FortiGate 5651 Syslog Yönlendirme ve Loglama Rehberi
13 July 2026 11 Dk Okuma

FortiGate 5651 Syslog Yönlendirme ve Loglama Rehberi

FortiGate Firewall'da 5651 Sayılı Kanun Uyumlu Syslog Loglama Neden Kritik?

5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, Türkiye'de faaliyet gösteren tüm internet erişim sağlayıcılarını ve toplu kullanıma açık ağ işletmecilerini trafik kayıtlarını en az bir yıl süreyle saklamaya zorunlu kılar. FortiGate güvenlik duvarları, kurumsal ağların dış dünyaya açılan kapısı olarak bu kayıtların üretildiği birincil noktalardır. Ancak FortiGate'in dahili log kapasitesi sınırlıdır: yüksek trafikli ortamlarda diskler hızla dolar, eski kayıtlar üzerine yazılır ve yasal denetim anında gerekli log bulunamaz. Bu noktada syslog yönlendirme devreye girer—tüm trafik kayıtları gerçek zamanlı olarak harici bir log sunucusuna (NextLog gibi bulut tabanlı veya on-premise SIEM çözümlerine) iletilir, zaman damgası ve bütünlük korunarak uzun süreli arşivleme sağlanır.

FortiOS, RFC 3164 ve RFC 5424 standartlarına uygun syslog mesajları üretir ve UDP 514, TCP 514 veya güvenli TLS portları üzerinden bu mesajları dış sunuculara gönderebilir. Doğru yapılandırılmış bir FortiGate syslog kurulumu, hem BTK denetimlerine hazır olmayı hem de KVKK'nın "veri işleme envanteri" ve "teknik güvenlik tedbirleri" maddelerine uyumu garanti eder. Aşağıda FortiOS 6.x ve 7.x sürümleri için adım adım syslog yönlendirme, port ayarları ve NextLog entegrasyon şeması detaylandırılmıştır.

FortiOS Arayüzünden Syslog Sunucusu Tanımlama (Adım Adım)

FortiGate cihazınızda syslog yönlendirme ayarlarına Log & Report > Log Settings menüsünden ulaşılır. Aşağıdaki adımlar FortiOS 7.0+ için geçerlidir; 6.x serilerinde menü isimleri benzerdir ancak bazı seçenekler farklı sekmelerde bulunabilir.

1. Syslog Sunucu Profilinin Oluşturulması

Üst menüden Log & Report > Log Settings seçeneğine tıklayın. Sol panelde Remote Logging and Archiving bölümünü genişletin ve Syslog satırını bulun. "Configure Syslog" düğmesine basarak yeni bir syslog hedefi ekleyin:

  • Name: Tanımlayıcı bir isim verin (örneğin "NextLog_5651_Server").
  • IP Address / FQDN: NextLog sunucunuzun IP adresini veya alan adını girin. Bulut tabanlı NextLog kullanıyorsanız size tahsis edilen endpoint adresini (ör. logs.nextlog5651.com) buraya yazın.
  • Port: Varsayılan syslog portu 514 UDP'dir. Güvenli iletim için TLS kullanılıyorsa (NextLog Enterprise planlarında mevcut) port numarasını 6514 veya özel portunuza değiştirin ve protokolü TCP/TLS olarak seçin.
  • Facility: Syslog mesajlarının kategori etiketini belirler. Genellikle local7 veya local0 seçilir; NextLog bu değeri otomatik ayrıştırır.
  • Format: RFC 5424 seçilmesi önerilir; bu format yapılandırılmış veri alanları (SD-ID) içerir ve NextLog'un kayıtları daha hızlı parse etmesini sağlar. RFC 3164 eski sistemlerle uyumluluk için kullanılabilir.
  • Reliable: TCP kullanıyorsanız bu seçeneği işaretleyin; UDP'de mesaj kayıplarına karşı yeniden gönderim garantisi yoktur, ancak performans daha yüksektir.

Ayarları kaydettikten sonra syslog hedefi aktif hale gelir, ancak henüz hangi log türlerinin gönderileceğini belirtmediniz.

2. Gönderilecek Log Türlerinin Seçimi

Aynı Log Settings ekranında, sol panelden Feature Log Settings bölümünü açın. Burada her log kategorisi için (Traffic, Event, Security, vb.) ayrı ayrı syslog hedefini etkinleştirebilirsiniz:

  • Traffic Logs: 5651 uyumluluğu için zorunlu. Tüm forward, local-in, local-out trafiğini kapsar. "Enable Syslog" kutusunu işaretleyin ve az önce oluşturduğunuz "NextLog_5651_Server" profilini seçin. Log All Sessions seçeneğini mutlaka aktif edin—sadece policy-hit logları yetmez, tüm oturum başlangıç ve bitiş kayıtları gereklidir.
  • Event Logs: Yönetici girişleri, yapılandırma değişiklikleri, sistem olayları. KVKK veri işleme envanteri için faydalıdır; aynı syslog sunucusuna yönlendirin.
  • Security Logs: IPS, antivirus, web filtreleme, uygulama kontrolü logları. 5651 kapsamında zorunlu değildir ancak olay müdahale süreçlerinde kritik; isteğe bağlı olarak NextLog'a iletin.
  • DNS Query Logs: FortiOS 7.0+ sürümlerinde DNS sorguları ayrı bir kategori olarak loglanabilir. KVKK kapsamında kişisel veri içerebilir (kullanıcı bazlı DNS logları); gerekirse maskeleme veya anonimleştirme uygulayın.

Her kategori için syslog hedefini seçtikten sonra Apply düğmesine basın. FortiGate artık belirlediğiniz log türlerini UDP 514 (veya seçtiğiniz port) üzerinden NextLog sunucusuna gerçek zamanlı olarak göndermeye başlar.

3. CLI ile Gelişmiş Ayarlar (Opsiyonel)

GUI üzerinden yapılamayan bazı ince ayarlar CLI (Command Line Interface) ile mümkündür. SSH veya konsol üzerinden FortiGate'e bağlanın ve aşağıdaki komutları kullanın:

config log syslogd setting
  set status enable
  set server "logs.nextlog5651.com"
  set port 514
  set facility local7
  set format rfc5424
  set reliable disable
end

Eğer kaynak IP adresi belirtmek istiyorsanız (örneğin FortiGate'in birden fazla arayüzü varsa ve syslog trafiğini belirli bir WAN IP'sinden göndermek istiyorsanız):

config log syslogd setting
  set source-ip 203.0.113.10
end

Bu ayar, NextLog sunucusunda güvenlik duvarı kurallarını daraltmak ve sadece belirli kaynak IP'lerden gelen logları kabul etmek için kullanılır.

Port Ayarları ve Protokol Seçimi: UDP 514 mi, TCP 514 mü, TLS 6514 mü?

Syslog protokolü üç farklı taşıma katmanı üzerinde çalışabilir; her birinin avantaj ve dezavantajları vardır:

Protokol Port Avantajlar Dezavantajlar NextLog Önerisi
UDP 514 Düşük gecikme, yüksek performans, FortiGate CPU yükü minimal Mesaj kaybı riski (ağ tıkanıklığında), güvenlik (şifreleme yok) Yüksek trafikli ortamlarda (1000+ eşzamanlı oturum) tercih edilir; NextLog mesaj sıralama ve eksik kayıt tespiti yapar
TCP 514 Güvenilir iletim (kayıp yok), oturum tabanlı bağlantı Daha yüksek CPU kullanımı, bağlantı kopması durumunda yeniden bağlanma gecikmesi Orta ölçekli kurumlar için dengeli seçim; NextLog otomatik yeniden bağlanma destekler
TLS (TCP+SSL) 6514 Şifreli iletim, ortadaki adam saldırılarına karşı koruma, sertifika doğrulama En yüksek CPU yükü, sertifika yönetimi gerektirir Hassas verilerin (kişisel IP, kullanıcı kimlikleri) şifreli taşınması gereken KVKK kritik ortamlar için zorunlu

Pratik Öneri: Eğer FortiGate ile NextLog sunucusu arasında güvenli bir özel ağ (VPN tüneli, MPLS, özel VLAN) varsa UDP 514 yeterlidir ve en iyi performansı verir. İnternet üzerinden log gönderiyorsanız veya KVKK kapsamında kişisel veri taşıyorsanız TLS 6514 kullanın. NextLog Enterprise planları otomatik sertifika yönetimi ve Let's Encrypt entegrasyonu sunar.

Güvenlik Duvarı Kuralı Kontrolü

FortiGate'den NextLog sunucusuna syslog trafiğinin gitmesi için ilgili policy'nin açık olduğundan emin olun. CLI'dan kontrol:

diagnose sniffer packet any 'host logs.nextlog5651.com and port 514' 4

Bu komut, FortiGate'in herhangi bir arayüzünden NextLog sunucusuna 514 portuna giden paketleri dinler. Paket görmüyorsanız, policy yapılandırmasını gözden geçirin veya diagnose debug flow ile paket yolunu izleyin.

NextLog Entegrasyon Şeması: Bulut Tabanlı 5651 Loglama Mimarisi

NextLog, FortiGate syslog mesajlarını alır, normalize eder, zaman damgası ile indeksler ve 5651 sayılı kanunun gerektirdiği formatta (kaynak IP, hedef IP, port, protokol, tarih-saat, oturum süresi) arşivler. Aşağıda tipik bir entegrasyon şemasının bileşenleri açıklanmıştır:

1. FortiGate Syslog Akışı

FortiGate, her yeni oturum başladığında ve sonlandığında bir syslog mesajı üretir. Örnek bir FortiOS 7.2 traffic log mesajı (RFC 5424 formatında):

<134>1 2025-01-15T10:23:45.123Z FortiGate-HQ TRAFFIC - - - date=2025-01-15 time=10:23:45 devname="FortiGate-HQ" devid="FG200E1234567890" logid="0000000013" type="traffic" subtype="forward" level="notice" vd="root" srcip=192.168.1.50 srcport=54321 srcintf="internal" dstip=93.184.216.34 dstport=443 dstintf="wan1" sessionid=123456789 proto=6 action="accept" policyid=10 policyname="Internet_Access" service="HTTPS" duration=120 sentbyte=4567 rcvdbyte=89012 user="ahmet.yilmaz"

Bu mesajda kritik alanlar: srcip (kaynak IP), dstip (hedef IP), dstport (hedef port), proto (protokol numarası, 6=TCP), sessionid (oturum kimliği), user (kimlik doğrulaması yapılmışsa kullanıcı adı), duration (oturum süresi saniye), sentbyte/rcvdbyte (aktarılan veri miktarı). NextLog bu alanları otomatik ayrıştırır ve ilişkisel veritabanına yazar.

2. NextLog Alıcı Katmanı (Syslog Receiver)

NextLog sunucusu, UDP 514 veya TCP 6514 portunda dinleyen yüksek performanslı bir syslog alıcı daemon'u çalıştırır. Gelen her mesaj:

  • Zaman damgası doğrulaması: FortiGate'in sistem saati NTP ile senkronize değilse NextLog alım zamanını (server timestamp) yedek olarak kaydeder.
  • Kaynak cihaz tanıma: devid veya devname alanından hangi FortiGate cihazından geldiği belirlenir; çok şubeli kurumlarda her şube için ayrı cihaz profili oluşturulur.
  • Normalizasyon: FortiGate, MikroTik, Sophos, SonicWall gibi farklı üreticilerin syslog formatları NextLog tarafından ortak bir şemaya dönüştürülür (CEF benzeri yapı).
  • Coğrafi zenginleştirme: Hedef IP adresleri MaxMind GeoIP2 veritabanı ile eşleştirilerek ülke, şehir, ASN bilgileri eklenir (raporlama ve anomali tespiti için).

3. Uzun Süreli Arşivleme ve KVKK Uyumlu Saklama

NextLog, 5651 sayılı kanunun 6. maddesine göre trafik kayıtlarını en az bir yıl, en fazla iki yıl saklar. Saklama süresi müşteri tarafından yapılandırılabilir; varsayılan 12 ay + 3 ay yedek periyottur. Kayıtlar sıkıştırılmış ve şifreli blob storage'da (AWS S3, Azure Blob veya on-premise MinIO) tutulur. KVKK'nın "veri minimizasyonu" ilkesi gereği, kullanıcı adı veya özel tanımlayıcılar içeren alanlar isteğe bağlı olarak maskelenir (örneğin user="ahmet.yilmaz" yerine user="HASH_A3F7B2" kaydedilir).

NextLog ayrıca immutable log özelliği sunar: bir kez yazılan kayıt silinemez veya değiştirilemez (WORM - Write Once Read Many). Bu, mahkeme veya BTK denetimlerinde log bütünlüğünü kanıtlamak için kritiktir.

4. Sorgulama ve Raporlama Arayüzü

NextLog web panelinden yetkili kullanıcılar (IT yöneticisi, hukuk müşaviri, DPO) belirli kriterlere göre log sorgulaması yapabilir:

  • IP adresi bazlı arama: Mahkeme kararı geldiğinde "192.168.1.50 IP adresinin 15 Ocak 2025 10:00-12:00 arası tüm internet erişimlerini listele" gibi sorgular saniyeler içinde sonuç verir.
  • Zaman aralığı filtreleme: Dakika hassasiyetinde zaman aralığı seçimi; NextLog indeksli arama kullandığı için milyarlarca kayıt içinde hızlı sonuç döner.
  • Protokol ve port filtreleri: Sadece HTTPS (443), sadece e-posta (25, 587, 993) gibi spesifik servis loglarını izole etme.
  • Kullanıcı bazlı raporlar: FortiGate'de FSSO (Fortinet Single Sign-On) veya RADIUS entegrasyonu varsa, kullanıcı adı ile arama yapılabilir.
  • Otomatik raporlar: Haftalık/aylık trafik özeti, en çok erişilen hedefler, anormal trafik hacmi uyarıları e-posta veya Slack ile gönderilir.

FortiGate Syslog Yapılandırmasını Test Etme ve Doğrulama

Syslog ayarlarını yaptıktan sonra logların gerçekten NextLog sunucusuna ulaştığını doğrulamak için aşağıdaki kontrolleri yapın:

FortiGate Tarafında Test

CLI'dan bir test mesajı gönderin:

execute log test-syslog

Bu komut, yapılandırılmış syslog sunucusuna örnek bir log mesajı gönderir. NextLog panelinde "Test Log Received" gibi bir mesaj görmelisiniz. Eğer mesaj ulaşmadıysa:

  • FortiGate'in management arayüzünden Log & Report > Log Settings > Remote Logging Status bölümünü kontrol edin; "Connected" veya "Sending" durumunda olmalı.
  • diagnose debug application syslogd -1 komutuyla syslog daemon'unun debug loglarını açın; bağlantı hatası veya DNS çözümleme sorunu varsa burada görünür.
  • NextLog sunucusunun güvenlik duvarında 514 veya 6514 portuna FortiGate'in kaynak IP'sinden gelen trafiğe izin verildiğinden emin olun.

NextLog Tarafında Doğrulama

NextLog web paneline giriş yapın ve Live Log Stream ekranını açın. Gerçek zamanlı olarak FortiGate'den gelen loglar burada akmalıdır. Bir tarayıcıdan herhangi bir web sitesine erişim yapın ve birkaç saniye içinde ilgili traffic log'unun NextLog'da göründüğünü doğrulayın. Log detayında şu alanları kontrol edin:

  • Timestamp: FortiGate'in gönderdiği zaman ile NextLog'un aldığı zaman arasında büyük fark varsa (>5 saniye) NTP senkronizasyonu sorunlu olabilir.
  • Source Device: FortiGate cihazınızın hostname veya serial numarası doğru görünüyor mu?
  • Parsed Fields: srcip, dstip, dstport, proto gibi alanlar doğru ayrıştırılmış mı? Eğer tüm mesaj "raw" olarak görünüyorsa NextLog'un FortiGate parser'ı etkin değildir; destek ekibine başvurun.

Çoklu FortiGate Cihazı ve Merkezi Loglama Senaryoları

Birden fazla şubesi veya veri merkezi olan kuruluşlar, her lokasyondaki FortiGate'i aynı NextLog sunucusuna yönlendirebilir. Bu durumda dikkat edilmesi gerekenler:

Cihaz Tanımlama ve Segmentasyon

NextLog, her FortiGate'i devid veya devname alanından tanır. Ancak aynı hostname'e sahip cihazlar varsa karışıklık olabilir. Bu nedenle:

  • Her FortiGate'e benzersiz bir hostname verin (örneğin "FG-Istanbul-HQ", "FG-Ankara-Sube1").
  • NextLog panelinde her cihaz için ayrı bir device profile oluşturun; bu profilde lokasyon, sorumlu kişi, IP aralığı gibi meta veriler saklayın.
  • Raporlama ve sorgulama sırasında "Hangi şubeden gelen loglar?" filtresini kullanarak analizi daraltın.

Bu Makaleyi Paylaşın:

Sık Sorulan Sorular

5651 loglama ve hotspot hakkında en çok sorulan konular.

NextLog5651 ile 5651 uyumlu loglama nasıl sağlanır?
Firewall veya hotspot cihazınızdan gelen oturumlar NextLog5651 tarafından toplanır, imzalanır ve yasal formatta arşivlenir.
Kimler NextLog5651 kullanmalı?
Misafir veya personel interneti veren otel, fabrika, hastane, kamu kurumu ve KOBİ'ler.
Teklif ve keşif için nasıl iletişime geçilir?
0312 945 36 42 numaralı telefon, satis@datakobi.com e-posta veya nextlog5651.com/iletisim formu.

Ağınızın Güvenliğini Şansa Bırakmayın

NextLog 5651 Loglama ve Hotspot sistemleriyle işletmenizi yasal risklerden koruyun.

Müşteri Destek

Çevrimiçi · 0312 945 36 42

. . .