Firewall Loglama Nasıl Yapılır? FortiGate ve Sophos Rehberi
10 July 2026 11 Dk Okuma

Firewall Loglama Nasıl Yapılır? FortiGate ve Sophos Rehberi

Firewall Loglama Nedir ve Neden Kritik Önem Taşır?

Firewall loglama, ağ güvenlik cihazlarının (firewall) üzerinden geçen tüm trafiği, bağlantı girişimlerini, engelleme kararlarını ve kullanıcı etkinliklerini kayıt altına alma sürecidir. 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun kapsamında, tüm internet erişim sağlayıcıları ve kurumsal ağ işleticileri en az iki yıl süreyle erişim kayıtlarını saklamakla yükümlüdür. Bu kayıtlar arasında kaynak IP adresi, hedef IP/URL, zaman damgası (timestamp), port numarası, protokol türü ve kullanıcı kimlik bilgileri yer alır.

Yasal yükümlülüğün ötesinde, firewall logları siber saldırı analizinde, iç tehdit tespitinde, ağ performans sorunlarının çözümünde ve denetim süreçlerinde vazgeçilmez veri kaynaklarıdır. Ancak çoğu kurum, firewall cihazının yerel diskine yazılan logları düzenli olarak toplamadığı veya merkezi bir sistemde arşivlemediği için hem yasal risk altında kalır hem de güvenlik olaylarını geriye dönük analiz edemez. FortiGate ve Sophos gibi kurumsal firewall platformları, syslog protokolü üzerinden logları harici bir sunucuya veya bulut tabanlı bir loglama sistemine (NextLog gibi) göndererek bu sorunu ortadan kaldırır.

FortiGate Firewall Loglama: Adım Adım Kurulum Rehberi

FortiGate cihazları, Fortinet'in kurumsal güvenlik duvarı ailesidir ve FortiOS işletim sistemi üzerinde çalışır. Loglama yapılandırması hem GUI (web arayüzü) hem de CLI (komut satırı) üzerinden yapılabilir. Aşağıdaki adımlar FortiOS 7.0 ve üzeri sürümler için geçerlidir, ancak mantık önceki sürümlerde de benzerdir.

1. Syslog Sunucusu Tanımlama

FortiGate'in logları göndereceği hedef sunucuyu (syslog server) tanımlamak için:

  • Log & Report → Log Settings menüsüne gidin.
  • Log to Syslog seçeneğini etkinleştirin (Enable).
  • IP Address/FQDN alanına NextLog bulut sunucu adresinizi veya kendi syslog sunucunuzun IP'sini girin (örn. syslog.nextlog5651.com veya 10.20.30.40).
  • Port alanına 514 (UDP) veya 6514 (TCP/TLS) yazın. Güvenli iletim için TLS önerilir.
  • Facility değerini "local7" veya kurumunuzun standartlarına uygun bir seviye seçin.
  • CSV Format veya Syslog Format tercihinizi belirleyin. Syslog formatı, SIEM ve log yönetim araçlarıyla daha uyumludur.

2. Hangi Log Türlerinin Gönderileceğini Belirleme

FortiGate, farklı log kategorileri sunar:

  • Traffic Logs: Tüm kabul edilen ve reddedilen bağlantılar (5651 uyumluluğu için zorunlu).
  • Security Logs: IPS, antivirus, web filtreleme, uygulama kontrolü olayları.
  • Event Logs: Sistem olayları, kullanıcı girişleri, yapılandırma değişiklikleri.
  • VPN Logs: IPsec ve SSL VPN bağlantı kayıtları.

Log Settings ekranında her kategori için Send to Syslog kutucuğunu işaretleyin. 5651 uyumluluğu için en az Traffic ve Event loglarının gönderilmesi şarttır.

3. CLI ile İleri Seviye Yapılandırma

Daha ayrıntılı kontrol için SSH veya telnet ile FortiGate CLI'ye bağlanın ve aşağıdaki komutları kullanın:

config log syslogd setting
    set status enable
    set server "syslog.nextlog5651.com"
    set port 514
    set mode reliable
    set facility local7
    set source-ip 192.168.1.1
    set format default
end

mode reliable parametresi, TCP kullanarak log kaybını minimize eder. source-ip, çok WAN bağlantılı ortamlarda hangi arayüzden çıkış yapılacağını belirler.

4. Test ve Doğrulama

Yapılandırmayı tamamladıktan sonra, logların gerçekten syslog sunucusuna ulaştığını doğrulamak için:

  • FortiGate CLI'de diagnose debug application syslogd -1 komutunu çalıştırarak debug modunu açın.
  • Bir test trafiği oluşturun (örneğin bir web sitesine erişim).
  • NextLog kontrol panelinde veya syslog sunucunuzda yeni kayıtların geldiğini kontrol edin.
  • Zaman damgası (timestamp) doğruluğunu kontrol edin; FortiGate'in NTP senkronizasyonunun aktif olduğundan emin olun (config system ntp).

Sophos Firewall Loglama: Yapılandırma ve Entegrasyon

Sophos XG ve XGS serisi firewall'lar, Sophos Firewall OS (SFOS) üzerinde çalışır ve loglama yapılandırması kullanıcı dostu bir web arayüzü üzerinden gerçekleştirilir. Sophos, varsayılan olarak logları yerel diske yazar, ancak uzun süreli saklama ve merkezi analiz için harici syslog sunucusu entegrasyonu zorunludur.

1. Syslog Sunucusu Ekleme

Sophos Firewall web arayüzüne admin hesabıyla giriş yapın ve şu adımları izleyin:

  • Configure → System Services → Log Settings menüsüne gidin.
  • Syslog Servers bölümünde Add butonuna tıklayın.
  • Server Name alanına tanımlayıcı bir isim verin (örn. "NextLog-Syslog").
  • IP Address veya FQDN alanına hedef sunucu adresini girin.
  • Port için 514 (UDP) veya 6514 (TCP) seçin. Sophos, TLS şifreli syslog için sertifika yükleme imkanı sunar.
  • Facility değerini "Local 0" veya kurumsal standartlarınıza uygun bir seviye seçin.
  • Format olarak Syslog veya CEF (Common Event Format) tercih edebilirsiniz. CEF, SIEM entegrasyonlarında daha yaygındır.

2. Log Kategorilerini Yapılandırma

Sophos, modüler bir log yapısı sunar. Her güvenlik modülü için ayrı ayrı syslog gönderimi etkinleştirilebilir:

  • Firewall: Tüm kabul/reddet kararları (5651 için kritik).
  • IPS: Saldırı tespit ve önleme olayları.
  • Web Filtering: URL kategorileri, engellenen siteler.
  • Application Control: Uygulama bazlı trafik kayıtları.
  • VPN: SSL VPN ve IPsec bağlantı logları.
  • Authentication: Kullanıcı giriş/çıkış kayıtları (Active Directory, RADIUS, LDAP).
  • System: Cihaz yeniden başlatma, yapılandırma değişiklikleri, disk doluluk uyarıları.

Log Settings ekranında her modül için Send to Syslog kutucuğunu işaretleyin. Ayrıca Severity Level (kritiklik seviyesi) filtrelemesi yaparak sadece belirli önem derecesindeki olayların gönderilmesini sağlayabilirsiniz (örn. Information, Warning, Critical).

3. TLS Şifreli Syslog Yapılandırması

Sophos, logların şifreli kanal üzerinden iletilmesi için TLS sertifikası yükleme imkanı sunar. Bu, özellikle bulut tabanlı syslog sunucuları (NextLog gibi) kullanırken veri gizliliği açısından önemlidir:

  • Certificates → Certificate Authority menüsünden NextLog'un CA sertifikasını yükleyin.
  • Syslog sunucu tanımında Protocol olarak TLS seçin ve port numarasını 6514 yapın.
  • Verify Certificate seçeneğini etkinleştirerek man-in-the-middle saldırılarına karşı koruma sağlayın.

4. Test ve İzleme

Yapılandırma sonrası test için:

  • Diagnostics → Advanced Shell menüsünden tail -f /log/syslogd.log komutuyla yerel syslog daemon'un durumunu izleyin.
  • NextLog kontrol panelinde veya kendi syslog sunucunuzda Sophos kaynaklı logların geldiğini doğrulayın.
  • Reports → Log Viewer üzerinden firewall loglarını görüntüleyin ve aynı kayıtların syslog sunucusunda da olduğunu teyit edin.

FortiGate ve Sophos Loglama Karşılaştırması

Özellik FortiGate Sophos XG/XGS
Yapılandırma Kolaylığı GUI ve CLI desteği, daha teknik Kullanıcı dostu GUI, sihirbaz destekli
Log Formatları Syslog, CSV, FortiAnalyzer özel format Syslog, CEF, JSON (SFOS 19+)
TLS Şifreleme Destekler (port 6514) Destekler, sertifika yönetimi entegre
Yerel Depolama Sınırlı (genellikle 1-7 gün) Model bazlı (XGS serisi daha fazla disk)
Filtreleme Seçenekleri Politika bazlı, kaynak/hedef IP, servis Modül bazlı, severity level filtreleme
SIEM Entegrasyonu Splunk, QRadar, ArcSight, FortiSIEM Splunk, ELK, Microsoft Sentinel, Sophos Central
5651 Uyumluluk Traffic log + kullanıcı kimlik bilgisi Firewall + Authentication log zorunlu

NextLog ile Bulut Tabanlı Firewall Loglama Entegrasyonu

NextLog, FortiGate ve Sophos dahil tüm syslog uyumlu firewall cihazlarından gelen logları bulutta saklar, analiz eder ve 5651 sayılı kanun gerekliliklerine uygun raporlar sunar. Geleneksel on-premise syslog sunucularına göre NextLog'un avantajları:

  • Sınırsız Depolama: İki yıllık yasal saklama süresi boyunca tüm loglar bulutta güvenle saklanır, disk doluluk sorunu yaşanmaz.
  • Otomatik Yedekleme: Coğrafi olarak dağıtık veri merkezlerinde çoklu kopya (redundancy) ile veri kaybı riski sıfırlanır.
  • Anlık Arama ve Raporlama: Milyonlarca log kaydı içinde saniyeler içinde filtreleme, kullanıcı bazlı sorgulama, zaman aralığı analizi.
  • Yasal Talep Yönetimi: Kolluk kuvvetlerinden gelen 5651 kapsamındaki bilgi talepleri için otomatik rapor üretimi ve güvenli iletim.
  • KVKK Uyumluluğu: Kişisel veri işleme envanteri, anonimleştirme, erişim logları, veri sahibi talep yönetimi modülleri entegre.
  • Çoklu Cihaz Desteği: FortiGate, Sophos, MikroTik, SonicWall, Palo Alto, Cisco ASA gibi tüm markalar tek platformda toplanır.

NextLog entegrasyonu için firewall yapılandırmasında sadece syslog sunucu adresi olarak NextLog'un size özel tahsis ettiği endpoint'i (örn. firma123.syslog.nextlog5651.com) girmeniz yeterlidir. Kurulum sonrası NextLog kontrol panelinde cihazınız otomatik olarak tanınır ve log akışı başlar.

Firewall Loglama Yaygın Hatalar ve Çözümleri

1. Zaman Damgası (Timestamp) Tutarsızlığı

Firewall cihazının sistem saati NTP ile senkronize değilse, loglardaki zaman bilgisi yanlış olur ve yasal süreçlerde geçersiz sayılabilir. Çözüm: FortiGate'te config system ntp, Sophos'ta Administration → Time menüsünden NTP sunucusu (örn. tr.pool.ntp.org) ekleyin ve saat dilimini (Europe/Istanbul) doğru ayarlayın.

2. UDP Paket Kaybı

Syslog varsayılan olarak UDP (port 514) kullanır ve ağ yoğunluğunda paket kayıpları yaşanabilir. Çözüm: TCP tabanlı syslog (port 601 veya 6514) veya TLS şifreli syslog kullanın. FortiGate'te set mode reliable, Sophos'ta Protocol: TCP seçin.

3. Disk Doluluk Sorunu (On-Premise Syslog Sunucusu)

Kendi syslog sunucunuzu işletiyorsanız, disk alanı hızla tükenebilir. Çözüm: Log rotasyonu (logrotate) yapılandırın, eski logları sıkıştırın veya NextLog gibi bulut tabanlı bir çözüme geçin.

4. Kullanıcı Kimlik Bilgisi Eksikliği

5651 uyumluluğu için IP adresinin yanında kullanıcı kimliğinin de loglanması gerekir. Çözüm: FortiGate'te FSSO (Fortinet Single Sign-On) veya RADIUS accounting, Sophos'ta Live User (Active Directory entegrasyonu) etkinleştirin. Böylece her bağlantı kaydında kullanıcı adı (username) da yer alır.

5651 Sayılı Kanun ve Firewall Loglama Yükümlülükleri

5651 sayılı kanunun 6. maddesi, erişim sağlayıcılarının ve toplu kullanım sağlayıcılarının (otel, kafe, AVM, kamu kurumları) abone ve kullanıcı trafik bilgilerini iki yıl süreyle saklamasını zorunlu kılar. Bu bilgiler:

  • Kaynak IP adresi ve port numarası
  • Hedef IP adresi, port numarası ve alan adı (URL)
  • Bağlantı başlangıç ve bitiş zamanı (timestamp)
  • Kullanıcı kimlik bilgisi (kullanıcı adı, MAC adresi, kimlik doğrulama kaydı)
  • Veri miktarı (byte cinsinden aktarılan veri)

Firewall logları, bu bilgilerin tamamını içerir ve yasal talep halinde kolluk kuvvetlerine sunulur. Yükümlülüğe uymamanın cezası: 5651 sayılı kanunun 9. maddesine göre, erişim sağlayıcısına 50.000 TL'den 500.000 TL'ye kadar idari para cezası uygulanır (2026 yılı için güncel tutarlar BTK tarafından yeniden değerlenir). Ayrıca, suç soruşturmalarında delil yetersizliği nedeniyle kurum aleyhine tazminat davaları açılabilir.

Firewall Loglama En İyi Uygulamaları (Best Practices)

  • Merkezi Loglama: Tüm firewall, switch, router ve sunucu loglarını tek bir SIEM veya log yönetim platformunda (NextLog gibi) toplayın.
  • Gerçek Zamanlı Alarmlar: Anormal trafik, başarısız giriş denemeleri, kritik sistem olayları için otomatik uyarı kuralları oluşturun.
  • Düzenli Denetim: Ayda bir log akışını kontrol edin, eksik kayıt veya zaman senkronizasyon hatası olup olmadığını doğrulayın.
  • Yedekleme Stratejisi: Bulut tabanlı loglama kullanıyorsanız bile, kritik logların çevrimdışı (offline) yedeğini alın.
  • Erişim Kontrolü: Log verilerine sadece yetkili personelin erişmesini sağlayın, KVKK kapsamında erişim loglarını tutun.
  • Veri Anonimleştirme: Analiz ve raporlama amaçlı kullanımlarda kişisel verileri (kullanıcı adı, IP) maskeleyin veya pseudonimleştirin.
  • Performans İzleme: Syslog trafiğinin ağ bant genişliğine etkisini izleyin, gerekirse log filtreleme veya örnekleme (sampling) uygulayın.

Sık Sorulan Sorular (SSS)

Firewall loglama yapmak yasal bir zorunluluk mudur?

Evet. 5651 sayılı kanun kapsamında, internet erişimi sağlayan tüm kurumlar (ISP, otel, kafe, AVM, kamu kurumları) en az iki yıl süreyle erişim kayıtlarını saklamakla yükümlüdür. Firewall logları, bu yükümlülüğü karşılamanın en etkin yoludur.

FortiGate ve Sophos hangi syslog formatlarını destekler?

FortiGate: Standart Syslog (RFC 3164 ve RFC 5424), CSV, FortiAnalyzer özel formatı. Sophos: Syslog, CEF (Common Event Format), JSON (SFOS 19 ve üzeri). Her iki cihaz da TLS şifreli syslog (port 6514) destekler.

Firewall logları ne kadar disk alanı kaplar?

Trafik yo

Bu Makaleyi Paylaşın:

Sık Sorulan Sorular

5651 loglama ve hotspot hakkında en çok sorulan konular.

NextLog5651 ile 5651 uyumlu loglama nasıl sağlanır?
Firewall veya hotspot cihazınızdan gelen oturumlar NextLog5651 tarafından toplanır, imzalanır ve yasal formatta arşivlenir.
Kimler NextLog5651 kullanmalı?
Misafir veya personel interneti veren otel, fabrika, hastane, kamu kurumu ve KOBİ'ler.
Teklif ve keşif için nasıl iletişime geçilir?
0312 945 36 42 numaralı telefon, satis@datakobi.com e-posta veya nextlog5651.com/iletisim formu.

Ağınızın Güvenliğini Şansa Bırakmayın

NextLog 5651 Loglama ve Hotspot sistemleriyle işletmenizi yasal risklerden koruyun.

Müşteri Destek

Çevrimiçi · 0312 945 36 42

. . .