Modern güvenlik mimarisinde SIEM, Cihaz Tehdit Koruması (EDR), log analitiği ve uyumluluk arşivi farklı sistemler olarak çalışır; her biri kendi log akışını ister. Ağ cihazları, sunucular ve uygulamalar hâlâ yoğun biçimde syslog üretir; UDP 514 ise birçok ortamda en yaygın taşıyıcıdır. Bu trafiği klasik bir yük dengeleyiciyle dağıtmaya çalıştığınızda, UDP'nin bağlantısız yapısı ve syslog'un düşük kayıp toleransı nedeniyle sorun hızlıca görünür hale gelir.
Klasik katman 4 dağıtım yaklaşımları UDP trafiğini çoğu zaman genel amaçlı hash veya basit dağıtım mantığıyla ele alır. Bu durumda aynı kaynak cihazın aynı olay dizisine ait log'ları farklı SIEM düğümlerine düşebilir. Olay korelasyonu bozulur; güvenlik ekibi tek bir cihazın veya uygulamanın olay zincirini bir araya getirmek için fazladan çalışma yapmak zorunda kalır.
Bağımsız log collector katmanı kurmak güçlü bir çözümdür; ancak ayrı altyapı, ayrı yüksek erişilebilirlik modeli, ayrı izleme, ayrı sertifika yönetimi ve ayrı uyumluluk denetimi getirir. SIEM önünde yalnızca toplama ve yönlendirme yapmak isteyen kurumlar için bu ek katman çoğu zaman operasyon yükünü artırır.
Gerçek ihtiyaç yalnızca log'u bir hedefe göndermek değildir. Aynı log'un production SIEM, compliance arşivi ve geliştirme analiz ortamına paralel gönderilmesi; bazı hedeflere sampling uygulanması; aynı kaynak cihazın log'larının aynı SIEM düğümüne düşmesi; çoklu kiracı ortamında log akışlarının namespace seviyesinde ayrılması gerekir.
TR7 Syslog Toplama ve Yönlendirme Proxy'si bu ihtiyacı tek katmanda karşılar: UDP ve TCP syslog'u yerli olarak alır, roundrobin / weighted / log-hash algoritmalarıyla dağıtır, fan-out ve sampling sağlar, namespace bazlı ingress-egress izolasyonu sunar ve bozuk RFC'siz log'ları kırmadan iletir.
TR7, syslog trafiğini genel amaçlı UDP dağıtımı olarak değil, SIEM önünde çalışan kontrollü log akışı altyapısı olarak tasarlar.
UDP ve TCP syslog trafiği TR7'nin syslog yönlendirme katmanında dinlenir. Aynı arayüz üzerinden iki protokol de yönetilebilir; TCP tarafında hedef sistem sağlığı dikkate alınarak bozuk veya erişilemeyen hedefler devre dışı bırakılabilir.
Roundrobin eşit dağıtım, weighted ağırlıklı dağıtım, log-hash ise içerik bazlı tutarlı yönlendirme sağlar. Log-hash özellikle aynı kaynak cihaz veya uygulamaya ait kayıtların aynı SIEM düğümünde toplanması için kritiktir.
Aynı log production SIEM, uyumluluk arşivi ve analiz ortamına paralel gönderilebilir. Sampling ile bazı hedeflere yalnızca belirli oranda log aktarılır; böylece maliyet kontrolü ve uyumluluk ihtiyacı aynı mekanizmada yönetilir.
Dinleme noktası belirli bir network namespace içinde açılabilir; hedef SIEM çıkışı da farklı namespace üzerinden yapılabilir. Bu model, kiracı bazlı log akışlarını OS seviyesinde ayırmak isteyen ortamlarda kullanılır.
Syslog yönlendirme katmanı, klasik UDP dengelemenin ötesine geçerek SIEM öncesi operasyonel log altyapısı için tasarlanmış yetenekler sunar.
TR7, UDP syslog trafiğini syslog odaklı bir dinleme katmanında kabul eder. UDP'nin bağlantısız yapısı nedeniyle oturum takibi beklenmez; buna karşılık mesaj akışı doğrudan hedef havuzlara yönlendirilir. RFC 3164 ve RFC 5424 biçimindeki loglar ile eski cihazlardan gelen ham loglar aynı toplama katmanında ele alınabilir. Bu, ağ cihazlarının yaygın UDP 514 kullanımını ayrı bir collector kurmadan TR7 üzerinden toplamak için kullanılır.
TCP syslog akışları hedef sistemlerin sağlık durumuyla birlikte yönetilebilir. Yanıt vermeyen veya erişilemeyen SIEM hedefleri aday listesinden çıkarılarak trafiğin sağlıklı hedeflere yönlenmesi sağlanır. RFC 6587 (octet-counting ve non-transparent framing) desteklenir; TLS kullanılan TCP syslog senaryolarında RFC 5425 uyumlu sertifika ile güvenli dinleme yapılandırılabilir.
Roundrobin, logları hedefler arasında eşit dağıtmak için kullanılır. Weighted algoritma daha güçlü SIEM düğümüne daha fazla yük vermek için uygundur. Log-hash ise log içeriğindeki belirli alanlardan hash hesaplayarak aynı kaynak veya uygulama loglarının aynı hedefte toplanmasını sağlar. Bu özellikle olay korelasyonu ve parçalı log zincirlerini bir arada tutmak için önemlidir.
Tek bir dinleme noktasına gelen log, birden fazla hedef havuza paralel aktarılabilir. Production SIEM canlı analiz için, compliance arşivi uzun süreli saklama için, geliştirme analitik ortamı ise test ve davranış analizi için aynı log akışını alabilir. Her hedef bağımsız çalışır ve kendi kapasite planına göre yönetilir. Böylece log üreticilerinin birden fazla hedefe ayrı ayrı gönderim yapmasına gerek kalmaz.
Sampling, belirli hedeflere logların yalnızca belli oranının gönderilmesini sağlar. Production SIEM logların tamamını alırken, geliştirme analitik ortamı yalnızca 1:10 örneklem alabilir. Bu yöntem özellikle yüksek hacimli loglarda analiz maliyetini düşürmek için kullanılır. Sampling fan-out ile birlikte çalışarak her hedefe farklı oran uygulanmasına imkan verir.
Dinleme adresi belirli bir network namespace içinde tanımlanabilir. Çoklu kiracılı ortamlarda her kiracının syslog trafiği kendi namespace VIP'i üzerinden alınır. Bu ayrım, tenant loglarının aynı işletim sistemi ağ düzleminde bile karışmasını engellemeye yardımcı olur. Özellikle sovereign cloud, yönetilen servis ve ayrıştırılmış müşteri ortamlarında önemlidir.
Log trafiği yalnızca girişte değil, çıkışta da namespace bazlı ayrılabilir. Bir kiracının logları kendi namespace'i üzerinden yalnızca kendi SIEM veya arşiv sistemlerine gider. Başka kiracının hedefleriyle ağ seviyesinde kesişim kurulmaz. Bu model, multi-tenant güvenlik mimarisinde güçlü bir operasyonel izolasyon sağlar.
Eski ağ cihazları veya özel sistemler RFC 3164/RFC 5424 standartlarına tam uymayan syslog mesajları üretebilir. TR7, bu tür logları reddetmek yerine ham formatta hedefe iletebilir. Böylece eski cihazların logları kaybolmaz ve parse kararı hedef SIEM veya analiz sistemi tarafına bırakılır. Bu, modern log altyapısına geçerken eski cihazları hemen değiştirme zorunluluğunu azaltır.
Hedef SIEM yavaşladığında log akışı tamponlanarak ani kayıp riski azaltılabilir. Buffer boyutu operasyon ihtiyacına göre artırılabilir ve yoğun dönemlerde kısa süreli arka basınç yönetilebilir. Tampon dolarsa fazla logların düşmesi mümkündür; bu durum metriklerde görünür olmalıdır. Operatör tampon doluluğunu izleyerek kapasite veya hedef sağlığı kararını daha hızlı verebilir.
Aynı TR7 üzerinde farklı VIP, port veya namespace değerleriyle birden fazla syslog dinleme noktası tanımlanabilir. Ağ cihazları, uygulama sunucuları ve dış partner logları ayrı dinleme noktalarına alınabilir. Her dinleme noktası farklı hedef havuz, algoritma, sampling ve namespace politikasıyla çalışabilir. Bu esneklik, tek bir log girişini zorla her kaynak için ortak kullanma ihtiyacını ortadan kaldırır.
Syslog yönlendirme katmanı; TLS, health check, yüksek erişilebilirlik, kapasite, audit ve operatör görünürlüğüyle birlikte işletilir.
TCP syslog trafiği TLS ile korunacak şekilde yapılandırılabilir. Dinleme portunda RFC 5425 uyumlu sertifika kullanılır ve gerektiğinde istemci sertifikası doğrulama modeli kurulabilir. Sertifika yönetimi merkezi sertifika havuzuyla birlikte ele alınır.
TCP hedef SIEM sistemlerinde bağlantı veya temel TCP kontrolü ile sağlık durumu takip edilebilir. Sağlıksız hedefler dağıtım aday listesinden çıkarılır. UDP tarafında klasik anlamda kesin health check modeli sınırlıdır; bu nedenle UDP hedef sağlığı metrik veya izleme entegrasyonlarıyla desteklenmelidir.
Aktif-pasif küme topolojisinde aynı syslog dinleme tanımı yeni aktif düğümde devreye girer. UDP bağlantısız olduğu için failover sırasında oturum taşınması gerekmez; yalnızca geçiş anındaki tekil paket kaybı riski vardır. TCP tarafında bağlantılar yeniden kurulmalıdır.
UDP syslog kapasitesi donanım, CPU ve hedef sistemlerin kabul hızına bağlı olarak ölçeklenir. Yavaş hedefler buffer ile kısmen maskelenebilir; tampon dolduğunda drop oluşabilir. Operatör log/saniye, hedef başına yük, buffer doluluğu ve drop sayaçlarını birlikte izlemelidir.
Hangi hedefe ne kadar log gönderildiği, kaç hata oluştuğu ve kaç log'un düşürüldüğü per-target sayaçlarla izlenebilir. Bu yaklaşım her log kaydını ayrı audit nesnesi haline getirmek yerine akış sağlığına odaklanır. Uyumluluk denetimlerinde log akışının kesintiye uğrayıp uğramadığı bu metriklerle değerlendirilebilir.
vService izleme ekranında syslog dinleme noktaları, hedef havuzlar, hedef başına log hacmi, buffer doluluk oranı ve drop sayaçları görünür olmalıdır. Operatör yavaşlayan hedefi fark edebilir, geçici olarak devre dışı bırakabilir veya tampon ayarlarını değiştirebilir. Bu görünürlük syslog yönlendirme katmanının kara kutu gibi çalışmasını engeller.
Veri merkezindeki ağ cihazları UDP syslog mesajlarını TR7 üzerindeki tek VIP'e gönderir. TR7 log-hash algoritmasıyla aynı kaynak cihazın loglarını aynı SIEM düğümüne yönlendirir. Olay korelasyonu korunur ve yavaş hedeflerde buffer kısa süreli kaybı azaltır.
Kurum aynı log akışını production SIEM, compliance arşivi ve geliştirme analiz ortamına gönderebilir. Production ve arşiv hedefleri logların tamamını alırken, geliştirme ortamı sampling ile daha düşük oran alabilir. Tek toplama noktası üç farklı ihtiyacı besler.
SaaS sağlayıcı, her kiracının syslog trafiğini ayrı namespace dinleme noktasında toplayabilir. Çıkış tarafında da her kiracının logları kendi namespace'i üzerinden kendi SIEM veya arşiv sistemine gider. Tenant logları ağ düzeyinde karışmadan yönetilir.
Standarta tam uymayan eski cihaz logları parse edilmeye zorlanmadan ham biçimde hedefe iletilebilir. Böylece eski cihazlar yenilenmeden modern SIEM altyapısına dahil edilir. Parse ve normalizasyon hedef sistemin yeteneklerine bırakılır.
UDP/TCP toplama, log-hash korelasyonu, fan-out, sampling ve namespace izolasyonu — hepsi tek operasyonel katmanda. Kendi altyapınızla canlı bir kurulumda gezdirelim.