5651 projelerinde arşivleme ve saklama stratejileri, yalnız log dosyalarını büyük bir diskte tutmak değildir. Doğru model; hangi rol için hangi trafik bilgisinin üretildiğini, bu kayıtların ne kadar süre saklanacağını, bütünlüğünün nasıl korunacağını, kimin erişebileceğini ve süre sonunda nasıl imha edileceğini aynı tasarımda birleştirir.
Bu rehber, 5651 uyumu için log toplama, arşivleme, SIEM ve denetim kanıtı tasarlayan BT, güvenlik ve uyum ekipleri için hazırlanmıştır. Hukuki yorum kurumun faaliyet modeliyle birlikte değerlendirilmelidir; burada amaç teknik ve operasyonel kontrol çerçevesini netleştirmektir.
Hızlı Özet
- 5651 arşivleme stratejisinin ilk adımı rol tespitidir: yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcı aynı saklama modeline sahip değildir.
- Trafik bilgisi; IP adresi, port, zaman, hizmet türü, veri miktarı ve varsa abone ya da kullanıcı ilişkisini içeren kayıt zinciri olarak ele alınmalıdır.
- Yer sağlayıcı tarafında trafik bilgisinin
1 yılile2 yılaralığında, erişim sağlayıcı tarafında6 ayile2 yılaralığında saklanması çerçevesi öne çıkar. - Arşivleme yalnız süre yönetimi değildir; NTP, hash, imza, değiştirilemez depolama, erişim kaydı ve geri yükleme testi birlikte tasarlanmalıdır.
- 5651 logları çoğu senaryoda KVKK açısından kişisel veri boyutu taşıdığı için saklama süresi, erişim yetkisi ve imha planı ayrı yazılmalıdır.
- Denetimde güçlü paket; kaynak envanteri, saklama matrisi, örnek log çıktısı, bütünlük kanıtı, yetki listesi ve test edilen arama prosedüründen oluşur.
İçindekiler
- 5651 Arşivleme Stratejisi Neden Ayrı Tasarlanmalı?
- Hangi Loglar Saklama Kapsamına Girer?
- Saklama Süresi Matrisi Nasıl Kurulur?
- Arşiv Bütünlüğü ve Delil Değeri Nasıl Korunur?
- SIEM, Syslog ve Soğuk Arşiv Nasıl Ayrılmalı?
- KVKK ile Saklama ve İmha Dengesi Nasıl Kurulur?
- 90 Günlük Uygulama Planı
- İlgili İçerikler
- LeonX ile Sonraki Adım
- Sık Sorulan Sorular
- Kaynaklar
Görsel: Wikimedia Commons - Data storage Centre, CERN. WebP olarak optimize edilmiştir.
5651 Arşivleme Stratejisi Neden Ayrı Tasarlanmalı?
5651 projelerinde en sık hata, “loglar SIEM'e gidiyor” cümlesini arşivleme stratejisi sanmaktır. SIEM görünürlük sağlar; arşivleme ise kayıtların saklama süresi boyunca bulunabilir, bütünlüğü korunmuş ve denetime sunulabilir kalmasını sağlar. Bu iki hedef aynı platformda yürütülebilir, fakat aynı kontrol değildir.
Arşivleme stratejisi ayrı tasarlanmalıdır çünkü:
- log kaynağı sayısı arttıkça kayıtların eksik kalma riski büyür
- SIEM indeksleme süresi ile yasal saklama süresi aynı olmayabilir
- ham log, normalize edilmiş olay ve rapor çıktısı farklı kanıt değerine sahiptir
- yetkisiz log araması KVKK ve iç güvenlik riski doğurabilir
- süre sonunda imha edilmeyen kişisel veri ayrı uyum sorunu oluşturabilir
Bu yüzden 5651 projesinin başlangıcında üç soru yazılı hale getirilmelidir:
- hangi rol için hangi kayıt tutuluyor?
- kayıt hangi sistemde ne kadar süre saklanıyor?
- kayıt gerektiğinde nasıl bulunuyor ve bütünlüğü nasıl ispatlanıyor?
Hangi Loglar Saklama Kapsamına Girer?
5651 tarafında trafik bilgisi tek bir cihazın ürettiği basit log dosyasına indirgenmemelidir. Kanundaki trafik bilgisi yaklaşımı, internet ortamındaki erişim olayının kimlik, adres, port, zaman ve hizmet ilişkisini görünür kılmaya odaklanır. Kurumun rolüne göre kapsam değişir.
Tipik kaynaklar şunlardır:
| Kaynak | Saklama amacı | Kontrol noktası |
|---|---|---|
| firewall ve NAT logları | iç kullanıcı ile dış hedef arasındaki ilişkiyi göstermek | kaynak IP, hedef IP, port, zaman ve aksiyon |
| DHCP kayıtları | iç IP adresinin hangi cihaza verildiğini göstermek | lease başlangıç/bitiş zamanı ve MAC adresi |
| proxy ve web gateway | web erişim izini merkezi görmek | URL, kategori, kullanıcı, zaman |
| hotspot veya misafir Wi-Fi | kullanıcı tanımlama ve erişim kaydı | kimlik doğrulama yöntemi, oturum ve IP ilişkisi |
| hosting paneli ve web sunucusu | yer sağlanan hizmetle müşteri ilişkisini kurmak | domain, müşteri, IP, access log |
| DNS, VPN ve load balancer | erişim zincirindeki ara katmanları tamamlamak | sorgu, oturum, sanal IP ve backend ilişkisi |
| SIEM veya log yönetimi | korelasyon ve arama kabiliyeti sağlamak | kaynak sağlığı, indeks, alarm ve bütünlük |
Kaynak envanteri olmadan saklama stratejisi eksik kalır. Örneğin yalnız firewall logu saklayan bir kurum, DHCP veya kimlik doğrulama kaydı yoksa olay anındaki iç IP adresini gerçek kullanıcı ya da cihazla ilişkilendiremeyebilir. Tersi de mümkündür: kullanıcı kimliği var ama NAT port kaydı yoksa dış erişim zinciri kopar.
Saklama Süresi Matrisi Nasıl Kurulur?
Saklama süresi matrisi, her log kaynağı için rol, veri türü, zorunlu süre, operasyonel ihtiyaç ve imha yöntemini aynı tabloda gösterir. Bu tablo hem BT operasyonu hem de uyum denetimi için tek referans olmalıdır.
Örnek matris:
| Veri seti | 5651 rol ilişkisi | Önerilen operasyonel katman | Minimum tasarım sorusu |
|---|---|---|---|
| yer sağlayıcı trafik bilgisi | hosting ve barındırma hizmetleri | merkezi log yönetimi + arşiv | müşteri, domain ve IP ilişkisi kurulabiliyor mu? |
| erişim sağlayıcı trafik bilgisi | internet erişimi sağlayan yapı | firewall/NAT + SIEM + arşiv | kaynak kullanıcı ile dış hedef eşleşiyor mu? |
| toplu kullanım erişim kaydı | misafir Wi-Fi, ortak internet alanları | hotspot/NAC + syslog + arşiv | kullanıcı tanımlama ve oturum süresi korunuyor mu? |
| güvenlik alarmı | olay inceleme ve korelasyon | SIEM indeks | alarm ham kayıtla eşleştirilebiliyor mu? |
| denetim raporu | yönetim ve kanıt paketi | doküman yönetimi | raporun üretildiği ham veriye geri dönülebiliyor mu? |
Bu noktada Donanım ve Yazılım Çözümleri altındaki SIEM ve Güvenlik Olay Yönetimi Entegrasyonu, logların yalnız toplanmasını değil saklama, korelasyon ve denetim çıktısı üretimini de standardize eder. Yönetim tarafında İş ve Yönetim Hizmetleri kapsamındaki Siber Güvenlik Değerlendirme Hizmeti, hangi kayıtların eksik veya fazla tutulduğunu ortaya çıkarır.
Arşiv Bütünlüğü ve Delil Değeri Nasıl Korunur?
5651 projesinde arşivlenen logun değeri, yalnız var olmasına değil değişmediğinin gösterilebilmesine bağlıdır. Bir log dosyası kolayca silinebiliyor, değiştirilebiliyor veya kimin eriştiği bilinmiyorsa denetimde zayıf kalır.
Minimum bütünlük kontrolleri:
- tüm log kaynakları için merkezi NTP standardı
- kaynak cihaz ve collector arasında güvenli aktarım
- günlük veya saatlik hash üretimi
- imzalı arşiv paketleri veya WORM/değiştirilemez depolama
- arşiv erişimleri için ayrı yetki grubu
- log araması yapan kullanıcıların ayrıca loglanması
- düzenli geri yükleme ve arama testi
- kaynak kesintisi olduğunda alarm üretimi
Burada amaç “hiç kimse loga dokunamaz” demek değildir. Amaç, yetkili işlemin iz bırakması ve yetkisiz değişikliğin tespit edilebilir olmasıdır. Özellikle yüksek hacimli yapılarda hash zinciri, immutable bucket, yedek arşiv kopyası ve denetim erişim kaydı birlikte kullanılmalıdır.
SIEM, Syslog ve Soğuk Arşiv Nasıl Ayrılmalı?
Sağlıklı 5651 mimarisinde üç katman birbirinden ayrılır:
1. Toplama katmanı
Syslog collector, agent, API connector veya log forwarder bu katmandadır. Görevi kaynaklardan ham veriyi almak, zaman damgasını korumak ve kaybı izlemektir. Bu katmanda kaynak sağlığı kritik metriktir: kaç kaynak veri gönderiyor, hangi kaynak sustu, gecikme kaç dakika?
2. Operasyonel analiz katmanı
SIEM bu katmanda çalışır. Normalizasyon, korelasyon, alarm üretimi ve olay inceleme burada yapılır. SIEM'in indeks süresi çoğu zaman maliyet ve performans nedeniyle sınırlı tutulur. Bu nedenle SIEM'de 90 gün sıcak arama yapılırken ham arşivin 1 yıl veya daha uzun tutulması gerekebilir.
3. Soğuk arşiv katmanı
Soğuk arşiv, sık aranmayan fakat gerektiğinde geri getirilecek kayıtlar içindir. Nesne depolama, immutable bucket, offline yedek, şifreli arşiv alanı veya WORM destekli sistemler bu katmanda düşünülebilir. Kritik nokta şudur: soğuk arşiv yalnız saklama değil, geri alma prosedürüyle birlikte tasarlanmalıdır.
Pratik hedefler:
- son
90 güniçin hızlı SIEM araması - yasal saklama süresi boyunca ham log arşivi
- aylık bütünlük kontrolü
- üç ayda bir geri yükleme testi
- yılda en az bir denetim paketi üretim testi
KVKK ile Saklama ve İmha Dengesi Nasıl Kurulur?
5651 kayıtları çoğu zaman kişisel veriyle kesişir. IP adresi, kullanıcı adı, telefon doğrulaması, MAC adresi, müşteri numarası, destek talebi veya abonelik bilgisiyle birleşen kayıtlar KVKK bakımından ayrıca korunmalıdır.
Bu nedenle saklama politikasında şu ayrım yapılmalıdır:
- 5651 için zorunlu veya gerekli olan kayıtlar
- güvenlik operasyonu için tutulan ek olay verileri
- müşteri destek veya iş sürekliliği için tutulan kayıtlar
- artık gerekli olmayan ve imha edilmesi gereken veri setleri
KVKK açısından güçlü model, “ne kadar çok tutarsak o kadar iyidir” yaklaşımı değildir. Kayıtlar mevzuat ve amaçla bağlantılı süre kadar tutulmalı; süre bitince silme, yok etme veya anonimleştirme süreci işletilmelidir. Kişisel Veri Saklama ve İmha Politikası ile 5651 saklama matrisi birbiriyle çelişmemelidir.
Bu konu 5651 ile KVKK Arasındaki Fark Nedir? yazısıyla birlikte okunmalıdır. Farkı doğru kurmak, arşivleme projesinde hangi kaydın hukuki saklama gerekçesiyle, hangisinin güvenlik operasyonu gerekçesiyle tutulduğunu netleştirir.
90 Günlük Uygulama Planı
Gün 1-15: Rol ve kaynak envanteri
- kurumun 5651 bakımından rolünü hukuk ve BT ekipleriyle netleştirin
- firewall, DHCP, VPN, DNS, hotspot, proxy, hosting paneli ve sunucu log kaynaklarını listeleyin
- her kaynağın sahibi, formatı, zaman standardı ve veri hacmini yazın
- eksik kaynakları risk kabulü veya proje maddesi olarak ayırın
Gün 16-35: Saklama ve erişim matrisi
- her veri seti için saklama süresi, erişim grubu ve imha yöntemini belirleyin
- SIEM sıcak indeks süresi ile soğuk arşiv süresini ayırın
- log arama ve dışa aktarma yetkilerini ayrı role bağlayın
- arşiv kopyalarının şifreleme ve yedekleme standardını yazın
Gün 36-60: Bütünlük ve arama testi
- NTP sapmasını kontrol edin
- örnek log paketleri için hash veya imza üretin
- SIEM'de kaynak bazlı alarm ve veri kesintisi kuralı tanımlayın
- soğuk arşivden örnek geri yükleme testi yapın
Gün 61-90: Denetim paketi
- rol analizi, kaynak envanteri ve saklama matrisini tek dosyada birleştirin
- örnek olay için kullanıcı, IP, port, zaman ve kaynak zincirini gösteren çıktı üretin
- arşiv erişim loglarını ve bütünlük doğrulama sonuçlarını ekleyin
- uygunsuzlukları düzeltici aksiyon planına bağlayın
İlgili İçerikler
- Hosting Firmaları İçin 5651 Yükümlülükleri Nelerdir?
- 5651 ile KVKK Arasındaki Fark Nedir?
- KVKK için Dell Server Loglama Gereksinimleri
- KVKK için VMware Loglama Nasıl Yapılır?
Kontrol Listesi
- 5651 rol analizi yazılı hale getirildi
- trafik bilgisi üreten tüm kaynaklar listelendi
- saklama süresi matrisi oluşturuldu
- SIEM sıcak indeks ve soğuk arşiv süresi ayrıldı
- NTP, hash, imza veya immutable saklama kontrolleri tanımlandı
- arşiv erişim yetkileri ayrıştırıldı
- KVKK saklama ve imha politikasıyla çakışma kontrol edildi
- geri yükleme ve denetim paketi testi yapıldı
LeonX ile Sonraki Adım
5651 projelerinde arşivleme ve saklama stratejisi, logların yalnız toplanmasını değil denetlenebilir, aranabilir ve bütünlüğü korunmuş kanıt setine dönüşmesini gerektirir. LeonX, İş ve Yönetim Hizmetleri kapsamında Siber Güvenlik Değerlendirme Hizmeti ile rol, süreç ve kontrol boşluklarını netleştirir. Teknik tarafta Donanım ve Yazılım Çözümleri ve SIEM ve Güvenlik Olay Yönetimi Entegrasyonu ile log toplama, korelasyon, arşiv ve denetim mimarisini kurumsal standarda bağlar. Mevcut log altyapınızı değerlendirmek veya teklif almak için İletişim sayfasından ilerleyebilirsiniz.
İlgili sayfalar:
- İş ve Yönetim Hizmetleri
- Siber Güvenlik Değerlendirme Hizmeti
- Donanım ve Yazılım Çözümleri
- SIEM ve Güvenlik Olay Yönetimi Entegrasyonu
- İletişim
Sık Sorulan Sorular
5651 için logları SIEM'de tutmak yeterli mi?
Tek başına yeterli değildir. SIEM operasyonel analiz sağlar; yasal saklama, bütünlük, erişim kaydı ve soğuk arşiv prosedürü ayrıca tasarlanmalıdır.
5651 arşivleme süresi herkes için aynı mı?
Hayır. Saklama süresi kurumun 5651 bakımından rolüne, veri türüne ve ilgili mevzuat çerçevesine göre değerlendirilmelidir.
Log arşivinde hash veya imza zorunlu mu?
Her senaryo için aynı teknik zorunluluk gibi ele alınmamalıdır; ancak bütünlüğü ispatlamak için hash, imza, değiştirilemez depolama veya eşdeğer kontroller güçlü pratiklerdir.
5651 logları KVKK kapsamına girer mi?
IP, kullanıcı, müşteri, MAC adresi veya oturum bilgisiyle ilişkilendirilebilen kayıtlar kişisel veri boyutu taşıyabilir. Bu nedenle erişim ve imha kontrolleri KVKK ile birlikte ele alınmalıdır.
Soğuk arşivden geri yükleme testi ne sıklıkla yapılmalı?
Kritik yapılarda üç ayda bir örnek geri yükleme testi iyi başlangıçtır. Daha yüksek riskli yapılarda aylık kontrol veya otomatik bütünlük doğrulaması tercih edilebilir.
Sonuç
5651 projelerinde arşivleme ve saklama stratejileri, logları bir yerde biriktirmekten ibaret değildir. Sağlam yaklaşım; rol analizini, kaynak envanterini, saklama matrisini, bütünlük kontrolünü, SIEM aramasını, soğuk arşivi ve KVKK uyumlu imha planını tek modelde yönetmektir. Böyle kurulan yapı hem olay incelemesinde hızlı sonuç verir hem de denetimde savunulabilir kanıt üretir.
