D P U S E C

Linux Sistem Günlüklerini Anlamak: Log Yönetimi ve İzleme Teknikleri

Merhaba, ben Aycan Yılmazoğlu. Bu yazıda, yerel bir bilgisayarda log yönetiminin nasıl yapılacağını, Linux işletim sistemindeki log dosyalarının konumlarını ve hangi log dosyasının hangi servisle ilişkili olduğunu anlatacağım.



Kullandığımız sistemde meydana gelen sorunlar, yapılan değişiklikler ve diğer tüm işlemler kayıt altına alınarak saklanır. Bu kayıtlara “log” adı verilir. Linux sistem logları, işletim sistemi ve uygulamaları için bir olay zaman çizelgesi sağlar ve karşılaşılan sorunları gidermede en değerli araçlardan biridir.

Bir sorun tespit edildiğinde, bir yöneticinin yapması gereken ilk şey log dosyalarını analiz etmektir. Loglar, sistemdeki herhangi bir istenmeyen durumun nedenini ve kaynağını belirlemek için kritik öneme sahiptir.

Log dosyaları, Linux/Unix sistemlerinin en önemli bileşenlerinden biridir ve Linux sistemlerinde, diğer sistemlere göre daha detaylı bir loglama mekanizması bulunur.

Linux ortamlarında oluşturulan log dosyaları dörde ayrılır:
  • Uygulama Log Dosyaları
  • Olay Log Dosyaları
  • Servis Log Dosyaları
  • Sistem Log Dosyaları

  • Bazı temel log dosyalarına göz atalım:

    /var/log: Bu dizine gittikten sonra ls komutu ile log dizininde yer alan tüm alt dizinleri görebilirsiniz.



    /var/log/syslog: Syslog, işletim sistemi hatalarını ve uyarılarını izleyen bir loglama mekanizmasıdır ve sürekli olarak loglama işlemi yapar. Logların nasıl tutulacağı ve önemine dair birçok ayrıntıyı belirler. Syslog, yalnızca kendi domaini veya sunucusu ile sınırlı kalmaz; bununla birlikte diğer aynı ağ üzerinde bulunan cihazlar ve sunuculardan da log dosyalarını toplayabilir.



    /var/log/messages:  Bu log, sistemde oluşan bir problemden sonra incelenmesi gereken öncelikli dosyalardan biridir. Donanımla ilgili yaşanan sorunlar bu dosyada bulunur. CentOS  ve Redhat tabanlı sistemlerde (RHEL gibi) loglar genellikle /var/log/messages dosyasında depolanırken, Ubuntu ve diğer Debian tabanlı sistemlerde ise loglar /var/log/syslog dosyasında saklanır.



    /var/log/auth.log: Adından da anlaşılacağı gibi, kimlik doğrulama işlemleri bu dosyada tutulur. Sistemdeki oturum açma girişimleri, başarılı veya başarısız olsun, bu dosya üzerinden görüntülenebilir.



    /var/log/secure: Yetkilendirme sistemlerinin kullanımını izlemek için bu dosya kullanılır. Kimlik doğrulama hataları da dahil olmak üzere güvenlikle ilgili tüm mesajları kayıt altına alır. Bu kayıtlar, oturum bilgileri ile bilgisayar korsanlığı girişimlerini tespit etmek için kullanılır. Red Hat ve CenOS tabanlı sistemler bu dosyayı kullanmaktadır.



    /var/log/boot.log: Beklenmeyen kapanmalar, plansız yeniden başlatmalar veya önyüklüme ile alakalı bilgiler bu günlük dosyasına kayıt edilir. Beklenmeyen bir kapanmanın neden olduğu sistem kapalı kalma süresinin belirlenmesinde bizlere yardımcı olabilir.



    /var/log/maillog ya da mail.log: Linux dağıtımlarında varsayılan olarak bulunan bu dosya, sisteme gelen ve giden maillerin başlık (header) bilgilerini içerir. Ancak, farklı bir mail servisi kurulduğunda bu loglar bu dosyada tutulmayabilir.



    /var/log/faillog: Debian ve Ubuntu Linux sistemlerinde, bu dosya tüm başarısız oturum açma girişimlerini kaydeder. Ayrıca, brute-force saldırılarıyla yapılan oturum açma girişimleri ve kimlik bilgilerini ele geçirmeye çalışanlar gibi teşebbüs edilen güvenlik ihlalleri hakkında veri toplamak için kullanılır.



    /var/log/dmesg: Aygıt sürücüleri ve donanım hataları ile ilgili mesajlar bulunur.



    /var/log/cron: Daha önceden tanımlanmış olan cron işlemlerinin gerçekleşmesi durumlarını ve çıktılarını, aynı zamanda servislerin herhangi bir hata ya da yeniden başlatma durumlarını kayıt altına alır.



    /var/log/mysqld.log ya da mysql.log: MySQL’i başlatırken, çalıştırırken veya durdururken ortaya çıkan sorunları belirlemek için kullanılır.


    Sistem tarafından oluşturulan tüm log dosyalarını izlemek ve analiz etmek zorlu bir görev olabilir; ancak süreci basitleştirmek için merkezi bir log izleme aracından yararlanabilirsiniz.

    Eğer sunucu yönetiminde proaktif bir yaklaşım benimsemek istiyorsanız, log verilerini gerçek zamanlı olarak görüntüleyebileceğiniz ve olası tehditler ortaya çıktığında uyarı alabileceğiniz bir platforma yatırım yapmanız faydalı olacaktır.


    Alternatif olarak, aşağıdaki açık kaynaklı ürünleri tercih edebilirsiniz:
  • Graylog 2
  • Logcheck
  • Logwatch
  • Tüm günlük dosyalarını analiz eder ve bir rapor oluşturur. Raporu daha ayrıntılı veya özelleştirilmiş bir şekilde almak için komuta ek parametreler ekleyebilirsiniz.

  • Logstash

  • Kaynakça


    https://www.kadircirik.com/linux-sistemlerde-log-dosyalari/
    https://medium.com/@halis_bas/monitoring-edilmesi-gereken-12-kritik-linux-log-dosyas%C4%B1-527c743c430b
    Linux sunucularda log yönetimi
    İlgili Etiketler:
    Sosyal Medyada Paylaş