Logların Arşivden Dönülmesi mi?
Logları arşivde tutmak ile canlıda tutmak arasında dağlar kadar fark vardır. Aşağıdaki 3 senaryoyu bu farkı görmek için inceleyebiliriz.
- 5651 kapsamında güvenlik kuvvetleri size x.y.z.k IP sine erişenlerin listesi bulmak gerektiğinde,
- Yine 5651 kapsamında a.b.c.d URL adresine erişenlerin listesini bulmak gerektiğinde,
- KVKK kapsamında bir olay olduğunda X DB sunucusuna kimler erişmiş bulmak gerektiğinde.
Siz zaman aralığını bilmiyorsunuz. Kimse size şu zaman aralıklarında bu olayı ara demiyor!
Böyle bir durumda yapabileceğiniz tek şey; diskiniz boş kalan kısmını hesaplayıp aradığınız logu bulana kadar birkaç günü arşivden canlıya çekip aramalarınızı yapmak. Ama bu yeterli değil daha sonra da bu arşivden açtığınız kısmı disk dolmaması ve arşivden açacağınız yeni loglara yer açılsın diye silmeniz ve tekrar birkaç günü arşivden canlıya dönerek aradığınızı bulana kadar bu işleme devam etmek gerekir.
Eğer benim çok fazla disk alanım var; disk alanını artırıp, yeni boş alana arşivden 6 aylık logu geri yüklerim diyorsanız, bunu yaptıktan sonra arşiv logun içinde arama yapmak için, 7–10 günlük bir indexleme süresi beklemek zorunda kalabilirsiniz. Eğer acil ve/veya kritik bir konu ise bu kadar bekleme süreniz olmayacaktır.
Sizce bu yöntemler pratik ve uygulanabilir bir yöntemler midir?
Çözüm: Makul bir disk miktarı ile logları çok uzun süre canlıda tutabilmek
Konu ile ilgili aşağıdaki makalelere bakabilirsiniz
