Hepinize Merhabalar. 🙂
Bu makalemde sizlere Windows Log Analizi sırasında bizler için önemli olan olay günlükleri, Event ID’ler, ve bu ID numaralarının bizler için neden ve ne kadar önemli olduğu hakkında bilgiler vermeye çalışacağım.
Olay Günlüğü(Event Log) Nedir?
Windows İşletim sistemlerinde log kayıtlarının tutulduğu yere Olay günlükleri (Event Log) denmektedir. Herhangi bir işletim sisteminin çalışması sırasında arka planda birden fazla işlem gerçekleşmektedir.
Bu sistemler üzerinde gerçekleşen tüm işlem ve olaylar kayıt altına alınmaktadır. Alınan bu kayıtlar kimi zaman bizler için çok kritik bir öneme sahiptir. Bunun nedeni ise sistem üzerinde herhangi bir anormal durumun tespit edilmesi sonucunda ya da saldırı sonucunda kayıtların incelenerek sistem hakkında bilgi edinilmesine olanak sağlamasıdır. Bu olay günlüklerine alınan kayıtların kronolojik olarak sıralanması da sistem yöneticilerinin daha rahat şekilde analiz yapmalarını kolaylaştırmaktadır.
Olay Görüntüleyici (Event Viewer)
Windows Sistemlerde gerçekleşen olaylar ve işlemler Event Log sisteminde kayıt altına alınmaktadır. Kayıt alınan bu logları Event Viewer (Olay Görüntüleyici) sayesinde, sistemde ne gibi hataların meydana geldiğini ve neden geldiğini kolay bir şekilde görüntüleyebilir ve çözümleyebilirsiniz.
Bu konu hakkında daha detaylı bilgiyi daha önceki zamanlarda yazdığım bu makalemde bulabilirsiniz.
Event ID Nedir?
Olay günlüğü üzerinde bulunan kayıt değerleri Event ID olarak tanımlanmaktadır. Windows sistemler üzerinde gerçekleşen işlemler sonucunda çok sayıda “Event ID” oluşmaktadır. Oluşan bu Event ID’ler çok fazla ve farklı ID değerlerine sahip olduğu için olay incelemelerinde oldukça zor olmaktadır. Bunun sonucunda ise bazı kayıtların gözden kaçma ihtimali de yükselmektedir.
Windows Olay Kimlikleri (Event ID) çoğu olayın çözümlenmesinde bizlere yardımcı olmakla birlikte, diğer vakaların çözümlenmesinde de bizlere kolaylık sağlamaktadır.
- Bizler için önemli olan olay kimliklerinin bazıları şunlardır;
4624 – Başarılı Login
4625 – Başarısız Login
4634 – Bir hesap oturum kapattı
4672 – Admin Hesabı Logini
4634,4647 – Başarılı Logoff
4720 – Bir kullanıcı hesabı oluşturuldu
4722 – Bir kullanıcı hesabı etkinleştirildi
4723 – Bir hesabın şifresi değiştirilmeye çalışıldı
4771 – Etki alanında ön kimlik doğrulama başarısız oldu
4768 – Kerberos Ticket istemi
4776 – Etki alanında başarılı ya da başarısız login
7034 – Servis beklenmedik bir şekilde çöktü
7035 – Servis, başlatma veya durdurma komutu gönderdi
7036 – Servis durdu veya başladı
7040 – Servis başlangıç tipi değiştirildi (Başlangıçta, elle vs.)
5140 – Ağ paylaşımı planlandı
4778 – RDP oturum isteği
4779 – RDP oturumu kapandı
Olay görüntüleyici –> Windows Günlükleri ve güvenlik sekmesine girelim. Güvenlik sekmesine sağ tık yaparak ” geçerli günlüğe filtre uygulama” seçeneği seçerek filtreleme örneklerini aşağıdaki gibi yapabilirsiniz.
- 4624 Event ID’sine filtre uygulamamız sonucunda başarılı login sonuçlarına görseldeki gibi ulaşabiliriz.
- Bu görselde de 4720 ID’sini filtreleyerek oluşturulan kullanıcıları görebiliyoruz.
kaynaklar:
https://www.asimmisirli.com
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/