Firewall Log Analizi ve Raporlama Rehberi

Bir ağ yöneticisi için Firewall (Güvenlik Duvarı) kurmak sadece ilk adımdır. Asıl güvenlik, bu cihazların ürettiği binlerce satırlık logu (kayıtları) anlamlandırdığınızda başlar. Firewall log analizi, siber saldırıları tespit etmenin, yasal uyumluluğu (5651, KVKK) sağlamanın ve ağ performansını izlemenin en etkili yoludur.

Bu yazıda, başarılı bir log yönetimi ve raporlama stratejisi için izlemeniz gereken 5 temel adımı ele alıyoruz.

1. Merkezi Log Toplama

Dağınık yapıdaki logları tek tek cihazlara bağlanıp incelemek imkansızdır. Tüm güvenlik cihazlarınızın (Fortigate, Palo Alto, Cisco vb.) loglarını merkezi bir noktada toplamak zorundasınız.

Format Standardizasyonu: Farklı markaların log formatlarını (Syslog, CEF, LEEF) ortak bir dile çeviren sistemler kullanın.
Depolama ve Arşivleme: Logların sadece toplanması yetmez; yasal süreçler için (Türkiye’de 5651 sayılı kanun gereği) zaman damgası ile imzalanıp saklanması gerekir.
SIEM Entegrasyonu: Gerçek zamanlı toplama için logları bir SIEM (Security Information and Event Management) çözümüne veya FortiAnalyzer gibi özelleşmiş raporlama araçlarına yönlendirin.

2. Derinlemesine Log Analizi

Milyonlarca satır veri içinde “samanlıkta iğne aramak” yerine, neye bakacağınızı bilmelisiniz.

Kritik Olaylar: Başarısız oturum açma girişimleri, VPN üzerinden gelen şüpheli bağlantılar ve mesai saatleri dışındaki yetkisiz erişim denemelerine odaklanın.
Anormal Port Taramaları: İç veya dış ağdan gelen ardışık port taramaları (Port Scanning), bir saldırı hazırlığının habercisi olabilir.
Korelasyon: Tek başına masum görünen bir olay, başka bir olayla birleştiğinde tehdit oluşturabilir. (Örn: Bir kullanıcının önce VPN yapıp, hemen ardından veri tabanından yüklü veri çekmeye çalışması).

3. Otomatik Raporlama Sistemleri

Yöneticiler ham logları okumaz; özet ve trendleri görmek isterler. Manuel rapor hazırlamakla vakit kaybetmeyin.

Yönetici Özetleri: Haftalık veya aylık olarak; “En çok engellenen saldırılar”, “En çok bant genişliği tüketen kullanıcılar” gibi görsel grafikleri otomatik mail atacak şekilde ayarlayın.
Uyumluluk Raporları: KVKK veya ISO 27001 denetimleri için gerekli olan erişim loglarını hazır şablonlar üzerinden üretin.

4. Akıllı Alarm ve Bildirim Kurgusu

Her olay için bildirim almak “Alarm Yorgunluğu” (Alert Fatigue) yaratır ve gerçek tehditleri gözden kaçırmanıza neden olur. Bildirimleri önem derecesine göre sınıflandırın:

Yüksek (Kritik): IPS (Saldırı Önleme Sistemi) imzası tetiklendiğinde veya Brute-Force saldırısı algılandığında anında SMS/Mail gitsin.
Orta: Yeni bir yönetici hesabı oluşturulduğunda bilgi verilsin.
Düşük: Günlük rutin raporlara eklensin, anlık bildirime gerek yoktur.

5. Sürekli İyileştirme Döngüsü

Log analizi statik bir süreç değildir. Raporlardan elde ettiğiniz verilerle Firewall politikalarınızı (Policy) sıkılaştırmalısınız.

Gereksiz İzinleri Kaldırın: “Any-Any” (Her yerden her yere) gibi geniş tanımlı kuralları tespit edip daraltın.
Hatalı Konfigürasyonlar: Loglarda sürekli “Policy Violation” görüyorsanız, ya kullanıcılar yanlış bir şey yapıyordur ya da kural setinizde bir eksiklik vardır.

Sonuç ve Özet

Firewall log analizi, modern ağ güvenliğinin “kara kutusu”dur. Bir olay yaşandığında “Ne oldu?” sorusunun cevabı oradadır. Düzenli analiz, otomasyon ve doğru bir SIEM kurgusu ile siber olayları henüz tehdide dönüşmeden engelleyebilir, ağınızı proaktif bir şekilde koruyabilirsiniz.