SIEM Çözümleri Log Kaçırır Mı? Log Kaçıran Ürünler Türkiye Pazarında Daha Mı Avantajlı?
Bu aralar sahada en çok karşılaştığın olayların başında log kaçırma diyebileceğim bir olay önde geliyor. Bu sene başından beri onlarca kez karşılaştım. Bakıyorsunuz 500–600 sunucu, binlerce çalışan, yüzlerce DB sunucu, WEB sunucu, load balancer, minimum 4–5 firewall, yüzlerce başka log kaynağı ve maksimum EPS değeri 2000 EPS veya 3000 EPS. Kimi durumda 30 000 EPS üstü kimi durumda 80 000 EPS üstü olması gerekirken durum bu.
Peki SIEM ürünleri neden log kaçırır? Neden 30 000 EPS olması gerekirken 3000–5000 EPS görürler? Veya 80 000 EPS olması gerekirken 10 000 EPS ile yetinirler?
1-Bazı ürünlerin teknik yeteneği bu kadardır. Mesela Solarwinds LEM dokümanlarında geçen yıla kadar görüyordum ne kadar CPU,RAM verirseniz verin 2000 EPS i aşamam diye. Ama bu gruptaki ürünler ara yüzden bir uyarı vermez, dokümanları derinlemesine okumak, araştırmak lazım.
2-Bazı ürünler bunun için çok ciddi kaynak, onlarca makina ve yüzlerce TB (özellikle 6 ay ve üstü canlı için) isterler, bu da müşteride negatif olarak algılanacağı için söyleyemezler ve bile isteye log kaçırırlar.
3-Elasticsearch kullanılan altyapılarda bilindiği gibi açık kaynak sürüm makinadaki bütün kaynakları kullanmaz. %30 ile sınırlı diye hatırlıyorum
4-Bazı ürünler lisans aşımında logu çöpe atarlar ama bu tarz ürünler son kullanıcıyı bak logları çöpe atıyoruz bilgin olsun diye değişik şekillerde uyarırken, ilk 3 grup bunu yapmaz ve son kullanıcı log kaçırdığının farkında olmaz.
Bir de madalyonun diğer yüzü var. Aklınıza geçen sene başka bir ürün kullanıyordum onda 2000–3000 EPS varken şimdi nasıl 40 000 EPS diye gelebilir.
Son kullandığınız SIEM in ara yüzündeki, dashboardlardaki verilere güvenmediğinizi varsayıyorum. O zaman da EPS değerlerinin yüksek olduğu dakikalardaki logları sayın. Bunu bazı ürünlerde daha kolay yapabilirsiniz. Bu ürünler zaman damgası basılsın diye her 1 dakikalık logu bir dosyaya yazar. Bu dosyadaki toplam satır sayısı o dakikada gelen log miktarıdır. Böylece hızlıca yüzlerce dakikalık veriyi dakika dakika sayacak şekilde ve SIEM dışı bir araçla mesela notepad++ ile çapraz kontrol mümkün.
Ayrıca çapraz kontrol için SANS’ın aşağıdaki tablosu da işinize yarayacaktır.
Değinmek istediğim olayın başka bir boyutu da SIEM ürünlerinin log kaçırması Türkiye şartlarında bu ürünlerin avantajlarına olabiliyor. Nasıl mı?
🔴 Öncelikle 3000–5000 EPS i geçince rüzgarlar sert eser. Oralar için ciddi mühendislik yapmak gerekir. Buna gerek kalmıyor.
🔴 Lisans maliyetleri az oluyor.
🔴 30 000, 50 000, 100 000 EPS için logları indekslemek, buralarda korelasyon yapmak, stabilite, bir sürü başka problemler var, hiçbiri ile uğraşmak zorunda kalınmıyor.
🔴 Bunun nasıl büyük bir satış avantajına dönüştüğüne dair en ilginç olanını sona sakladım. Teknik ekip, ürünü kullananlar log kaçırdığını bir süre sonra, bir noktada fark etse bile satın almaya karar verenler nasıl olur geçen sene 5000 EPS idi şimdi 50 000 oldu. Olur mu böyle şey, 50 000 diyen bizden fazla para almaya çalışıyor, kandırıyor diyebiliyor, ya da bütçesel ve maliyet sebebi ile log kaçıran ürünü tercih edebiliyor.
