Windows işletim sisteminde bulunan olay günlükleri (Event Log) kurumlarda veya kişisel bilgisayarlarda log analizi yapmamızı sağlar.
Olay günlüğü (Event Log) nedir
Windows işletim sistemlere log kayıtların tutulduğu yerdir.Yönetici hesabı ile işlemler yapılabilir.Bilgisayarda ki önemli olayları (oturum açma,hatalı oturum denemesi,saatin değiştirilmesi gibi ) bir çok durumu kayıt altına alır.
Olay günlüğünü açabilmek için winkey tuşu yardımıyla başlat açılır. Arama bölümüne olay günlüğü yazılır.
EVENT ID Nedir?
Olay günlüğü/görüntüleyici de bulunan kayıt değerlerini tanımlayabiliriz.
Event ID – Açıklama
- 4624 – Başarılı Login
- 4625 – Başarısız Login
- 4672 – Admin Hesabı Logini
- 4634,4647 – Başarılı Logoff
- 4771 – Etki alanında ön kimlik doğrulama başarısız oldu
- 4776 – Etki alanında başarılı ya da başarısız login
- 7034 – Servis beklenmedik bir şekilde çöktü
- 7035 – Servis, başlatma veya durdurma komutu gönderdi
- 7036 – Servis durdu veya başladı
- 7040 – Servis başlangıç tipi değiştirildi (Başlangıçta, elle vs.)
- 5140 – Ağ paylaşımı planlandı
- 4778 – RDP oturum isteği
- 4779 – RDP oturumu kapandı
- 1102 Güvenlik logları silinmiş
- 5025 Firewall durduruldu
- 4800 Ekran kilitlendi
Windows olay görüntüleyici de (Event log) üzerinde başarılı girişleri (Login) filtreleme yaparak logları görüntüleyelim.
Olay görüntüleyici –> Windows Günlükleri ve güvenlik sekmesine girelim.Güvenlik sekmesine sağ tık yaparak geçerli günlüğe filtre uygulama seçeneği seçilir.
Görüldüğü gibi arama erine 4624 başarılı login değerini yazarak tamam diyoruz.
Başarılı sonuçlar:
Kaynak: Alper Başaran ders anlatımından yararlanılmıştır.