Event Log Forwarding: Merkezi Log Toplama Yapısı Kurulumu (Windows + Linux)

Event Log Forwarding (ELF), farklı sunuculardan gelen sistem ve güvenlik loglarının merkezi bir noktada toplanmasını sağlayan yapıdır. Windows ve Linux sistemlerden tek bir log sunucusuna veri akışı sağlanarak güvenlik denetimi, hata analizi ve olay müdahalesi kolaylaşır. Bu yazıda, Windows Server üzerinde Windows Event Collector (WEC) kurulumu ve Linux sunucularla entegrasyon adımlarını detaylı şekilde inceleyeceğiz.

1) Neden Merkezi Log Toplama?

Log verilerinin tek bir merkezde toplanması; saldırı tespiti, güvenlik analizi ve sistem izleme süreçlerinde büyük avantaj sağlar.

• Merkezi denetim: Tüm sunucuların olay kayıtlarını tek panelden takip edin.
• Güvenlik analizi: Brute-force, başarısız oturum açma, servis hataları gibi olayları korele edin.
• Uyumluluk (compliance): ISO 27001, GDPR gibi standartlar için log saklama zorunluluğunu karşılar.

2) Mimarinin Genel Yapısı

[Windows/Linux Clients]  →  [Windows Event Collector]  →  [SIEM / Log Server]

Windows tarafında WinRM, Linux tarafında ise rsyslog veya syslog-ng protokolü üzerinden iletim sağlanır.

3) Windows Event Collector (WEC) Kurulumu

1. Server Manager → Add Roles and Features → Windows Event Collector özelliğini yükleyin.
2. Komut satırında etkinleştirin:

   wecutil qc

3. Firewall’da WinRM portu (5985/5986) açık olmalıdır.

4) Subscription (Abonelik) Oluşturma

WEC konsolunu açın → “Subscriptions” → “Create Subscription” adımlarını izleyin.

• Collector initiated: WEC, istemcilere bağlanır (küçük ölçekli ortamlar).
• Source initiated: İstemciler loglarını WEC’e gönderir (Active Directory ortamı için önerilir).

Örnek Log Kanalı Seçimi

• Security
• System
• Application
• PowerShell
• Microsoft-Windows-Sysmon/Operational

5) Windows İstemcilerin Yapılandırılması

GPO ile istemcileri otomatik olarak log kolektörüne yönlendirin:

Computer Configuration → Policies → Administrative Templates → Windows Components → Event Forwarding
→ Configure target Subscription Manager

Değer örneği:

Server=http://wecserver.domain.local:5985/wsman/SubscriptionManager/WEC,Refresh=60

6) Linux Sunuculardan Log Gönderimi

Linux makinelerde rsyslog veya syslog-ng kullanarak log yönlendirmesi yapılabilir.

rsyslog Yapılandırması

# /etc/rsyslog.conf
*.* @@wecserver.domain.local:514

UDP için tek @, TCP için @@ kullanılır. Port 514 TCP/UDP açık olmalıdır.

syslog-ng Örneği

destination d_wec { tcp("wecserver.domain.local" port(514)); };
log { source(s_src); destination(d_wec); };

7) Güvenlik ve Şifreleme

• WinRM HTTPS (port 5986) kullanarak Windows istemcilerle şifreli iletişim sağlayın.
• Linux log iletiminde TLS desteği için rsyslog imtcp modülünü etkinleştirin.
• WEC sunucusunda event log retention ayarlarını artırarak log kaybını önleyin.

8) Log Saklama ve Rotasyon

Disk kullanımını dengelemek için log rotasyon politikası belirleyin:

wevtutil sl Security /rt:true /ms:512000000

Linux tarafında:

logrotate /etc/logrotate.d/syslog

9) SIEM Entegrasyonu

Toplanan loglar Splunk, Graylog, Wazuh, ELK Stack gibi SIEM çözümlerine yönlendirilebilir.

• JSON veya CEF formatında dönüştürme için “ForwardedEvents” kaynağını kullanın.
• Agentless yapı, kaynaklarda minimum CPU yükü oluşturur.

10) İzleme ve Test

İstemcilerden log geldiğini doğrulamak için:

Event Viewer → Forwarded Events

Linux tarafında:

tail -f /var/log/syslog

Sonuç

Event Log Forwarding, çok sunuculu ortamlarda merkezi güvenlik izleme ve olay yönetimi için temel bir bileşendir. Windows ve Linux sistemlerin loglarını tek merkezde toplamak, hem operasyonel hem güvenlik süreçlerini kolaylaştırır. Profesyonel ölçekte izleme için Premium VDS veya Kurumsal Hosting altyapıları tercih edilerek performans ve güvenlik maksimuma çıkarılabilir.