SIEM ve Log Yönetimi Çözümlerinin en temel fonksiyonu logları saklama ve gerektiğine bu loglara erişmektir. Dünyadaki bütün SIEM ve Log yönetimi çözümlerinde logların bir kısmı canlı olarak dururken, bir kısmı da arşive alınır. Bu noktada doğru soruyu sorabilmek kritik olur.

Logları ne kadar süre tutuyorsunuz? Yanlış bir sorudur. Bu sorunun…


Konuya doğrudan gireyim. KVKK, GDPR açısından önemli yani kişisel veri içeren bir dosya uçmuş ve siz bunu sonradan fark ediyorsunuz. İster denetime geldiklerini düşünün, ister de şirketin iş akışı veya işleyiş açısından lazım olduğunu düşünün ve bu dosyayı kimin sildiğini bulmak istiyorsunuz. İşte bu gibi sık yaşanmayan ama hayati öne…


Çok uzun zamandır SIEM konusunda yazılar yazıyorum. Yıllardır şeffaf bir şekilde herkese ve her firmaya cevap hakkı olmasını sağlamak için ilgili herkesin cevap verebileceği herkese açık platformlarda, akademik bilgi birikimi, tecrübe ve saha deneyimlerimi paylaştım. Gerektiği zaman yerli, yabancı ürün isimleri de belirterek bu bulgularımı paylaştım. …


Çok bilinen ve indirilen açık kaynak log toplama ürünlerinden Graylog ücretsiz sürümü ile ilgili tespitlerim:

1- Ücretsiz ve limitsiz sürümünde korelasyon yoktur. Yani orijinalinde SIEM değildir.

2- Korelasyon olan versiyonunda günlük 5 GB yani yaklaşık 100 EPS limit var, üstüne geçince log kaçırır ve size bak log kaçırıyorum log miktarını…


Yıl 2015; daha o zamanlar SIEM ile ilgili kafa karışıklıklarından birinin korelasyon ve alam olduğunu yazmıştım. SIEM çözümlerinde korelasyon tanımı körlerin fil tanımı gibi. Hikayeyi bilirsiniz; Altı tane kör adamı bir filin yanına getirirler. Her birisini filin farklı bir yerine götürürler ve onlardan, elleriyle fili tutmalarını isterler.

Sonra da, tuttukları…


25 000 , 50 000 EPS gibi yüksek EPS değerleri için birden fazla makine gerekeceği aşikardır. Bu noktada gerekli olan makine sayısı ve bu makinelerin CPU, RAM, Disk ihtiyacı üründen ürüne çok değişkendir.

Genel hatları ile CPU, RAM ve Disk ihtiyacını etkileyen parametreler için aşağıdaki makaleye bakılabilir.

Bununla birlikte 25…


SIEM siber güvenlik ve endüstriyel standartlara uyumluluğun temel bileşenidir. Log ve trafik analizi yaparak yukarıdaki ihtiyaçları yerine getirmek amaçlanır.

SIEM seçme kriterleri için aşağıdaki makalelere bakılabilir.


Konuyu çok eskiye götüreyim. 2015 yılında bir makale yazmıştım [1]. Bu makale korelasyonun performansa etkisini anlatıyordu. Bu makale 2015 yılında yazmama rağmen aynı zamanda benim Acedemia [2] da en çok indirilen (download) ve okunan makalelerimden biri. Aynı makale Researchgate [3] de de 5000 e yakın bir görüntülenme (view) sayısına sahip…


Logların hızlıca erişilebilir olması için Elasticsarch de bu logların indexlenmesi gerekir. Bu işlem disk kullanımı açısından çok maliyetli bir işlemdir.

Elasticsearch Apache Lucene[1] kullanır. Bundan dolayı bütün disk kullanım yeteneklerini Apache Lucene’den miras alır. Apache Lucene aşağıdaki formüle göre index dahil disk kullanımına sahiptir [2]:

disk space used(original) = 1/3…


Loglara hızlı erişebilmek için bu logların indexli yani canlıda tutulması gerekir. Bu indexlerin disk miktarı olarak ek maliyetleri vardır.

SIEM ve Log Yönetimi çözümlerinde disk yönetimi nasıl yapılır?

Log erişim hızı açısından kritik olan logları canlıda tutup tutamadığınızdır. Arşivde tuttuğunuz loga erişim canlıya göre çok uzun sürer. Bu süre arşivden…

Ertugrul Akbas

Entrepreneur,Security Analyst,Research.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store