Windows dc 4625 logu ile ilgili

Windows Server

Son Cevaplar gön: Ali_KOCA 2 yıl önce

3 Yazılar

2 Üyeler

0 Likes

466 Görüntüleme

RSS

Ali_KOCA

(@ali_koca)

Gönderiler: 669

Noble Member

Konu başlatıcı

Merhaba

windows sever tarafında audit logu açık. başarısız şifre girişi yapan kullanıcıları (bu brut force da olabilir) görmek için loglara bakıyoruz. 4625 loguna baktığımızda kullanıcıları görüyoruz am bunu hangi bilgisayardan yaptığı bilgisi yok. bunun için farklı bir log kaynağımı açmam lazım. bunu nasıl görebilirim

Gönderildi : 12/11/2021 10:42

Emre MARANGOZ

(@emremarangoz)

Gönderiler: 31

Eminent Member

Merhaba , debug logu açıp kontrol edebilirsiniz.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion

Altına yeni bir key oluşturun, Diagnostics

Key içerisine yeni bir DWORD oluşturun, GPSvcDebugLevel

Değeri, 0x30002

Daha sonra makineyi yeniden başladın veya gpupdate /force komutunu koşturun.

Detay logları buradan inceleyebilirsiniz

Çalıştır = %windir%\debug\usermode

@hakanuzuner Hakan hoca eğitimleri sağolsun 🙂

Gönderildi : 12/11/2021 11:54

Ali_KOCA

(@ali_koca)

Gönderiler: 669

Noble Member

Konu başlatıcı

@emremarangoz

Teşekkürler. yalnız tam anlamadım. tüm dclerin register ayalarında şizin dediğiniz ayarları yapıp restart ettiğimde aşağıdaki klasörde bir txt dosyası oluşacak ve tüm logları burada göreceğim doğrumudur.

2) bu şekilde yaptığımda farklı bir sıkıntılar olurmu malum dc

3) Yalnız ben bunu araştırdığımda polcy ile ilgili bilgiler veriliyor diyor. Bizde aşağıdaki resimde olduğu gibi workstation name kısmı boş geliyor. bizim sıkıntımız bu.