Forum

Windows dc 4625 log...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Windows dc 4625 logu ile ilgili

3 Yazılar
2 Üyeler
0 Reactions
490 Görüntüleme
(@ali_koca)
Gönderiler: 670
Noble Member
Konu başlatıcı
 

Merhaba

windows sever tarafında audit logu açık. başarısız şifre girişi yapan kullanıcıları (bu brut force da olabilir) görmek için loglara bakıyoruz. 4625 loguna baktığımızda kullanıcıları görüyoruz am bunu hangi bilgisayardan yaptığı bilgisi yok. bunun için farklı bir log kaynağımı açmam lazım. bunu nasıl görebilirim

 
Gönderildi : 12/11/2021 10:42

(@emremarangoz)
Gönderiler: 31
Eminent Member
 

Merhaba , debug logu açıp kontrol edebilirsiniz.

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion

Altına yeni bir key oluşturun, Diagnostics

Key içerisine yeni bir DWORD oluşturun, GPSvcDebugLevel

Değeri, 0x30002

Daha sonra makineyi yeniden başladın veya gpupdate /force komutunu koşturun.

Detay logları buradan inceleyebilirsiniz

Çalıştır = %windir%\debug\usermode

 

@hakanuzuner Hakan hoca eğitimleri sağolsun 🙂

 
Gönderildi : 12/11/2021 11:54

(@ali_koca)
Gönderiler: 670
Noble Member
Konu başlatıcı
 

@emremarangoz 

Teşekkürler. yalnız tam anlamadım. tüm dclerin register ayalarında şizin dediğiniz ayarları yapıp restart ettiğimde aşağıdaki klasörde bir txt dosyası oluşacak ve tüm logları burada göreceğim doğrumudur.

2) bu şekilde yaptığımda farklı bir sıkıntılar olurmu malum dc

3) Yalnız ben bunu araştırdığımda polcy ile ilgili bilgiler veriliyor diyor. Bizde aşağıdaki resimde olduğu gibi workstation name kısmı boş geliyor. bizim sıkıntımız bu.

audit

 

Çalıştır = %windir%\debug\usermode

Bu ileti 3 yıl önce 2 defa Ali_KOCA tarafından düzenlendi
 
Gönderildi : 12/11/2021 14:17

Paylaş: