İçeriğe Atla
Mustafa Erbay
Teknoloji · 10 dk okuma · görüntülenme Read in English
100%

Ağ Cihazlarında Syslog: TLS, Buffering ve Log Storm

Syslog kaybı ve log storm riskini; TLS/relay, disk-backed queue ve rate limit ile incident/audit için güvenilir log hattına dönüştürme modeli.

#network #security #logging #observability #operations
Ağ Cihazlarında Syslog: TLS, Buffering ve Log Storm — kapak görseli

Incident sonrası en pahalı cümlelerden biri şudur: “Log gelmemiş.” Ağ cihazı logları; kim girdi, hangi komut çalıştı, hangi interface flap oldu, hangi ACL hit aldı gibi olayların kanıt katmanıdır. Ama syslog dünyasında üç klasik problem vardır:

  1. UDP kaybı: yoğunlukta paket düşer, kanıt kaybolur.
  2. Log storm: tek bir arıza (örn. flap) binlerce satır üretir, pipeline’ı boğar.
  3. Güven: TLS yoksa, loglar yolda görülebilir/manipüle edilebilir; özellikle yönetim ağında risk büyür.

Bu yazıda, ağ cihazı loglamasını “bir ayar” değil, dayanıklı bir mimari olarak ele alıyorum.

Hedef: üç soruya kesintisiz cevap

İyi bir syslog mimarisinin sahadaki başarı ölçütü:

  • Collector kesilince loglar kayboluyor mu, kuyruklanıyor mu?
  • Log storm olunca pipeline çöküyor mu, kontrollü kısıyor mu?
  • Loglar şifreli ve kimliği doğrulanmış şekilde taşınıyor mu?

TLS: her cihaz desteklemiyorsa bile mimari çözülür

Gerçek hayatta bazı ağ cihazları syslog’u TLS ile gönderemez. Bu durumda iki pratik yaklaşım:

  1. Yerel relay: cihaz → (UDP/TCP) → aynı segmentte relay → (TLS) → merkezi collector
  2. Out-of-band management: syslog trafiğini yönetim ağında, dar ACL’lerle taşımak

Relay üzerinde TLS (tercihen mTLS) kullanmak; “yolda dinleme” riskini düşürür ve collector tarafında kaynak doğrulamasını kolaylaştırır.

Buffering / Queue: collector down iken ne olur?

Üretimde collector kesintisi kaçınılmazdır (bakım, disk dolması, network problem). Bu yüzden:

  • Relay/agent üzerinde disk-backed queue kullanın
  • Kuyruk için maksimum disk ve drop policy belirleyin
  • “Queue doluyor” alarmını, “log yok” alarmından önce görün

Bu yaklaşım; “collector down → log kaybı” zincirini kırar.

Log storm: flood’u “gürültü”ye çevirmeden yönet

Log storm’un tipik kaynakları:

  • Interface flap (özellikle fiber/edge)
  • Routing adjacency flap
  • Authentication denemeleri (brute force / yanlış config)
  • ACL hit patlaması (DDoS / scan)

Log storm’a karşı iki katman:

  1. Kaynakta sınırlama: cihaz tarafında severity, facility, sampling (mümkünse)
  2. Pipeline’da sınırlama: per-source rate limit, burst tolerance, ayrı kuyruklar

Timestamp: NTP yoksa syslog da yok

Syslog’da zaman, olayın kendisi kadar önemlidir. Bu yüzden:

  • Cihazlar NTP/chrony hiyerarşisine bağlı olsun
  • Zaman drift alarmları syslog pipeline’ına dahil olsun
  • Collector tarafında ingest time ile event time farkı izlenebilsin

Minimum “kanıt seti”: incident ve audit için hangi loglar kritik?

Üretimde “her şeyi alalım” yaklaşımı pahalıdır. Benim minimum kanıt setim:

  • AAA login/logout, başarısız deneme
  • Konfig değişikliği (commit/save, user, source)
  • Routing adjacency up/down
  • Uplink interface up/down
  • CPU/memory kritik eşikler (cihaz destekliyorsa)

Test: bir kere değil, düzenli tatbikat

Bu mimariyi doğrulamanın en iyi yolu basit bir tatbikat:

  1. Collector bağlantısını kes (kontrollü)
  2. 10 dakika log üret (ör. test interface flap)
  3. Bağlantıyı geri getir
  4. Logların “geri aktığını” ve sıra/bozulma davranışını gözlemle

Eğer bu tatbikat yoksa, “dayanıklı syslog” sadece bir inanç olur.

Kapanış

Ağ cihazı syslog mimarisi; güvenlik ve operasyon liderliği açısından kritik bir “görünürlük sözleşmesi”dir. TLS, buffering ve log storm yönetimi ile syslog’u sadece bir çıkış değil; incident anında güvenilen bir kanıt hattı haline getirebilirsiniz.

Paylaş:

Bu yazı faydalı oldu mu?

Yükleniyor...

Bu yazı nasıldı?

ME

Mustafa Erbay

Sistem Mimarisi · Network Uzmanı · Altyapı, Güvenlik ve Yazılım

2006'dan bu yana sistem mimarisi, network, sunucu altyapıları, büyük yapıların kurulumu, yazılım ve sistem güvenliği ekseninde çalışıyorum. Bu blogda sahada karşılığı olan teknik deneyimlerimi paylaşıyorum.

Kişisel Notlar

Bu notlar sadece sizde saklanır. Tarayıcınızda yerel olarak tutulur.

Hazır 0 karakter

Yorumlar

Sunucu Taraflı AI Moderasyon

Yorumlar sunucuda yapay zeka ile denetlenir ve kalıcı olarak saklanır.

?
0/2000

Sunucu taraflı AI denetim

✉️ Ücretsiz · Spam yok · İstediğin an çık

Haftalık özet — AI değil, bizzat ben seçiyorum

Haftada bir mail: o haftanın en önemli yazısı, perde arkası notları, ve "bu hafta gerçekten kullandığım araç" bölümü. Az gürültü, çok sinyal.

  • 📌
    Haftanın en iyisi Sadece okumaya değer tek yazı
  • 🔧
    Alet çantası Bu hafta kullandığım araçlar
  • 🧠
    Perde arkası Blog'a girmeyen notlar

Spam yapmıyoruz. İstediğiniz zaman ayrılabilirsiniz. · Sadece Umami (self-hosted, Google yok) ile takip.

Okuma İstatistikleriniz

0

Yazı Okundu

0dk

Okuma Süresi

0

Gün Serisi

-

Favori Kategori

İlgili Yazılar

Teknoloji

CoPP/CPP ile Router & Switch Control Plane Koruma (Operasyonel Model)

Router/switch control plane’i; routing, yönetim ve ICMP trafiğini sınıflandırıp polisleyerek CPU çöküşü ve adjacency flap riskini azaltan CoPP/CPP modeli.

Teknoloji

Kritik Sistemlerde Zaman Senkronizasyonu: NTP, PTP ve İzlenebilirlik

Dağıtık sistemlerde TLS, log korelasyonu ve tutarlılık için NTP/PTP mimarisi, güvenlik ve operasyonel izleme yaklaşımı.

Teknoloji

QUIC / HTTP/3: Kurumsal Ağlarda Güvenlik ve Operasyon

UDP/443 üzerinden gelen HTTP/3 trafiğini güvenlik, görünürlük ve performansı bozmadan yönetmek için pratik bir yaklaşım.