Active Directory Loglarını Olay Görüntüleyici Üzerinde Görüntüleme

Active Directory Loglarını Olay Görüntüleyici Üzerinde Görüntüleme

Hepinize Selamlar 🙂

Active Directory(AD), hem bilgisayar hem de kullanıcı hesapları dahil olmak üzere hesap  yönetimi açısından çok önemli bir yer tutmaktadır. Özellikle Active Directory hizmeti, dosya sunucularında ve ağ üzerindeki bileşenlere, uygulamalara ve verilere ulaşarak erişimi kontrol etmenizi sağlamaktadır. Burada bizler için en önemli kısımlardan biri ise altyapıları ve verilerin güvenliğini sağlamak için Active Directory üzerindeki değişiklikleri kontrol ve tespit etmek, herhangi bir kötü amaçlı yazılım veya anormal durumları önleyebilmek çok önemlidir.

Olay Görüntüleyici, güvenlik günlüklerini takip etmek için en önemli çözümdür. Ücretsizdir ve her Microsoft Windows sisteminin yönetim araçları paketinde varsayılan olarak yer almaktadır. Active Directory üzerinde denetimimizi etkinleştirdikten sonra Windows Server, olayları etki alanı denetleyicisindeki “Güvenlik” günlüğüne yazar. Güvenlik olay günlüğü şu bilgileri kaydeder:

  • Eylem yapıldı
  • İşlemi gerçekleştiren kullanıcı
  • Etkinliğin başarı durumu ve meydana gelen hatalar vb.
  • Olayın gerçekleştirilme zamanı

Eğer Active Directory kavramını daha detaylı bir şekilde öğrenmek isterseniz bu bağlantıdan daha önceki makaleme ulaşabilirsiniz.

 

1) Grup İlkesi Yönetimi

Active Directory olay günlükleri, Olay Görüntüleyici kullanılarak görüntülenebilir. Ancak, önce etki alanımızın denetim politikasını etkinleştirmemiz gerekmektedir.

Bunun için sırasıyla şu adımları gerçekleştiriyoruz.

İlk olarak hedef etki alanımızdaki herhangi bir etki alanı denetleyicisinde Group Policy Management konsolunu açıyoruz. Bunu başlat sekmesine “gpmc.msc” kısayol komutunu yazarak da yapabiliriz. Sonra Start diyoruz ve  Windows Administrative Tools (Windows Server 2016) veya Administrative ToolsGroup Policy Management öğesine tıklıyoruz. Ve etki alanı denetleyicisinin üzerine sağ tık yapıyoruz.

1,

 

2) Denetim Politikası Ayarları

Bu kısımda Group Policy Management Editor, Computer ConfigurationPolicies →  Windows SettingsSecurity SettingsLocal PoliciesAudit Policy yolunu takip ediyoruz.

Bu kısımda şu denetim politikalarını ayarlamalarını yapıyoruz:

  • Denetim hesabı yönetimi: Başarılı
  • Denetim oturum açma olayları: Başarılı ve Başarısız
  • Dizin hizmeti erişimini denetle: Başarılı

2,

 

3) Gelişmiş Denetim Politikalarını Ayarlayın

Alternatif olarak belirleyebileceğiniz Gelişmiş Denetim Politikaları: Group Policy Management Editor de,  Computer ConfigurationPolicies →  Windows SettingsSecurity SettingsAdvanced Audit Policy Configuration →  Audit Policies yolunu takip ediyoruz.

Daha sonra şu denetim politikalarını ayarlıyoruz:

Hesap Yönetimi

  • Bilgisayar Hesap Yönetimi: Başarılı
  • Grup Yönetimi Dağıtımı: Başarılı
  • Grup Yönetimi Güvenliği: Başarılı
  • Kullanıcı Hesabı Yönetimi : Başarılı

DS Erişimi

  • Audit Directory Service Access: Başarılı

Oturum Açma / Oturum Kapatma

  • Oturum Kapatma Denetimi: Başarılı
  • Oturum Açma Denetimi: Başarılı

3,

 

4) Olay Görüntüleyiciyi Kontrol Etme

  1. Start →  Event Viewer seçiyoruz.
  2. Windows logsSecurity Log öğeleriyle devam ediyoruz.
  3. Filter Current Log tıklıyoruz.
  4. Burada olay kimliğini belirliyoruz ve 2. görseldeki gibi filtreleyebiliyoruz..

4,

  • Üst kısımda bahsettiğim filtreleme işlemleri sonucunda bu şekilde bir sonuç alabilirsiniz.

5,

 

5) Kullanıcı Hesabı Yönetimi Kimlikleri

  • 4720 – Bir kullanıcı hesabı oluşturuldu.
  • 4722 – Bir kullanıcı hesabı etkinleştirildi.
  • 4723 – Bir hesabın şifresi değiştirilmeye çalışıldı.
  • 4724 – Bir hesap parolasını sıfırlama girişiminde bulunuldu.
  • 4725 – Bir kullanıcı hesabı devre dışı bırakıldı.
  • 4726 – Bir kullanıcı hesabı silindi.
  • 4738 – Bir kullanıcı hesabı değiştirildi.
  • 4740 – Bir kullanıcı hesabı kilitlendi.
  • 4767 – Bir kullanıcı hesabının kilidi açıldı.
  • 4780 – ACL, yönetici gruplarının üyesi olan hesaplarda kuruldu.
  • 4781 – Bir hesabın adı değiştirildi:
  • 4794 – Dizin Hizmetleri Geri Yükleme modu yönetici parolası belirlenmeye çalışıldı.
  • 5376 – Kimlik Bilgileri Yöneticisi kimlik bilgileri yedeklendi.
  • 5377 – Kimlik Bilgileri Yöneticisi kimlik bilgileri bir yedekten geri yüklendi.

6) Güvenlik Grubu Yönetimi Olay Kimlikleri ve Anlamları

  • 4727 – Güvenliği etkinleştirilmiş bir genel grup oluşturuldu.
  • 4728 – Güvenliği etkinleştirilmiş bir genel gruba bir üye eklendi.
  • 4729 – Güvenliğin etkin olduğu bir genel gruptan bir üye çıkarıldı.
  • 4730 – Güvenliği etkinleştirilmiş bir genel grup silindi.
  • 4731 – Güvenliği etkinleştirilmiş bir yerel grup oluşturuldu.
  • 4732 – Güvenliği etkinleştirilmiş bir yerel gruba bir üye eklendi.
  • 4733 – Bir üye, güvenliği etkinleştirilmiş bir yerel gruptan çıkarıldı.
  • 4734 – Güvenliği etkinleştirilmiş bir yerel grup silindi.
  • 4735 – Güvenliği etkinleştirilmiş bir yerel grup değiştirildi.
  • 4737 – Güvenliği etkinleştirilmiş bir genel grup değiştirildi.
  • 4754 – Güvenliği etkinleştirilmiş bir evrensel grup oluşturuldu.
  • 4755 – Güvenliği etkinleştirilmiş bir evrensel grup değiştirildi.
  • 4756 – Güvenliği etkinleştirilmiş bir evrensel gruba üye eklendi.
  • 4757 – Güvenliğin etkin olduğu evrensel bir gruptan bir üye çıkarıldı.
  • 4758 – Güvenliği etkinleştirilmiş bir evrensel grup silindi.
  • 4764 – Bir grup türü değiştirildi.

7) Bilgisayar Hesabı Yönetimi Olay Kimlikleri

  • 4741 – Bir bilgisayar hesabı oluşturuldu.
  • 4742 – Bir bilgisayar hesabı değiştirildi.
  • 4743 – Bir bilgisayar hesabı silindi.

8) Dağıtım Grubu Yönetimi Olay Kimlikleri

  • 4744 – Güvenliği devre dışı bırakılmış bir yerel grup oluşturuldu.
  • 4745 – Güvenliği devre dışı bırakılmış bir yerel grup değiştirildi.
  • 4746 – Güvenliği devre dışı bırakılmış bir yerel gruba üye eklendi.
  • 4747 – Bir üye, güvenliği devre dışı bırakılmış bir yerel gruptan çıkarıldı.
  • 4748 – Güvenliği devre dışı bırakılmış bir yerel grup silindi.
  • 4749 – Güvenliği devre dışı bırakılmış bir genel grup oluşturuldu.
  • 4750 – Güvenliği devre dışı bırakılmış bir genel grup değiştirildi.
  • 4751 – Güvenliği devre dışı bırakılmış bir genel gruba bir üye eklendi.
  • 4752 – Güvenliği devre dışı bırakılmış bir genel gruptan bir üye çıkarıldı.
  • 4753 – Güvenliği devre dışı bırakılmış bir genel grup silindi.
  • 4759 – Güvenliği devre dışı bırakılmış bir evrensel grup oluşturuldu.
  • 4760 – Güvenliği devre dışı bırakılmış bir evrensel grup değiştirildi.
  • 4761 – Güvenliği devre dışı bırakılmış bir evrensel gruba üye eklendi.
  • 4762 – Bir üye, güvenliği devre dışı bırakılmış bir evrensel gruptan çıkarıldı.
  • 4763 – Güvenliği devre dışı bırakılmış bir evrensel grup silindi.

9) Uygulama Grubu Yönetimi Olay Kimlikleri

  • 4783 – Temel bir uygulama grubu oluşturuldu.
  • 4784 – Temel bir uygulama grubu değiştirildi.
  • 4785 – Temel uygulama grubuna üye eklendi.
  • 4786 – Bir üye, temel uygulama grubundan çıkarıldı.
  • 4787 – Temel uygulama grubuna üye olmayan bir kişi eklendi.
  • 4788 – Üye olmayan bir kişi, temel uygulama grubundan çıkarıldı.
  • 4789 – Temel bir uygulama grubu silindi.
  • 4790 – Bir LDAP sorgu grubu oluşturuldu.
  • 4791 – Temel bir uygulama grubu değiştirildi.
  • 4792 – Bir LDAP sorgu grubu silindi.

Olay Görüntüleyici’nin günlük depolama kapasitesi 4 GB‘dir ve gerektiğinde günlüklerin üzerine yazılır. Bunun sonucunda günlüklerdeki dağınıklık etki alanında meydana gelen olayları net bir şekilde elde etmemizi zorlaştırmaktadır. Bu sınırlamalar, Olay Görüntüleyici’yi Active Directory için alt düzeyde bir denetim aracı yapar.

Makalemi buraya kadar okuduğunuz için Teşekkürler 🙂

 

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir