süreci çalıştırılabilir. Bu model multi-tenant ortamlarda log akışlarının birbirine karışmasını engeller ve her tenant'ın kendi SIEM hedefine yönlenmesini sağlar.
Log mesajları JSON, CEF veya plainText olarak üretilebilir. JSON arama ve indeksleme için, CEF hazır SIEM parser'ları için, plainText ise genel syslog uyumluluğu için kullanılır.
Her transport profilinde hangi log kaynaklarının gönderileceği seçilir. Admin aksiyonları, sağlık kontrol olayları, bildirimler, GTM olayları ve güvenlik olayları ihtiyaca göre ayrı profillerle yönetilebilir.
Log transport profilleri yönetim verisinden senkronize edilir. Profil eklendiğinde, değiştiğinde veya kaldırıldığında ilgili namespace süreci güncellenir; tüm sistemi yeniden başlatma yaklaşımı gerekmez.
SIEM Log Akışı, TR7 platform olaylarını standart syslog transportları ve SIEM-dostu mesaj formatlarıyla dış log altyapısına taşır.
UDP transport, geleneksel syslog topolojileriyle uyumlu hızlı bir çıkış modelidir. Varsayılan syslog portu 514 kullanılabilir veya profil seviyesinde farklı port seçilebilir. LAN içi güvenilir ağlarda düşük operasyon maliyetiyle log aktarımı sağlar. UDP doğası gereği teslim garantisi sunmadığı için kritik ortamlarda TCP tercih edilebilir.
TCP transport, SIEM hedefine bağlantılı log akışı kurmak isteyen ekipler için kullanılır. Profilde hedef host, port ve timeout değeri tanımlanabilir; tipik TCP timeout değeri 10000 ms olarak kullanılabilir. TCP, UDP'ye göre daha kontrollü taşıma sağlar ancak hedef sistem yavaşladığında bağlantı davranışı izlenmelidir.
RFC3164, geleneksel BSD syslog formatı kullanan sistemlerle entegrasyon için desteklenir. syslogAppName profil alanı mesaj prefix'i olarak kullanılabilir; varsayılan değer TR7_syslog_client olabilir. Eski SIEM veya syslog alıcıları için sade ve yaygın uyumluluk sağlar. Bu format, modern structured data ihtiyacı olmayan ortamlarda pratik seçimdir.
RFC5424, daha modern syslog standardı olarak structured data alanlarıyla kullanılabilir. TR7 log profili bu standardı seçerek daha düzenli ve makine tarafından işlenebilir syslog mesajları üretebilir. SIEM tarafında alan ayrıştırma ve olay sınıflandırma daha tutarlı hale gelir. JSON veya CEF payload ile birlikte kullanıldığında güçlü bir entegrasyon modeli sağlar.
JSON formatında timestamp, source, severity, message ve meta alanları makine tarafından kolayca işlenebilir. Log analitiği, indeksleme ve sorgu sistemleri için alan bazlı arama kolaylaşır. SOC ekipleri olayları metin satırı olarak değil, ayrıştırılmış alanlar olarak inceleyebilir. Bu format özellikle modern log platformlarıyla entegrasyonda tercih edilir.
CEF mesajları CEF:0|TR7|LogTransport|1.0|...| yapısıyla üretilebilir. Severity değerleri 0-10 ölçeğine eşlenir; info 3, warning 5, error 7 ve critical 10 gibi seviyeler kullanılabilir. Key-value alanları SIEM tarafında hazır parser'larla işlenebilir. Bu format, olay sınıflandırma ve korelasyon için standart CEF akışı isteyen SOC ekiplerine uygundur.
PlainText formatı ISO timestamp, severity, source ve message alanlarını okunabilir metin olarak üretir. Karmaşık parser gerektirmeyen veya geçici entegrasyon yapılan ortamlarda hızlı devreye alınabilir. İnsan tarafından okunabilirliği yüksektir. JSON veya CEF'in gereksiz olduğu basit log hedefleri için uygundur.
userLogs admin aksiyonlarını, hcLogs sağlık kontrol olaylarını, notificationLogs sistem bildirimlerini, gtmLogs ise GTM olaylarını temsil eder. Her profil yalnızca ihtiyaç duyduğu kaynakları gönderecek şekilde tanımlanabilir; böylece ilgili log sınıfları seçilir ve SIEM'e gereksiz olay basılmaz. WAAP güvenlik olayları da aynı transport hattıyla kurumun log altyapısına taşınabilir.
Sağlık kontrol logları yoğun sistemlerde fazla hacim üretebilir. hcLogsVerbose false olduğunda yalnızca stateChange koşulu taşıyan sağlık kontrol olayları gönderilebilir. Bu yaklaşım SIEM gürültüsünü azaltır ve sadece anlamlı kurum servisi durum değişikliklerini öne çıkarır. Hata ayıklama dönemlerinde verbose davranış geçici olarak açılabilir.
Aynı namespace içinde birden fazla transport profili tanımlanabilir. Bir profil CEF formatında SOC SIEM'e gönderirken, başka bir profil JSON formatında log analitiği sistemine aktarım yapabilir. Bu yapı aynı log akışını farklı ekiplerin ihtiyacına göre çoğaltır. Multi-target senaryosu ayrı bir dış log yönlendirici kurma ihtiyacını azaltır.
SIEM Log Akışı; formatlama, profil senkronizasyonu, validasyon, hata izolasyonu ve mesaj temizleme davranışlarıyla birlikte işletilir.
CEF vendor ve product alanları TR7 / LogTransport / 1.0 olarak üretilebilir. Severity eşlemesi 0-10 ölçeğinde yapılır. Mesaj alanları key-value yapısıyla SIEM parser'larının okuyabileceği hale getirilir.
syslogAppName profil alanı syslog mesajlarında uygulama adı olarak kullanılabilir. Varsayılan değer TR7_syslog_client olabilir. Bu alan SIEM tarafında kaynak ayrımı ve filtreleme için önemlidir.
Profil değişiklikleri namespace bazında gruplanarak ilgili transport süreçlerine uygulanır. Eski profil kaldırıldıysa ilgili süreç sonlandırılır. Yeni veya değişen profil restart gerektirmeden aktif log akışına alınabilir.
transportType değeri syslog değilse profil mevcut syslog transport hattına alınmaz. Bu yapı ileride farklı transport türlerine genişleme için alan bırakır. Mevcut destek UDP ve TCP syslog ile sınırlıdır.
Syslog istemci bağlantı ve hata olayları internal logger üzerinden kaydedilir. Hedef SIEM bağlantı hataları ana yönetim sürecini düşürmez. Operatör bağlantı problemlerini loglardan ve profil durumundan izleyebilir.
UI kaynaklı mesajlarda HTML içeriği varsa syslog'a gönderilmeden önce metin içeriği çıkarılabilir. Bu özellikle CEF formatında alan güvenliği ve parser tutarlılığı için önemlidir. Log mesajı SIEM'e daha temiz ve güvenli biçimde taşınır.
Güvenlik ekibi WAAP olaylarını CEF formatında SIEM'e gönderebilir. Kural, severity, source ve meta alanları SIEM parser'ları tarafından işlenir. SOC ekibi TR7 arayüzüne girmeden olayları kendi korelasyon ekranında görür.
Operasyon ekibi JSON formatını seçerek logları alan bazlı indekslenebilir şekilde dış log platformuna aktarabilir. Timestamp, source, severity ve meta alanları sorgulanabilir hale gelir. Hata analizi ve trend çıkarımı kolaylaşır.
Yönetilen servis sağlayıcı her tenant için ayrı namespace ve ayrı log transport profili tanımlayabilir. Her kiracının logları kendi SIEM hedefine gider. Tenant verilerinin aynı log akışında karışması önlenir.
Compliance ekipleri userLogs, notificationLogs ve sağlık kontrol state-change olaylarını merkezi SIEM'e mirror edebilir. Lokal loglar silinse veya rotasyona girse bile kritik olayların dış sistemde tutulması sağlanır. Denetimlerde yönetici aksiyonları ve sistem olayları geriye dönük incelenebilir.
Namespace bazlı profiller, JSON/CEF/plainText formatları ve kaynak bazlı filtreleme — kendi ortamınızda canlı kurulumda gezdirelim.