Windows Log Analizleri Hakkında Terimler

Windows işletim sisteminde bulunan olay günlükleri (Event Log)  kurumlarda veya kişisel bilgisayarlarda log analizi yapmamızı sağlar.

Olay günlüğü (Event Log) nedir

Windows işletim sistemlere log kayıtların tutulduğu yerdir.Yönetici hesabı ile işlemler yapılabilir.Bilgisayarda ki önemli olayları (oturum açma,hatalı oturum denemesi,saatin değiştirilmesi gibi ) bir çok durumu kayıt altına alır.

Olay günlüğünü açabilmek için winkey tuşu yardımıyla başlat açılır. Arama bölümüne olay günlüğü yazılır.

windows olay görüntüleyici

EVENT ID Nedir?

Olay günlüğü/görüntüleyici de bulunan kayıt değerlerini tanımlayabiliriz.

Event ID – Açıklama

  • 4624 – Başarılı Login
  • 4625 – Başarısız Login
  • 4672 – Admin Hesabı Logini
  • 4634,4647 – Başarılı Logoff
  • 4771 – Etki alanında ön kimlik doğrulama başarısız oldu
  • 4776 – Etki alanında başarılı ya da başarısız login
  • 7034 – Servis beklenmedik bir şekilde çöktü
  • 7035 – Servis, başlatma veya durdurma komutu gönderdi
  • 7036 – Servis durdu veya başladı
  • 7040 – Servis başlangıç tipi değiştirildi (Başlangıçta, elle vs.)
  • 5140 – Ağ paylaşımı planlandı
  • 4778 – RDP oturum isteği
  • 4779 – RDP oturumu kapandı
  • 1102 Güvenlik logları silinmiş
  • 5025 Firewall durduruldu
  • 4800 Ekran kilitlendi

Windows olay görüntüleyici de (Event log) üzerinde başarılı  girişleri (Login) filtreleme yaparak logları görüntüleyelim.

Olay görüntüleyici  –> Windows Günlükleri ve güvenlik sekmesine girelim.Güvenlik sekmesine sağ tık yaparak geçerli günlüğe filtre uygulama seçeneği seçilir.

windows olay görüntüleyici

Görüldüğü gibi arama erine 4624 başarılı login değerini yazarak tamam diyoruz.

Başarılı sonuçlar:

windows olay görüntüleyici

 

 

Kaynak: Alper Başaran ders anlatımından yararlanılmıştır.

Yorum yapın