Žurnallary we teswirnamalary ýöretmek
1) Žurnallar we teswirnamalar näme üçin zerur?
Magazinesurnallar - guramanyň "gara gutusy": auditler we derňewler üçin subutnamalary (evidence) üpjün edýärler, amal we kadalaşdyryjy töwekgelçiligi peseldýärler, wakalaryň gidişini dikeltmäge we syýasatlaryň (access, retensiya, şifrlemek, KYC/AML, PCI we ş.m.) ýerine ýetirilişini tassyklamaga mümkinçilik berýärler.
Maksatlar:- Hereketleri yzarlamak (kim/näme/haçan/nirede/näme/näme).
- Wakalary ýüze çykarmak we saklamak (detektiw we öňüni alyş gözegçilikleri).
- Düzgünleşdirijiler/auditorlar üçin subutnamalar bazasy (immutability).
- SLA/SLO öndürijiligini we laýyklygyny seljermek.
2) Loglaryň taksonomiýasy (iň az gurşaw)
Elýeterlilik we şahsyýetler (IAM/IGA): tassyklama, rollary üýtgetmek, SoD, JIT-elýeterlilik.
Infrastruktura/bulut/IaC: API çagyryşlary, konfigurasiýa süýşmesi, KMS/HSM wakalary.
Programmalar/iş: amallar, PI/maliýe amallary, haýyşlaryň durmuş sikli (DSAR).
Howpsuzlyk: IDS/IPS, EDR, DLP/EDRM, WAF, gowşaklyk/ýamalar, antivirus.
Tor: firewall, VPN/Zero Trust, proxy, DNS.
CI/CD/DevSecOps: gurnama, deploy, SAST/DAST/SCA, sır-skan.
Maglumatlar/analitika: lineage, penjirelere girmek, gizlemek/anonimleşdirmek.
Amallar: ITSM/biletler, hadysalar, change-management, DR/BCP synaglary.
Satyjylar/3rd-party: webhuklar, SSO federasiýasy, SLA wakalary.
3) Kadalaşdyryjy talaplar (görkezmeler)
GDPR/ISO 27701: PI-ni minimallaşdyrmak/gizlemek, meýilnama boýunça retensiýa, Legal Hold, DSAR-tracking.
SOC 2/ISO 27001: audit-treýler, loglara girmäge gözegçilik, gözegçilikleriň ýerine ýetirilişiniň subutnamasy.
PCI DSS: çarşenbe/kartoçka maglumatlaryna girişi logirlemek, magazinesurnallaryň bitewiligi, gündelik syn.
AML/KYC: barlaglaryň yzarlanylyşy, sanksiýa/RER-barlag, STR/SAR teswirnamalary.
4) Logirlemegiň salgylanma arhitekturasy
1. Producers: programmalar, bulut, tor, hostyň agentleri.
2. Teker/kollektorlar: back-pressure, retry, TLS mTLS bilen kabul etmek, de-duplikasiýa.
3. Kadalaşma: ýeke format (JSON/OTel), baýlaşdyrmak (tenant, user, geo, severity).
- Gyzgyn (gözleg/SIEM): 7-30 gün, çalt elýeterlilik.
- Sowuk (obýekt): aýlar/ýyllar, arzan saklamak.
- Arhiw-ewidence (WORM/Object Lock): üýtgemezlik, heş-kwitansiýalar.
- 5. Bitewilik we gol: hashes zynjyrlary/merkli-agaç/wagt bellikleri.
- 6. Giriş we howpsuzlyk: RBAC/ABAC, ýurisdiksiýalar boýunça segmentasiýa, kazyýet esasly giriş.
- 7. Analitika we alertler: SIEM/SOAR, correlation ID, playbooks.
- 8. Kataloglar we shemalar: wakalaryň görnüşleriniň sanawy, versioning, shemalaryň synaglary.
5) Kod syýasaty (YAML mysallary)
Retensiýa we Legal Hold
yaml id: LOG-RET-001 title: "Access logs retention"
scope: ["iam. ","app. access"]
retention:
hot_days: 30 cold_days: 365 worm_years: 3 legal_hold: true # when Legal Hold is active, block privacy removal:
pii_mask: ["email","phone","ip"]
review: "annual"Bitewilik we gol
yaml id: LOG-INT-001 title: "Signature and commercial fixation"
hashing: "SHA-256"
anchor:
cadence: "hourly"
store: "s3://evidence/anchors"
verification:
schedule: "daily"
alert_on_failure: true6) Žurnallaryň hiline bildirilýän talaplar
Gurluşy: diňe JSON/OTel, "çig" tekstsiz.
Wagt sinhronizasiýasy: NTP/PTP, drift gözegçilik; 'timestamp', 'received _ at' ýazgysy.
Correlation IDs: 'trace _ id', 'span _ id', 'request _ id', 'user _ id' (lakamy).
Meýdan semantikasy: sözlük (data dictionary) we synaglar bilen shema şertnamasy.
Lokalizasiýa/Dil: meýdan - iňlis açary, manylar - birleşdirmek (enum).
Drop-syýasatyň göwrümi: gözegçiliksiz drop-yň gadagan edilmegi; töwekgelçilik boýunça nobatlar/kwotalar/sempling.
Duýgur maglumatlar: maskalanmak/tokenizasiýa; syrlary/kartlary tutuşlygyna saklamagy gadagan etmek.
7) Gizlinlik we minimallaşdyrmak
PII-arassaçylyk: gymmatlyklaryň ýerine heşleri/bellikleri ýazmak; email/telefon/IP üçin berk maska.
Kontekst: Şahsy maglumatlary esassyz ýazmaň.
Ýurisdiksiýalar: ýurt boýunça saklamak we elýeterlilik (data residency), nusgalaryň yzarlanylyşy.
DSAR: gözleg bellikleri we eksport; hasabatlary depersonalizasiýa bilen çap etmek mümkinçiligi.
8) Üýtgewsizlik we subutnamalar (immutability)
WORM/Object Lock: Bu döwürde silmek/täzeden ýazmak gadagandyr.
Kripto goly: batçalaryň goly; gündelik ankering bilen kör-kökler.
Saklaýyş zynjyry (chain of custody): giriş magazineurnaly, heş-kwitansiýalar, hasabatlardaky kwitantlar.
Werifikasiýa: bitewiligini wagtal-wagtal barlamak we rasinhronizasiýa hakynda habar bermek.
9) Loglara girmegi dolandyrmak
RBAC/ABAC: rollar "okamak/diňe gözlemek" vs "eksport/paýlaşmak".
Case-based access: duýgur ýazgylara girmek - diňe derňewiň/biletiň çäginde.
Syrlar/açarlar: KMS/HSM; rotasiýa, split-knowledge, dual-control.
Giriş barlagy: anomaliýalarda "kim haýsy ýazgylary okady" atly aýratyn magazineurnal.
10) Metrikler we SLO logirleme
Ingestion Lag: 95-nji kabul etmegiň gijikdirilmegi (maksat ≤ 60 sek).
Drop Rate: ýitirilen wakalaryň paýy (0 maksat; alert> 0. 001%).
Shema Compliance: shema tassyklamasyndan geçen wakalaryň% -i (≥ 99. 5%).
Coverage: merkezleşdirilen logyň aşagyndaky ulgamlaryň% -i (98% -den ≥).
Integrity Pass: heş zynjyrlaryny üstünlikli barlamak (100%).
Access Review: hukuklaryň her aýda mahabatlandyrylmagy, gijikdirilmegi - 0.
PII Leak Rate: tapylan "arassa" PI (0 kritiki maksat).
11) Daşbordlar (iň az toplum)
Ingestion & Lag: göwrüm/tizlik, lag, drop, "gyzgyn" çeşmeler.
Integrity & WORM: Ankering, tassyklama, Object Lock statusy.
Security Events: kritiki baglanyşyklar, MITRE-kart.
Access to Logs: kim we näme okady/eksport etdi; anomaliýalar.
Compliance View: Retence/Legal Hold statuslary, audit hasabatlary, DSAR-eksportlary.
Schema Health: shemalaryň parsing/wersiýasyndaky ýalňyşlyklar, köne agentleriň paýy.
12) SOP (standart amallar)
SOP-1: Log çeşmesini birikdirmek
1. Çeşmäni we kritikligi hasaba almak → 2) Shemany saýlamak/OTel → 3) TLS/mTLS, bellikler →
2. dry-run steyjingde (shemalary tassyklamak, PII-maskalar) → 5) Prod-a birikmek →
3. kataloglara/dashbordlara goşmak → 7) Retensiýany barlamak/WORM.
SOP-2: Wakanyň jogaby (magazinesurnallar evidence hökmünde)
Detect → Triage → Loglary ýygnamak (case-scope) → Doňdurma (Legal Hold) →
Hesh-fiksasiýa we ankering → Analitika/timline → Hasabat we CAPA → Sapaklaryň çykyşy.
SOP-3: Reg-haýyş/audit
1. Soragyň ID-si boýunça kazyýet we süzgüçleri aç → 2) zerur formata eksport etmek →
2. tassyklamak Legal/Compliance → 4) heş-gysgaça maglumat → 5) ibermek we žurnallaşdyrmak.
SOP-4: Loglara girişi barlamak
Eýeleriň her aýda attestasiýasy; "ýetim" hukuklaryň awto-rewki; SoD boýunça hasabat.
13) Formatlar we mysallar
Giriş hadysasynyň mysaly (JSON)
json
{
"ts": "2025-10-31T13:45:12. 345Z",
"env": "prod",
"system": "iam",
"event": "role_grant",
"actor": {"type": "user", "id": "u_9f1...", "tenant": "eu-1"},
"subject": {"type": "user", "id": "u_1ab..."},
"role": "finance_approver",
"reason": "ticket-OPS-1422",
"ip": "0. 0. 0. 0",
"trace_id": "2a4d...",
"pii": {"email": "hash:sha256:..."},
"sign": {"batch_id":"b_20251031_13","merkle_leaf":"..."}
}Deteksiýa düzgüni (psevdo-Rego)
rego deny_access_if_sod_conflict {
input. event == "role_grant"
input. role == "finance_approver"
has_role(input. subject. id, "vendor_onboarder")
}14) Rollar we RACI
15) Wendorlary we üpjünçilik zynjyryny dolandyrmak
Şertnamalarda: log auditi hukugy, formatlar, SLA saklamak we elýeterlilik, WORM/immutability.
Subprosessorlar: çeşmeleriň sanawy we "ahyrky" retensiýa.
Eksport/offbording: ýok edilendigini tassyklamak we heş-hasabatyň hasabaty.
16) Antipatternler
"Erkin tekstdäki" loglar, shemalar we korrelýasiýa bolmazdan.
WORM we heş-fiksasiýasyz saklamak - auditde jedel.
"Bolşy ýaly" ýazgylaryndaky duýgur maglumatlar.
Wagt senkronizasiýasy we adaty trace_id ýok.
Ýüküň iň ýokary nokatlarynda wakalary bölmek; back-pressure ýok.
Keýs-gözegçiliksiz bloglara ähliumumy giriş.
"Hemişelik" log okamak hukugy, re-attestasiýasyz.
17) Çek-listler
Logistika funksiýasyny başlamak
- Çeşmeleriň taksonomiýasy we kritikligi kesgitlenildi.
- Retensiýa shemalary we syýasatlary/Kanuny Hold yglan edildi (as-code).
- TLS/mTLS, bellikler, awto-täzelenme agentleri.
- PII maskalar/bellikler synagdan geçirildi.
- WORM/Object Lock we ankering goşuldy.
- Daşbordlar/alertler/metrikler açyldy.
- Giriş barlagy we SoD sazlandy.
Auditden/reg-soragdan öň
- "Audit pack" ýygnaldy: shemalar, syýasatlar, bitewilik hasabatlary, nusgalar.
- Döwür üçin integrity we giriş ýazgylaryny barlamak.
- DSAR/Legal Hold statuslary tassyklandy.
- Düşürmegiň we iberilendigini tassyklamagyň heş-hasabaty düzüldi.
18) Kämillik modeli (M0-M4)
M0 El bilen: bölünen loglar, shemalar we retensiýa ýok.
M1 Merkezleşdirilen ýygym: esasy gözleg, bölekleýin taksonomiýa.
M2 Dolandyrylýan: shemalar we syýasatlar-kod, daşbordlar, retensiýa/WORM.
M3 Integrated: OTel-tracking, SOAR, ankering/merkli, case-based access.
M4 Assured: "düwme boýunça audit-ready", çaklama jikme-jiklikleri, bitewiligiň awtomatiki gözegçiligi we kanuny taýdan möhüm kwitansiýalar.
19) Baglanyşykly wiki maddalary
Yzygiderli laýyklyk gözegçiligi (CCM)
KPI we laýyklyk metrikleri
Kanuny Hold we maglumatlary doňdurmak
Syýasatlaryň we proseduralaryň durmuş sikli
Ylalaşyk çözgütleriniň aragatnaşygy
Laýyklyk syýasatynda üýtgeşmeleri dolandyrmak
Due Diligence we daşarky töwekgelçilikler
Jemi
Güýçli logirleme funksiýasy "habarlar ammary" däl-de, dolandyrylýan ulgam: gurluşly wakalar, berk shemalar we retensiýalar, üýtgewsizlik we gol, adaty gizlinlik, elýeterliligi berk gözegçilik etmek we subutnamalary köpeltmek. Şeýle ulgam derňewleri çaltlaşdyrýar, auditleri öňünden aýdyp bolýar we töwekgelçilikleri dolandyryp bolýar.