PowerShell ile Log Analizi

PowerShell ile Log Analizi

Hepinize Selamlar. 🙂

Yeni makalemde sizlere PowerShell kullanılarak çalıştırılan komutların nerede tutulduğu ve nasıl görüntülenebileceği hakkında bilgi aktaracağım. Devamında ise kullandığınız sistem üzerinde tutulan logların PowerShell kullanılarak görüntülenmesi ve nasıl daha anlaşılır olabileceğinden bahsedeceğim.

PowerShell Geçmiş Kayıtları

PowerShell kullanılarak çalıştırılan komutlar delil niteliği taşımaktadır. Bu nedenle PowerShell üzerinde çalıştırılan komutların incelenmesi ve araştırılması önemli bir husustur.

Bu komutlar kullanılarak bir saldırgan sisteminize sızmış mı? Eğer sızmışsa bu saldırganların içerde neler yaptığını herhangi bir zararlı yazılım çalıştırıp çalıştırmadığını, yeni bir kullanıcı oluşturulmuş mu ya da yetkilendirme yapılmış mı gibi bir çok soruya ve cevaba buradan ulaşabilmektedir.

PowerShell istenilen logları elde etme ve inceleme sürecini kolaylaştırabilecek “Get-EventLog” komutu yer almaktadır.

PowerShell üzerinde çalıştırılan komutlar “.txt” uzantılı olarak aşağıdaki konumunda bulunmaktadır. İçeriğine göz atabilirsiniz.

Konum:

C:\Users\User\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt

Altında geçmiş PowerShell kayıtları tutulmaktadır.

1,

 

Powershell ile Logların İncelenmesi

PowerShell log inceleme süreçlerinde Get-Eventlog komutu kullanılmaktadır.

  • İlk olarak “List” parametresi ile loglar ve kayıt sayıları görüntülenebilmektedir.

2,

 

  • İstenilen log türünü belirterek aşağıdaki gibi çıktı alınabilir. Ben “Application” loglarını görüntülemek istediğim için aşağıda yer alan komutu kullandım.

 

  • Çok fazla log görüntülemek karmaşık ve zor olduğu için “Out-GridView” komutunu kullanarak ayrı bir pencerede logları daha anlaşılabilir şekilde inceleyebilir ve görüntülenebilirsiniz.

 

  • Newest” parametresi ile numara verilerek görüntülemek istenilen kayıt sayısı verilebilir. Ve bu şekilde de daha kolay araştırma ve inceleme yapılabilir.

 

  • Belirli bir log türü aranıyorsa bu “InstanceID” komutu ile belirtilebilmektedir. Bu şekilde hangi log türü aranıyorsa sadece onun hakkında olan sonuçlar getirilmektedir.

 

  • Burada $geçenay değişkenine 30 günlük log atanabilir. Sonrasında ise “–After” parametresi ile görüntülenebilir.

 

Buraya kadar okuduğunuz için Teşekkürler. 🙂

 

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir