Firewall Loglama Nedir? FortiGate ve Sophos Kurulum 2026
13 July 2026 10 Dk Okuma

Firewall Loglama Nedir? FortiGate ve Sophos Kurulum 2026

Firewall Loglama Nedir ve Neden Kritik Önem Taşır?

Firewall loglama, ağınızdan geçen tüm trafiğin — kabul edilen, reddedilen, şüpheli olarak işaretlenen her paketin — zaman damgalı, kaynak-hedef IP'li, port ve protokol bilgisiyle birlikte merkezi bir sistemde saklanmasıdır. 5651 sayılı Kanun'un 6. maddesi uyarınca, Türkiye'de faaliyet gösteren her kurum ve işletme, internet erişim sağlayıcısı veya toplu kullanıma açık WiFi hizmeti sunan işletme (otel, AVM, kafe, kamu binası) tüm erişim kayıtlarını en az bir yıl boyunca saklamak ve yetkili makamlara talep halinde 24 saat içinde sunmakla yükümlüdür. Bu yükümlülüğü yerine getirmemenin bedeli ağır: idari para cezaları 5.000 TL'den başlar, tekrar eden ihlallerde hizmet durdurma yaptırımı uygulanabilir.

Firewall loglama yalnızca yasal uyum için değil, aynı zamanda siber güvenlik olaylarını araştırmak, anormal trafik paternlerini tespit etmek ve ağ performansını optimize etmek için de vazgeçilmezdir. Bir fidye yazılımı saldırısı sonrası "saldırgan hangi IP'den geldi, hangi portları taradı, hangi dosyalara erişti?" sorularını yanıtlamak ancak detaylı firewall loglarıyla mümkündür. Bu yazıda, sektörde en yaygın kullanılan iki kurumsal firewall platformu — FortiGate ve Sophos XG/XGS — için adım adım syslog yapılandırması, NextLog gibi bulut tabanlı bir 5651 loglama çözümüne entegrasyon ve yaygın hataları ele alacağız.

Firewall Loglama Türleri ve 5651 Kapsamındaki Zorunlu Alanlar

Her firewall üreticisi farklı log formatları kullanır, ancak 5651 uyumluluğu için aşağıdaki alanlar mutlaka kaydedilmelidir:

  • Zaman damgası (timestamp): UTC veya yerel saat dilimi, milisaniye hassasiyetinde.
  • Kaynak IP adresi (source IP): Bağlantıyı başlatan kullanıcının yerel veya genel IP'si.
  • Hedef IP adresi (destination IP): Erişilen sunucu veya hizmetin IP'si.
  • Kaynak ve hedef port numaraları: Hangi uygulama protokolünün kullanıldığını gösterir (80/HTTP, 443/HTTPS, 53/DNS vb.).
  • Protokol türü: TCP, UDP, ICMP gibi.
  • Eylem (action): Allow (izin verildi), Deny (reddedildi), Drop (sessizce atıldı).
  • Kullanıcı kimliği (opsiyonel ama önerilen): Active Directory, RADIUS veya captive portal üzerinden kimlik doğrulaması yapıldıysa kullanıcı adı.
  • Bayt/paket sayısı: Veri hacmi takibi için.

FortiGate ve Sophos, bu alanları varsayılan olarak "traffic log" veya "firewall log" kategorisinde toplar. Ancak logların merkezi bir syslog sunucusuna veya bulut platformuna gönderilmesi, yerel disk doluluk riskini ortadan kaldırır ve uzun süreli arşivlemeyi kolaylaştırır.

FortiGate Firewall Loglama: Adım Adım Kurulum

FortiGate cihazları (FortiOS 6.x ve 7.x), hem yerel disk hem de uzak syslog sunucularına log gönderebilir. Aşağıdaki adımlar, FortiGate GUI ve CLI üzerinden NextLog gibi bir bulut loglama platformuna entegrasyonu kapsar.

1. GUI Üzerinden Syslog Yapılandırması

  1. Log & Report > Log Settings menüsüne gidin.
  2. Syslog seçeneğini etkinleştirin ve Add butonuna tıklayın.
  3. Name: "NextLog_Syslog" gibi tanımlayıcı bir isim verin.
  4. IP Address/FQDN: NextLog tarafından sağlanan syslog collector IP'sini girin (örn. syslog.nextlog5651.com veya 185.x.x.x).
  5. Port: Genellikle 514 (UDP) veya 6514 (TCP/TLS). Güvenli iletim için TLS tercih edin.
  6. Facility: Local7 (varsayılan) veya platformunuzun önerdiği değer.
  7. Log Level: "Information" veya "Notification" — tüm trafik loglarını yakalar.
  8. CSV Format: Kapalı bırakın; CEF veya default FortiGate formatı daha zengin veri taşır.
  9. Apply ile kaydedin.

2. CLI ile Gelişmiş Ayarlar (Önerilen)

Daha fazla kontrol için SSH/Telnet ile FortiGate CLI'ya bağlanın:

config log syslogd setting
    set status enable
    set server "syslog.nextlog5651.com"
    set port 6514
    set mode reliable
    set enc-algorithm high
    set facility local7
    set source-ip 192.168.1.1
    set format default
end

config log syslogd filter
    set severity information
    set forward-traffic enable
    set local-traffic enable
    set sniffer-traffic disable
    set anomaly enable
    set voip disable
end

Açıklama: mode reliable TCP kullanır, paket kaybını önler. enc-algorithm high TLS 1.2+ şifreleme sağlar. forward-traffic enable tüm geçiş trafiğini loglar — 5651 uyumluluğu için kritik.

3. Test ve Doğrulama

Ayarları kaydettikten sonra:

  • Diagnose debug application syslogd -1 komutuyla debug modunu açın.
  • Bir test trafiği oluşturun (örn. dahili bir istemciden ping 8.8.8.8).
  • CLI'da "sent syslog message" çıktısını görmelisiniz.
  • NextLog panelinde, 1-2 dakika içinde logların geldiğini kontrol edin.

Eğer log gelmiyorsa, FortiGate'in management interface'inden syslog sunucusuna erişim olup olmadığını execute ping syslog.nextlog5651.com ile test edin. Firewall policy'de syslog portuna (514/6514) izin verildiğinden emin olun.

Sophos XG/XGS Firewall Loglama: Adım Adım Kurulum

Sophos XG Firewall (v18, v19, v20) ve yeni nesil XGS serisi, merkezi loglama için hem Sophos Central hem de üçüncü parti syslog sunucularını destekler. Aşağıdaki adımlar, Sophos'tan NextLog'a syslog akışını kurar.

1. Syslog Sunucusu Tanımlama

  1. Sophos XG web arayüzüne giriş yapın.
  2. Log Settings > Syslog Server bölümüne gidin.
  3. Add butonuna tıklayın.
  4. Server Name: "NextLog_Collector"
  5. IP Address: NextLog syslog IP'si (örn. 185.x.x.x).
  6. Port: 514 (UDP) veya 6514 (TCP). Güvenli iletim için TCP seçin.
  7. Protocol: TCP veya UDP. TLS desteği için TLS seçeneğini işaretleyin (v19+).
  8. Facility: Local7.
  9. Severity Level: "Information" — tüm trafik ve güvenlik olaylarını kapsar.
  10. Format: "Syslog" (CEF formatı da desteklenir, ancak NextLog default Sophos formatını parse eder).
  11. Save ile kaydedin.

2. Log Kategorilerini Etkinleştirme

Sophos, log türlerini modüler olarak yönetir. 5651 uyumluluğu için aşağıdaki kategorileri mutlaka etkinleştirin:

  • Firewall: Tüm izin verilen ve reddedilen trafik.
  • IPS (Intrusion Prevention): Tehdit tespitleri.
  • Web Filter: HTTP/HTTPS erişim kayıtları, URL kategorileri.
  • ATP (Advanced Threat Protection): Kötü amaçlı dosya indirmeleri.
  • VPN: SSL VPN veya IPsec bağlantı kayıtları.
  • Authentication: Kullanıcı giriş/çıkış logları.

Log Settings > Log Categories altında her modül için "Syslog" kutucuğunu işaretleyin ve yukarıda tanımladığınız "NextLog_Collector" sunucusunu seçin.

3. CLI ile Kontrol (İsteğe Bağlı)

SSH ile Sophos CLI'ya bağlanıp mevcut syslog ayarlarını doğrulayabilirsiniz:

console> system syslog show

Çıktıda tanımladığınız sunucu IP'si, port ve etkin log kategorileri görünmelidir.

4. Test ve Doğrulama

Bir test trafiği oluşturun (örn. dahili bir istemciden curl https://www.google.com). Sophos, bu isteği hem firewall hem de web filter logunda kaydeder. NextLog panelinde 1-2 dakika içinde logları görebilirsiniz. Eğer log gelmiyorsa:

  • Sophos'un WAN interface'inden syslog sunucusuna ping atabildiğini kontrol edin: system diagnostics ping host 185.x.x.x.
  • Firewall rule'larında syslog portuna (514/6514) izin verildiğinden emin olun.
  • Log Settings > Log Viewer içinde "System" loglarına bakın; syslog bağlantı hataları burada görünür.

NextLog Entegrasyonu: Bulut Tabanlı 5651 Uyumlu Loglama

NextLog, FortiGate, Sophos, MikroTik, SonicWall gibi onlarca firewall ve router modelinden gelen syslog akışlarını otomatik parse eder, KVKK uyumlu şekilde şifreler ve BTK denetimleri için hazır raporlar sunar. Entegrasyon süreci:

  1. NextLog paneline giriş: www.nextlog5651.com üzerinden hesap oluşturun veya demo talep edin.
  2. Cihaz ekleme: "Cihazlar > Yeni Cihaz Ekle" menüsünden firewall modelinizi (FortiGate/Sophos) seçin. Sistem size özel bir syslog collector IP ve port atar.
  3. Firewall yapılandırması: Yukarıdaki adımları uygulayarak firewall'ınızı NextLog collector'a yönlendirin.
  4. İlk log akışı: 5-10 dakika içinde panelde canlı loglar görünmeye başlar. NextLog, kaynak IP, hedef URL, kullanıcı adı gibi alanları otomatik indeksler.
  5. Raporlama: "Raporlar" sekmesinden aylık/yıllık erişim raporları, kullanıcı bazlı trafik analizleri ve BTK formatında dışa aktarım yapabilirsiniz.

NextLog'un bulut altyapısı, logları coğrafi olarak yedekli veri merkezlerinde saklar, böylece yerel disk arızası veya fidye yazılımı saldırısı durumunda bile verileriniz güvendedir. KVKK uyumluluğu için, kişisel veri içeren loglar AES-256 ile şifrelenir ve erişim logları detaylı denetim izi (audit trail) ile korunur.

FortiGate ve Sophos Loglama Karşılaştırması

Özellik FortiGate Sophos XG/XGS
Varsayılan Log Formatı Key-value (FortiGate native) Syslog/CEF
TLS Şifreleme FortiOS 6.2+ (enc-algorithm high) XG v19+ (TLS 1.2/1.3)
Kullanıcı Kimliği Entegrasyonu FSSO (Fortinet Single Sign-On), RADIUS, LDAP Active Directory, RADIUS, Sophos Authentication
Log Depolama (Yerel) Dahili disk (model bazlı 50GB-2TB) Dahili disk (model bazlı 50GB-1TB)
Syslog Yük Dengeleme Çoklu syslog sunucusu (failover) Çoklu sunucu + load balancing
Web Filtreleme Log Detayı URL, kategori, SSL inspection sonuçları URL, kategori, kullanıcı, uygulama kimliği
NextLog Uyumluluğu %100 — otomatik parse %100 — otomatik parse

Sonuç: Her iki platform da kurumsal düzeyde loglama sunar. FortiGate, daha geniş ürün yelpazesi ve FortiAnalyzer gibi yerleşik çözümleriyle öne çıkar; Sophos ise kullanıcı dostu arayüzü ve modüler log yönetimiyle tercih edilir. NextLog, her iki platformdan gelen logları tek bir panelde birleştirir, böylece çok satıcılı (multi-vendor) ortamlarda merkezi görünürlük sağlar.

Yaygın Hatalar ve Çözümleri

1. Loglar Syslog Sunucusuna Ulaşmıyor

  • Neden: Firewall policy'de syslog portuna (514/6514) izin verilmemiş.
  • Çözüm: FortiGate'te Policy & Objects > Firewall Policy altında management interface'den syslog IP'sine 514/6514 portuna izin veren bir kural ekleyin. Sophos'ta Rules and Policies > Firewall Rules içinde benzer bir kural oluşturun.

2. Loglar Geliyor Ama Eksik Alanlar Var

  • Neden: Log level çok yüksek ayarlanmış (örn. "Warning" veya "Error"), trafik logları kaydedilmiyor.
  • Çözüm: Log level'ı "Information" veya "Notification" seviyesine düşürün. FortiGate'te config log syslogd filter içinde set severity information komutunu kullanın.

3. Zaman Damgası Yanlış

  • Neden: Firewall'ın sistem saati NTP ile senkronize değil.
  • Çözüm: FortiGate: System > Settings > NTP menüsünden Türkiye NTP sunucularını ekleyin (örn. tr.pool.ntp.org). Sophos: Administration > Time altında NTP sunucularını yapılandırın. Zaman dilimini "Europe/Istanbul" olarak ayarlayın.

4. Yüksek Log Hacmi ve Performans Düşüşü

  • Neden: Tüm paket logları (sniffer-traffic) etkinleştirilmiş, firewall CPU'su aşırı yükleniyor.
  • Çözüm: Sniffer-traffic'i devre dışı bırakın; yalnızca session-based trafik loglarını gönderin. FortiGate'te set sniffer-traffic disable komutunu kullanın. Sophos'ta "Packet Capture" loglarını kapalı tutun.

5651 Uyumluluğu İçin Kontrol Listesi

Aşağıdaki kontrol listesini her çeyrekte gözden geçirerek 5651 uyumluluğunuzu garanti altına alın:

Kontrol Noktası Durum Açıklama
Tüm erişim kayıtları 1 yıl saklanıyor mu? ☐ Evet ☐ Hayır NextLog otomatik arşivleme sağlar; yerel sistemlerde disk kapasitesini kontrol edin.
Loglar zaman damgalı ve sıralı mı? ☐ Evet ☐ Hayır NTP senkronizasyonu aktif olmalı.
Kaynak IP, hedef IP, port bilgisi tam mı? ☐ Evet ☐ Hayır Log level "Information" veya daha detaylı olmalı.
Loglar şifreli iletiliyor mu? ☐ Evet ☐ Hayır TLS/SSL kullanımı önerilir (port 6514).
Yedekleme ve felaket kurtarma planı var mı? ☐ Evet ☐ Hayır NextLog bulut yedekleme sunar; yerel sistemlerde düzenli backup alın.
BTK taleplerine 24 saat içinde yanıt verebiliyor musunuz? ☐ Evet ☐ Hayır NextLog, kullanıcı/IP/zaman aralığına göre anında rapor oluşturur.

Sıkça Sorulan Sorular (FAQ)

Firewall loglama için en az ne kadar disk alanı gerekir?

Orta ölçekli bir işletme (100-500 kullanıcı) günde yaklaşık 5-10 GB log üretir. Bir yıllık saklama için minimum 2-4 TB disk önerilir. Bulut tabanlı NextLog gibi çözümler, depolama sınırını ortadan kaldırır ve sınırsız arşivleme sunar.

FortiGate ve Sophos logları aynı formatta mı?

Bu Makaleyi Paylaşın:

Sık Sorulan Sorular

5651 loglama ve hotspot hakkında en çok sorulan konular.

NextLog5651 ile 5651 uyumlu loglama nasıl sağlanır?
Firewall veya hotspot cihazınızdan gelen oturumlar NextLog5651 tarafından toplanır, imzalanır ve yasal formatta arşivlenir.
Kimler NextLog5651 kullanmalı?
Misafir veya personel interneti veren otel, fabrika, hastane, kamu kurumu ve KOBİ'ler.
Teklif ve keşif için nasıl iletişime geçilir?
0312 945 36 42 numaralı telefon, satis@datakobi.com e-posta veya nextlog5651.com/iletisim formu.

Ağınızın Güvenliğini Şansa Bırakmayın

NextLog 5651 Loglama ve Hotspot sistemleriyle işletmenizi yasal risklerden koruyun.

Müşteri Destek

Çevrimiçi · 0312 945 36 42

. . .