• Linux ve Windows için Sunucu Log Yönetimi: Dengeli Temizleme ve Saklama
• Linux Tabanlı Sunucular için Log Seviyeleri ve Temizleme Stratejileri
• Windows Sunucularında Log Seviyeleri ve Arşivleme Yaklaşımları
• Arşivleme ve Sıkıştırma Adımları: Linux ve Windows İçin Uygulama
• Güvenlik ve Performans Üzerindeki Etkiler
• Pratik İpuçları ve Otomasyon
• Sıkça Sorulan Sorular

Linux ve Windows için Sunucu Log Yönetimi: Dengeli Temizleme ve Saklama

Sunucu logları, sistem sağlığı, güvenlik ihlallerinin tespiti ve uyum gereksinimlerinin karşılanması için hayati öneme sahiptir. Dengeli temizleme ve saklama politikaları, disk alanını verimli kullanırken kritik olayları kaydetmeye devam eder. Bu bölümde, Linux ve Windows için ortak log yönetimi ilkelerini, riskleri ve uygulanabilir çözümleri ele alıyoruz. Peki ya kis aylarinda? Loglarınızın büyüklüğü, günlük iş yüklerine bağlı olarak değişir; bu nedenle her iki işletim sisteminde de benzer hedefler üzerinden hareket etmek gerekir: görünürlüğü korumak, gereksiz veriyi azaltmak ve gerektiğinde hızlı erişim sağlayacak arşivleri tutmak.

Genel hedefler ve yaklaşım

• Günlük temizleme: disk kullanımını kontrol altında tutmak için belirli bir süre sonunda eski logları arşivlemek veya silmek.
• Arşivleme: geçmiş olayların gerektiği kadar saklanması; güvenlik incelemeleri için erişilebilir formatlar.
• Sıkıştırma: arşiv boyutunu küçültmek için etkili sıkıştırma yöntemlerinin kullanılması.
• Güvenlik ve uyum: logların bütünlüğü ve erişim denetimi, logların değiştirilemezliğini sağlama.

Linux Tabanlı Sunucular için Log Seviyeleri ve Temizleme Stratejileri

Linux ekosisteminde log yönetimi genellikle rsyslog veya systemd-journald gibi çözümlerle yürütülür. Sisteminizin ölçeğine göre temel kararlar şunlardır: hangi log kaynakları izlenecek, hangi seviyeler kaydedilecek ve ne sıklıkla arşivlenecek. Log seviyeleri, genelde şu hiyerarşide kullanılır: emerg, alert, crit, err, warning, notice, info, debug. Kesinlik isteniyorsa, üretim ortamında çoğu zaman yalnızca info ve üstü seviyeler ile başlanır; ayrıntı için debug seviyesi sadece geliştirme döneminde aktiftir.

Temizleme ve arşivleme için pratik Linux adımları:

• Logrotate ile günlük/düzenli döndürme: /etc/logrotate.conf veya ilgili servis için özel konfigürasyonlar hazırlanır. Örnek bir ayar satırı:

/var/log/app/*.log {
daily
rotate 14
compress
delaycompress
missingok
notifempty
sharedscripts
postrotate
systemctl reload rsyslog >/dev/null 2>&1 || true
endscript
}

• Arşivleme ve sıkıştırma: Eski loglar tar.gz veya tar.xz ile arşivlenir. Örnek komut:

tar czf /var/log/archive-$(date +%F).tar.gz /var/log/app/*.log.*

• En temel saklama politikası: günlük loglar için 14–30 gün, arşivler için 6–12 ay aralığında saklama; büyük kurulumlarda bu süreler, güvenlik gereksinimlerine göre uzatılabilir.

Bir sunucu için pratik bir yaklaşım, günlük acil olayları için kısa süreli saklama ve geçmiş olaylar için arşiv odaklı uzun süreli saklamadır. Deneyimlerimize göre, küçük/orta ölçekli işletmelerde 14 günlük aktif log ve 12 aylık arşiv politikası başlangıç için yeterli olabilir.

Windows Sunucularında Log Seviyeleri ve Arşivleme Yaklaşımları

Windows tarafında olay günlükleri (System, Application, Security) için log seviyesi kavramı Information, Warning, Error, Critical olarak işlenir. Özellikle güvenlik ve operasyonel olaylarda hangi seviyenin kaydedileceğini belirlemek kritik bir adımdır. Ayrıca logların saklanması için maksimum günlük boyutu ve saklama yöntemi de ayarlanır. Örneğin, Windows Event Log için tipik ayarlar şunlardır:

• Olay günlüklerinin maksimum boyutu: 1024 MB (1 GB) olarak yapılandırılabilir.
• Saklama yöntemi: Eski olaylar gerektiğinde üzerine yazılır (Overwrite events as needed) veya belirli bir süre saklandıktan sonra otomatik olarak temizlenir.
• Günlüklar için anahtar seviyeler: Information, Warning, Error ve Critical; gerekli durumlarda Verbose modu test ortamlarında kullanılabilir.

Windows üzerinde arşivleme için şu temel adımlar uygulanabilir:

• Olay günlüğünü dışa aktarın: wevtutil epl System C:\Logs\System.evtx komutu ile System günlüğünü EVTX biçiminde kaydedin.
• Dışa aktarımı sıkıştırın: PowerShell ile Compress-Archive -Path C:\Logs\System.evtx -DestinationPath C:\Logs\System.evtx.zip şeklinde arşivleyin.
• Düzenli arşivleme için Görev Zamanlayıcı üzerinde bir görev oluşturun ve bu adımları periyodik olarak tekrarlayın.

Windows için iyi bir başlangıç noktası, kritik olayları kısa süreli saklama ve arşivleri güvenli bir depolama alanında saklama politikasıdır. Arşivler, gerektiğinde güvenli biçimde paylaşılabilir ve incelenebilir olmalıdır.

Arşivleme ve Sıkıştırma Adımları: Linux ve Windows İçin Uygulama

Arşivleme ve sıkıştırma, log yönetiminin en önemli unsurlarından biridir çünkü bu adımlar, uzun vadeli erişim için gerekli olan alan ve performansı sağlar. Platformlar arası basit bir karşılaştırma şu şekilde özetlenebilir:

• Linux: Logrotate ile günlük döndürme, arşivler için tar.gz veya tar.xz, sıkıştırmada gzip veya xz kullanımı. Örnek komutlar: tar czf archive-$(date +%F).tar.gz /var/log/app/*.log.*
• Windows: EVTX’leri dışa aktarın ve Compress-Archive ile ZIP formatında sıkıştırın. Örneğin: wevtutil epl System C:\Logs\System.evtx; Compress-Archive -Path C:\Logs\System.evtx -DestinationPath C:\Logs\System.evtx.zip

İkisi için de öneri: arşivleri ayrı bir diskte veya ağ paylaşımlı bir konumda saklayın; kritik arşivlere erişimi sınırlayın ve imzalama/teyitleme mekanizmalarını en üst seviyeye taşıyın.

Güvenlik ve Performans Üzerindeki Etkiler

Log yönetimini doğru yapmak sadece disk alanını optimize etmekle kalmaz, aynı zamanda güvenlik durumunu da güçlendirir. Dengeli bir yaklaşım, aşağıdaki etkileri sağlar:

• Disk kullanımı: Aktif loglar için kısa süreli saklama ile anlık performans iyileştirilir; arşivler ise eski veriyi güvenli biçimde saklar.
• Arşiv güvenliği: Sıkıştırılmış arşivler, güvenlik açısından daha az hedef alır, bütünlük için imza ve denetim izleri kullanılabilir.
• Uyum ve denetim: Olaylar üzerinde zamanında raporlama ve gerektiğinde kolayca geri dönüş imkanı sağlar.

Kesin bir sayı vermek, kurulum ve yüklemeye bağlı olarak değişir; ancak yaygın bir senaryoda, günlük log üretimi Linux sunucularında 10–50 MB arasında olabilirken Windows tarafında uygulama ve sistem logları birlikte 50–200 MB arasına ulaşabilir. Üretim ortamlarında bu değerler performans ve güvenlik gereksinimlerine göre ayarlanır.

Pratik İpuçları ve Otomasyon

Aşağıdaki öneriler, günlük operasyonları kolaylaştırır ve hatalı konfigürasyon riskini azaltır:

• Standartlaştırılmış konfigürasyonlar kullanın: Linux için /etc/logrotate.d, Windows için GPO veya Task Scheduler üzerinden merkezi kurallar.
• Olayları sınıflandırın: Kritik güvenlik olaylarını ayrı bir hızlı erişim arşivine yönlendirin.
• Otomasyon: Basit PowerShell veya Bash betikleriyle günlük arşivleme ve temizleme işlemlerini otomatikleştirin.
• Güvenlik ilkeleri: Arşivleri imzalama ve erişim kontrol listeleri (ACL) ile koruyun; şifreli iletim için TLS kullanın.
• İzleme ve doğrulama: Arşiv bütünlüğünü periyodik olarak kontrol edin (ör. toplam bayt sayısı, checksum/hash karşılaştırması).

Sıkça Sorulan Sorular

1. Linux için sunucu log yönetimi nasıl uygulanır ve hangi log seviyeleri tercih edilmelidir?

   Linux’ta temel yaklaşım, rsyslog veya journald ile log seviyelerini ihtiyaca göre ayarlamaktır. Üretim ortamında genelde info veya warning seviyeleriyle başlar; güvenlik olaylarında error/critical seviyeleri önceliklidir. Posta/telemetri gibi kritik sistemler için özel servislere ayrı log kanalları tanımlanabilir. Logrotate ile günlük döndürme ve 14–30 gün arası saklama başlangıç için uygundur.

2. Windows Server log arşivleme nasıl yapılır ve hangi dosya formatı önerilir?

   Windows tarafında güvenlik ve operasyonel gereksinimler için evtx formatında dışa aktarım yapılır ve sıkıştırılır. Örneğin System ve Application günlükleri için wevtutil epl komutu ile EVTX olarak dışa aktarım; ardından Compress-Archive ile ZIP formatına alınır. Uzun vadeli saklama için güvenli konumlar tercih edilmelidir.

3. Yapay zeka destekli log analizi bu süreçte hangi faydaları sağlar ve nereden başlamalı?

   Yapay zeka, anomali tespiti, hızlı olay sınıflandırması ve otomatik uyarı üretimi gibi avantajlar sunar. Başlangıç için, log verilerinizi normalize edin, kritik alanları etiketleyin ve SIEM benzeri çözümlerle temel bir durum odaklı eşleşme oluşturun. Kesin sonuçlar için uzun vadeli veri kalitesi ve etiketleme stratejileri gerekir.

Sunucu Log Yönetimi: Dengeli Temizleme ve Saklama Rehberi yazısı ilk önce Sunucu 101 üzerinde ortaya çıktı.