fbpx
Anasayfa » Domain Ortamının Event Viewer ile Takip Edilmesi

Makaleyi Paylaş

Windows Server

Domain Ortamının Event Viewer ile Takip Edilmesi

Bazı durumlarda Network ortamımızda neler olup bittiğini denetlemeniz gerekir. Bu olaylar sistemimizin performansının yeterli olup – olmadığını kontrol etmek, sistemde çalışmayan, arızalı servislerin neler olduğunu tespit etmek, donanım veya yazılımsal uygulamaların sistemimiz ile uyumlu bir şekilde çalışıp – çalışmadığını kontrol etmek gibi nedenlerden oluşmaktadır.
Şirketimiz içerisinde oluşan birçok olaylardan haberimiz olmayabilir ve oluşan bir sistem hatası veya önemli bir datanın kaybolması, bir kullanıcı hesabının silinmesi durumunda, bu problemin neden kaynaklandığını, kimin tarafından bu eylemin gerçekleştirildiğini bilmemek bir sistemcinin başına gelebilecek en kötü olaylardan bir tanesidir. Yapacağımız özel yapılandırmalar sayesinde bizlere sağlamış olduğu avantajların boyutunu da geliştirmek biz sistemcilerin elindedir.

Bunlar yapacağımız Policy değişikliği ile kullanıcıların izlenmesi, önemli evrakların takip edilmesi, sistem güvenliğinin kaydedilmesi gibi olayları sıralayabiliriz.

Bu yapılandırmaları yaparken dikkat etmemiz gereken en önemli husus, gereksiz ayarlamaları yaparak sistemimizin yavaşlamasına neden olmamızdır. Çünkü bizlerin yapacağı gereksiz olayların kaydedilmesi, sistemimizde sürekli oluşan olayların kaydedilmesi ve buna paralel olarak sistemimize fazladan bir yük getirerek makinemizin performansını gereksiz yere harcaması olacaktır.

image001

Event Viewer: Bilgisayarımızın üzerinde sağ tuş – özellikler diyerek ilgili bölümü genişleterek ulaşabiliriz. Bir Domain ortamında standart olarak

Sponsor

Application: Burada ki bölüm sistemimizde bulunan yazılımsal programların daha önceden oluşmuş hatalarını veya oluşabilecek muhtemel hatalarını bizlere bildirmek için kaydeder. Bu bölüme yazılacak olan kayıtlar, kullanmış olduğumuz programları yazan veya geliştiren yazılımcılar tarafından belirlenmektedir.

Directory Service: Burada ki kayıtlar Active Directory içerisinde bulunan problemleri, yapılan değişiklikleri, Global katalogda oluşan olayların izlenilmesin de bizlere yardımcı olacaktır.

DNS Server: Sistemimizde oluşan hataların birçoğu DNS tabanlıdır. Ve biz burada ki günlüklere bakarak DNS’ mizde oluşan hataları tespit edebilir veya daha önceden günlüğe kaydedilen, oluşabilecek muhtemel hataları görerek problem yaşanmadan önce soruna çözüm üretebiliriz.

File Replication Service: File Replication servisi tarafından kayıt altına alınan olayları barındırır. Bu olaylar sistem bölümünde bulunan dosyalarımız üzerinde bulunan değişiklikleri, replice olaylarını, Policylerimizin bilgilerinin tutulmuş olduğu SYSVOL’ um klasörümüz içinde olan değişikleri görmemize imkân tanır.

Security: Domain ortamımızda ki başarılı ve başarısız girişleri, kullanıcı, grup vb. nesneler üzerinde yapılan değişiklikleri, silinme işlemlerini takip etmemizde bizlere yarımcı olacak en önemli yerdir.

System: Burada ki bölümde sistemimizin neden, ne zaman kapatıldığını, ne zaman açıldığını, makinemiz üzerinde yapılan donanımsal değişiklikleri, sürücü yükleme kaldırma işlemlerini, takip etmemize yardımcı olan bölümdür.

image002

Birçok şirket için olay günlüğünün kayıtları önemlidir ve güvenlik sebeplerinden ötürü bunların saklanması gerekmektedir. Günlüklerimizin saklanmasını ayarlamak için, ilgili bölüm üzerinde sağ tuş özellikler dediğimiz zaman yukarıda resim 2 de görünen bölüme ulaşıp, olay günlüklerinin saklanması ile ilgili ayarlamalarımızı yapabiliriz. Bu ayarlamalar aşağıda ki listede belirtilmiştir.

  • Kayıtlarımızın Kb cinsinden en fazla ne kadar yer tutabileceğini,
  • Ayırmış olduğumuz yerin dolduğu zaman, kayıtların eski kayıtların üzerine yazılması gerektiğini,
  • Belirlemiş olduğumuz günden (varsayılan gün sayısı 7’dir) eski olan kayıtların silinmesini,
  • Veya kayıtlarımızın manüel olarak silinene kadar hiçbir kaydın, daha önceden tutulmuş olan, kayıtların üzerine yazılmaması gerektiğini belirleyebiliyoruz.

image003

Aynı bölümün Fitler kısmında, hangi  kayıt çeşitlerinin yazılması gerektiğini belirleyebiliyoruz. Yazılmasını istediğimiz Kayıt çeşitlerimiz aşağıda sıralanmıştır.

image004

İnformation       : Sistemimizde oluşan bir sürücü yüklemesinin, bir yazılım yüklemesinin, bir servisin veya bir görevin, başarılı bir şekilde başladığı zaman olayla ilgili gerekli bilgiyi kaydeder.

Warning              : Kaydın tutulmuş olduğu zaman diliminde her hangi bir problemin olmadığını, fakat gerekli işlemin yapılmadığı takdirde problemler ile karşılaşacağımızı bizlere bildiren uyarı günlüğüdür. Örnek olarak disk alanımızda yeteri kadar alanın kalmadığında bizlere bildirilmek üzere bir kayıt bu alana yazılır.

Eror                     : Önemli bir görevin başarısız olması durumunda veya Sistemimizde çalışması gereken bir servisin başlamadığı zaman, olay ile ilgili kayıtlar burada tutulur.

Success Audit    : Sistemimizde oluşan başarılı olayların kayıtları tutulur.

Failure Audit      : Sistemimizde oluşan hatalı olayların kayıtları tutulur.

Kaydı altına alınan bir eylemi yorumlama tekniği, Eylem ne zaman, hangi saatte gerçekleşmiştir. Eylemi gerçekleştiren kullanıcı kimdir ve hangi yetkilere sahiptir. Eylemi gerçekleştiren kullanıcının kullanmış olduğu makine şirket networkumuzda mı? Yoksa dışarıdan bir bilgisayar kullanılarak mı eylemi gerçekleştirmiştir. Gerçekleştirilen eylem nedir ve hangi kategoriye göre gerçekleştirmiştir gibi sorularımızı, bir olay günlüğü ayrıntılı bir şekilde cevaplayarak bizlere yorumlama tekniği sunmaktadır.

image005

Bir DC üzerinde varsayılan yapılandırılma, resim 5’ de göründüğü gibidir. İhtiyaçlarımız doğrultusunda bu ayarları değiştirebiliriz. Fakat yazımızın başında da belirtmiş olduğumuz gibi, yanlış yapılandırılan veya ihtiyaç fazlası olarak yapılandırılan ayarlar sistemimizin yavaşlamasına neden olacaktır. Bu yapılandırmaları şirket çalışanlarımızın bilgi ve becerilerine, DC olan makinemizin performansına ve üzerinde ki yetkileri göze alarak yapılandırmamız tavsiye edilmektedir.

Audit Account Logon Events        : Domain ortamında bir kullanıcının oturum açma ve kapatma olaylarını izler. Varsayılan ayar olarak succes (başarılı) kayıtlar tutulur.

image006

Domain ortamımızda bulunan bir kullanıcı, başarılı bir şekilde oturum açtığı zaman olay günlüğüne aşağıda ki resimde görüldüğü üzere bir kayıt yazar.

image007

Olay günlüğü

image008

Olay günlüğünün yorumlanması için gerekli olan detaylar.

Olay günlüğünü detaylı bir şekilde kontrol ettiğimizde; user name bölümünde Ugur kullanıcımızın 12 Aralık 2006 saat 4.20 PM, 127.0.0.1 ip adresli makineyle, domain ortamına başarılı bir şekilde giriş yaptığını görebiliyoruz.

Bölüm ile ilgili Microsoft tarafından yayınlanan güncel EVENT ID leri öğrenmek için http://technet2.microsoft.com/WindowsServer/en/library/d8fc798c-1e77-4043-b59c-971b4961d85a1033.mspx?mfr=true linkini ziyaret ediniz.

Audit Account Management         : Active Drctory User and Computer vasıtası ile hesap yönetimini izleriz. Bir kullanıcı hesabı, bir grup, bir bilgisayar hesabı oluşturulduğunda, değiştirildiğinde veya silindiğinde, bu bölümde kayıtlar oluşur. Varsayılan ayar olarak DC üzerinde succes (başarılı) kayıtlar tutulur. Üye serverlar için yapılandırılmamıştır.

Bu olay günlüğünü kullanabileceğimiz yerler, locasyonuzmuz da bir den çok sayıda yönetici hesabına sahip kullanıcımız var ise hangi yönetici hesabına veya gerekli delege sayesinde hesap işlemlerini yürüten hangi kullanıcımızın, hangi işlemleri yaptığını tespit etmek için kullanırız.

Örnek vermemiz gerekirse, esolmaz kullanıcı adına sahip, domain ortamın da bulunan bir hesabımız silindi. Eğer Policy’miz ile uygun olay günlüğünü (başarılı olayları kaydet) daha önceden yapılandırdıysak, Olay günlüğü’ nün (event viewer) yardımıyla, kullanıcımızı hangi yönetici haklarına sahip adminin sildiğini, ne zaman bu işlemi gerçekleştirdiğini tespit etmemiz çok kolaydır.

image009

Olay günlüğü

image010

Olay günlüğünün yorumlanması için gerekli olan detaylar.

Yukarıda ki resimde görüldüğü üzere yönetici hesabına sahip Ugur isminde ki kullanıcımız, 12 Aralık 2006 saat 16:41 PM’ de esolmaz adlı kullanıcımızı başarılı bir şekilde silmiştir.

Not: Güvenlik nedeniyle bir kullanıcının hesabını sildiğimiz zaman, aynı kullanıcı hesabında bir kullanıcı oluşturma imkânımız vardır. Fakat yeni oluşturmuş olduğumuz kullanıcının SID numarası, eski hesabımızın SID numarası ile aynı olmayacağı için aynı haklara sahip bir kullanıcı oluşturmuş olamıyoruz. Eski kullanıımızın sahip olduğu dosya ve klsörler üzerinde bulunan haklarını ve Domain ortamındaki ayrıcalıklarını yeni oluşturmuş olduğumuz kullanıcıya tanımlamamız gerekecekdir.

image011

Bir başka örnek vermemiz gerekirse fbcelik adına sahip kullanıcımızın şifresi değiştirilmiş ve networkümüze giriş yapamamaktadır. Bilgi işlem tarafından veya kullanıcı tarafından bu şekilde bir istekde bulunulmamıştır. Bu işlemi, hangi yönetici veya delege yoluyla parola değişirme yetkisine sahip kullanıcının, ne zaman bu işlemi yaptığını bulmak için olay günlüğümüze baktığımızda.

image012

Olay günlüğü

image013

Olay günlüğünün yorumlanması için gerekli olan detaylar.

Resim 13’de görüldüğü üzere, yönetici hesabına sahip Ugur isminde ki kullanıcımız, 12 Aralık 2006 Saat 16:40 PM’ de fbcelik adlı kullanıcımızın parolasını başarılı bir şekilde değiştirmiş olduğunu görmekteyiz.

image014

Son örnek olarak, Alper ismindeki kullanıcımızı yönetici gruplarından birsi olan BackupOparators grubuna dahil edildiğini olay günlüğü sayesinde göreceğiz.

image015

image016

Bilgi işlemimizde bulunan yönetici hesabına sahip kullanıcılarımızdan bir tanesi, Alper adlı kullanıcımızı yönetici grublarından olan Backup Oparators grubuna dahil ettiğini görebiliyoruz. Bu yetkiyi hangi kullanıcımızın, ne zaman verdiğini tespit edebilmek için.

image017

Olay günlüğü

image018

Olay günlüğünün yorumlanması için gerekli olan detaylar.

Resim 20’ de görüldüğü üzere, yönetici hesabına sahip Ugur isminde ki kullanıcımız, 12 Aralık 2006 saat 17:53 PM’ de Alper adlı kullanıcıyı Backup Oparators grubuna dahil ettiğini tespit edebiliyoruz.

Bölüm ile ilgili Microsoft tarafından yayınlanan güncel EVENT ID leri öğrenmek için http://technet2.microsoft.com/WindowsServer/en/library/42c66475-3346-428f-8faf-47a6611655ee1033.mspx?mfr=true linkini ziyaret ediniz.

Audit Directory Service Acces     : Active Drctory’ e yapılan erişimleri izler. Olay günlüğüne kayıtlar, kullanıcılar veya bilgisayar hesapları bu dizine eriştiğinde oluşur. Varsayılan ayar olarak DC üzerinde succes (başarılı) kayıtlar tutulur. Üye bilgisayarlar için yapılandırılmamışır.

image019

Resim 19’ da görüldüğü üzere, güvenlik sebebi nedeniyle yönetici hesabına dahil olan kullanıcılarımızdan bir tanesi Microsoft tarafından imzalanmamış sürücülerin yüklenmemesi gerektiğini belirlemiş. Bu policy değişikliğini uygulayan kullanıcımızı tespit edebilmek için

 

image020

Olay günlüğü

 

image021

Olay günlüğünün yorumlanması için gerekli olan detaylar.

12 Aralık 2006 Saat 17:33 PM’ de, Yönetici hesaplarından Administrator grubuna üye olan Ugur kullanıcımızın bu policyi başarılı bir şekilde uyguladığını tespit edebiliyoruz.

Bölüm ile ilgili Microsoft tarafından yayınlanan güncel EVENT ID leri öğrenmek için http://technet2.microsoft.com/WindowsServer/en/library/20068d03-6473-4e00-84d4-fb1c7cce57d21033.mspx?mfr=true linkini ziyaret ediniz.

Audit Logon Events                        : Bir kullanıcının oturum açmasını, kapatmasını veya uzak bir sistemden (Vpn, Uzak masa üstü Protokolü vb.) bağlantı oluşturduğunda policymizde belirlemiş olduğumuz ayarlamalar çerçevesinde, gerekli kayıtlar oluşur. . Varsayılan ayar olarak succes (başarılı) kayıtlar tutulur.

image022

Bazı özel durumlar nedeniyle Domainimizde bulunan kullanıcılarımızın hesaplarını geçici olarak devre dışı bırakabiliriz. Bu nedenlerin başında kullanıcımız senelik izne ayrılmış ve izin dönüşüne kadar hesabının kullanılmaması gerekmektedir. Bir başka devre dışı bırakma nedenimz ise kullanıcımız işten ayrılmış fakat bazı özel nedenlerden ötürü bu kullanıcımızın pota kutusunu denetleme ihtiyacımız olabilir.  Bu kullanıcıyı silersek posta kutusunu erişme imkânımız olmayacağı için hesabını devre dışı bırakabiliriz. Ama içimizde bir şüphe vardır ki bu hesabı kullanarak domain ortamında ki bazı hakları kullanmaya çalışan diğer kullanıcılarımız varmıdır? Bu şüpheyi ortadan kaldırmak için…

image023

Bir kullanıcımız içimizde ki şüpheyi doğruluyor ve devre dışı bırakılmış Beyhan adlı kullanıcının hesabı ile sisteme girmeye çalışıyor

image024

Olay günlüğü

image025

Olay günlüğünün yorumlanması için gerekli olan detaylar.

12 Aralık 2006 saat 16:11 PM’ de 192.168.1.1 ip adresine sahip, domain ortamında bulunan bir bilgisayar, devre dışı bırakılmış Beyhan isimli kullanıcı hesabını kullanarak domainimize dahil olmaya çalıştığını, fakat başaramadığını öğrenebiliyoruz.

Bölüm ile ilgili Microsoft tarafından yayınlanan güncel EVENT ID leri öğrenmek için http://technet2.microsoft.com/WindowsServer/en/library/e104c96f-e243-41c5-aaea-d046555a079d1033.mspx?mfr=true linkini ziyaret ediniz.

Audit Object Acces                         : Sistem üzerinde var olan nesnelerin (dosyalar, klasörler, posta kutusu) kullanımını izler. Varsayılan ayar olarak yapılandırılmamıştır.

Şirketimizde bulunan bazı dataların önemi sebebiyle, bu dataların izlenmesini sağlayabiliriz. Bu izleme olaylarını, yazmasını istemiş olduğumuz klasör ve dosyaların, hangi kullanıcı tarafından, ne zaman değiştirildiğini – değiştirilmeye çalışıldığını, okunduğunu – okunmaya çalışıldığını,   silindiğini – silinmeye çalışldığını vb.. uygulamış olduğumuz Policy’ ler saysinde, bunları tespit edebiliriz.

Policymiz ile obje erişimine olan ihtiyacımız doğrultusunda Başarılı veya Başarısız olayları yazmasını ayarladıkdan sonra, izlenmesini istediğimizi dosya veya klasörümüzün, hangi kullanıcıları izlemesini ve hangi eylemleri izlemesi gerektiğini uygulayabiliyoruz.

image026

Resim 25’ de görüldüğü üzere şirketimiz için önem arz eden bir klasörümüz var. Klasörümüzün ismi önemli evraklar. Klsörümüze network üzerinden ulaşılabilmesi için, gerekli erişim izinleri verilmiş. Bu dosyanın içerisinde bulunan dosyalarımıza bütün şirket çalışanları tarafından okunması, üzerinde işlem yapılabilmesi vb.. işlemlerin yerine getirilebilmesi için gerekli yetkiler verilmiş.

Pekâlâ, bu klasörümüzün içindeki önemli evraklarımızı bir kullanıcımız sadece okuması gerekirken, yazma hakkı olmamasına rağmen bu işlemi yapmak için eylemde bulunmuşmu? Veya bu klasörümüzün içinden bir dosya yanlışlıkla veya kasıtlı bir şekilde silindiyse. Bunu tespit edebilmek için, bu klasörümüze ne gibi işlemlerin yapıldıını veya yapılmaya çalışıldığını tespit etmek için klasörümüzü faremizin sağ tuşu ile Properties (özellikler) diyerek Seurty (Güvenlik) sekmesine gelip Advanced (gelişmiş) bölümünü açıyoruz.

image027

İzleme olayları varsayılan olarak yapılandırılmamıştır. Hangi kullanıclarımızın izlenmesini istiyorsak Add (ekle) butonuna tıklayarak

image028

Hangi kullanıcılarımızın izlenmesi gerektiğini seçiyoruz.

image029

Çıkan ekranda Hangi işlmlerin olay günlüğüne kaydedilmesi gerektiğini ve hangi olaylar gerçekleşirse yazılması gerektiğini tanımlıyoruz. İhticacımız olan seçenekleri işaretledikden sonra ok diyerek

image030

Auditing Sekmesine geri dönüyoruz. Apply + Ok diyerek işlemi bitiriyoruz.

image031

Test etmek için önemli evraklar klasörümüze network üzerinden erişip siliyoruz.

image032

Olay günlüğü

image033

Olay günlüğünün yorumlanması için gerekli olan detaylar.

12 Aralık 2006 Saat 17:06 PM’ de Com_FBCELİK adlı bilgisayar kullanılarak, FB_CELIK adlı kullanıcımız tarafından dosyamızın silindiğini tespit edebiliyoruz.

Bölüm ile ilgili Microsoft tarafından yayınlanan güncel EVENT ID leri öğrenmek için http://technet2.microsoft.com/WindowsServer/en/library/50fdb7bc-7dae-4dcd-8591-382aeff2ea791033.mspx?mfr=true linkini ziyaret ediniz.

Audit Policy Change                       : Uygulamış olduğumuz güvenlik ilkeleri ile lgili değişiklikleri izler. Varsayılan ayar olarak DC üzerinde succes (başarılı) kayıtlar tutulur. Üye serverlar için yapılandırılmamıştır.

image034

Policy ayarlarımızı kontrol ettiğimizde, Kullanıcı hakları bölümünde Allow Log on locally adlı Policy’ mizin değiştirilmiş olduğunu fark ediyoruz. Bu Policy’ mizin ne zaman, hangi yönetici hakklarına sahip kullanıcı tarafından değiştirildiğini tespit etmek için

image035

Olay günlüğü

image036

Olay günlüğünün yorumlanması için gerekli olan detaylar.

12 Aralık 2006 Saat 18.01 PM’ de yönetici haklarına sahip fbcelik adlı kullanıcımız tarafından, policy’ mizin başarılı bir şekilde değiştirildiğini görebiliyoruz.

Bölüm ile ilgili Microsoft tarafından yayınlanan güncel EVENT ID leri öğrenmek için http://technet2.microsoft.com/WindowsServer/en/library/962f5863-15df-4271-9ae0-4b0412e297491033.mspx?mfr=true linkini ziyaret ediniz.

Audit Privilege Use             : Bir kullanıcıya atanmış hakların ve bunların kullanımını izler. Bunlar ki dosyaların yedeklenmesinden, sistemin zarar görmesi tahmin edilen register ( kayıt dosyası ) değişikliklerini kapsar. Bu özellik varsayılan ayar olarak yapılandırılmamıştır.

Bölüm ile ilgili Microsoft tarafından yayınlanan güncel EVENT ID leri öğrenmek için http://technet2.microsoft.com/WindowsServer/en/library/ee2f85ac-e3fb-4a24-b133-8c7fdfc5cee81033.mspx?mfr=true linkini ziyaret ediniz.

Audit Process Tracking       : Sistemin yapmış olduğu işlemleri ve bu işlemlerin kullanmış olduğu kaynakları izler. Bu özellik varsayılan ayar olarak yapılandırılmamıştır.

Bölüm ile ilgili Microsoft tarafından yayınlanan güncel EVENT ID leri öğrenmek için http://technet2.microsoft.com/WindowsServer/en/library/0a642c0c-387a-44f5-bfd9-951b87fd13801033.mspx?mfr=true linkini ziyaret ediniz.

Audit System Events         : Bir sistemin, güvenliğini etkileyen işlemleri, sistemin açılmasını, kapatılmasını yeniden başlatma işlemlerini izler. Varsayılan ayar olarak DC üzerinde succes ( başarılı ) kayıtları tutar. Bu özellik üye serverlar için yapılandırılmamıştır.

Bölüm ile ilgili Microsoft tarafından yayınlanan güncel EVENT ID leri öğrenmek için http://technet2.microsoft.com/WindowsServer/en/library/a8297bc2-d53a-4a2f-94c5-8e412ae4e3861033.mspx?mfr=true linkini ziyaret ediniz.

Kaynak :

http://technet2.microsoft.com/WindowsServer/en/library/6847e72b-9c47-42ab-b3e3-691addac9f331033.mspx?mfr=true

Fatih KARAALİOĞLU

Makaleyi Paylaş

Cevap bırakın