Sora Yazılım
Türkçe
Türkiye merkezli özel yazılım çözümleri

FortiGate Loglama, İzleme ve FortiAnalyzer Entegrasyonu

Sora Yazılım Ekibi

FortiGate loglama, trafik, olay ve güvenlik loglarının kaydedilmesi ve analiz edilmesidir. Loglar yerel diske, syslog'a, FortiCloud'a veya FortiAnalyzer'a gönderilebilir; FortiAnalyzer merkezi toplama, korelasyon ve raporlama sağlar.

FortiGate Loglama Türleri

FortiGate loglama, başlıca üç kategoriye ayrılır: trafik logları (oturum bilgisi), olay logları (sistem/yönetim olayları) ve güvenlik logları (antivirüs, IPS, web filtreleme gibi UTM olayları).

Trafik logları hangi kaynağın hangi hedefe, hangi politikayla eriştiğini gösterir. Olay logları yönetici girişleri, HA durumu ve sistem uyarılarını içerir. Güvenlik logları ise engellenen tehditleri ve UTM profillerinin tetiklenmesini kaydeder.

Loglamanın etkili olması için ilgili firewall politikalarında log seçeneğinin açık olması gerekir; aksi halde o trafik için kayıt üretilmez.

Hangi UTM olaylarının loglanacağını anlamak için UTM güvenlik profilleri rehberimize göz atın.

Log Hedefleri ve Saklama

Log hedefleri; cihazın yerel diski, bellek, harici syslog sunucusu, FortiCloud ve FortiAnalyzer olabilir. Üretim ortamlarında merkezi ve kalıcı saklama için harici bir hedef tercih edilir.

Yerel disk logları sınırlı kapasiteye sahiptir ve cihaz yeniden başlatıldığında bellek logları kaybolur. Bu yüzden uyumluluk ve adli analiz gereksinimleri olan kurumlar logları FortiAnalyzer veya bir SIEM'e yönlendirir.

HedefÖzellik
Bellek (memory)Geçici, yeniden başlatmada kaybolur
Yerel diskSınırlı kapasite, tek cihaz
SyslogHarici sunucuya akış
FortiCloudBulut tabanlı saklama
FortiAnalyzerMerkezi toplama, korelasyon, raporlama

FortiAnalyzer ile Merkezi Loglama

FortiAnalyzer, birden çok FortiGate'in loglarını tek noktada toplayan, ilişkilendiren ve raporlayan bir analiz platformudur; FortiView panelleri ve hazır raporlarla görünürlüğü artırır.

FortiAnalyzer, dağıtık ortamlarda her cihazın loglarını ayrı ayrı incelemek yerine merkezi bir görünüm sunar. Tehdit, trafik ve uyumluluk raporları otomatik üretilebilir; FortiView panelleri en çok tehdit alan kaynakları ve uygulamaları hızla ortaya koyar.

Olay korelasyonu sayesinde, tek tek loglarda görünmeyen saldırı örüntüleri ortaya çıkarılabilir. Bu, olay müdahale (incident response) süreçlerini hızlandırır.

Merkezi loglama, HA kümelerinde failover olaylarını izlemek için de kritiktir; bkz. FortiGate HA yapılandırması.

İzleme, Alarm ve SIEM Entegrasyonu

İzleme ve alarm, kritik olaylarda otomatik bildirim üretmeyi ve logları kurumsal bir SIEM'e aktararak daha geniş güvenlik bağlamında değerlendirmeyi içerir.

FortiGate ve FortiAnalyzer, belirli eşikler aşıldığında veya kritik imzalar tetiklendiğinde uyarı üretebilir. Logları syslog veya konektörler aracılığıyla bir SIEM'e (örneğin merkezi güvenlik operasyon merkezi) ileterek diğer kaynaklarla korelasyon kurabilirsiniz.

Bu entegrasyon, FortiGate'i izole bir cihaz olmaktan çıkarıp kurumsal güvenlik operasyonlarının bir parçası haline getirir.

Loglama ve İzlemede En İyi Pratikler

En iyi pratikler; doğru olayları loglamak, yeterli saklama süresi belirlemek, merkezi bir hedef kullanmak, zaman senkronizasyonunu sağlamak ve raporları düzenli incelemektir.

  • Kritik trafik ve tüm güvenlik olaylarını loglayın; gürültüyü azaltmak için gereksiz logları sınırlayın.
  • Uyumluluk gereksinimlerine uygun saklama süresi belirleyin.
  • Merkezi bir hedef (FortiAnalyzer/SIEM) kullanın.
  • NTP ile zaman senkronizasyonunu sağlayın; doğru zaman damgası korelasyon için şarttır.
  • Tehdit ve trafik raporlarını düzenli gözden geçirin.

Loglama yükünün performansa etkisini dengelemek için performans optimizasyonu rehberimize ve genel mimari için FortiGate nedir rehberine bakın.

Sık Sorulan Sorular

FortiGate hangi log türlerini üretir?

Başlıca trafik logları (oturum bilgisi), olay logları (sistem ve yönetim olayları) ve güvenlik logları (antivirüs, IPS, web filtreleme gibi UTM olayları) üretilir.

Logları neden FortiAnalyzer'a göndermeliyim?

Yerel disk ve bellek sınırlıdır; FortiAnalyzer çok cihazlı ortamlarda merkezi toplama, olay korelasyonu ve otomatik raporlama sağlayarak görünürlüğü ve uyumluluğu güçlendirir.

FortiView nedir?

FortiView, trafik ve tehdit verilerini görsel panellerde sunan bir analiz arayüzüdür. En çok tehdit alan kaynakları, kullanıcıları ve uygulamaları hızla görmeyi sağlar.

FortiGate loglarını SIEM'e aktarabilir miyim?

Evet. Loglar syslog veya konektörler aracılığıyla kurumsal bir SIEM'e iletilebilir; böylece diğer güvenlik kaynaklarıyla korelasyon kurularak daha geniş bir bağlam elde edilir.

Log saklama süresini nasıl belirlemeliyim?

Saklama süresi, sektörünüzün uyumluluk gereksinimlerine ve adli analiz ihtiyaçlarına göre belirlenir. Merkezi bir hedefte yeterli kapasite ayırmak ve arşivleme politikası tanımlamak önerilir.

Zaman senkronizasyonu neden önemli?

Doğru zaman damgası olmadan farklı cihazların logları güvenilir biçimde ilişkilendirilemez. NTP ile tüm cihazların saatini senkronize etmek, korelasyon ve adli analiz için kritiktir.

Sonuç

FortiGate loglama ve FortiAnalyzer entegrasyonu, güvenlik olaylarını görünür kılar ve hızlı müdahaleyi mümkün kılar. Merkezi toplama, doğru saklama ve SIEM entegrasyonuyla FortiGate, kurumsal güvenlik operasyonlarının güçlü bir parçası olur.

Merkezi loglama ve izleme mimarinizi kurmak için Sora Yazılım ekibiyle görüşebilirsiniz.

← Blog

Bu yazıdaki konulara ihtiyacınız mı var?

Sora Yazılım uzmanlarıyla ücretsiz keşif görüşmesi planlayın; somut bir yol haritası önerelim.

Ücretsiz keşif görüşmesiHizmetlerimizÇözümlerimiz