> Linux Log Analizi / Log Temizleme

3vn2odzn

Uzman üye
17 Ocak 2019
1,183
228
Loxcey Sixs
< Linux Log Analizi / Log Temizleme >

Merhabalar, bu konumda Linux ortamı üzerinde nasıl log analizi yapabileceğinizi, logları nasıl temizleyeceğinizi
ve logların neden gerekli olduğunu anlatacağım. Adli bilişim'in temellerini oluşturan yapılardan biri olan konumuza başlayabiliriz.


> Log nedir? Loglar Neden Gereklidir?

Log, kelime manası olarak "günlük" demektir.
Log kaydı, sistem üzerinde gerçekleşen bütün hareketlerin kaydedilmesi anlamına gelmektedir.
Loglar incelenerek olası siber saldırılar tespit edilebilir, sistem üzerinde gerçekleşen zararlı faaliyetler tespit edilebilir
yasadışı bir olay sonucu, adli incelemede log incelemesi sonucu gerçek suçluya ulaşılabilir.


> Linux Log'lar Nasıl İncelenir? / Analiz Edilir?

Linux sistemlerde log dosyalarının tutulduğu dizin /var/log dizinidir.
Bu dizine aşağıdaki temel komut yardımı ile giriş sağlayabiliriz.

Kod:
cd /var/log



Resimde de gördüğünüz üzere, bu dizinde bir sürü dosya mevcut.
Resimdeki dosyaların aynılarından sizlerde olmayabilir. Bu bir sorun değil.
Fakat bazı temel sistem logları vardır, onlar genelde her sistemde bulunur.
Konunun sonunda temel sistem loglarının anlamlarını bulabilirsiniz.
Fazla uzatmadan herhangi bir log dosyasını görüntüleyelim, bunun için aşağıdaki komutu kullanacağız:

Kod:
cat auth.log (istediğinizi seçebilirsiniz, ben bunu seçtim)



Ben auth.log dosyasını seçtim. Siz herhangi birini seçebilirsiniz.
Auth.log dosyası sisteme yapılan girişler gibi kimlik doğrulama işlemlerini tutan dosyadır.
Gördüğünüz üzere tarih ve saate kadar detaylı kayıtlar gözümüzün önüne gelmiş durumda.
Buradaki veriler aracılığı ile incelememizi yapabiliriz.
Eğer belirli bir kullanıcıya ait log sonuçlarını görmek isterseniz aşağıdaki komutu kullanabilirsiniz:

Kod:
cat auth.log | grape root (burada root kullanıcısını seçtim, sizde ne kadar kullanıcı varsa onlardan birini seçebilirsiniz)


Evet görmüş olduğunuz gibi yalnızca "root" kullanıcısına ait kayıtlar çıktı.
Log incelemek bu kadardı, şimdi silme işlemine gelebiliriz.


> Linux Log Kayıtları Silinir?

Log kayıtlarını çok kolay bir biçimde silebilirsiniz. Fakat bunun için ilk olarak root erişimi sağlamalısınız.
Bunu tek bir komut yardımı ile yapabilirsiniz. O da "sudo" komutu.
Terminalinize sudo su yazarak root olabilirsiniz.
Root olduktan sonra aşağıdaki kod yardımı ile silmek istediğiniz log kaydını silebilirsiniz.

Kod:
rm auth.log



Gördüğünüz gibi log kaydını sildik. Hatta cat auth.log komutu ile de kontrol ettik.
Silme işlemi başarılı, sanırım en iyisi silme işlemi bölümü :)

> Terminal Geçmişini Görüntüleme


Son olarak terminal üzerinde çalıştırılmış komutları nasıl göreceğimize bakalım.
Tek bir komut ile terminal geçmişine ulaşabilirsiniz. Bu komut ise aşağıdaki history komutu.

Kod:
history



Resimde gördüğünüz gibi bütün geçmiş önümüze döküldü.
Bir sonraki başlıkta temel log dosyalarında nelerin tutulduğundan bahsettim.


> Temel Log Dosyalarında Neler Tutuluyor?

Aşağıda verilmiş olan log dosyaları her linux distrosunda mevcut olmayabilir.
Endişe etmeyiniz.


auth.log:

Kimlik doğrulama işlemlerinin tutulduğu kayıt dosyası.
messages:

Sistem hataları bu dosyada tutulur.
dmesg:

Sistem boot edilirken meydana gelen işlemler ve kernel hataların tutulduğu kayıt dosyası.
secure:

Auth.log ile aynı işlevi görür.
cron:

Cron işlemlerinin kaydedildiği kayıt dosyası.
yum.log:

Yum paket yöneticisi ile yüklenen yazılımların tutulduğu kayıt dosyası.
maillog:

Gelen maillerin header bilgisi bu kayıt dosyasında tutulur.

 
Son düzenleme:
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.