SIEM ve Log Yönetimi Sistemleri Neden Log Kaçırır?

Log kaçırma SIEM veya Log Yönetimi sistemlerinde karşılaşılan durumlardan biridir. Bunun değişik sebepleri olabilir.

En temel 5 sebep :

1. EPS olarak sistemin kaldırabildiği değerler olabilir ve ne kadar kaynak da ekleseniz (CPU,RAM,DİSK) bu sınırı kaldıramazsınız ve bu sınır aşıldığı zaman log kaçar [1,2].
2. Bazen sistemlerin kayıt kapesitesi vardır ve o kapasite aşılırsa loglar en eskisinin üstüne yazılır ve dolayısı ile en eski loglardan başlayarak sistemlerde log kaybı oluşur [1]. Mesela 200 milyon gibi bir sınıra ulaşınca üzerine yazıldığı için kaybolan loglar vardır.
3. Son kullanıcının ruhu duymadan daha sınıflandırmayı bile denemeden bazı ürünler bazı logları doğrudan çöpe atar. Mesela aşağıdaki formatta bir cisco asa logunu 16–12–2019 tarihli manageengine ürünü drop eder. Dec 15 2019 00:00:04: %ASA-2–419002: Duplicate TCP SYN from INSIDE:X.Y.Z.K/4741 to INSIDE:A.B.C.D/9100 with different initial sequence numberSimulator Start Mon Dec 16 22:32:17 EET 2019diff 157002 : Mon Dec 16 22:34:54 EET 2019.
4. Bazı ürünler Disk I/O dan dolayı log kaçırır.
5. Sisteme yeterli kaynak verilmediği durumlarda da log kaybı oluşur.

Referanslar

1. https://cdn5.alienvault.com/docs/data-sheets/usm-appliance.pdf
2. https://www.linkedin.com/posts/ertugrul-a-2b365813_siem-eps-mcafee-activity-6613756770324107264-fYVW