Firewall Loglama Nedir? FortiGate ve Sophos Kurulum 2026
Firewall Loglama Nedir ve Neden Kritik Önem Taşır?
Firewall loglama, ağınızdan geçen tüm trafiğin — kabul edilen, reddedilen, şüpheli olarak işaretlenen her paketin — zaman damgalı, kaynak-hedef IP'li, port ve protokol bilgisiyle birlikte merkezi bir sistemde saklanmasıdır. 5651 sayılı Kanun'un 6. maddesi uyarınca, Türkiye'de faaliyet gösteren her kurum ve işletme, internet erişim sağlayıcısı veya toplu kullanıma açık WiFi hizmeti sunan işletme (otel, AVM, kafe, kamu binası) tüm erişim kayıtlarını en az bir yıl boyunca saklamak ve yetkili makamlara talep halinde 24 saat içinde sunmakla yükümlüdür. Bu yükümlülüğü yerine getirmemenin bedeli ağır: idari para cezaları 5.000 TL'den başlar, tekrar eden ihlallerde hizmet durdurma yaptırımı uygulanabilir.
Firewall loglama yalnızca yasal uyum için değil, aynı zamanda siber güvenlik olaylarını araştırmak, anormal trafik paternlerini tespit etmek ve ağ performansını optimize etmek için de vazgeçilmezdir. Bir fidye yazılımı saldırısı sonrası "saldırgan hangi IP'den geldi, hangi portları taradı, hangi dosyalara erişti?" sorularını yanıtlamak ancak detaylı firewall loglarıyla mümkündür. Bu yazıda, sektörde en yaygın kullanılan iki kurumsal firewall platformu — FortiGate ve Sophos XG/XGS — için adım adım syslog yapılandırması, NextLog gibi bulut tabanlı bir 5651 loglama çözümüne entegrasyon ve yaygın hataları ele alacağız.
Firewall Loglama Türleri ve 5651 Kapsamındaki Zorunlu Alanlar
Her firewall üreticisi farklı log formatları kullanır, ancak 5651 uyumluluğu için aşağıdaki alanlar mutlaka kaydedilmelidir:
- Zaman damgası (timestamp): UTC veya yerel saat dilimi, milisaniye hassasiyetinde.
- Kaynak IP adresi (source IP): Bağlantıyı başlatan kullanıcının yerel veya genel IP'si.
- Hedef IP adresi (destination IP): Erişilen sunucu veya hizmetin IP'si.
- Kaynak ve hedef port numaraları: Hangi uygulama protokolünün kullanıldığını gösterir (80/HTTP, 443/HTTPS, 53/DNS vb.).
- Protokol türü: TCP, UDP, ICMP gibi.
- Eylem (action): Allow (izin verildi), Deny (reddedildi), Drop (sessizce atıldı).
- Kullanıcı kimliği (opsiyonel ama önerilen): Active Directory, RADIUS veya captive portal üzerinden kimlik doğrulaması yapıldıysa kullanıcı adı.
- Bayt/paket sayısı: Veri hacmi takibi için.
FortiGate ve Sophos, bu alanları varsayılan olarak "traffic log" veya "firewall log" kategorisinde toplar. Ancak logların merkezi bir syslog sunucusuna veya bulut platformuna gönderilmesi, yerel disk doluluk riskini ortadan kaldırır ve uzun süreli arşivlemeyi kolaylaştırır.
FortiGate Firewall Loglama: Adım Adım Kurulum
FortiGate cihazları (FortiOS 6.x ve 7.x), hem yerel disk hem de uzak syslog sunucularına log gönderebilir. Aşağıdaki adımlar, FortiGate GUI ve CLI üzerinden NextLog gibi bir bulut loglama platformuna entegrasyonu kapsar.
1. GUI Üzerinden Syslog Yapılandırması
- Log & Report > Log Settings menüsüne gidin.
- Syslog seçeneğini etkinleştirin ve Add butonuna tıklayın.
- Name: "NextLog_Syslog" gibi tanımlayıcı bir isim verin.
- IP Address/FQDN: NextLog tarafından sağlanan syslog collector IP'sini girin (örn.
syslog.nextlog5651.comveya185.x.x.x). - Port: Genellikle 514 (UDP) veya 6514 (TCP/TLS). Güvenli iletim için TLS tercih edin.
- Facility: Local7 (varsayılan) veya platformunuzun önerdiği değer.
- Log Level: "Information" veya "Notification" — tüm trafik loglarını yakalar.
- CSV Format: Kapalı bırakın; CEF veya default FortiGate formatı daha zengin veri taşır.
- Apply ile kaydedin.
2. CLI ile Gelişmiş Ayarlar (Önerilen)
Daha fazla kontrol için SSH/Telnet ile FortiGate CLI'ya bağlanın:
config log syslogd setting
set status enable
set server "syslog.nextlog5651.com"
set port 6514
set mode reliable
set enc-algorithm high
set facility local7
set source-ip 192.168.1.1
set format default
end
config log syslogd filter
set severity information
set forward-traffic enable
set local-traffic enable
set sniffer-traffic disable
set anomaly enable
set voip disable
end
Açıklama: mode reliable TCP kullanır, paket kaybını önler. enc-algorithm high TLS 1.2+ şifreleme sağlar. forward-traffic enable tüm geçiş trafiğini loglar — 5651 uyumluluğu için kritik.
3. Test ve Doğrulama
Ayarları kaydettikten sonra:
- Diagnose debug application syslogd -1 komutuyla debug modunu açın.
- Bir test trafiği oluşturun (örn. dahili bir istemciden
ping 8.8.8.8). - CLI'da "sent syslog message" çıktısını görmelisiniz.
- NextLog panelinde, 1-2 dakika içinde logların geldiğini kontrol edin.
Eğer log gelmiyorsa, FortiGate'in management interface'inden syslog sunucusuna erişim olup olmadığını execute ping syslog.nextlog5651.com ile test edin. Firewall policy'de syslog portuna (514/6514) izin verildiğinden emin olun.
Sophos XG/XGS Firewall Loglama: Adım Adım Kurulum
Sophos XG Firewall (v18, v19, v20) ve yeni nesil XGS serisi, merkezi loglama için hem Sophos Central hem de üçüncü parti syslog sunucularını destekler. Aşağıdaki adımlar, Sophos'tan NextLog'a syslog akışını kurar.
1. Syslog Sunucusu Tanımlama
- Sophos XG web arayüzüne giriş yapın.
- Log Settings > Syslog Server bölümüne gidin.
- Add butonuna tıklayın.
- Server Name: "NextLog_Collector"
- IP Address: NextLog syslog IP'si (örn.
185.x.x.x). - Port: 514 (UDP) veya 6514 (TCP). Güvenli iletim için TCP seçin.
- Protocol: TCP veya UDP. TLS desteği için TLS seçeneğini işaretleyin (v19+).
- Facility: Local7.
- Severity Level: "Information" — tüm trafik ve güvenlik olaylarını kapsar.
- Format: "Syslog" (CEF formatı da desteklenir, ancak NextLog default Sophos formatını parse eder).
- Save ile kaydedin.
2. Log Kategorilerini Etkinleştirme
Sophos, log türlerini modüler olarak yönetir. 5651 uyumluluğu için aşağıdaki kategorileri mutlaka etkinleştirin:
- Firewall: Tüm izin verilen ve reddedilen trafik.
- IPS (Intrusion Prevention): Tehdit tespitleri.
- Web Filter: HTTP/HTTPS erişim kayıtları, URL kategorileri.
- ATP (Advanced Threat Protection): Kötü amaçlı dosya indirmeleri.
- VPN: SSL VPN veya IPsec bağlantı kayıtları.
- Authentication: Kullanıcı giriş/çıkış logları.
Log Settings > Log Categories altında her modül için "Syslog" kutucuğunu işaretleyin ve yukarıda tanımladığınız "NextLog_Collector" sunucusunu seçin.
3. CLI ile Kontrol (İsteğe Bağlı)
SSH ile Sophos CLI'ya bağlanıp mevcut syslog ayarlarını doğrulayabilirsiniz:
console> system syslog show
Çıktıda tanımladığınız sunucu IP'si, port ve etkin log kategorileri görünmelidir.
4. Test ve Doğrulama
Bir test trafiği oluşturun (örn. dahili bir istemciden curl https://www.google.com). Sophos, bu isteği hem firewall hem de web filter logunda kaydeder. NextLog panelinde 1-2 dakika içinde logları görebilirsiniz. Eğer log gelmiyorsa:
- Sophos'un WAN interface'inden syslog sunucusuna ping atabildiğini kontrol edin:
system diagnostics ping host 185.x.x.x. - Firewall rule'larında syslog portuna (514/6514) izin verildiğinden emin olun.
- Log Settings > Log Viewer içinde "System" loglarına bakın; syslog bağlantı hataları burada görünür.
NextLog Entegrasyonu: Bulut Tabanlı 5651 Uyumlu Loglama
NextLog, FortiGate, Sophos, MikroTik, SonicWall gibi onlarca firewall ve router modelinden gelen syslog akışlarını otomatik parse eder, KVKK uyumlu şekilde şifreler ve BTK denetimleri için hazır raporlar sunar. Entegrasyon süreci:
- NextLog paneline giriş: www.nextlog5651.com üzerinden hesap oluşturun veya demo talep edin.
- Cihaz ekleme: "Cihazlar > Yeni Cihaz Ekle" menüsünden firewall modelinizi (FortiGate/Sophos) seçin. Sistem size özel bir syslog collector IP ve port atar.
- Firewall yapılandırması: Yukarıdaki adımları uygulayarak firewall'ınızı NextLog collector'a yönlendirin.
- İlk log akışı: 5-10 dakika içinde panelde canlı loglar görünmeye başlar. NextLog, kaynak IP, hedef URL, kullanıcı adı gibi alanları otomatik indeksler.
- Raporlama: "Raporlar" sekmesinden aylık/yıllık erişim raporları, kullanıcı bazlı trafik analizleri ve BTK formatında dışa aktarım yapabilirsiniz.
NextLog'un bulut altyapısı, logları coğrafi olarak yedekli veri merkezlerinde saklar, böylece yerel disk arızası veya fidye yazılımı saldırısı durumunda bile verileriniz güvendedir. KVKK uyumluluğu için, kişisel veri içeren loglar AES-256 ile şifrelenir ve erişim logları detaylı denetim izi (audit trail) ile korunur.
FortiGate ve Sophos Loglama Karşılaştırması
| Özellik | FortiGate | Sophos XG/XGS |
|---|---|---|
| Varsayılan Log Formatı | Key-value (FortiGate native) | Syslog/CEF |
| TLS Şifreleme | FortiOS 6.2+ (enc-algorithm high) | XG v19+ (TLS 1.2/1.3) |
| Kullanıcı Kimliği Entegrasyonu | FSSO (Fortinet Single Sign-On), RADIUS, LDAP | Active Directory, RADIUS, Sophos Authentication |
| Log Depolama (Yerel) | Dahili disk (model bazlı 50GB-2TB) | Dahili disk (model bazlı 50GB-1TB) |
| Syslog Yük Dengeleme | Çoklu syslog sunucusu (failover) | Çoklu sunucu + load balancing |
| Web Filtreleme Log Detayı | URL, kategori, SSL inspection sonuçları | URL, kategori, kullanıcı, uygulama kimliği |
| NextLog Uyumluluğu | %100 — otomatik parse | %100 — otomatik parse |
Sonuç: Her iki platform da kurumsal düzeyde loglama sunar. FortiGate, daha geniş ürün yelpazesi ve FortiAnalyzer gibi yerleşik çözümleriyle öne çıkar; Sophos ise kullanıcı dostu arayüzü ve modüler log yönetimiyle tercih edilir. NextLog, her iki platformdan gelen logları tek bir panelde birleştirir, böylece çok satıcılı (multi-vendor) ortamlarda merkezi görünürlük sağlar.
Yaygın Hatalar ve Çözümleri
1. Loglar Syslog Sunucusuna Ulaşmıyor
- Neden: Firewall policy'de syslog portuna (514/6514) izin verilmemiş.
- Çözüm: FortiGate'te
Policy & Objects > Firewall Policyaltında management interface'den syslog IP'sine 514/6514 portuna izin veren bir kural ekleyin. Sophos'taRules and Policies > Firewall Rulesiçinde benzer bir kural oluşturun.
2. Loglar Geliyor Ama Eksik Alanlar Var
- Neden: Log level çok yüksek ayarlanmış (örn. "Warning" veya "Error"), trafik logları kaydedilmiyor.
- Çözüm: Log level'ı "Information" veya "Notification" seviyesine düşürün. FortiGate'te
config log syslogd filteriçindeset severity informationkomutunu kullanın.
3. Zaman Damgası Yanlış
- Neden: Firewall'ın sistem saati NTP ile senkronize değil.
- Çözüm: FortiGate:
System > Settings > NTPmenüsünden Türkiye NTP sunucularını ekleyin (örn.tr.pool.ntp.org). Sophos:Administration > Timealtında NTP sunucularını yapılandırın. Zaman dilimini "Europe/Istanbul" olarak ayarlayın.
4. Yüksek Log Hacmi ve Performans Düşüşü
- Neden: Tüm paket logları (sniffer-traffic) etkinleştirilmiş, firewall CPU'su aşırı yükleniyor.
- Çözüm: Sniffer-traffic'i devre dışı bırakın; yalnızca session-based trafik loglarını gönderin. FortiGate'te
set sniffer-traffic disablekomutunu kullanın. Sophos'ta "Packet Capture" loglarını kapalı tutun.
5651 Uyumluluğu İçin Kontrol Listesi
Aşağıdaki kontrol listesini her çeyrekte gözden geçirerek 5651 uyumluluğunuzu garanti altına alın:
| Kontrol Noktası | Durum | Açıklama |
|---|---|---|
| Tüm erişim kayıtları 1 yıl saklanıyor mu? | ☐ Evet ☐ Hayır | NextLog otomatik arşivleme sağlar; yerel sistemlerde disk kapasitesini kontrol edin. |
| Loglar zaman damgalı ve sıralı mı? | ☐ Evet ☐ Hayır | NTP senkronizasyonu aktif olmalı. |
| Kaynak IP, hedef IP, port bilgisi tam mı? | ☐ Evet ☐ Hayır | Log level "Information" veya daha detaylı olmalı. |
| Loglar şifreli iletiliyor mu? | ☐ Evet ☐ Hayır | TLS/SSL kullanımı önerilir (port 6514). |
| Yedekleme ve felaket kurtarma planı var mı? | ☐ Evet ☐ Hayır | NextLog bulut yedekleme sunar; yerel sistemlerde düzenli backup alın. |
| BTK taleplerine 24 saat içinde yanıt verebiliyor musunuz? | ☐ Evet ☐ Hayır | NextLog, kullanıcı/IP/zaman aralığına göre anında rapor oluşturur. |
Sıkça Sorulan Sorular (FAQ)
Firewall loglama için en az ne kadar disk alanı gerekir?
Orta ölçekli bir işletme (100-500 kullanıcı) günde yaklaşık 5-10 GB log üretir. Bir yıllık saklama için minimum 2-4 TB disk önerilir. Bulut tabanlı NextLog gibi çözümler, depolama sınırını ortadan kaldırır ve sınırsız arşivleme sunar.
FortiGate ve Sophos logları aynı formatta mı?
Sık Sorulan Sorular
5651 loglama ve hotspot hakkında en çok sorulan konular.
- NextLog5651 ile 5651 uyumlu loglama nasıl sağlanır?
- Firewall veya hotspot cihazınızdan gelen oturumlar NextLog5651 tarafından toplanır, imzalanır ve yasal formatta arşivlenir.
- Kimler NextLog5651 kullanmalı?
- Misafir veya personel interneti veren otel, fabrika, hastane, kamu kurumu ve KOBİ'ler.
- Teklif ve keşif için nasıl iletişime geçilir?
- 0312 945 36 42 numaralı telefon, satis@datakobi.com e-posta veya nextlog5651.com/iletisim formu.
Ağınızın Güvenliğini Şansa Bırakmayın
NextLog 5651 Loglama ve Hotspot sistemleriyle işletmenizi yasal risklerden koruyun.
Fabrika
Hastane
Kamu
Otel
Yurt
KOBİ