SIEM Canlı Log İyi de Siz Kaç Alanı İndekslediğine Bakın!
SIEM ve Log Yönetimi çözümlerinde logların olabildiğince uzun süre canlıda kalabilmesi çok kritiktir. Neden kritik olduğunu merak ediyorsanız aşağıdaki linkte bulacağınız makaleleri inceleyebilirsiniz.
Logları canlıda tutarsanız lazım olduğunda anında erişirsiniz. Eğer 7 gün, 1 ay, 3 ay canlıda tutar daha eskilerini arşivde tutarsanız, eski loglara erişmeniz, erişeceğiniz zaman aralığına ve EPS değerlerinize (Günlük log miktarına) bağlı olarak aylar sürebilir.
Peki son 1 yıl içerisinde seçilen bir kullanıcının internette ve sunucularda yaptığı bütün aktivitelere arşivden aramak aylar sürebiliyorsa neden canlıda tutmuyoruz? Bunun sebebi de logları canlıda tutmak çok fazla disk gerektirir.
Aşağıda 2021 Gartner Magic Quadrant for Security Information and Event Management (SIEM) de liderlerden olan Exabeam in 1000 EPS için bir yıl canlıda tutma disk ihtiyacını gösteren linki bulabilirsiniz.
Exabeam şeffaf olarak, korkusuzca ve müşteri ve çözüm ortaklarını yanıltmamak, daha sonra sıkıntıya sokmamak adına 1000 EPS için 1 yıl canlıda tutmak istenirse 9331 TB disk lazım diyebiliyor. Ama maalesef herkes bunu böyle dürüst bir şekilde söylemek yerine söylememeyi tercih etmiyor.
Canlıda tutmak konusunda ikinci önemli husus da kaç alanı endekslediğinizdir. Eğer logdaki bütün alanlar, Fortigate Firewall logundaki yaklaşık 60 alanın tamamı, Windows logundaki SID, Application Instance ID, Client Context ID, Logon GUID, Package Name gibi her alan indekslenmezse lazım olduğunda indekslenmeyen veriye ulaşılamaz. Bütün alanların indekslenmemesinin altında yatan ise disk boyutunu azaltmaktır. Bu konuda detay bilgi alabilmek için mutlaka bu bilgiyi içeren dokümanları okumalısınız ya da net olarak kaç alanı indeksliyorsunuz diye muhatabına sormalısınız.
Aşağıda da yine global ürünlerden McAfee SIEM in her alanı indekslemediği ve bu konuda uyardığı linki bulabilirsiniz.
Kaç alanın indekslendiği özellikle Elasticsearch kullanan SIEM çözümleri için kritik bir özelliktir. Elasticsearch kullanan ürünler indekslenmesi gereken alanların sadece 8–10 alanı indeksler ki canlı log disk boyutu düşsün.
Yani her şey canlı log için kullanılan disk boyutunu düşürmek içindir.
Ayrıca bazı SIEM çözümlerinde de her eklenen log kaynağını, log kaynağının türüne göre farklı indekslere eklenmesi önerilen yapılandırmadır. Böylece aramalarda daha hızlı sonuç alınması sağlanır. Bununla birlikte bir kullanıcının son 6 ay içinde yaptığı aktivitelere almak isterseniz log kaynağı türü kadar sorgu yapmak zorunda kalırsınız. Bir seferde alamazsınız.
