Wordpress Free ThemesOnline TipsArticles DirectoryForeclosure HelpHouse For Sale By OwnerHouse StagingProperty Management

Windows Server 2003 Log Yönetimi

| 11 Eylül 2011 | 1 Comment

           İlk iki makalemizde Log Yönetimine Giriş ve Niçin Log Yönetimi Yapmalıyız başlıkları altında log ve log yönetiminin önemi ve gereklilikleri üzerinde durmuş idik. Bu makalemizde ise Windows Server 2003/2008 sistemlerinde Event Viewer Security ve Audit konuları anlatmaya çalışacağız.

Karışıklık olmaması açısından önce Win2K3 ardından Win2K8 olarak ayrı ayrı olarak konuları anlatmaya çalışacağız yeri geldikçe farklılıklardan bahsedeceğiz.

1-    WINDOWS SERVER 2003 EVENT VIEWER /SECURITY VE AUDIT

Windows işletim sistemi olayları, kullanıcı hesaplarını, sistem işlemlerinden yada uygulamalardan meydana gelen olayları (event-olay) izlemek için bir log (iz kaydı) dosyasına kaydeder.

Event viewer (olay görüntüleyicisi) ise sistemde çeşitli sebeplerden ötürü meydana gelen bu olayları takip etmemizi sağlar. Win2K3’te Event Viewer; Administrative Tools (Yönetimsel Araçlar) altında bulunan bir bileşendir.

server Log yonetim 01Şekil 1

server Log yonetim 02

 Şekil 2

Olay görüntüleyici içerisinde meydana gelen bu olayları tutmak için bir çok log dosyası vardır. Şekilde de  görüldüğü üzere Application (uygulama), Security (güvenlik), System (Sistem), Directory Service (Dizin Hizmeti), DNS Server, File Replication Service gibi seçenekler bulunmaktadır.  Sistemde meydana gelen olaylar bu loglara düzenli olarak kaydedilirler ve daha sonra herhangi bir sorunla karşılaştığımızda incelenebilir.

NOT: Bütün kullanıcılar Applicaiton ve System loglarına ulaşabilirler fakat sadece Administrator grubuna üye kullanıcılar Security loguna ulaşabilirler.

Olay günlüklerini denetleyen hizmet Windows Event Log hizmetidir.

server Log yonetim 03Şekil 3

Şekilde de görüldüğü üzere Administrative Tools (Yönetimsel Araçlar) altından Services (Hizmetler) seçeneğine tıklayarak bu hizmete ulaşabiliriz. Şekilde kırımızı çerçeveyle ayrılmış kısma dikkat edersek eğer This service cannot be stoopped ( Bu servis durdurulamaz) şeklinde bir açıklama da vardır. Servisin durması başımızın ağrımasına sebep olabilir. Zaten kullanıcı müdahalesine de açık değildir. Servis üzerinde sağ tıklayıp Properties (özellikler) sekmesine tıkladığımızda seçeneklerin pasif geldiğini ve işlem yapmamıza izin vermediğini görebiliriz.

server Log yonetim 04

Şekil 4

Çerçeveye alınmış kısma dikkat edersek Start (başlat), Stop(durdur), Pause (duraklat)ve Resume(sürdür) seçenekleri pasif durumdadır.  Buradan hareketle bu servisin önemli bir işlevi vardır ve kullanıcı müdahalesiyle durdurulamaz. Ama Startup  type ( başlama tipi) seçeneklerinde disable (pasif) duruma ya da Manuel (elle) başlatma seçeneklerinden birini seçebiliriz.

WINDOWS 2K3 OLAY GÜNLÜKLERİNİ TANIMAK

Yukarıda Şekil 2’de Olay Görüntüleyicisi’ nde çeşitli adlar altında loglar gözükmektedir. Şimdi bu loglara yakında bakalım. 

SYSTEM LOG

Win2K3 işletim sisteminde sistem tarafından meydana getirilen olayların, hataların sebep olduğu olaylar Sytem Log’ una kaydedilir. Örneğin;  sistemdeki servislerden herhangi birinin çalışmaması.

server Log yonetim 05Şekil 5

APPLICATION LOG

Sistemde kullanılan çeşitli uygulamalar tarafından meydana getirilen olaylar Application Log’unda tutulur. Örneğin;  herhangi bir uygulamanın hata vermesi.

server Log yonetim 06

 Şekil 6

SECURITY LOG

Güvenlik ayarları, audit (izleme) logları, local grup ilkeleri yada genel grup ilkeleri ile ilgili yaptığımız düzenlemeler Security Log’unda yer alır. Örneğin; hatalı oturum açma olayları, object access denetimleri 

server Log yonetim 07

 Şekil 7

Şimdiye kadar üç çeşit log tipine baktık. Bunlara temel log’ lar da diyebiliriz. Application, System ve Security Log dışında kalan diğer loglar Active Dirrectory yapısında  hizmet verirler. Domain ortamında olmayan bir makinede aşağıdaki şekilde olduğu gibi gözükecektir.

server Log yonetim 08

 Şekil 8

 Bizim örneğimizde ki makine bir DC ( Domain Controller) olduğu için diğer logları da görebiliyoruz. Bu loglarıda açıklayacak olur isek;

DIRECTORY SERVICE LOG

Active Directory dizin hizmeti tarafından meydana getirilen olaylar bu log’a yazılır. Bu loglar genelde AD veri tabanı ile ilgilidir.

server Log yonetim 09

 Şekil 9

DNS SERVER LOG

DNS (Domain Name System) tarafından meydana getirilen olaylar buraya yazılır. Örneğin: DNS sorguları ve bu sorgulara verilen cevaplar.

server Log yonetim 10

 Şekil 10

FILE REPLICATION SERVICE LOG

Dosya çoğaltma servisi tarafından meydana getirilen olaylar buraya yazılır.

server Log yonetim 11

Şekil 11

SYSTEM VE APPLICATION OLAY (EVENTS) TİPLERİ

Bu logların üç çeşidi vardır;

          İnformation: Sistemde başarılı olarak gerçekleşmiş olaylar hakkına bilgi verir.

          Warning: Şanslıyız şu an hata yok ama bu uyarıyı dikkate al ilerde başın ağrıyabilir anlamına gelir

          Error: Artık şanslı değiliz bir hatayla karşılaştık ve bu logu incelemeliyiz.

 SECURITY OLAY (EVENT) TİPLERİ

Security olaylarında iki tip vardır;

          Success: İstenilen işlemlerin başarılı olduğu anlamına gelir.

          Failure: İstenilen işlemlerin başarısız olduğu anlamına gelir.

LOG DOSYALARININ BOYUTU

Günlük dosyaları sistemin türüne ve yapılandırmasına bağlı olarak boyutlandırılmıştır. Varsayılan olarak security logları çok önemli olduğu için en fazla boyuta sahip olan loglardır. Diğer loglar nispeten security loglarına göre daha küçük boyutlara sahiptirler.

İlgili log dosyasının boyutunu görüntülemek için sağ tıklanıp properties seçilir ve önümüze gelen ekranda boyut ile ilgili bilgilere ulaşabiliriz.

server Log yonetim 12Şekil 12

 Şekilde çerçeveye alınmış kısımda Log Size kısmında çeşitli seçenekler vardır. Bunlara yakından bakacak olur isek;

Maximum Log Size kısmında; o log dosyasının alabileceği en fazla değer belirtilmiştir.  When maximum log size reached ( Log dosyası maksimum boyutuna ulaştığı zaman) yapılacak seçenekler;

          Overwrite events as needed ( gerektiğinde üzerine yaz):  Log dosyası dolduğunda  eskiden  log kayıtlarından başlayarak üzerine yaz. Bu seçenek güvenlik açısından önemli değil ise ( application log gibi) kullanılabilir.

          Overwrite events older than (yandaki şekilde belirtilen değerden daha eski logların üzerine yaz): Belirtilen değerden daha eski loglardan başlayarak üzerine yaz. Yine güvenlik açısından önemli olmayan loglar için uygulanabilir.

          Do not overwrite events (clear log manually): Üzerine yazma. Manuel (el ile) olarak temizleme yap. Güvenlik açısından kritik loglarda kullanılabilir. Sistem yöneticileri günlük olarak bu logları takip edip gerekirse yedekleme yapabilir.

Clear log ( log temizle): Bu seçenek ile ilgili loglar temizlenebilir.  Ama tavsiye olarak temizlemeden önce yedeklemekte fayda var.

Using a low-speed connection (düşük hızlı bağlantı kullanma): Başka bir bilgisayardaki logları  event viewer kullanarak görüntüleyebiliriz. Bağlantı hızı yavaş ise bu seçenek kullanılabilir.

Windows Server 2003’ te loglar varsayılan olarak System32 altında Config dosyası içinde bulunurlar ve uzantıları .evt’ dir.

server Log yonetim 13Şekil 13

 LOGLARIN FİLTRELENMESİ (LOGS FILTER)

Yoğun kullanılan sistemler çok fazla log üretirler ve logları incelememiz oldukça zahmetli olabilir. Bu yüzden log filtreleme yaparak istediğimiz loga daha kolay ulaşabiliriz. Log filtrelemek için ilgili log üzerinde sağ tıklayıp properties ve önümüze gelen ekranda filter tabını seçeriz.

server Log yonetim 14

Şekil 14

Event Types (olay türleri) kısmında daha öncede incelediğimiz gibi hangi olay türlerini incelemek istiyorsak ona göre seçim yapabiliriz. Sadece warning yada sadece error seçebiliriz.

Event source (olay kaynağı) kısmında ilgilendiğimiz olayın kaynağını biliyorsak diğer ilgili seçimi yapabiliriz.

server Log yonetim 15

Şekil 15

 Category  kısmında kategori ile ilgili seçim yapabiliriz.

Event ID (olay  kimliği ) kısmında ilgili olay ID’ sinin biliyorsak ona göre filtreleme yapabiliriz.  

User ( kullanıcı) kısmında ilgili kullanıcı biliniyorsa o kullanıcının ismini girerek filtreleme yapabiliriz. Belirli kullanıcılarla ilgili bütün logları görüntüleyebiliriz.

Computer ( bilgisyar) kısmında ilgili bilgisayar biliniyorsa o bilgisayarın ismini girerek filtreleme yapabiliriz. Belirli bir bilgisayarla ilgili tüm olayları görüntüleyebiliriz. ( Bilgisayar isimlerinin değişikliğinin – hostname- kaydedilmesi ve tespit edilmesi bu yüzden önemlidir).

 En altta bulunan from ve to kısımlarında ise belirli tarihler arasındaki loglar görüntülenebilir. 

Ek bir bilgi olarak filtreleme yapabiliyoruz çünkü loglar kaydedilirken category, event ID, user, computer gibi bilgiler de kaydedilir.

Yaptığımız bütün seçimleri kaldırmak istiyor isek Restore Default diyerek varsayılan ayarlara dönebiliriz.

LOGLARIN KAYDEDİLMESİ VE SİLİNMESİ

Log boyutları kısmını incelerken kritik öneme sahip logların el ile temizlenmesi gerektiği ve bu işlemin yapılmadan önce kaydedilmesi gerektiğini belirtmiş idik. Kaydettiğimiz logları sonradan çağırarak üzerinde inceleme yapabiliriz ve mahkemelerde yasal bir delil niteliğindedir.

Logları kaydetmek için ilgili log üzerinde sağ tıklanır ve Save Log File As seçeneğine tıklanır.  Önümüze gelen ekranda istediğimiz gibi bir isim vererek kaydetme işlemi yapılır.

server Log yonetim 16

Şekil 16

Loglarmızı üç farklı format şeklinde saklayabiliriz. Bu seçenekler .EVT – . TXT – .CSV şeklindedir. Kendimize uygun seçeneği seçerek kayıt işlemi yapabiliriz.

server Log yonetim 17Şekil 17

Kaydettiğimiz bir logu çağırmak için ise ilgili log üzerinde sağ tıklanır ve Open Log File seçilerek dosya yolu gösterilir ve açılması sağlanır.

server Log yonetim 18

Şekil 18

 Logları silmek için ise yine ilgili log üzerinde sağ tıklanır ve Claer all Events tıklanır. Tıkladığımızda bu logu kaydetmemiz isteyen bir pencere açılacaktır. Kaydetmek istiyorsa Evet deyip log kaydedilebilir.

server Log yonetim 19

Şekil 19

Evet buraya kadar Windows Server 2003 sisteminde Event Viewer, temel loglar ve AD ortamında ki loglar, system ve application log tipleri, security log tipleri, log boyutu ve logların saklanması, silinmesi ve geri çağrılması konularını anlatmaya çalıştık. Bu genel bilgilerden sonra SECURITY kısmına geçebiliriz.

WINDOWS 2K3 SECURITY POLICY

Policylerin amacı sistemimizin sağlıklı çalışması ve belirlediğimiz olaylarda izleme yapmak ve/veya kısıtlamalar yapmaktır. Security poliçelerini iki şekilde uygulayabiliriz.

          Local Security Policy ( Yerel Güvenlik İlkesi): Genellikle küçük ve Domain ortamı olmayan networklerde uygulanır. Sadece uygulanan makineye etki eder.

          Group Policy ( Grup İlkesi): Genelde büyük ve Domain ortamı olan networklerde uygulanır. Domain içindeki bir veya birden fazla bilgisayara etki eder.

Konunun asıl bizi ilgilendiren kısmı daha öncede bahsettiğimiz gibi AUDIT (İZLEME-DENETLEME) mekanizmasıdır. Bu konuya geçmeden önce Security konusunu temel olarak inceleyeceğiz.

LOCAL SECURITY POLICY

Yerel Güvenlik İlkesi; adından da anlaşılacağı gibi sadece yerel olarak uygulanır ve sadece uygulandığı makine üzerinde etkili olur. Local Security Policy’e  Admininistrative Tools altından ulaşılır.

server Log yonetim 20Şekil 20

Son görüntü aşağıdaki şekildeki gibi olacaktır.

server Log yonetim 21

Şekil 21

Buradaki seçeneklere bakacak olur ise;

          Account Polices: Kullanıcı şifre ve kısıtlamalarla ilgili ayarları içerir. Örnek olarak minimum password uzunluğu, passwordun kompleks olması gibi ayarlamalar buradan yapılır. 

          Local Policies: Bizim için önemli olan kısımda burasıdır. Audit (izleme), kullanıcı hakları ve güvenlik seçeneklerinin yapılandırıldığı kısımdır.

          Puplic Key Policies: Sertifikalarla ilgili işlemlerin yapıldığı kısımdır.

          Software Restriction Policies: Yazılım kısıtlama ilkeleri. Burada kabaca hash rule, path rule ve sertificate rule ile çeşitli yazılımların kullanılmasının önüne geçilebilir.

          IP Security Policy: İletişimin güvenli olması için IP Sec uygulamasının yapıldığı kısımdır. Request Security, Require Security, Respond Only gibi seçenekler vardır.

Buradaki poliçelerde ayarlama yaparak o makine üzerinde geçerli olacak ayarları yapabiliriz. Dikkat burada yaptığımız ayarlar sadece o makine üzerinde geçerli olacaktır.

Kısa bir açıklamadan sonra AUDIT konusuna girebiliriz. Konuya girmeden önce hatırlatmakta fayda olduğunu düşündüğüm birkaç nokta var.

          Audit (izleme) bilgisayar bazlı açılıp kapatılabilen bir özelliktir. Yani networkümüzün ve güvenlik politikalarımızın gereği olarak  bazı makinelerde açılıp bazılarında açmayabiliriz. Örnek olarak DC makinemizde açıp, diğer makinelerimizde açmayabiliriz.

          Eğer detaylı bir takip yapmak istiyor isek tüm sistemlerimizde Audit açılabilir.

          Domain ortamı bulunan networklerde Audit açma/kapama işlemini Group Policy ile yapabiliriz. Workgroup ortamlarda tek tek manuel (el ile) olarak açma durumundayız.

Audit ile kullanıcı hareketlerini ve sistemde meydana gelen olayları izleyebiliriz. Daha önce verdiğimiz tanımı hatırlayacak olur isek;  Audit (izleme) kısaca bizim belirlediğimiz nesneler üzerinde (örnek olarak kurumsal bilgilerin bulunduğu bir file server üzerindeki klasörler) ve belirlediğimiz izleme bileşenlerine göre ( erişim, silme, yaratma, göz atma vs..) belirlediğimiz kişilerin ( bu herkes olabileceği gibi sadece belirli kişiler de olabilir) o nesne üzerinde yaptıkları işlemlerin log (iz kayıtları) larının alınmasıdır.

Bu izleme iki şekilde gerçekleşiyor idi. Success ve failure. Tek tek izlenebileceği gibi her ikisi de yani Success ve failure birlikte izlenebilir. Bu olaylar Event Viewer içinde Security Loglarında görüntülenir. 

server Log yonetim 22

Şekil 22

Yukarıdaki şekilde görüldüğü gibi çeşitli Audit (izleme) seçeneklerimiz vardır. Bu seçenekler;

          Audit Account logon events: Kullanıcıların Domain ortamında logon olduğu zamanki bilgileri tutar. Açılması tavsiye edilir. Kullanıcıların domain ortamındaki oturum açma bilgileri önem arzeder.

          Audit Account Management: Kullanıcı ve grup hesaplarında meydana gelen değişikliklerin izlenmesini sağlar. Kullanıcı ve grup oluşturma, silme, şifre değişikliklerini örnek gösterebiliriz. Bu kısmında açılması tavsiye edilir. Kullanıcı ve grup bilgilerinde yapılan değişikliklerin izlenmesi önemlidir.

          Audit Directory Service Access: Active Directory objelerine erişen kullanıcıların bilgisi tutulur.

          Audit Logon Events:  Yerel bilgisayarda oturum açma/kapama bilgileri ile network bağlantısı yapılması bilgilerini tutar. Bu kısmında izlemeye alınması önemlidir.

          Audit Object Access:  Kullanıcıların sistem kaynaklarına yaptıkları erişim bilgileri buradan takip edilir. Dosyalar, klasörler ve yazıcı bilgileri burada ayarlanır. Tabii ilgili dosya, klasör ve yazıcı üzerinde de gerekli ayarlamaların yapılması gerekir. Sistem yöneticileri burayı göz ardı etmemelidir.

          Audit Policy Change: İlkelerde yapılan değişikliklerin izlenmesi buradan ayarlanır.

          Audit Privilege Use: Kullanıcıların sistem üzerinde yaptığı değişikliklerin bilgisini tutar. Sistem saatinin değiştirilmesi gibi.  Bu kısmı da izlemeye almalıyız.

          Audit Process Tracking: Kullanıcıların çalıştırdıkları uygulamaların bilgisini tutar. Kim, ne zaman çalıştırdı gibi. Bu kısmıda izlemeye almalıyız.

          Audit System Events: Kullanıcılar tarafından gerçekleştirilen shutdown, restart gibi bilgilerin tutulduğu kısımdır. 

Örnek bir yapılandırma bilgisi şöyle gerçekleştirilebilir;

server Log yonetim 23

Şekil 23

Bu ayarları aktif etmeden herhangi bir izleme yapamayız. Daha önceki makalemizde verdiğimiz MAASLAR klasörü örneğini hatırlayacak olursak Audit özelliği devrede ise yapılan işlemler kayıt altına alınacaktır, Audit özelliği devrede değil ise kim, nereye, ne zaman erişti sorularına verilecek tek cevabımız BİLMİYORUM olacaktır. Geçmiş ile ilgili hiçbir bilgiye ulaşamayacağız demektir!!!

AUDIT NASIL UYGULANIR?

Domain ortamında isek Group Policy aracılığıyla yok eğer workgroup ortamında isek Local Securtiy Policy araçlığıyla Audit mekanizmasını açabiliriz. Workgroup yada domain ortamında olmamız uygulama açısından farklılık gösterecektir. Yani domain ortamında toplu olarak işlem yapabiliyorken workgroup ortamında tek tek yapmamız gerekir. Yapılan işlemler aynıdır. Tabi yine eğer ortamda AD varsa Audit sekmesinde Directory Service Acces kısmıyla ilgilide istersek izleme yapabiliriz.

Audit yapabilmek için Administrator Grubunun üyesi olmamız gerekir. NTFS sistemlerde Audit işlemi gerçekleştirebiliriz.

Object Access ve Process Tracking için; Securit Policy’de işlem yaptıktan sonra ilgili nesne üzerinde de işlem yapmamız gerekir. Diğerleri için ise Security Policy üzerinde işlem yapmamız gerekir. Bunu bir örnekle pekiştirelim. MAASLAR adında bir klasör oluşturalım ve Audit ayarlarının yapalım.

Object Access ile;

·         File (dosya)

·         Folders ( Klasör-Dizin)

·         Printer ( Yazıcı)

·         Kayıt Anahtarları ( Registry Key) erişimlerini takip edebiliriz.

Klasörümüzü oluşturduktan sonra klasör üzerinde sağ tuş Properties ve Security kısmı ordan da Advanced butonuna tıklayıp Audit sekmesine geçelim.

server Log yonetim 24

Şekil 24

İzlemek istediğimiz kullanıcı yada grupları Add butonuna basarak ekleyebiliriz. Burada dikkat etmemiz gereken birkaç önemli nokta var.  Bu kısımda herkesi (everyone) ekleyebileceğimiz gibi belirli kişi yada grupları da ekleyebiliriz. Herkesi ekler isek çok fazla log üretme durumuyla karşılaşabiliriz. O yüzden Audit ayarlamaları yapılır iken kimin, nereye erişim hakkı var çok iyi tayin etmeliyiz. Biz örnek yaptığımız için herkes diyeceğiz.

Gerekli kişi ve grupları seçtikten sonra dikkat etmemiz gereken bir nokta daha karşımıza çıkmaktadır. Seçtiğimiz kişi yada grupların hangi hareketlerini izleyeceğiz. Her şeyi seçer isek bir çok gereksiz log üretilmesini sağlarız ve bu logları saklamak için de ekstra alana ihtiyacımız ortaya çıkar.

server Log yonetim 25

Şekil 25

Şekilden de anlaşılacağı üzere bir çok hareketi takip edebiliriz. Burada takip etmemiz gereken hareketlerin seçimini yaparız.

server Log yonetim 26

Şekil 26

Kırmızı çerçeveye alınmış kısma dikkat edersek Success ve Failure olarak iki kısım var. Biz burada herhangi birini seçebileceğimiz gibi her ikisini birden seçebiliriz. Meydana gelen olayları Security Log kısmında göreceğiz.   Mavi renk ile çerçeveye alınmış kısımda yani Apply onto: This Folder, subfolders and files ( Bu klasör, alt klasörler ve dosyalara uygula) anlamına gelir.

Apply these auditing entries to objects and/or containers this container only ( Bu izleme kayıtlarını yalnızca bu kap içindeki nesnelere ve/veya kaplara uygula) seçeneğinin anlamı ise bu izleme ayarlarının hemen şu andan itibaren bu klasörün altında yer alan nesnelerimi yoksa daha sonraki alt nesnelere mi uygulanacağını belirtebiliriz. Yani alt nesneler var ise hemen uygula yok ise daha sonra uygula manasına gelir.

Seçimlerimizde yaptıktan sonra OK diyerek pençeleri kapatabiliriz ve uygulamaya geçebiliriz. Bizim takip etmek istediğimiz olaylar List Folder /Read Data, Create Files /Write Data, Delete Subfolders and Files ve Delete.

Şimdi MAASLAR klasörü altında bir file yaratalım ve içine birkaç şey yazalım. Daha sonra oluşturduğumuz bu file’ı silelim ve Security Log’unda neler var bakalım.

server Log yonetim 27

Şekil 27

server Log yonetim 28

Şekil 28

Şimdi ise yaptığımız bu işlemlerin Security Log’unda nasıl göründüğüne bakalım. Securty loglarına bakacak olur isek;

server Log yonetim 29

Şekil 29

Security loglarında şu an bizim ilgileneceğimiz kısım kırmızı çerçeveye alınmış olan Object Access kısmıdır. Çünkü biz şu an MAASLAR klasörü için Audit mekanizmasını devreye aldık. Daha yakından bakarsak;

server Log yonetim 30

Şekil 30

Şekilde de görüldüğü üzere Descrition (açıklama) kısmını hemen altında Object Open (nesne açma) gözükmekte.

Source (Kaynak): Security. Audit olaylarının Security Loglarına düşeceğini önceden belirtmiş idik.

Category: Object Access (Nesne Erişimi)

User (Kullanıcı): TEST domaininde Administrator kullanıcısı

Object Name: Masaüstündeki MAASLAR klasörü.

server Log yonetim 31

Şekil 31

Kısımları bizim için önemlidir. Şimdi ise belirlediğimiz klasör üstünde ne gibi işlemler yapılmış onlara bakalım. Tekrar Security Log kısmında Object Acces loglarını inceleyeceğiz.

Yukarıdaki  şekilde Accesses kısmındaki parametre bize bu klasöre 9/5/2011 tarihinde  9:31:13 saatinde DC bilgisayarında TEST etki alanında Administrator kullanıcısı tarafından erişildiğini göstermektedir fakat dosya üzerinde ne gibi işlemler yapıldığı hakkında bilgi vermez. ( Event ID: 560)

Event ID 560: Açma (open), MAASLAR klasörüne (okuma, yazma, silme ) yetkisi le erişildiğini gösterir. Bu yetkiler ile o dosya üzerinde neler yapabileceği anlatılır fakat dosya üzerinde yapılan işlemler için Event ID 567’ye bakmamız gerekir.

İncelemeye devam edelim çünkü biz MAASLAR klasörü altında bir dosya yarattık, o dosyada işlem yaptık ve o dosyayı sildik. Bunları loglarda görmemiz gerekir.

server Log yonetim 32

Şekil 32

Şekil 32’te yine 560 ID’li event’a bakıyoruz. Description kısmında Object Open bilgisi var. Yani yine bir obje açıldığını anlıyoruz. Şekil 30’daki Object Name kısmında C:\Document and Settings\Administrator\Desktop\ MAASLAR klasörünü görmüştük. Yukarıdaki şekilde ise Object Name kısmında C:\Document and Settings\Administrator\Desktop\ MAASLAR\ BT Depertmanı.doc adında bir file olduğunu görebiliyoruz.

Adım adım  ilerlemeye devam edelim. MAASLAR  klasörünün açıldığını, bu klasörün altında BT Depertmanı.doc adında bir file oluşturulduğunu gördük. BT Departmanı.doc dosyasını sildik şimdide bu loga bakalım.

Bu loga bakmadan önce o dosyayı silmek için önce o dosyaya erişmemiz gerekir ve buda Event ID 560’ın oluşması demektir. Yani o dosyaya erişiriz ve eğer yetkimiz var ise sileriz.

Şimdi Event ID 567’ye yakından bakalım. Logları filtreleyerek (bunun nasıl yapılacağından bahsetmiş idik). Filtreleme yaptığımızda sadece 567 nolu logları göreceğiz. Şekildeki gibi bir ekranla karşılaşırız.

server Log yonetim 33

Şekil 33

Logların üstüne çift tıklayarak özellikle eriştiğimizde ise;

server Log yonetim 34

Şekil 34

Önce 560 oluştu.

server Log yonetim 35

Şekil 35

DELETE işlemini görebiliyoruz. Fakat küçük bir problemimiz var dosyayı silen kullanıcı bilgisi gözükmemekte. Bu problemi çözmek için ise çaresiz değiliz Handle ID  imdadımıza yetişmektedir. Event ID: 560 ve Handle ID: 1196 olan loga bakmalıyız. Yani hem 560 hem 567 ID lere sahip loglarda Handle ID: 1196’ya bakmalıyız.

server Log yonetim 36

Şekil 36

server Log yonetim 37

Şekil 37

Yukarıdaki üç şekle bakacak olursak Event ID 560 ve 567 her ikisinde de ortak nokta Hadle ID:1196 olmasıdır. Sağdaki şekilde kullanıcının yetkileri görülmektedir. Bu şekilde logları daha anlamlı hale getirebiliriz.

Yine son olarak bakacağımız 564 nolu log kaydıdır. Bu log silme işleminin başarılı olarak gerçekleştiğini belirtir. Description kısmına bakarsak Object Deleted yazdığını görebilriz ve Handle ID: 1196.

server Log yonetim 38

 Şekil 38

Nesne izleme ile ilgili bizim için önemli olan loglar aşağıdakilerdir;

Event ID                                              Açıklama

560                                                        Açma (open) Object Open

562                                                        Close (kaptma) Handle Closed

567                                                        Delete(silme) Object Access Attemp

564                                                        Silme işleminin başarılı olması. Object Deleted.

Evet buraya kadar Object Acces (Nesne Erişim) denetimlerini anlatmaya çalıştık.  Bir sonraki makalede görüşmek üzere….

 

Murat KOÇAK

IT Professional

RastGele Reklam Kodu


Etiketler: , , , , , ,

Kategori: Log Yönetimi

Murat KOÇAK

Yazar Hakkında ()

www.kocakmurat.com IT Professional

Yorumlar (1)

Trackback URL | Comments RSS Feed

  1. MUrat hocam sayende bu log yönetimiyle alakalı bir sıkıntım kalmayacak eline sağlık hocam

Bir yorum yazın

Bir Yorum yazmak için giriş yapmalısınız.