Bilgi sistemlerinde log yönetimi ve logların değerlendirilmesi

Abstract

Bilgi Teknolojilerini oluşturan sistemler üzerinde yürütülmekte olan işlemler ve yine bu sistemlerüzerinde çalışmakta olan uygulamaları kullanmak sureti ile gerçekleştirilen kullanıcı işlemlerineait aktiviteler, başta yasal düzenlemeler olmak üzere, kurumsal politikalar ve hatta kişisel/yönetselpolitikalar uyarınca, başta güvenlik amacı olmak üzere kaydedilmektedir. Bu kayıtlardan oluşanveri kümeleri (loglar, iz kayıtları) yasal soruşturmalarda, problemlerin çözümlenmesinde, köksebep analizlerinde veya belki de bir olay meydana gelmeden önce uyarılar oluşturmak ve birçokçeşitli amaçla kullanılabilir. Farklı sistemler tarafından, farklı şekillerde depolanan bu kayıtların,gerektiğinde bir arada ele alınarak değerlendirilmesi, kayıt sayısının çokluğu açısındanyönetilmesi, hangi aşamada filtre edilebileceği gibi sorunlar, log yönetimi ve log değerlendirilmesikonusunda, standartları belirlenmemiş ve tam anlamı ile çözülememiş meseleler olarak ortayaçıkmaktadır. Log Yönetimini gerçekleştirmek üzere, öncelikle sistemlerden anlamlı bilgilerintoplanabilmesi, toplanan bu logların güvenli bir şekilde depolanabilmesi, bilgi güvenliği veyayasal nedenlerle araştırılma gereken durumlarda sonuç elde edebilmek amacı ile karşılaştırma(korelasyon) yapılabilmesi gerekir. Bu konuda yapılan çalışmaların izinden giderek, açık kaynakkodlu araçlarla, anlamlı bir log yönetim sistemi oluşturabilmek üzere yapılabilecekler, tezimizinana amacını oluşturmuştur.Araştırmanın birinci bölümde, akademik kitaplıklardan tarama yapılarak log yönetimiçalışmalarındaki yaklaşımlar, karşılaşılan zorluklar tespit edilmiş, tez çalışmasının yapıldığıkurumda bilgi sistem mimarisi belirlenmiş, log yönetiminin bilgi güvenliği ile ilişkisi üzerindedurulmuştur. Log sisteminin bilgi güvenliği konusunda gelişen kontrollerin çok önemli bir bölümühaline gelmekte olduğu tespit edilmiştir.İkinci bölümde, teorik ve pratik olarak çeşitli yazılım/araçlarının, bilgi sistemlerinde log ve ilgiliverileri toplamak üzere, hangi amaçlarla kullanılabileceği araştırılmış, log yönetiminin zorlukları,bu işlemi yerine getirmek için dikkat edilmesi gereken hususlar, akademik araştırmalarda bu tezçalışmasının referans edildiği sonuçlardan yararlanılarak, ilgili aşamalarda bu çalışmalarla birlikte,tez çalışması kapsamında yapılan değerlendirmeler açıklanmıştır.Üçüncü bölümde, açık kaynak kodlu Ossim Log Yönetim araçlarından log yönetimi vekarşılaştırmalar için ne şekilde yararlanabileceği, geliştirmeler, karşılaşılan zorluklar ve yapılançalışmaların detayları anlatılmıştır.Sonuç bölümünde Log Yönetimi ve Logların değerlendirilmesi konusunda, incelenen diğeraraştırmalardan ve yapılan tez çalışmasından yararlanarak, log yönetim sistematiğinin adım adımtanımlanmasına çalışılmıştır.Anahtar Kelimeler: Ossim Log Yönetim, Bilgi Güvenliği, Korelasyon ve Araçlar.

Operations on systems constituting Information Technologies and activities on user actions whileusing the applications running on these systems are being logged mainly for the needs of legalarrangements and also for personal and managerial policies and especially for security reasons.Data sets (logs, trace records) consisting of such records can be used for legal investigations, foranalyzing problems, for root cause analyses and also, perhaps for generating early warnings beforean incident occurs, and for many other purposes. Problems like, dealing and evaluating together,managing the so many records, and deciding in which phase to filter out the records which arestored by various systems in various ways are issues that are not fully resolved and lackingstandards. In order to realize Log Management, first we need to collect meaningful data fromsystems, then to store these collected logs securely, and finally to do comparisons (correlation) incases the we need to get results for information security or legal reasons. The main objective of thisthesis is to pursue the works done on this subject and on what can be done in order to form areasonable log management system using open source code tools.In the first part of this research, the log management approaches and the encountered difficultieswere determined by doing a thorough research on academic libraries; the information systemarchitecture of the institution were this thesis was conducted was determined; and the relationbetween log management and information security was investigated. It was established that the logsystem is becoming a very important part of the evolving controls on information security.In the second part, the current solutions on log and security management were investigated;difficulties that may be encountered while creating a log management system were studied; criticalpoints that need attention were tried to be determined; and other academic researches wereevaluated.The third part explains how the open source code Ossim Log Management tool can be utilized forlog management and comparisons, the difficulties encountered and the details of the work done.In the conclusion part, the log management systematic was attempted to be defined step by step byutilizing other researches and thesis studies done on Log Management and Log evaluation topics.Key Words: Ossim Log Management, Information Security, Correlation and Tools.