KURUMSAL EĞİTİM, ELK STACK (ELASTİCSEARCH, LOGSTASH, KİBANA)

ELK STACK (ELASTICSEARCH, LOGSTASH, KIBANA) EĞİTİMİ

Modern yazılım ekosistemlerinde "bir şeylerin yanlış gittiğini" anlamak için son kullanıcının hata raporu oluşturmasını beklemek, dijital itibar ve finansal kayıp için açık bir davetiyedir. Mikroservis mimarileri, dağıtık bulut altyapıları ve saniyede on binlerce log üreten Kubernetes cluster'ları, geleneksel izleme araçlarını yetersiz bırakmıştır. Elastic Stack (ELK Stack); petabayt ölçekli veriyi milisaniyeler içinde arayan, anomali tespiti yapan ve karmaşık sistem olaylarını tek bir panoda görselleştiren, modern gözlemlenebilirliğin (observability) küresel altın standardıdır.

Bu eğitim; Elasticsearch'ün shard ve inverted index mimarisinden Logstash'in grok tabanlı veri zenginleştirme pipeline'larına, Beats ajanlarının hafif telemetri toplama yeteneklerinden Kibana'nın derin analitik dashboard'larına kadar geniş bir teknik spektrumu kapsar. Katılımcılar; sadece bir aracı kullanmayı değil, arama performansını %50 artıran mapping stratejilerini, depolama maliyetlerini %80 düşüren Index Lifecycle Management (ILM) politikalarını ve kurumsal güvenliğin omurgası olan RBAC/mTLS yapılandırmalarını bizzat "production" standartlarında inşa ederler.

Eğitim boyunca gerçek dünya operasyon senaryoları "GameDay" tadında işlenir: Yüksek trafik anında cluster ölçekleme, yanlış shard planlaması sonucu "red" olan cluster'ı kurtarma, karmaşık log desenlerinden Grok ile metrik üretme ve APM (Application Performance Monitoring) ile bir mikroservis çağrısının "trace" yolculuğuna sızma. Eğitim, teorik slaytlardan ibaret değil; Elastic Operator (ECK) ile Kubernetes üzerinde elastik bir altyapıyı orkestre eden uygulamalı bir mühendislik deneyimidir.

Vebende Akademi'nin bu kapsamlı müfredatı; DevOps mühendisleri, Site Reliability Engineers (SRE), veri mimarları ve güvenlik uzmanları için tasarlanmıştır. Eğitim sonunda katılımcılar; kurumsal ölçekte bir log yönetim platformunu sıfırdan tasarlayan, high-availability (HA) gereksinimlerini karşılayan ve "Site Reliability" hedefleriyle uyumlu izleme sistemlerini yöneten uzmanlar olarak mezun olurlar.

EĞİTİM HEDEFİ

Bu eğitimin temel hedefi; katılımcılara Elastic Stack'i kurumsal ölçekli, yüksek erişilebilirlikli, güvenli ve "observability-first" yaklaşımıyla uçtan uca tasarlama ve yönetme yetkinliği kazandırmaktır. Eğitim sonunda katılımcılar; Elasticsearch master/data/ingest node rollerini ayrıştırarak donanım verimliliği sağlar; primary ve replica shard stratejileriyle cluster genomunu optimize eder; BM25 algoritması ve inverted index mimarisini kullanarak arama alaka düzeyini (relevance) yönetir; Query DSL ile bool, match, term ve complex aggregation sorguları yazarak milyarlarca dökümandan anlık içgörü üretir; Logstash pipeline'larını Grok, Mutate ve Date filtreleriyle inşa ederek ham logları yapısal veriye dönüştürür; Beats ailesi ve Elastic Agent/Fleet ile platform bağımsız telemetri toplar; Index Lifecycle Management (ILM) ile hot-warm-cold-delete veri yaşam döngüsünü kurarak maliyet optimizasyonu yapar; Watcher ve Kibana Alerting ile akıllı uyarı sistemleri tasarlar; TLS/mTLS, SSO (SAML/LDAP) ve RBAC ile kurumsal güvenlik sertleştirmesi uygular; APM ile distributed tracing yaparak mikroservis darboğazlarını tespit eder ve Kubernetes üzerinde ECK Operator kullanarak Elastic yığınını bulut-yerel yöntemlerle orkestre edebilir hale gelir.

EĞİTİM İÇERİĞİ

1. ELASTIC STACK MİMARİSİ VE DAĞITIK SİSTEM TEMELLERİ

• Elastic ekosisteminin evrimi: ELK'dan (Elasticsearch, Logstash, Kibana) Elastic Stack'e geçiş; Beats, Fleet, Elastic Agent ve APM'in mimarideki rolleri; SIEM ve ML entegrasyonu; Logstash-bypass mimarisi (Beats → Ingest Pipeline).
• Dağıtık sistemlerin anatomisi: Cluster state yönetimi ve quorum kavramı; master election süreçleri; node rolleri (master, data, ingest, ml, coordinating); Split-brain problemi ve önlenmesi.
• Veri akış hattı (Data Pipeline) tasarımı: Kaynak sistemden dashboard'a kadar verinin yolculuğu; backpressure yönetimi ve persistent queue (PQ); Kafka ile buffering stratejileri.
• Alternatiflerle teknik kıyaslama: Elasticsearch vs. OpenSearch; Logstash vs. Grafana Loki; SIEM perspektifinden Splunk karşılaştırması; kurumsal maliyet (TCO) analizi.

2. ELASTICSEARCH: SHARD STRATEJİSİ, MAPPING VE ANALYSIS

• Shard mimarisi ve boyutlandırma: Primary ve replica shard'ların mantığı; shard sayısının (primary shard count) statik doğası; "Shard too many" anti-pattern ve yönetimi; shard başına 20-50GB hedefi.
• Inverted Index ve Veri Saklama: Lucene segment mimarisi; doc_values vs file_data; arama hızı için segment merging; BM25 ve relevancy skorlaması.
• Mapping ve Veri Tipleri: Dynamic vs Explicit mapping; text vs keyword farkı (analyzed vs exact); nested ve join tipleriyle ilişkisel veri yönetimi; runtime fields (schema on read) kullanımı.
• Metin Analizi ve Analyzer Tasarımı: Custom analyzer tasarımı; tokenizer, character filter ve token filter zinciri; Türkçe metin analizi (Turkish analyzer) ve stop-word yönetimi; N-gram ve edge N-gram ile parça araması.

3. QUERY DSL: ARAMA VE AGGREGATION DERİNLİĞİ

• Query ve Filter Context: Skorlama mantığı (query) vs. Caching mantığı (filter); bool query yapısı (must, should, filter, must_not); match, match_phrase ve multi_match farkları.
• Gelişmiş sorgu teknikleri: Range queries, fuzzy search ve wildcard riskleri; script query ile Painless dili kullanımı; function_score ile arama sonuçlarını ağırlıklandırma.
• Aggregation (Analitik) Gücü: Bucket aggregations (terms, histogram, date_histogram, filters); Metric aggregations (avg, min, max, percentiles, cardinality); Pipeline aggregations (moving average, derivative).
• Büyük veri sorgulama stratejileri: Search After ve Point-in-Time (PIT) ile sayfalama; Scroll API'nin kullanım sınırları; asynchronous search ile uzun süren sorguların yönetimi.

4. LOGSTASH: VERİ İŞLEME VE GROK PIPELINE TASARIMI

• Pipeline konfigürasyonu: logstash.conf yapısı ve çoklu pipeline (pipelines.yml) yönetimi; worker ve batch size optimizasyonu; on-memory vs persistent queue.
• Grok ile Veri Ayrıştırma: Hazır pattern'ler ve custom regex kullanımı; complex logları (Java Stack Trace, Nginx, Syslog) parse etme teknikleri; dissect filter ile hafif ayrıştırma.
• Filtreleme ve Zenginleştirme: Mutate ile veri temizleme; date ile zaman damgası normalizasyonu; GeoIP ile IP'den lokasyon çıkarma; UserAgent ve JDBC (SQL DB'den veri çekme) eklentileri.
• Output ve Yönlendirme: Elasticsearch output ve index naming; conditional routing (if/else) ile veriyi farklı hedeflere (Kafka, S3, ES) yönlendirme; DLQ (Dead Letter Queue) yönetimi.

5. BEATS, FLEET VE ELSTİC AGENT: TELEMTRİ TOPLAMA

• Filebeat: Log toplama, multiline handling, registry dosya takibi; hazır modüller (Nginx, Apache, System) ile anında dashboard kurulumu.
• Metricbeat: Altyapı metrikleri; Kubernetes, Docker ve Host modülleri; autodiscover mimarisiyle dinamik pod izleme.
• Auditbeat, Heartbeat ve Packetbeat: Güvenlik denetimi (FIM), uptime izleme (synthetics) ve ağ protokol analizi; Packetbeat ile HTTP/MySQL trafik analizi.
• Fleet ve Elastic Agent: Merkezi agent yönetimi; politika tabanlı (policy-based) agent yapılandırması; Fleet Server kurulumu ve enrollment süreçleri; "Beats vs Agent" seçim kriterleri.

6. KIBANA: VISUALIZATION, LENS VE DASHBOARD SANATI

• Discover ve KQL: Kibana Query Language kullanımı; saved search ve döküman gezgini; field statistics ile veri dağılımı analizi.
• Lens ile Hızlı Görselleştirme: Sürükle-bırak grafik tasarımı; formula editor ile metrik hesaplama; TSVB (Time Series Visual Builder) ile gelişmiş zaman serisi grafikleri.
• Maps ve Canvas: Geo-spatial analizler; ısı haritaları ve cluster'lar; Canvas ile "pixel-perfect" yönetici sunumları ve infografik dashboard'lar.
• Operasyonel Yönetim: Dashboard drill-down linkleri; Space yönetimi ile ekip bazlı izolasyon; PDF/CSV raporlama ve zamanlama.

7. INDEX LIFECYCLE MANAGEMENT (ILM) VE MALİYET OPTİMİZASYONU

• Veri Katmanlama (Data Tiering): Hot, Warm, Cold ve Frozen fazlarının donanım gereksinimleri; tier-based allocation; node attributes ile veri yönlendirme.
• ILM Policy Tasarımı: Rollover (index boyutu/zaman bazlı) politikaları; shrink ve force_merge ile segment optimizasyonu; searchable snapshots (frozen tier) ile nesne depolama (S3/GCS) entegrasyonu.
• Data Streams: Log ve metrik verileri için modern index yönetimi; write index ve backing indices kavramı;@timestamp merkezli veri yazma.
• Snapshot ve Restore: Repository yapılandırması (S3, Azure, Local); SLM (Snapshot Lifecycle Management) politikaları; Cross-cluster search ve replication (CCR).

8. ELASTIC GÜVENLİĞİ: TLS, RBAC VE SIEM TEMELLERİ

• Düğüm ve İstemci Güvenliği: certutil ile PKI altyapısı; node-to-node TLS (mTLS) ve HTTP TLS; API key tabanlı kimlik doğrulama.
• Kimlik ve Erişim Yönetimi: Native, LDAP ve Active Directory entegrasyonu; SAML ve OIDC (Okta/Azure AD) ile SSO yapılandırması; RBAC (Role Based Access Control) derinliği.
• Hassas Veri Erişimi: Field Level Security (FLS) ile sütun gizleme; Document Level Security (DLS) ile satır bazlı kısıtlama; Audit logging (kim neye erişti?).
• Elastic SIEM (Security): Threat detection kuralları; MITRE ATT&CK dashboard entegrasyonu; alert yönetimi ve incident response iş akışları.

9. APM (APPLICATION PERFORMANCE MONITORING) VE TRACING

• APM Mimarisi: APM Agent → APM Server → Elasticsearch akışı; dağıtık izleme (distributed tracing) temelleri; transaction ve span hiyerarşisi.
• Enstrümantasyon: Java, .NET, Python, Go ve Node.js agent kurulumu; otomatik vs. manuel enstrümantasyon; RUM (Real User Monitoring) ile tarayıcı performansı.
• Log-Trace Entegrasyonu: Trace ID ile log korelasyonu (Log + Trace side-by-side); service maps ile mikroservis bağımlılıklarını görselleştirme.
• Anomali ve SLO: ML tabanlı servis hata tespiti; APM verisi üzerinden SLO (Service Level Objective) tanımlama ve hata bütçesi izleme.

10. PERFORMANS TUNING VE KUBERNETES ÜZERİNDE ECK

• Elasticsearch Tuning: JVM heap yönetimi (32GB sınırı ve Compressed OOPs); GC tuning (G1GC); indexing buffer ve translog optimizasyonları; index.refresh_interval yönetimi.
• Sistem Seviyesi Optimizasyon: mmapfs ayarları, file descriptors ve swap yönetimi; disk I/O scheduling ve NVMe performansı.
• Elastic Cloud on Kubernetes (ECK): Kubernetes Operator ile ES/Kibana dağıtımı; Custom Resource Definitions (CRD) yönetimi; PVC ve statefulset stratejileri.
• Sorun Giderme (Troubleshooting): _cat API'leri; Hot threads analizi; unassigned shard senaryoları ve kurtarma (reroute) teknikleri.

EĞİTİM YÖNTEMİ

• Hands-on Laboratuvar Günü (GameDay): Her teknik konunun ardından Docker/Kubernetes tabanlı laboratuvar çalışmaları yapılır. Eğitim süresinin %60'ı gerçek araçlar üzerinde uygulama ile geçer.
• Senaryo Tabanlı Problem Çözme: "Cluster'daki shardlar neden unassigned?", "Sorgu neden yavaşladı?", "Logstash pipeline'ı neden veri kaçırıyor?" gibi gerçek operasyonel kriz senaryoları simüle edilerek çözüm aranır.
• Mimari Tasarım Atölyesi: Katılımcılar gruplar halinde kendi şirketlerindeki bir veri problemini ELK Stack ile modelleyerek mimari sunum yaparlar.
• Kod İnceleme ve Best Practices: Yazılan Logstash pipeline'ları, Index mapping'leri ve Query DSL sorguları "Clean Code" ve performans perspektifinden analiz edilir.
• Canlı Demo ve Debugging: Eğitmen tarafından gerçekleştirilen canlı kurulumlar, hata giderme seansları ve performans ölçümleriyle konular somutlaştırılır.
• Danışmanlık Saati: Eğitim sonunda katılımcıların projelerine özel mimari ve teknik sorularına yanıt verilen özel oturumlar gerçekleştirilir.

HEDEF KİTLE

DEVOPS VE SRE MÜHENDİSLERİ

• Kubernetes ve mikroservis ortamlarında merkezi loglama ve gözlemlenebilirlik platformu kurmak, ILM ile veri maliyetlerini yönetmek ve high-availability cluster mimarisi tasarlamak isteyen mühendisler.

SİBER GÜVENLİK ANALİSTLERİ

• Güvenlik loglarını merkezi olarak toplamak, SIEM detection kuralları yazmak ve anomali tespiti (Machine Learning) ile siber tehdit avcılığı yapmak isteyen güvenlik profesyonelleri.

YAZILIM VE VERİ MİMARLARI

• Elasticsearch'ü yüksek performanslı bir arama motoru veya analitik backend olarak sistemlerine entegre etmek isteyen, mapping ve query optimizasyonu konularında derinleşmek isteyen mimarlar.

SİSTEM VE VERİTABANI YÖNETİCİLERİ

• Dağıtık sistemlerin operasyonel yükünü yönetmek, cluster sağlığını izlemek, yedekleme (Snapshot/Restore) ve felaket kurtarma süreçlerini kurgulamak isteyen yöneticiler.

VERİ ANALİSTLERİ VE BI UZMANLARI

• Büyük veri kümeleri üzerinde Kibana ile görsel analiz yapmak, Canvas ile yönetici dashboard'ları hazırlamak ve Elastic ML ile gelecek tahmini (forecasting) yapmak isteyen analistler.

KATILIMCILARDAN BEKLENTİLERİMİZ

• Linux Temelleri: Komut satırına (CLI) aşinalık; dosya okuma (tail, grep), süreç yönetimi ve nano/vim ile konfigürasyon dosyası düzenleyebilme becerisi.
• Ağ ve Protokol Bilgisi: TCP/IP, DNS ve özellikle HTTP protokolü (Request/Response, Status Codes) hakkında genel bir kavrayış.
• Veri Formatları: JSON ve YAML formatlarını okuyabilme ve temel seviyede yazabilme yeteneği (Mapping ve Config dosyaları için kritiktir).
• Docker Bilgisi: docker-compose komutlarını kullanabilme; container mantığını genel olarak anlama (Laboratuvar ortamı Docker tabanlıdır).
• Merak ve Analitik Bakış: Loglar arasındaki bağıntıları kurmaya istekli, karmaşık sistem hatalarını dedektif titizliğiyle incelemekten keyif alan bir yaklaşım.