Wordpress Free ThemesOnline TipsArticles DirectoryForeclosure HelpHouse For Sale By OwnerHouse StagingProperty Management

WINDOWS SERVER 2008 / R2 EVENT VIEWER /AUDITING

| 18 Eylül 2011 | 3 Comments

Bundan önceki makalemizde WIN2K3 üzerinde Event Viewer / Auditing konularını işlemiştik. Bu makalemizde ise WIN2K8 üzerinde Event Viewer / Auditing konularını anlatmaya çalışacağız. Ayrı ayrı konular halinde ele almamızın nedeni ise Server 2008 ile birlikte hem Event Viewer’ da  hem de Audit (izleme- denetim) mekanizmasında ki gelişmelerdir. Tabi ki Event ID’ler değişmiş ve loglardan daha ayrıntılı bilgilere ulaşabiliyoruz.

Server 2008’ de  de yine aynı şekilde Event Viewer’ a  Administrative Tools altından ulaşabiliyoruz.  yada Start’a tıklayıp  eventvwr.msc” yazarak ulaşabiliriz.

Auditing 01

Auditing 01

Auditing 02

Auditing 02

Sekil 1’de Server 2008’de bulunan Evnet Viewer’ı, Şekil 2’de ise Server 2003’de bulunan Event Viewer’ı görüyoruz. Hem grafiksek anlamda hem de fonksiyonel anlamda 2008’de gelişmeler vardır.

Kısaca 2008’deki gelişmelee değinecek olursak:

1-      Forwarding and Collection Events ( Olay toplama ve iletme):  Windows Server 2008 ile birlikte artık uzak bilgisayarlarda meydana gelen olaylar merkezi bir şekilde toplanabilmektedir ve sistem yöneticileri uzak bilgisayarlarda meydana gelen olayları belirledikleri bil merkezi bilgisayardan takip edebilmektedirler. ( Bu konu hakkında ilerde bir makale yazmayı düşünüyorum)

2-      Create a Custom View ( Özel görünüm yaratma): Bir nevi Server 2003’ deki filtrelemeye benzetebiliriz. Fakat custom view daha fonksiyoneldir ve daha gelişmiştir. Custom view ile birden fazla olay günlüğünde bulunan olaylar filtrelenebilir ve bu filtreleme kaydedilerek daha sonra da kullanılabilir.

Auditing 03

Auditing 03

Auditing 04

Auditing 04

 İki şekilde de görüldüğü üzere filtreleme seçenekleri açısından Server 2008 daha zengindir. Yine ayrıca  XML tabanlı sorgularda kullanılabiliyor. İstersek manuel olarak sorgulama yapabiliriz.

Auditing 05

Auditing 05

3-      Integration with Task Scheduler ( Görev Zamanlayıcısı ile Birleştirme): Server 2008’deki bu özellik sayesinde belirli olaylar meydana geldiği anda belirli tepkilerin verilmesini sağlayabiliriz.  Bunu yapmaz için görev ile ilişkilendirmek istediğimiz loğun üzerine gelinip sağ

 tıklanır ve Attach a Task to This log.. tıklanır. Karşımıza gelen pencerede gerekli tanımlamalar yapılır ve next tıklanır.

Auditing 06

Auditing 06 

Bir sonraki pencerede Log Çeşidini, Kaynağı ve Event ID’yi gösteren bir ekran ile karşılaşırız ve next diyerek ilerleriz.

Auditing 07

Auditing 07

Daha sonraki ekranda bize ne yapılacağını soran bir ekran ile karşılaşırız.

Auditing 08

Auditing 08

Burada üç seçeneğimiz vardır. Belirleyeceğimiz bir program başlatılabilir, belirleyeceğimiz mail adresine mail gönderilebilir, yada bir mesaj uyarısı alabiliriz. İlgili seçeneği işaretledikten sonra next ile devam ederiz.

Biz örnek olması açısından hesap makinesinin çalışmasını istedik. Ve next dedik.

Auditing 09

Auditing 09

Yaptığımız işlemlerin özetini gösteren bir ekranla karşılaşırız ve her şey tamam ise Finish diyerek işlemi tamamlamış oluruz.

Auditing 10

Auditing 10

 Kırmızı çerçeveye alınmış kısımda Open the Properties dialog for this task when I click Finish ( Bitir butonuna tıkladığım zaman  bu görev için özellikler  penceresini aç)yanındaki kutucuğu işaretler isek aşağıdaki gibi bir ekranla karşılaşırız.

Auditing 11

Auditing 11

Burada farklı ayarlar vardır. Şimdilik bu konulara detaylı olarak girmiyoruz. Okey dediğimiz anda görevin oluşturulduğunu ve bunu zamanlanmış görevlerden görebileceğimiz gören bir uyarı mesajı alırız ve işlemimiz tamamlanmış olur.

Auditing 12

Auditing 12

Zamanlanmış görevlere tıkladığımızda Event Viewer Task altında bizim oluşturmuş olduğumuz görevi görebiliriz ve istersek buradan modifiye edebiliriz.

Auditing 13

Auditing 13

Bu kadar ayrıntıdan sonra asıl konumuza devam edelim.

4-      Önceki sürümlere göre gelişmiş bir loglama yapısı vardır. Server 2003’e göre sistemde meydana gelen olaylar daha ayrıntılı ve daha çeşitli olarak kayıt altına alınır.

          WINDOWS LOGS

Auditing 14

Auditing 14

Windows logs kısmında daha önceki Windows sürümlerinde de bulunan Uygulama (Application), Güvenlik (Security), Sistem (System) günlükleri  ( bunların ne olduğunu daha önce açıklamış idik o yüzden burada ayrıntıya girmiyoruz) ve ek olarak Forwarders Events ( iletilen olaylar) ve Setup loğları eklenmiştir. 

Setup log  ( kurulum log): Sisteminizde kurmuş olduğumuz uygulamalarla ilgili bilgileri içerir. Yani kurulum ve yükleme (installation) esnasında işletim sistemi tarafından tutulan loğları kaydeder.

Forwarders Events: Uzak bilgisayarlardan toplanan loğlarla ilgili bilgileri içerir

 APPLICATION AND SERVICES LOGS

Auditing 15

Auditing 15

Uygulamalar ve servisler kategorisi daha önceki Windows versiyonlarında bulunmamaktadır. Windows  2008 ile birlikte gelmiştir. Bu kısım oldukça detaylıdır. Sistemde oluşan donanım arızaları, IE ile ilgili olaylar, Key Management Service ( kurulu ise) ilgili olaylar yer almaktadır. Uygulama ve hizmetler tarafından yaratılan ve bu uygulama ve hizmetlere özel gelen olayları kaydetmek için kullanılır.

Microsoft düğümü altında ise işletim sistemi ile ilgili çok ayrıntılı bilgilere ulaşabiliriz. Bu kısımda Windows’a özel hizmetler ile ilgili olayları izleyebiliriz.

Auditing 16

Auditing 16

 Application and  Services kısmı 4 farklı alt kategori bulundurur. Bunlar;

          Analiz (Analytic)

          Hata ayıklama (Debug)

          Yönetici (Admin)

          Operasyonel (Operational)

Debug ve Analytic modu varsayılan olarak göremeyiz. Bunun için Event Viewer açılır. View Menüsünden Show Analytic ve Debug  Logs seçilerek görülebilir.

Auditing 17

Auditing 17

Custom Views altındaki Server Roles kısmında yüklü roller hakkında   o role özel loglara bakabiliriz. Administrative Events altında ise tüm log kaynaklarına ait bulunan error (hata) ve warning (uyarı)’leri görebiliriz.  Bu kısımda Server 2003’te bulunmamaktadır ve Server 2008 ile birlikte gelmiştir.

Auditing 18

Auditing 18

Power Shell ile ilgili olaylar, MS Offfice ile ilgili olaylarda bu kısımda yer almaktadır. Görüldüğü üzere Windows Server 2008 ile  loglama çok gelişmiş bir vaziyettedir ve bir çok özellik entegre olarak gelmektedir. Daha ayrıntılı bilgi için aşağıdaki adresi kullanabilirsiniz.

http://technet.microsoft.com/en-us/library/cc722404.aspx

Log uyarı çeşitleri yine aynıdır.  Security loğlarından Success ve Failure diğer loğlarda Information, Warninig ve Error şeklinde gelmektedir. ( Ne anlama geldiklerini daha önce açıkladığımız için burada tanımlara yer vermedik).

LOG DOSYALARININ BOYUTU

Bu konu daha önceki makalemizde işlenmişti, burada farklılıklardan bahsetmek istiyoruz. Log dosyalarının boyutunu görüntülemek için ilgili log dosyası üzerinde sağ tıklanır ve Properties seçilir.

Auditing 19

Auditing 19

Yukarıdaki Security logunun özelliklerini görüyoruz. Buradaki farklılıklara değinir isek ( WIN 2K3’ e göre) 

 Auditing 20

Auditing 20

İlk fark log dosyalarının path kısmında. Server 2003’te System 32\Config altında iken Server 2008’de Sytem 32\Winevt\Logs altında durmaktadır.

İkinci olarak Server 2003’de log dosyalarının uzantıları  .EVT iken Server 2008’de .EVTX olmuştur.

Üçüncü fark ise When maximum log size is reached ( Log dosyaları maksimum boyutuna ulaşınca yapılacaklar) kısmındadır.  Server 2003’de Overwrite events older than… kısmı artık Server 2008’de yoktur. Onun yerine Archive the log when full, do not overwrite events gelmiştir. Yani Server 2003’te üzerine yazabiliyor iken 2008’de üzerine yazamıyoruz.

Bunun anlamı şudur. Windows’u hiçbir zaman günlüklerin üzerine yazmaması için yapılandırabiliriz. Böyle bir durumda günlük maksimum boyutuna ulaştığında olayların üstüne yazamaz ve hata verir. Bu durumda sistemi Admin haklarına sahip bir kullanıcı açmalıdır ve logları manuel olarak temizlemelidir (arşivlemelidir).

LOG DOSYALARINI FİLTRELEMEK ( LOGS FILTER)

Server  2008’de filtreme mantığı Server 2003 ile aynıdır. Filtreleme yapmak için ilgili log üzerinde sağ tıklanır ve Filter Current Log seçilir.

Auditing 21

Auditing 21

Seçimimizi yaptıktan sonra filtreleme ekranı ile karşılaşırız.

Auditing 22

Auditing 22

Burada yine Server 2003’te olamayan Task Category , Keywords ve Event Level  alanları vardır.  Kısaca açıklayacak olur isek;

          Task Category: Sadece belirli bir kategorideki olayları filtrelemek için kullanılır. Kullanılabilecek kategoriler seçtiğimiz log kaynağına göre değişiklik gösterir.

          Keywords ( anahtar kelimeler):  Sadece belirli kelimeler ile arama yapabilmemizi salar.

          Event Level: Belirli bir düzeye ( zaman aralığı)’ na göre arama yapmamızı sağlar.

Yine XML tabanlı filtreleme yapmakta mümkündür.

LOGLARI ARŞİVLEMEK

Günlükleri düzenli olarak arşivlemek özelliklede Security günlüklerini ilerde çıkabilecek sorunlar hakkında geri dönüş yapabilmemizi ve sorun hakkında bilgi sahibi olabilmemize olanak tanır ( Mahkemelerde yasal olarak delil niteliğini de taşıdığını düşünürsek).

Arşivleme yapmak için ilgili log kaynağı  üzerinde sağ tıklanır ve  Save all Evnets as  seçilir.

Auditing 23

Auditing 23

Karşımıza çıkan pencerede nereye kaydedeceğimizi belirleriz ve desteklenen kayıt çeşitlerinden bize uygun olanı seçeriz.

Auditing 24

Auditing 24

Burada Server 2003’e göre bir farklılık vardır oda kayıt ederden artık  .XML seçebiliyoruz. Kaydettiğimiz bu loğları geri çağırmak için ise yine ilgili log kaynağı üzerine sağ tıklanır ve Open  Saved Log seçeneğine tıklarız. Açılan menüden kayıt yaptığımız yeri göstererek ilgili log dosyasının Event Viewer’da görüntülenmesini sağlayabiliriz. Tabi kayıt yaparken .EVTX seçmiş isek.

Evet Server 2008 Event Viewer hakkında söyleyeceklerimiz şimdilik bu kadar.

Bir sonraki makalede görüşmek üzere.

Murat KOÇAK

IT Professional

RastGele Reklam Kodu


Etiketler: , , , , , ,

Kategori: Log Yönetimi

Murat KOÇAK

Yazar Hakkında ()

www.kocakmurat.com IT Professional

Yorumlar (3)

Trackback URL | Comments RSS Feed

Sites That Link to this Post

  1. 28. janúar 2013 kl. 19.25 | 21 Temmuz 2013
  1. Murat hocam eline sağlık EVENT konusu gerçekten çok önemli.

  2. Sefa Aydemir Sefa AYDEMİR dedi ki:

    teşekkürler murat hocam elinize sağlık….

Bir yorum yazın

Bir Yorum yazmak için giriş yapmalısınız.