Event Viewer Log dosyalarının yerini değiştirmek
Düşündünüzki, Event log’ların yerini beğenmediniz ve Aplication, Security, System Log’larının kendi istediginiz bir yerde saklanmasına karar verdiniz, işte bunu nasıl yaparım derseniz aşağıdaki adımları takip etmeniz gerekiyor ;
Düşündünüzki, Event log’ların yerini beğenmediniz ve Aplication, Security, System Log’larının kendi istediginiz bir yerde saklanmasına karar verdiniz, işte bunu nasıl yaparım derseniz aşağıdaki adımları takip etmeniz gerekiyor ;
1. Click Start, click Run, type regedt32, and then click OK.
2. On the Whuindows menu, click HKEY_LOCAL_ MACHINE on Local Machine.
• System Log için:
a. Click the System\CurrentControlSet\Services\EventLog\System folder, and then double-click the FILE value.
b. Type the new drive and path in the String box, include the file name \SysEvent.Evt, and then click OK.
Orjinal Yol : %SystemRoot%\System32\Config\SysEvent.Evt
• Application log için:
a. Click the System\CurrentControlSet\Services\EventLog\Application folder, and then double-click the FILE value.
b. Type the new drive and path in the String box, include the file name \AppEvent.Evt, and then click OK.
Orjinal Yol : %SystemRoot%\System32\Config\AppEvent.Evt
• Security log için:
a. Click the System\CurrentControlSet\Services\EventLog\Security folder, and then double-click the FILE value.
b. Type the new drive and path in the String box, include the file name \SecEvent.Evt, and then click OK.
Orjinal Yol : %SystemRoot%\System32\Config\SecEvent.Evt
3. Quit Registry Editor, and then restart the computer.
-------------------------------------
Event Olaylarını basitce izleyin
Security günlüğüne yazılan belli bir olay(event) için günlük mail atılsın istiyorsanız. Örneğin Event ID’si 644 olan ve kullanıcıların hesabının kilitlendiğini belirten olaylar bana günlük mail olarak gelsin diyorsanız, bu işlemi aşağıdaki şekilde yapabilirsiniz :
Bu işlemi Event ID’sini bildiğiniz herhangi bir olay için gerçekleştirebilirsiniz. Bunun için aşağıdaki programlara ihtiyacınız olacak.
- Windows 2000 Resource Kit içinde bulunan Dumpel.exe (Dump Event Log) programı (Bu programı http://support.microsoft.com/kb/927229 adresinden indirebilirsiniz.)
- Internetden freeware olarak indirebileceğiniz ve komut satırından mail yollamaya yarayan Blat programı. (Bu programı da http://sourceforge.net/project/showfiles.php?group_id=81910 adresinden indirebilirsiniz.
Bu programlardan Dumpel.exe programı, basitçe Event Viewer’daki kayıtların bir text dosyaya alınmasını sağlar. Programı bir çok parametre ile kullanılabilir ve bu parametreler yardımıyla olay günlüğündeki sadece belli olayları text dosyaya alabilirsiniz. Komutun temel kullanım parametreleri şöyledir.
dumpel -f file [-s \\server] [-l log [-m source]] [-e n1 n2 n3…] [-r] [-t] [-d x]
Eğer Event Viewer’daki kayıtlar içinde sadece sizin belirlediğiniz Event ID’ye sahip olanlarını bir text dosyaya almak istiyorsanız bu durumda dumpel.exe’yi aşağıdaki parametreler ile birlikte kullanmalısınız. Ben aşağıdaki örnekte Event ID’si 644 olan ve kaynağı da Security olan olayların C’nin altında oluşturulacak event644.txt dosyasına alınmasını istediğimden komutu şu şekilde yazıyorum.
dumpel -f c:\event644.txt -l security -m security -e 644
Bu programın parametreleri hakkında daha geniş bilgiyi programın kurduğu klasördeki dumpel_d.html dosyasında bulabilirsiniz.
İkinci programımız olan Blat ise bizim belirlediğimiz bir dosyayı yine bizim belirleyeceğimiz bir mail adresine yollama işini yapan ve komut satırından çalıştırılan bir program. Bu program da dışarıdan bir çok parametre kabul ediyor ve gerçekten oldukça kullanışlı bir program. Ben örneğimizde dumpel.exe tarafından oluşturulan ve C’nin altındaki event644.txt dosyasının test@test.com adresine yollanmasını istiyorum. Bunun için önce Blat tarafından kullanılacak SMTP server’ı ve mail hesabını blat’a bildirmemiz lazım. Bu işlemi gerçekleştirmek için aşağıdaki komutu giriyoruz;
blat -install mail.test.com test@test.com
Buradaki “mail.test.com ” blat’ın kullanacağı SMTP server’ın adresini, test@test.com‘da kullanacağı mail hesabını belirtiyor. Bu ayarları yaptıktan sonra sıra blat’a bizim belirlediğimiz dosyayı mail atacak şekilde parametre girmeye geldi. Çalıştıracağımız komut şu şeklide olacaktır.
blat c:\event.txt -subject “Günlük Security Event Viewer Mesajı” -to test@test.com
Blat’ın kullanımı hakkında detaylı bilgiyi programla birlikte gelen readme.txt dosyasında bulabilirsiniz.
Yukarıda yaptığımız işlemlerin belirli zaman aralıklarında otomatik olarak gerçekleştirilmesini istiyorsak yukarıda kullandığımız komutları birer bat dosyası yapıp Zamanlanmış Görev olarak bu komut dosyalarının çalıştırılmasını sağlamak. Bundan böyle olay günlüğüne yazılan ve Event ID’si sizin tarafınızdan belirlemiş olan olaylar yine sizin belirleyeceğiniz zaman aralıklarında size mail ile bildirilecektir.
Bu gibi işlemleri MOM 2005 , anlık olarak izleyerek istediginiz olayıda gerçekleştirmenize imkan sağlamaktadır. MOM 2005 daha çok, büyük firmaların kullanmış oldukları bir program oldugundan daha küçük bir sürümü olan ve yeni çıkacak olan System Center Essentials 2007 kullanılabilir, tabi şimdilik Beta2 seviyesinde. Bu ürün ile ilgili küçük bir not: SC Essentials 2007 , çok kısaca SMS ve MOM ürününün birleştirilmiş halidir diyebiliriz, sadece 15 server’a kadar izleme yapılmasına olanak sağlar. Daha ayrıntılı bilgiyi daha sonra verecegim…
Kaynak
ONUR SERHAT UYGUR
Sistem Uzmanı & Yazılım Destek ve Test Uzmanı
Kötümser yalnız tüneli görür, iyimser tünelin sonundaki ışığı görür, gerçekçi tünelle birlikte ışığı hemde gelecek treni görür.
Doğruyu bulmak zekâ ve bilgi meselesinden çok, kişilik ve ahlak sorunudur.