Ücretsiz MDR Health Check · TR EN
InfinitumIT
SOS

Platform

Saldırgan ve savunma tek elden.

16 hizmet, 4 disiplin altında — saldırı yüzeyini keşfet, izle, müdahale et.

Tüm hizmetler →

Ürünler

InfinitumIT ürünleri ve teknoloji ortakları.

3 InfinitumIT platformu, 19 kategoride 48+ teknoloji ortağı.

Tüm ürünler →

InfinitumIT

ThreatBlade
ThreatFlood
CISO Dashboard

Çözümler

Sektör ve ihtiyaca özel.

Kurum büyüklüğüne, sektör regülasyonlarına ve risk profilinize göre paketlenmiş çözümler.

Acil Durum

Saldırı altında mısınız?

7/24 olay müdahale ekibimize ulaşın.

 Tüm çözümler →

Kaynaklar

Tehdit dünyasından içgörüler.

Blog

Tehdit analizleri ve güvenlik içgörüleri.

Raporlar

Aylık MDR insights ve teknik analizler.

Etkinlikler

Webinarlar ve sektör etkinlikleri.

MDR Health Check

Ücretsiz MDR yapı değerlendirmesi.

Under Attack?

Saldırı altındaysanız acil müdahale formu.

İletişim

Bize ulaşın, ekibimiz dönüş yapsın.

Kurumsal

2017'den bu yana Türkiye'de.

Bağımsız siber güvenlik hizmet sağlayıcısı.

Hakkımızda

Şirket vizyonu ve operasyon prensiplerimiz.

Sertifikalar

ISO 27001, CREST, OSCP ve dahası.

SSS

Sıkça sorulan sorular.

KVKK

Kişisel veri aydınlatma metni.

Gizlilik Politikası

Veri saklama ve gizlilik prensipleri.

Çerez Politikası

Sitede kullanılan çerezler.
Sızma Testi Red Team MDR SOC Olay Müdahale Siber Güvenlik Eğitimi Tüm hizmetler →

InfinitumIT Ürünleri

ThreatBlade ThreatFlood CISO Dashboard
Fortinet FortiGate Palo Alto Networks NGFW Check Point Quantum
CrowdStrike Falcon SentinelOne Singularity Palo Alto Cortex XDR Fortinet FortiEDR Trend Micro Vision One Microsoft Defender for Endpoint
Fortinet FortiAnalyzer IBM QRadar SIEM Fortinet FortiSIEM
Fortinet FortiWeb Barracuda Web Application Firewall F5 BIG-IP Advanced WAF Citrix Web App Firewall
Proofpoint Email Protection Fortinet FortiMail / FortiWorkspace Check Point Email & Collaboration
Cisco Umbrella
Kron Single Connect PAM Fortinet FortiPAM Delinea Secret Server CyberArk Privileged Access Manager
Nozomi Networks Claroty
FileOrbis
Forcepoint DLP Fortinet FortiDLP GTB DLP CrowdStrike Falcon Data Protection Netskope DLP
Cisco ISE Fortinet FortiNAC Forescout HPE Aruba ClearPass
Forcepoint Secure Web Gateway Fortinet FortiProxy
Tenable Acunetix Invicti (Netsparker)
Fortinet FortiNDR Vectra AI
Binalyze AIR
Threatmon
Gigamon NEOX NETWORKS
Procenne Thales Luna HSM
Phishy
Fortinet FortiSOAR Palo Alto Cortex XSOAR
Fortinet FortiSandbox Fortinet FortiDeceptor
Fortinet FortiAuthenticator
Tüm ürünler →

İhtiyaca Özel Paketler

KOBİ Siber Güvenlik Kurumsal SOC Fidye Yazılımı Koruma KVKK Uyumu

Sektörler

Finans & Bankacılık Kamu Kurumları Sağlık Enerji & Üretim
Blog Raporlar Etkinlikler MDR Health Check
Hakkımızda Sertifikalar SSS KVKK Gizlilik Politikası Çerez Politikası
İletişim Saldırı Altındayım
Log Yönetimi ve 5651

DSM ile QRadar Log Parsing: Gerçek Bir Senaryo Üzerinden Uygulamalı Anlatım

IBM QRadar üzerinde DSM Editor ile tanınmayan logları adım adım parse edip QID ile eşleştirerek anlamlı event'lere dönüştürmenin tam yol haritası.

05.05.2026 · 8 dk okuma · InfinitumIT Admin
DSM ile QRadar Log Parsing: Gerçek Bir Senaryo Üzerinden Uygulamalı Anlatım

IBM QRadar üzerinde bulunan DSM Editor (Device Support Module Editor), sistemin varsayılan olarak tanımadığı veya eksik parse ettiği logları anlamlandırmak için kullanılan güçlü bir araçtır. Bu yazıda gerçek bir senaryo üzerinden, tanınmayan bir log kaynağının adım adım parse edilip anlamlı bir event'e dönüştürülmesini ele alıyoruz.

DSM Editor Nedir?

QRadar birçok üretici için hazır DSM içerir. Ancak aşağıdaki durumlarda loglar genellikle GenericDSM veya unknown event olarak sisteme düşer:

  1. Özel uygulama logları
  2. Standart dışı formatlar
  3. File-based (SMB Tail) loglar
  4. Custom geliştirilmiş sistemler

Bu da aşağıdaki problemlere yol açar:

  1. Event Name anlamsız olur
  2. Event Category doğru belirlenmez
  3. Correlation rule yazılamaz
  4. Alarm üretimi zorlaşır

DSM Editor Ne İşe Yarar?

DSM Editor sayesinde ham (raw) loglar anlamlı ve işlenebilir event'lere dönüştürülür:

  1. Log içerisinden alan (field) çıkarmak (IP, user, mesaj vs.)
  2. Event ID'leri dinamik olarak belirlemek
  3. Event'leri kategorize etmek (Error, Info, Warning)
  4. QID mapping ile anlamlı Event Name oluşturmak
  5. SIEM kuralları yazılabilir hale getirmek

DSM Editor Bileşenleri

DSM Editor temelde 3 ana bileşenden oluşur:

1. Properties

Log içerisinden veri çıkarmak için kullanılır. Örneğin:

  1. Event ID
  2. Event Category
  3. Custom field'lar (error_message vb.)

2. Event Mappings

Event ID'lerin, QID Record'lara bağlandığı kısımdır. Bu sayede Event Name, Severity ve kategori anlam kazanır.

3. Workspace (Test Alanı)

Örnek logların test edildiği bölümdür:

  1. Regex doğrulama yapılır
  2. Parsing sonucu anlık görülür
  3. "Parsed / Mapped" durumu kontrol edilir
Özetle: SIEM log toplamak için değil, logları anlamlandırarak aksiyon üretmek için vardır.

DSM Editor ile Adım Adım Log Parsing

1. Log Kaynağının Seçilmesi

DSM Editor kullanım süreci, ilgili log kaynağının seçilmesi ile başlar. Bu aşamada analist, mevcut bir log source type'ı seçebilir veya tamamen yeni bir yapı oluşturabilir. Özellikle özel uygulama logları veya QRadar tarafından varsayılan olarak tanınmayan kaynaklar için "Create New" seçeneği kullanılarak yeni bir parsing tanımı oluşturulabilir.

DSM Editor — log source seçimi

Bu kısımda parse edilmeyen loglar hangi kaynaktan geliyorsa o kaynağın Log Source Type kısmında ne yazıyorsa o seçilir.

Bu çalışmada parse edeceğimiz log tipi Universal DSM olduğu için seçilmiştir. Universal DSM, özel veya tanınmayan log formatlarının manuel olarak parse edilmesine olanak sağlar ve DSM Editor üzerinden gerçekleştirilecek tüm parsing işlemlerinin temelini oluşturur. QRadar tarafından varsayılan olarak parse edilmeyen loglar için Universal DSM seçilip Select butonuna tıklanmalıdır.

Universal DSM seçimi

2. Workspace Alanına Raw Log Eklenmesi

Raw log verisi Workspace alanına eklenerek parsing işlemi başlatılır.

DSM Editor açıldıktan sonra, parsing işlemlerine başlamadan önce sağ üst köşede bulunan kalem ikonuna tıklanarak Workspace edit modu aktif hale getirilir. Ardından, analiz edilecek raw log verisi Workspace alanına manuel olarak yapıştırılır ve üst kısımda bulunan onay (✔) butonuna basılarak log sisteme yüklenir.

İlk aşamada herhangi bir parsing tanımı yapılmadığı için, aşağıdaki Log Activity Preview bölümünde event'ler şu şekilde görüntülenir:

  1. Parsing Failed
  2. Event Name: unknown
  3. Event Category: GenericDSM

Bu durum, logların QRadar tarafından henüz anlamlandırılamadığını ve DSM Editor ile parsing işlemi yapılması gerektiğini gösterir.

Workspace — parsing failed durumu

3. Event ID Override ile Pattern Yakalama

Bu adımda, DSM Editor üzerinde Event ID (Override) özelliği kullanılarak log içerisindeki belirli bir pattern'e göre event kimliği atanmıştır. Mevcut parsing kuralları korunarak, yalnızca hedeflenen log formatına özel yeni bir expression eklenmiştir.

Örnek olarak, log içerisinde geçen Vpxa[ ifadesi regex ile yakalanmış ve bu loglara özel bir Event ID atanması amaçlanmıştır. Bu yaklaşım sayesinde farklı log tipleri birbirinden ayrıştırılabilir ve ilerleyen aşamalarda doğru kategorize edilerek anlamlı event'lere dönüştürülebilir.

Event ID, parsing sürecinin omurgasıdır; doğru tanımlanmazsa mapping işlemi başarısız olur.

Event ID Override tanımı

4. Parsed but NOT Mapped: Mapping Eksik

Bu aşamada log, DSM Editor üzerinde tanımlanan kurallar sayesinde başarıyla parse edilmiş ve Event ID ile Event Category alanları doldurulmuştur. Ancak log henüz herhangi bir QID Record ile eşleştirilmediği için QRadar tarafından anlamlı bir event olarak tanımlanamamaktadır.

Bu durum "Parsed but NOT Mapped" olarak ifade edilir ve aşağıdaki anlamlara gelir:

  1. Parsing işlemi başarılıdır
  2. Event ID doğru şekilde üretilmiştir
  3. Ancak Event ID, bir QID ile ilişkilendirilmemiştir
  4. Bu nedenle Event Name alanı unknown olarak kalır

Bu aşama, parsing sürecinde önemli bir ara adımdır ve logun tam anlamıyla kullanılabilir hale gelmesi için Event Mapping (QID eşleştirme) işleminin yapılması gerekmektedir.

Parsed but NOT Mapped durumu

5. QID Record Oluşturulması

QID (QRadar Identifier), logların QRadar içerisinde anlamlı bir event olarak işlenmesini sağlayan temel bileşenlerden biridir. Bu aşamada, parsing sonucu elde edilen Event ID değerleri, bir QID Record ile eşleştirilerek loglara anlam kazandırılır.

QID Record içerisinde aşağıdaki bilgiler tanımlanır:

  1. Event Name (ör. VMware Vpxa Event)
  2. Severity (olayın önem derecesi)
  3. High-Level Category (genel kategori)
  4. Low-Level Category (detay kategori)

Bu sayede QRadar, logları sadece teknik bir veri olarak değil, belirli bir kategoriye ve öneme sahip anlamlı güvenlik olayları olarak değerlendirir. Ayrıca, SIEM kuralları, alarmlar ve korelasyon mekanizmaları doğrudan bu QID bilgileri üzerinden çalıştığı için doğru bir QID tanımı detection süreçleri açısından kritik öneme sahiptir.

QID Record oluşturma

6. Event Mapping Adımları

  1. DSM Editor üzerinde Event Mappings sekmesine geçilir.
  2. Sağ üstte bulunan + (Add) butonuna tıklanarak yeni bir mapping oluşturulur.
  3. Açılan ekranda, daha önce parsing ile elde edilen Event ID değeri (örneğin 2001) girilir.
  4. Event'e uygun Event Category (örneğin Informational) seçilir.
  5. Create New QID Record seçeneği ile yeni bir QID tanımlanır.

QID oluşturma ekranında:

  1. Name: Event için anlamlı bir isim verilir (örn. VMware Vpxa Event)
  2. High-Level Category: Genel kategori seçilir (örn. System)
  3. Low-Level Category: Detay kategori belirlenir (örn. Information)
  4. Severity: Event'in önem derecesi atanır

Tüm bu bilgiler kaydedildikten sonra Event ID ile QID arasında eşleştirme tamamlanmış olur.

Event Mapping tamamlandı — Parsed and Mapped

Sonuç: Parsed and Mapped

Bu çalışmada, Universal DSM ve DSM Editor kullanılarak tanınmayan bir log kaynağının adım adım parse edilmesi ve anlamlı bir event'e dönüştürülmesi gösterilmiştir. Son adımda görüldüğü üzere, parsing durumu "Parsed and Mapped" olarak değişmiştir.

Doğru yapılandırılmış bir parsing süreci sayesinde QRadar yalnızca log toplayan bir sistem olmaktan çıkarak, korelasyon yapabilen ve aksiyon üretebilen bir güvenlik platformuna dönüşmektedir.

Sonuç olarak, SIEM sistemlerinin başarısı toplanan log miktarıyla değil, bu logların ne kadar doğru parse edilip anlamlandırıldığıyla ölçülür. DSM Editor ile gerçekleştirilen doğru parsing ve mapping süreçleri, ham veriyi aksiyona dönüştürerek SOC operasyonlarının etkinliğini doğrudan artırır.

"SIEM'in gücü log toplamakta değil, doğru parse edilen loglardan anlam üretmektedir."

Not: Bu çalışma, teorik bir anlatımın ötesinde, gerçek bir ortamda gerçekleştirilen canlı bir parsing sürecine dayanmaktadır ve tüm adımlar birebir uygulama üzerinden ilerletilmiştir.

Vakkas AKYÜZ

Defensive Security Engineer

Paylaş: Twitter LinkedIn E-posta

Bu içeriği faydalı buldunuz mu?

Tehdit bültenlerimiz ve MDR Insights raporları ilk siz alın.

Raporlarımız Bize ulaşın →

Ekip sertifikalarımız

SANS, Offensive Security, EC-Council, CompTIA, ISACA, CREST ve INE tarafından akredite uzmanlarımız.

SANS GPEN
SANS GWAPT
SANS GICSP
SANS GRTP
SANS GCIH
SANS GSEC
Offensive Security OSCP
Offensive Security OSWP
EC-Council CEH
CompTIA Security+
ISACA CISM
ISACA CISA
CREST CRT
INE eWPTX
Fortinet FCP Secure Networking
Fortinet FCP Cloud Security
Fortinet FCP Security Operations
Fortinet FCSS Secure Networking
Fortinet FCSS SASE
Fortinet FCSS Cloud Security
Fortinet FCSS Security Operations
IBM QRadar Admin
SANS GPEN
SANS GWAPT
SANS GICSP
SANS GRTP
SANS GCIH
SANS GSEC
Offensive Security OSCP
Offensive Security OSWP
EC-Council CEH
CompTIA Security+
ISACA CISM
ISACA CISA
CREST CRT
INE eWPTX
Fortinet FCP Secure Networking
Fortinet FCP Cloud Security
Fortinet FCP Security Operations
Fortinet FCSS Secure Networking
Fortinet FCSS SASE
Fortinet FCSS Cloud Security
Fortinet FCSS Security Operations
IBM QRadar Admin

Çerez kullanımı

Sitemizde sadece zorunlu oturum ve dil tercihi çerezleri kullanıyoruz; üçüncü taraf izleme çerezi yoktur. Detay için Çerez Politikası ve KVKK Aydınlatma Metni'ni inceleyin.