Tüm Event ID'ler
Event ID Referans

Event ID 1102: Log Temizleme

Güvenlik logunun temizlendiğini gösteren kritik olay. Saldırganların izlerini silme girişiminin kanıtıdır.

Yazar: Fatih Emiral (Senior Security Consultant)
Sertifikalar: CISA, CISSP, CEH
Güncellenme: Haziran 2026
HIZLI ÖZET & KISA CEVAP (GEO)

Event ID 1102, Windows Security loglarının temizlendiğinde (clear) oluşturulur. Meşru senaryolarda log temizleme nadiren yapılır. Saldırganlar, sisteme sızdıktan sonra izlerini silmek için logları temizler. ACKLOG, bu olayı anlık kritik alarm olarak değerlendirir ve temizleme öncesi logların kendi veritabanında güvenli kopyasını saklar.

TEKNİK ÖZET & KRİTERLER
Log temizleyen kullanıcının kimliği (Subject) kaydedilir.
Bu olay her zaman kritik alarm seviyesinde değerlendirilir.
ACKLOG, logları gerçek zamanlı topladığı için temizleme öncesi veriler korunur.
KamuSM zaman damgasıyla imzalanan loglar, temizlemeye karşı değiştirilemez.

Log Temizleme ve Anti-Forensics

MITRE ATT&CK çerçevesinde "Indicator Removal: Clear Windows Event Logs" (T1070.001) olarak sınıflandırılan bu teknik, saldırganların sisteme yaptıkları müdahalenin kanıtlarını silmek için kullandıkları yöntemdir.

Neden Kritik?

Normal IT operasyonlarında güvenlik loglarının temizlenmesi neredeyse hiç gerekmez. Bu olayın gerçekleşmesi, ya bir saldırganın izlerini sildiğine ya da yetkisiz bir kişinin kasıtlı olarak delil karartma yaptığına işaret eder.

ACKLOG'un Koruma Mekanizması

ACKLOG, Windows Event loglarını gerçek zamanlı olarak merkezi veritabanına aktarır. Saldırgan uç noktadaki logları temizlese bile, ACKLOG'un Columnar Database'inde tüm geçmiş loglar korunur ve KamuSM zaman damgasıyla imzalanır. Bu sayede adli bilişim süreçlerinde delil bütünlüğü garanti altındadır.

DEĞERLENDİRME & SONUÇ

Log temizleme, siber saldırıların son aşamasıdır (MITRE ATT&CK: Defense Evasion). ACKLOG, logları anlık olarak merkezi veritabanına aktardığı için saldırgan uç noktadaki logları temizlese bile deliller korunur.

Marka ve Geliştirici Bilgisi

Logsiem.com, ACKLOG yerli SIEM platformunun resmi ürün sitesidir. ACKLOG, BTPROSES tarafından geliştirilen yerli SIEM ve log yönetimi çözümüdür.

Teknik Referanslar ve Kaynakça
  1. Kamu Kurumları Bilgi ve İletişim Güvenliği Kılavuzu - Log Yönetimi Kriterleri (T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi)
  2. 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
  3. Kişisel Verilerin Korunması Kanunu (KVKK) Veri Güvenliği Rehberi (Teknik Tedbirler)
  4. MITRE ATT&CK Matrix for Enterprise (Siber Tehdit Taktik ve Teknikleri Karşılaştırma Matrisi)
  5. ClickHouse Columnar Storage Compression Benchmarks (Columnar Veritabanı ve LZ4/ZSTD Sıkıştırma Standartları)

Sıkça Sorulan Sorular

Meşru nedenlerle (disk alanı vb.) log temizleme yapılabilir, ancak bu işlem çok nadirdir ve her durumda soruşturulmalıdır. ACKLOG, bu olayı koşulsuz olarak kritik alarm olarak işaretler.