FortiGate ile 5651 Loglama Nasil Yapilir? Adim Adim Rehber

FortiGate, dunya genelinde en yaygin kullanilan firewall platformlarindan biridir. Turkiye'deki isletmelerin buyuk cogunlugu ag guvenligini FortiGate cihazlariyla saglamaktadir. Ancak firewall'un mevcut olmasi tek basina 5651 sayili kanuna uyumlulugunuzu garanti etmez. Loglarin dogru sekilde toplanmasi, saklanmasi ve imzalanmasi gerekmektedir. Bu rehberde, FortiGate uzerinden 5651 uyumlu loglama surecini adim adim ele aliyoruz.

1. FortiGate Firewall Nedir?

FortiGate, Fortinet tarafindan gelistirilen yeni nesil bir guvenlik duvari (NGFW) platformudur. Ag trafiklerini inceleyerek yetkisiz erisimleri engelleyen, uygulama kontrolu saglayan ve VPN baglantilari yoneten kapsamli bir cihaz ailesidir.

FortiGate cihazlari, kucuk ofislerden buyuk kurumsal aglara kadar genis bir yelpazede kullanilmaktadir. Modelleri arasinda FortiGate 40F, 60F, 100F, 200F ve daha yuksek kapasite secenekleri bulunmaktadir. Her model, trafik loglarini disa aktarma yetenegine sahiptir ve bu ozellik, 5651 uyumlulugunun temelini olusturur.

2. 5651 Kanunu ve FortiGate ile Uyumluluk

5651 sayili kanun, internet erisimi saglayan tum kuruluslarin kullanici log kayitlarini tutmasini, bu kayitlarin dijital olarak imzalanmasini ve en az 2 yil sureyle saklanmasini zorunlu kilmaktadir. FortiGate cihazlari, syslog protokolu uzerinden log verilerini disariya aktarma kapasitesine sahip oldugundan, bu kanunla tam uyumluluk saglanabilir.

Uyumluluk icin gereken temel adimlar sunlardir:

• FortiGate uzerinde syslog sunucu tanimlamasi yapilmasi
• Trafik, oturum ve kimlik dogrulama loglarinin disari aktarilmasi
• Loglarin merkezi bir sistemde toplanmasi (ornegin Subgate)
• Toplanan loglarin dijital olarak imzalanmasi
• Imzali loglarin en az 24 ay sureyle arsivlenmesi

3. Syslog Konfigurasyonu: Port 514 UDP/TCP Ayarlari

FortiGate cihazindan log gonderimi icin ilk adim, syslog sunucu adresinin tanimlanmasidir. Bu islem hem web arayuzu (GUI) hem de komut satiri (CLI) uzerinden yapilabilir.

CLI Uzerinden Syslog Yapilandirmasi

UDP ve TCP Arasindaki Fark

4. FortiGate'den Subgate'e Log Gonderimi

Syslog yapilandirmasini tamamladiktan sonra FortiGate, belirlediginiz sunucu adresine log gondermeye baslayacaktir. Subgate tarafinda bu loglarin alinabilmesi icin asagidaki adimlari takip edin:

1. Subgate yonetim paneline giris yapin.
2. Syslog Cihazlar bolumune giderek yeni bir cihaz ekleyin.
3. FortiGate cihazinizin IP adresini ve cihaz adini tanimlayarak kaydedin.
4. Dinleme portunu 514 olarak ayarlayin ve protokolu (UDP/TCP) FortiGate tarafindaki ayarla eslesecek sekilde secin.
5. Yapilandirmayi kaydettikten sonra Syslog Loglar sayfasindan gelen verileri dogrulayin.

Log akisi basladiginda, Subgate panelindeki canli log gorunumunde FortiGate'den gelen trafik, oturum ve guvenlik kayitlarini gercek zamanli olarak izleyebilirsiniz.

5. Otomatik Imzalama Zamanlayici Ayarlari

5651 sayili kanun, log kayitlarinin butunlugunun ispatlanmasini gerektirmektedir. Bu nedenle toplanan loglarin belirli araliklarla dijital olarak imzalanmasi gerekmektedir. Subgate, bu sureci tamamen otomatik hale getirmektedir.

Zamanlayici ayarlari icin:

• Subgate yonetim panelinde Imzalama Ayarlari bolumune gidin.
• Otomatik imzalama suresini belirleyin. Gunluk imzalama, cogu isletme icin ideal bir tercihdir.
• Imzalama saatini, ag trafiginizin en dusuk oldugu saatlere ayarlayin (ornegin gece 03:00).
• Sistem, belirlediginiz periyotta loglari otomatik olarak paketleyerek dijital imza ile muhurlayecektir.

Imzalanan dosyalar, degistirilemez bir formatta arsivlenir. Her dosya icin bir hash degeri olusturulur ve bu deger zaman damgasi ile birlikte saklanir.

6. KamuSM ve SelfSign Secimi

Subgate, dijital imzalama icin iki farkli yontem sunmaktadir. Varsayilan yontem SelfSign olup ek yapilandirma gerektirmez. KamuSM hesabiniz varsa, Syslog Ayarlar sayfasindan KamuSM bilgilerinizi girerek resmi KamuSM imzalamasi da yapabilirsiniz:

7. Log Filtreleme ve Raporlama

FortiGate'den gelen loglar, farkli kategorilere ayrilarak daha verimli bir sekilde analiz edilebilir. Subgate uzerindeki filtreleme secenekleri sunlardir:

• Tarih ve saat araligi: Belirli bir zaman dilimindeki loglari goruntuleme
• Kaynak IP adresi: Belirli bir kullaniciya ait trafik kayitlarini filtreleme
• Hedef IP veya alan adi: Hangi sitelere erisildigi bilgisi
• Log tipi: Trafik, oturum, guvenlik olaylari gibi kategorilere gore ayirma
• Cihaz bazli filtreleme: Birden fazla FortiGate cihaziniz varsa her birini ayri ayri izleme

Raporlama modulu sayesinde gunluk, haftalik veya aylik ozetler otomatik olarak olusturulabilir. Bu raporlar PDF formatinda indirilebilir ve yetkili makamlara sunulmaya hazir bir yapidadir.

8. Sik Yapilan Hatalar ve Cozumleri

FortiGate ile 5651 loglama surecinde karsilasilan en yaygin sorunlar ve cozum onerileri:

1. Log akisi baslamiyor: FortiGate uzerindeki syslog ayarlarinda sunucu IP adresinin dogru oldugundan ve port 514'un her iki tarafta da acik oldugundan emin olun. Firewall politikalarinizi kontrol edin.
2. Loglar eksik geliyor: FortiGate'de log filtrelerini inceleyin. Varsayilan ayarlarda bazi log kategorileri (ornegin DNS sorguklari) devre disi olabilir. CLI uzerinden set log-traffic-start enable komutuyla oturum baslangic loglarini aktif edin.
3. Zaman damgalari uyusmuyor: FortiGate ve Subgate sunucusunun ayni NTP kaynagina senkronize oldugundan emin olun. Zaman farki, log butunlugunu olumsuz etkiler.
4. Imzalama basarisiz oluyor: KamuSM kullaniyorsaniz sertifikanizin suresi dolmus olabilir. Subgate panelindeki sertifika durumunu kontrol edin ve gerekirse yenileyin. SelfSign kullaniyorsaniz disk alani ve zamanlayici ayarlarini kontrol edin.
5. Yuksek log hacminde performans dususu: TCP yerine UDP'ye gecis yapabilir veya FortiGate tarafinda gereksiz debug loglarini kapatarak veri hacmini azaltabilirsiniz.
6. Ikinci syslog sunucu tanimlanmamis: FortiGate, birden fazla syslog hedefi destekler. Yedeklilik icin config log syslogd2 setting ile ikinci bir sunucu tanimlayin.