KVKK için VMware loglama kurmak, yalnız bir syslog sunucusuna birkaç kayıt göndermek değildir. Güçlü model; kimlik doğrulama olaylarını, yönetim düzlemi işlemlerini, host loglarını ve retention politikasını aynı denetlenebilir akış içinde toplamaktır. Kısa cevap şudur: KVKK açısından savunulabilir bir VMware loglama modeli, vCenter SSO giriş kayıtlarını, tasks-events geçmişini, ESXi remote syslog akışını ve merkezi review disiplinini birlikte işletir.
Bu rehber özellikle şu ekipler içindir:
- VMware ve vSphere yöneticileri
- KVKK uyumundan sorumlu BT ve bilgi güvenliği ekipleri
- SIEM ve merkezi log yönetimi ekipleri
- denetimde savunulabilir log ve erişim izi oluşturmak isteyen yöneticiler
Hızlı Özet
- KVKK Kişisel Veri Güvenliği Rehberi,
log kayıtları, erişim kontrolü, yetki matrisi ve düzenli kontrol mekanizmalarını teknik tedbir setinin parçası olarak konumlandırır. - Broadcom KB
423205, vCenter 8.0 oturum kayıtlarının/var/log/audit/sso-events/audit_events.logaltındaLoginSuccess,LoginFailureveLogouttipleriyle tutulduğunu gösterir. - Broadcom KB
430131, aynı SSO login olaylarının vSphere Client içindecom.vmware.ssofiltresiyle de izlenebildiğini açıkça belirtir. - Broadcom KB
315352, vCenter tasks ve events retention varsayılanının30 daysseviyesine düşebildiğini gösterir; bu nedenle retention süresi bilinçli yönetilmelidir. - Broadcom KB
318939, ESXi loglarının varsayılan olarak scratch volume veya ramdisk üzerinde tutulduğunu ve kalıcılık için alternate log location veya remote syslog gerektiğini söyler. - Broadcom KB
432290, SSL syslog kurulumunda IP yerine FQDN kullanılmazsa sertifika doğrulamasının kırılabileceğini gösterir.
İçindekiler
- KVKK Açısından VMware Loglama Neyi Kapsar?
- vCenter Tarafında Hangi Kayıtlar Mutlaka İzlenmelidir?
- ESXi Logları Nasıl Kalıcı ve Merkezi Hale Getirilir?
- Retention ve Review Disiplini Nasıl Kurulur?
- En Sık Yapılan Hatalar Nelerdir?
- İlgili İçerikler
- Kontrol Listesi
- LeonX ile Sonraki Adım
- Sık Sorulan Sorular
- Kaynaklar
Görsel: Wikimedia Commons - Monitoring cabinets.
KVKK Açısından VMware Loglama Neyi Kapsar?
KVKK tarafında loglama yalnız “kayıt tutuyor muyuz” sorusuna indirgenemez. Kişisel Veri Güvenliği Rehberi, log kayıtları ile birlikte yetki matrisi, erişim kontrolü, saklama ve düzenli kontrol ihtiyacını aynı çerçevede ele alır. VMware ortamında bunun karşılığı şu katmanların birlikte değerlendirilmesidir:
- vCenter oturum ve yönetim işlemleri
- vCenter tasks ve events geçmişi
- ESXi host logları
- kimlik doğrulama ve başarısız giriş kayıtları
- merkezi SIEM veya log platformundaki korelasyon
- retention ve review prosedürü
Bu nedenle “host logları bir yerde duruyor” yaklaşımı KVKK için yeterli değildir. Asıl soru şudur:
- kim giriş yaptı
- hangi yönetim işlemi gerçekleşti
- kayıtlar ne kadar süre saklandı
- log akışı merkezi olarak izleniyor mu
- olaylar kim tarafından gözden geçiriliyor
vCenter Tarafında Hangi Kayıtlar Mutlaka İzlenmelidir?
1. SSO giriş kayıtları
Broadcom KB 423205, vCenter Server login kayıtlarının /var/log/audit/sso-events/audit_events.log altında tutulduğunu açıkça gösterir. Kayıtlarda şu olay tipleri yer alır:
com.vmware.sso.LoginSuccesscom.vmware.sso.LoginFailurecom.vmware.sso.Logout
KVKK açısından bu kritik, çünkü named account yaklaşımıyla erişim izinin ilişkilendirilebilmesi için kullanıcı, istemci IP’si ve zaman damgası görülebilmelidir.
2. vSphere Client üzerinden görünür olaylar
Broadcom KB 430131, aynı SSO login olaylarının vSphere Client içinde Monitor > Events alanında com.vmware.sso filtresiyle aranabildiğini belirtir. Bu operasyonel olarak değerlidir; çünkü logları sadece komut satırında değil, yönetim arayüzünde de düzenli review sürecine bağlamak mümkün olur.
3. Tasks ve Events geçmişi
Broadcom KB 315352, vCenter tarafında tasks ve events retention süresinin varsayılan olarak 30 days seviyesine düşebildiğini açıkça gösterir. KVKK tarafında bu nokta çok önemlidir; çünkü erişim, işlem ve değişiklik geçmişi kısa retention nedeniyle denetim döneminde eksik kalabilir.
Bu yüzden şu ayarlar bilinçli ele alınmalıdır:
event.maxAgetask.maxAge
Sadece varsayılan değere güvenmek yerine, kurumun review ve denetim ihtiyacına göre retention hedefi tanımlanmalıdır.
ESXi Logları Nasıl Kalıcı ve Merkezi Hale Getirilir?
Yerel log kalıcılığı
Broadcom KB 318939, ESXi loglarının varsayılan olarak local scratch volume veya ramdisk üzerinde tutulduğunu ve kalıcı yapı için alternate storage location veya remote syslog hedefi gerektiğini söyler. Bu şu anlama gelir:
- reboot veya scratch problemi sonrası loglar kaybolabilir
- yalnız host üstü log saklama, tek başına güçlü model değildir
- kalıcılık için datastore veya merkezi hedef planı gerekir
Remote syslog
KVKK için daha savunulabilir model, ESXi loglarını merkezi syslog veya SIEM katmanına aktarmaktır. Broadcom dokümantasyonunda bu akış için şu ayarlar öne çıkar:
Syslog.global.logDirSyslog.global.logHostSyslog.global.logDirUnique
Bu noktada Donanım & Yazılım Hizmetleri altında sunduğumuz SIEM ve Güvenlik Olay Yönetimi Entegrasyonu hizmeti, VMware loglarının merkezi korelasyon ve saklama politikasına bağlanmasında doğrudan ilgili çözümdür. Sanallaştırma tarafında Kurumsal Sanallaştırma Platformları Satış ve Lisanslama ile standart host ve vCenter tasarımı tamamlanabilir.
SSL syslog ve FQDN disiplini
Broadcom KB 432290, ESXi syslog over SSL yapılandırmasında IP ile bağlanıldığında sertifika doğrulamasının IP address mismatch hatasıyla kırılabildiğini açıkça anlatır. Bu yüzden:
ssl://IP:6514yerinessl://FQDN:6514
kullanmak daha güvenli yaklaşımdır. KVKK açısından log akışının sessizce bozulması, teknik tedbirin kağıt üstünde kalması demektir.
Retention ve Review Disiplini Nasıl Kurulur?
Log üretmek tek başına yeterli değildir. KVKK rehberindeki log kayıtları mantığı, kayıtların yalnız tutulmasını değil; uygun şekilde korunmasını, gözden geçirilmesini ve gerektiğinde delil niteliği taşıyacak düzen içinde saklanmasını da ima eder.
Sağlıklı model şunları içerir:
- vCenter login kayıtlarının periyodik review'u
- kritik task ve event kategorilerinin tanımı
- ESXi syslog akışının test mesajı ile doğrulanması
- retention süresinin yazılı politika haline getirilmesi
- SIEM veya log platformunda korelasyon ve alarm üretimi
- olay review toplantı notları veya ticket kayıtları
Bu disiplin kurulmadığında “log alıyoruz” cümlesi operasyonel ve hukuki açıdan zayıf kalır.
En Sık Yapılan Hatalar Nelerdir?
Yalnız host loglarına güvenmek
vCenter SSO ve task-event katmanı okunmadan sadece ESXi logları ile ilerlemek eksik görünürlük üretir.
vCenter retention süresini varsayılan bırakmak
30 days gibi kısa retention dönemleri, denetim veya olay incelemesinde yetersiz kalabilir.
Syslog akışını tanımlayıp test etmemek
Konfigürasyon vardır ama hedef log almıyordur. Test mesajı ve merkezi doğrulama olmadan akış tamam sayılmamalıdır.
SSL syslog’ta FQDN yerine IP kullanmak
Sertifika eşleşmesi bozulduğunda log forwarding sessiz biçimde kırılabilir.
Review sorumluluğunu tanımlamamak
Loglar toplanır ama kim hangi sıklıkla bakacak sorusu cevapsız kalırsa KVKK açısından kontrol olgunluğu düşer.
İlgili İçerikler
- VMware KVKK Teknik Tedbirler Rehberi
- VMware ESXi Audit Log ISO 27001 Uyumu Rehberi
- ISO 27001 için VMware Monitoring Nasıl Yapılır?
- VMware vCenter Güvenliği ISO 27001 Uyumu Rehberi
Kontrol Listesi
- vCenter
audit_events.logkayıtları düzenli review kapsamına alındı -
com.vmware.ssoolayları vSphere Client içinde filtrelenerek doğrulandı -
event.maxAgevetask.maxAgedeğerleri kurum ihtiyacına göre gözden geçirildi - ESXi
Syslog.global.logHostve ilgili ayarlar standartlaştırıldı - remote syslog veya SIEM akışı test mesajıyla doğrulandı
- SSL syslog kullanımında FQDN ve sertifika uyumu doğrulandı
- merkezi retention ve review prosedürü yazılı hale getirildi
- teklif, iletişim ve sorumluluk sahipleri netleştirildi
LeonX ile Sonraki Adım
KVKK için VMware loglama kurmak, birkaç log kaydını bir sunucuya aktarmaktan ibaret değildir; vCenter erişim izi, task-event geçmişi, ESXi syslog akışı ve merkezi korelasyonu aynı kontrol modeli altında işletmek gerekir. LeonX, Donanım & Yazılım Hizmetleri altında özellikle SIEM ve Güvenlik Olay Yönetimi Entegrasyonu ve Kurumsal Sanallaştırma Platformları Satış ve Lisanslama hizmetleriyle VMware loglama mimarinizi daha denetlenebilir hale getirir. Mevcut ortamınızı değerlendirmek veya teklif almak için İletişim sayfasından ilerleyebilirsiniz.
İlgili sayfalar:
- Donanım & Yazılım Hizmetleri
- SIEM ve Güvenlik Olay Yönetimi Entegrasyonu
- Kurumsal Sanallaştırma Platformları Satış ve Lisanslama
- İletişim
Sık Sorulan Sorular
KVKK için yalnız ESXi syslog yeterli midir?
Hayır. vCenter oturum kayıtları ve tasks-events geçmişi de loglama modelinin parçası olmalıdır.
vCenter login kayıtları nerede tutulur?
Broadcom KB 423205'e göre /var/log/audit/sso-events/audit_events.log altında tutulur.
VMware logları için retention neden kritik?
Çünkü kısa retention, olay incelemesi ve denetim kanıtını zayıflatır. Özellikle tasks-events geçmişi bilinçli yönetilmelidir.
Syslog over SSL için neden FQDN kullanmak gerekir?
Broadcom KB 432290, IP ile bağlanıldığında sertifika eşleşmesinin bozulabildiğini gösterir.
Log review yapılmazsa log toplamak yeterli sayılır mı?
Hayır. KVKK açısından kayıtların yalnız tutulması değil, izlenmesi ve gerektiğinde aksiyon akışına bağlanması gerekir.
Sonuç
KVKK için VMware loglama, vCenter erişim izini, yönetim olaylarını, ESXi host loglarını ve merkezi review disiplinini aynı zincirde toplamak anlamına gelir. Sağlam yaklaşım; SSO login kayıtları, tasks-events retention, remote syslog ve SIEM korelasyonunu birlikte yöneterek hem operasyonel görünürlük hem de denetimde savunulabilir kanıt üretmektir.
Kaynaklar
- KVKK - Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)
- KVKK Rehberi PDF - Log Kayıtları bölümü
- Broadcom KB 423205 - How to find vCenter Server login record
- Broadcom KB 430131 - Searching for SSO login events in the vSphere Client
- Broadcom KB 315352 - vCenter Server Tasks and Events retention period
- Broadcom KB 318939 - Configuring syslog on ESXi
- Broadcom KB 324268 - How To Configure syslog over SSL on ESXi
- Broadcom KB 432290 - Configuring ESXi syslog over SSL fails with IP address mismatch
- Wikimedia Commons - Monitoring cabinets
