Windows Log Analizi Önemli Kavramlar

Windows Log Analizi Önemli Kavramlar

Hepinize Merhabalar. 🙂

Bu makalemde sizlere Windows Log Analizi sırasında bizler için önemli olan olay günlükleri, Event ID’ler, ve bu ID numaralarının bizler için neden ve ne kadar önemli olduğu hakkında bilgiler vermeye çalışacağım.

Olay Günlüğü(Event Log) Nedir?

Windows İşletim sistemlerinde log kayıtlarının tutulduğu yere Olay günlükleri (Event Log) denmektedir. Herhangi bir işletim sisteminin çalışması sırasında arka planda birden fazla işlem gerçekleşmektedir.

Bu sistemler üzerinde gerçekleşen tüm işlem ve olaylar kayıt altına alınmaktadır. Alınan bu kayıtlar kimi zaman bizler için çok kritik bir öneme sahiptir. Bunun nedeni ise sistem üzerinde herhangi bir anormal durumun tespit edilmesi sonucunda ya da saldırı sonucunda kayıtların incelenerek sistem hakkında bilgi edinilmesine olanak sağlamasıdır. Bu olay günlüklerine alınan kayıtların kronolojik olarak sıralanması da sistem yöneticilerinin daha rahat şekilde analiz yapmalarını kolaylaştırmaktadır.

Olay Görüntüleyici (Event Viewer)

Windows Sistemlerde gerçekleşen olaylar ve işlemler Event Log sisteminde kayıt altına alınmaktadır. Kayıt alınan bu logları Event Viewer (Olay Görüntüleyici) sayesinde, sistemde ne gibi hataların meydana geldiğini ve neden geldiğini kolay bir şekilde görüntüleyebilir ve çözümleyebilirsiniz.

Bu konu hakkında daha detaylı bilgiyi daha önceki zamanlarda yazdığım bu makalemde bulabilirsiniz.

Event ID Nedir?

Olay günlüğü üzerinde bulunan kayıt değerleri Event ID olarak tanımlanmaktadır. Windows sistemler üzerinde gerçekleşen işlemler sonucunda çok sayıda “Event ID” oluşmaktadır. Oluşan bu Event ID’ler çok fazla ve farklı ID değerlerine sahip olduğu için olay incelemelerinde oldukça zor olmaktadır. Bunun sonucunda ise bazı kayıtların gözden kaçma ihtimali de yükselmektedir.

Windows Olay Kimlikleri (Event ID) çoğu olayın çözümlenmesinde bizlere yardımcı olmakla birlikte, diğer vakaların çözümlenmesinde de bizlere kolaylık sağlamaktadır.

  • Bizler için önemli olan olay kimliklerinin bazıları şunlardır;

4624 – Başarılı Login

4625 – Başarısız Login

4634 – Bir hesap oturum kapattı

4672 – Admin Hesabı Logini

4634,4647 – Başarılı Logoff

4720 – Bir kullanıcı hesabı oluşturuldu

4722 – Bir kullanıcı hesabı etkinleştirildi

4723 – Bir hesabın şifresi değiştirilmeye çalışıldı

4771 – Etki alanında ön kimlik doğrulama başarısız oldu

4768 – Kerberos Ticket istemi

4776 – Etki alanında başarılı ya da başarısız login

7034 – Servis beklenmedik bir şekilde çöktü

7035 – Servis, başlatma veya durdurma komutu gönderdi

7036 – Servis durdu veya başladı

7040 – Servis başlangıç tipi değiştirildi (Başlangıçta, elle vs.)

5140 – Ağ paylaşımı planlandı

4778 – RDP oturum isteği

4779 – RDP oturumu kapandı

Olay görüntüleyici  –> Windows Günlükleri ve güvenlik sekmesine girelim. Güvenlik sekmesine sağ tık yaparak ” geçerli günlüğe filtre uygulama”  seçeneği seçerek filtreleme örneklerini aşağıdaki gibi yapabilirsiniz.

  • 4624 Event ID’sine filtre uygulamamız sonucunda başarılı login sonuçlarına görseldeki gibi ulaşabiliriz.

1,

 

3,

 

  • Bu görselde de 4720 ID’sini filtreleyerek oluşturulan kullanıcıları görebiliyoruz.

3,

 

 

kaynaklar:

https://www.asimmisirli.com

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/

 

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir