PRTG Network Monitor’da “User Locked Out” Uyarısı

1. “User Locked Out” Uyarısı Nedir?

PRTG Network Monitor’da “User Locked Out” uyarısı, belirli bir kullanıcı hesabının ardışık hatalı oturum açma girişimlerinden sonra güvenlik politikaları gereği geçici veya kalıcı olarak kilitlendiğini ifade eder. Bu, genellikle domain ortamlarında veya LDAP tabanlı kimlik doğrulama yapılandırmalarında meydana gelir. PRTG, bu tür olayları sistem günlüğü (log) seviyesinde bildirir ve genellikle kullanıcı erişiminin geçici olarak devre dışı bırakıldığını belirtir.

2. Bu Durumun Oluşma Nedenleri

a. Hatalı Şifre Girişimleri

• Arka arkaya girilen hatalı kullanıcı adı/şifre kombinasyonları, Active Directory veya PRTG’nin kendi kullanıcı yönetimi tarafından tanımlanan kilitleme eşiğini aşabilir.

b. Domain Policy Etkileri

• Grup İlkesi Nesneleri (GPO), kullanıcı hesaplarının kilitlenme eşiklerini belirler. Örneğin, “3 başarısız girişte hesap kilitlensin” gibi bir politika uygulanıyorsa, bu durum hızlıca oluşabilir.

c. LDAP veya Active Directory Entegrasyonu Hataları

• PRTG’nin LDAP üzerinden domain controller’a bağlanamaması veya kullanıcı adı/şifre uyumsuzluğu da bu hatayı tetikleyebilir.

d. Otomasyon Betikleri / Yanlış API Çağrıları

• Otomasyon araçları, yanlış kimlik bilgileriyle sık API istekleri gönderebilir ve hesabın kilitlenmesine neden olabilir.

3. PRTG Loglarında Olay Tespiti

PRTG log dosyalarında kullanıcı kilitlenmeleri aşağıdaki gibi satırlar üzerinden izlenebilir:

2025-05-29 10:15:43 User 'jdoe' has been locked out after 3 failed login attempts from IP 192.168.1.50.

İlgili log dosyaları:

• CoreLog (Core.log)
• WebServer.log
• PRTG Administration Tool > Logs sekmesi

Ayrıca, Event Viewer > Security Logs altında da bu tür domain bazlı olaylar detaylı olarak incelenebilir.

4. Bu Tür Olaylar Nasıl İzlenebilir? (PRTG Sensörleri)

PRTG, aşağıdaki sensörler ile kullanıcı kilitlenme olaylarını dolaylı yoldan izleyebilir:

a. Windows Event Log Sensor

• Security Event ID: 4625 (Failed logon)
• Security Event ID: 4740 (Account locked out)
• Filtre: Channel="Security" AND EventID=4740

b. WMI Security Sensor

• Kullanıcı oturum açma başarısızlıkları ve istatistiksel eğilimler için kullanılabilir.

c. Custom Script Sensor

• PowerShell veya VBScript ile Get-EventLog komutu kullanılarak kullanıcı kilitlenme durumları kontrol edilip sensör çıktısına dönüştürülebilir.

5. Domain Controller Entegrasyonlarında Dikkat Edilmesi Gerekenler

• Bind kullanıcı adı ve şifreleri doğru tanımlanmalıdır.
• LDAP sunucusu erişilebilir olmalıdır. (Port 389 veya 636 üzerinden)
• PRTG’de kullanıcı yapılandırması yapılırken “Active Directory Integration” seçeneği ile doğru OU yolu belirtilmelidir.
• Zaman senkronizasyonu bozuk olan sistemler kimlik doğrulamada başarısız olabilir.

6. Kullanıcı Kilitlenmelerini Önleyici Best Practice’ler

• Brute Force koruması için IP throttling uygulayın.
• 2FA (İki Faktörlü Kimlik Doğrulama) kullanın.
• Domain politikalarında çok düşük kilitlenme eşikleri tanımlamaktan kaçının.
• Kritik kullanıcılar için izole servis hesapları kullanın.
• API çağrılarında kullanılan hesapların ayrı gruplarla sınırlandırılması önerilir.

7. Çözüm Adımları ve Önerilen Aksiyonlar

1. Kilitlenen kullanıcıyı domain controller’dan manuel olarak serbest bırakın.
   Active Directory Users and Computers > Users > Unlock Account

1. Güvenlik olay günlüklerini analiz edin.
   • Event Viewer > Security > Event ID 4740

1. Kullanıcının hangi IP’den kilitlendiğini tespit edin.
   • Böylece brute force veya yanlış yapılandırılmış bir uygulama olup olmadığını anlayabilirsiniz.

1. PRTG’de uyarılar oluşturun:
   • Event ID 4740 tespiti için bildirim ve alarm yapılandırın.

1. Gelecekteki kilitlenmeler için raporlar oluşturun.
   • Kullanıcı hesabı olaylarının haftalık trend analizi.

Sonuç

PRTG, kullanıcı kilitlenme olaylarının proaktif olarak tespit edilmesini sağlayan sensörler ve özelleştirilmiş uyarılarla güçlü bir görünürlük sunar. Ancak, bu tarz olayların minimize edilmesi için hem domain policy hem de kullanıcı davranışlarının iyi analiz edilmesi gerekir.

Gelişmiş güvenlik için LDAP bağlantı kontrolleri, zaman senkronizasyonu, API çağrılarının izlenmesi ve brute force girişimlerinin kısıtlanması elzemdir.