Windows Event Log Nedir?
Windows işletim sistemleri, sistem yöneticileri ve güvenlik profesyonelleri için hayati önem taşıyan zengin veri kaynakları sunar. Bu verilerin başında gelen Windows Event Loglar, hataları, durumları ve olayları zaman damgası ile kaydederek sistem üzerindeki uygulamaların, servislerin ve donanımların durumunu izlememize olanak tanır.
Event Logların Nasıl Çalışır ?
Event Loglar, bir olayın meydana geldiği tarih ve saat, olayın türü, kaynağı ve önem derecesi gibi bilgileri içerir. Bu bilgiler, sistemdeki anormal durumları veya güvenlik tehditlerini belirlemek için kullanılır. Windows NT’nin ilk sürümlerinden itibaren kullanılan bu sistem, bugün yüzlerce farklı log tipi ile karmaşık ve dinamik bir yapıya sahiptir.
Log Türleri ve Önem Dereceleri
- Bilgi (Information): Sistemdeki normal işleyişi raporlar.
- Uyarı (Warning): Potansiyel sorunları önceden haber verir.
- Hata (Error): Kritik olmayan ama dikkat edilmesi gereken sorunları bildirir.
- Kritik (Critical): Acil müdahale gerektiren ciddi sorunları işaret eder.
Event Logların Önemi ve Kullanımı
Event Loglar, sistem hataları, yetkisiz erişimler, dış saldırılar ve sistem arızaları gibi konularda derinlemesine bilgi sağlar. Bu loglar, olayların detaylı bir kaydını tutarak, sistem yöneticilerinin ve güvenlik analistlerinin olaylara hızlı ve etkili bir şekilde müdahale etmelerine yardımcı olur.
Event ID’ler ve Logon Türleri
Windows Event logları, bilgilerin net bir şekilde anlaşılmasını sağlayan standart bir biçimde saklar. Bir event logun ana unsurları şunlardır:
- Event ID: Olayın benzersiz tanımlayıcısı.
- Kaynak: Olayın hangi bileşen veya uygulama tarafından üretildiği.
- Kullanıcı Hesabı Bilgileri: Olayın hangi kullanıcı hesabıyla ilişkili olduğu.
- Kategori: Olayın hangi tür işlemlerle ilişkili olduğu.
- Bilgisayar Adı: Olayın kaydedildiği bilgisayarın adı.
- Açıklama: Olayın detayları ve bağlamı.
Bu bilgiler, olayların kolayca sınıflandırılmasını, izlenmesini ve analiz edilmesini sağlar, böylece sistem yöneticileri ve güvenlik analistleri için değerli bir kaynak oluşturur.
Event Viewer ve Log Analizi
Windows’ta yerleşik olarak gelen Event Viewer aracı, logların incelenmesi için birincil araçtır. Bu araç, sistem olaylarının, güvenlik ihlallerinin ve yapılandırma değişikliklerinin yanı sıra, hata ayıklama bilgilerinin de incelenmesine olanak tanır.
C:\Windows\System32\winevt\Logs üzerinden ulaşabilirsiniz.
Windows işletim sistemi, sistem yöneticilerinin ve son kullanıcıların, hem yerel hem de ağ üzerindeki bilgisayarlardaki olay kayıtlarını incelemelerine imkan tanıyan yerleşik bir araç olan Olay Görüntüleyici’yi (Event Viewer) içerir. Bu araç, uygulamaların ve sistem bileşenlerinin faaliyetlerini, başlangıçtan sona kadar ve karşılaştıkları herhangi bir sorunu kaydederek izlemek için kullanılır.
Olay Görüntüleyici’ni açmak için, “Başlat” menüsüne gidin ve “Olay Görüntüleyici” yazarak arama yapın, ardından uygulamayı başlatın. Bu basit adımlar, Windows’un derinliklerinde yatan olay günlüklerine erişim sağlar ve sistemle ilgili önemli bilgileri ortaya çıkarır.
System Event Log (system.evtx)
System Event Log, Windows işletim sisteminin çekirdek bileşenlerinin faaliyetlerini kaydeder. Bu log, sistem başlatma ve kapanma süreçleri, donanım arızaları, sürücü hataları ve sistem hizmetlerinin durumu gibi olayları içerir. Örneğin, bir sürücünün başarısız yüklenmesi veya bir donanım bileşeninin beklenmedik bir şekilde çıkarılması bu logda yer alır. Ayrıca, sistem güncellemeleri, hizmet durum değişiklikleri ve güvenlik ilgili olaylar da bu kategoride raporlanır. Bu bilgiler, sistem yöneticilerinin hata ayıklama, performans izleme ve güvenlik denetimi süreçlerinde kritik öneme sahiptir.
Application Event Log (application.evtx)
Application Event Log, yüklü uygulamaların karşılaştığı olayları ve hataları kaydeder. Bu log, uygulama çökme raporları, yazılım hataları, lisanslama sorunları ve diğer uygulama seviyesi olayları içerir. Geliştiriciler, uygulamalarının hangi olaylarını bu günlüğe kaydedeceğini belirleyebilirler. Örneğin, bir uygulamanın beklenmedik bir şekilde kapatılması veya bir yazılımın başlatılmasında yaşanan bir sorun, bu logda detaylı bir şekilde incelenebilir. Bu, uygulama geliştiricileri ve sistem yöneticileri için değerli bir kaynaktır çünkü uygulama performansını ve kararlılığını doğrudan etkileyen sorunları tanımlamalarına yardımcı olur.
Security Event Log (security.evtx)
Security Event Log, sistem güvenliği ile ilgili olayları kaydeder ve Windows denetim politikaları tarafından yönetilir. Bu log, başarılı ve başarısız oturum açma girişimleri, politika değişiklikleri, dosya ve klasör erişim denetimleri, kullanıcı hesap yönetimi olayları ve diğer güvenlikle ilgili olayları içerir. Güvenlik olay günlüğü, yetkisiz erişim denemeleri ve diğer potansiyel güvenlik ihlalleri hakkında bilgi sağlayarak, güvenlik ihlallerinin önlenmesi ve soruşturulması için temel bir araçtır. Ayrıca, denetim politikası ayarları, sistem üzerindeki dosya ve klasör erişimlerinin ne kadar detaylı izleneceğini belirler, bu da güvenlik izleme stratejilerinin etkinliğini artırabilir veya azaltabilir.
Önemli Event ID Değerleri Tablosu
Aşağıdaki tablo, güvenlik açısından bilinmesi ve önem derecesi yüksek olan 50 farklı Event ID’yi içermektedir:
| Event ID | Açıklama | Önem Derecesi |
| 1102 | Denetim günlüğü temizlendi | Yüksek |
| 4624 | Başarılı bir hesap oturumu açma | Orta |
| 4625 | Başarısız hesap oturumu açma girişimi | Yüksek |
| 4648 | Açık metin kimlik bilgisiyle oturum açma girişimi | Yüksek |
| 4657 | Bir kayıt defteri değeri değiştirildi | Orta |
| 4663 | Bir nesneye erişim girişimi | Orta |
| 4672 | Özel ayrıcalıklar atanmış yeni oturum açma | Orta |
| 4688 | Yeni bir işlem oluşturuldu | Düşük |
| 4697 | Bir hizmet yüklendi | Orta |
| 4698 | Bir görev zamanlaması oluşturuldu | Orta |
| 4702 | Bir görev zamanlaması güncellendi | Düşük |
| 4719 | Denetim ayarları değiştirildi | Yüksek |
| 4720 | Bir kullanıcı hesabı oluşturuldu | Yüksek |
| 4728 | Bir kullanıcı bir güvenlik grubuna eklendi | Orta |
| 4732 | Bir kullanıcı bir yerel grubuna eklendi | Orta |
| 4735 | Bir güvenlik grubu değiştirildi | Orta |
| 4740 | Bir kullanıcı hesabı kilitlendi | Yüksek |
| 4756 | Bir kullanıcı bir evrensel grubuna eklendi | Orta |
| 4767 | Bir kullanıcı hesabının kilidi açıldı | Orta |
| 4771 | Kerberos ön kimlik doğrulaması başarısız oldu | Yüksek |
Logon Türleri ve Güvenlik
Event loglar, bir kullanıcının sisteme giriş yapma şeklini belirten logon tiplerini içerir. Bu tipler, bir oturum açma işleminin başarılı veya başarısız olmasının yanı sıra, işlemin hangi yöntemle gerçekleştirildiğini de gösterir. Her logon tipi, belirli bir giriş yöntemini temsil eder ve aşağıda bu tiplerin bir listesi ve açıklamaları yer almaktadır:
| Logon Type | Description |
| 2 | Etkileşimli: Kullanıcının doğrudan bilgisayar konsolundan giriş yaptığı durumlar. |
| 3 | Ağ: Ağ üzerinden (“SMB” protokolü kullanılarak) yapılan oturum açmalar. |
| 4 | Toplu İş: Zamanlanmış görevlerin çalıştırılması sırasında gerçekleşen oturum açmalar. |
| 5 | Hizmet: Sistem hizmetlerinin kendi başlarına oturum açmaları. |
| 7 | Kilidin Açılması: Kullanıcının kilitli bir bilgisayırı açtığı durumlar. |
| 8 | Ağ Temiz Metin: Kullanıcının ağ üzerinden şifresiz (cleartext) bir şekilde oturum açtığı durumlar. |
| 9 | Yeni Kimlik Bilgileri: Kullanıcının mevcut oturumda farklı kimlik bilgileri ile yeni bir işlem başlattığı durumlar. |
| 10 | Uzaktan Etkileşimli: Uzaktan terminal hizmetleri veya Uzak Masaüstü Protokolü (RDP) ile yapılan oturum açmalar. |
| 11 | Önbelleğe Alınmış Etkileşimli: Domain Controller’a erişilemediğinde önbelleğe alınmış kimlik bilgileri ile yapılan oturum açmalar. |
Event Log Explorer Kullanımı
Event Log Explorer, gelişmiş filtreleme ve arama özellikleri ile logları daha detaylı bir şekilde incelememizi sağlar. Bu araç, özellikle karmaşık sistem olaylarını analiz etmek ve güvenlik tehditlerini belirlemek için tasarlanmıştır.
EvtxECmd ile Logların Parse Edilmesi
EvtxECmd, Windows event loglarını parse etmek için kullanılan bir komut satırı aracıdır. Bu araç, logları CSV formatında dışa aktararak, olayların daha kolay analiz edilmesine imkan tanır. Aşağıdaki komut ile EvtxECmd aracını kullanabiliriz:
EvtxECmd.exe -d "E:BelgelerDesktopEvent_Logs" –vss –csv .
Bu komut, belirtilen dizindeki logları işler ve bulunduğu konuma CSV formatında bir çıktı üretir. -vss seçeneği, varsa gölge kopyaları da işlemeye yarar, -csv seçeneği ise çıktının formatını belirtir.
About the Author
