Windows Event Log Kayıtları

Bu kısımda Windows işletim sistemlerinde bulunan olay günlükleri (event log) hakkında bilgiler edinebilirsiniz. Event log kayıtlarının tutulması, önemi ve yorumlanması gibi konuların öğrenilmesi hedeflenmektedir.

Event Log (Olay Günlüğü) Nedir ?

Windows sistemlerde log kayıtlarının tutulduğu yere Olay Günlükleri (Event log) denir. Bir işletim sistemi çalışırken arka planda birçok işlem gerçekleşir. Sistem üzerinde gerçekleşen bu işlemler günlükte kayıt altına alınır.
Sistemde ya da herhangi bir uygulamada gerçekleşen bir hareket kritik bir öneme sahip olabilir ve bu kayıtlar incelenerek sistem yöneticisi gerekli bilgileri edinmenin yanı sıra herhangi bir saldırı fark ettiğinde de önlemler alabilir. Olay günlüklerinde bulunan kayıtlar tarihsel olarak sıralandığı için herhangi bir zaman aralığı baz alınarak filtreleme işlemleri gerçekleştirilebilir.

Görüntüleyici (Event Viewer)

Windows, sistemde gerçekleşen bir çok farklı eylemleri event log sisteminde kayıt altına alır. Event Viewer (Olay Görüntüleyici) sayesinde; sistemde hangi hataların meydana geldiğini görüntüleyebilir ve neden oluştuğunu anlayabilirsiniz.

Log Kayıtları Neden Önemli ?

  • Günümüz dijital çağında artan siber saldırılar ve adli olaylar göz önüne alındığında log kayıtlarının ne kadar önemli olduğu bir kez daha anlaşılmaktadır.
  • Günümüz sistemlerinde güvenlik oldukça kritik bir öneme sahiptir. Bu nedenle sistemde neler olduğunu anlamanız / anlamlandırmanız için log kayıtlarının doğru bir şekilde kayıt altına alınması ve kontrol edilmesi gerekir.
  • Örneğin; sistemimizde hangi kullanıcının, hangi IP adresi ile hangi işlemi gerçekleştirdiğinin kayıt altına alınması ve bilinmesi gerekmektedir.  Bunun için de log kayıtlarının tutulması gerekmektedir.
  • Olay Günlüğü Hizmeti, aynı zamanda sistemde bulunan çeşitli nesneler hakkında çok ayrıntılı bilgi edinmek içinde yapılandırılabilir. Sistemde bulunan nesnelere kimlerin erişim sağladığını tespit edebiliriz.

Örnek olarak; adli bilişim incelemelerinde sıklıkla gerçekleşen olayın hangi kullanıcı hesabından gerçekleştirildiğinin tespit edilmesi durumudur. Bu yüzden oturum açma ve sonlandırma kayıtlarının yer aldığı olay günlüklerine bakılır.

Saldırganlar tarafından ele geçirildiği düşünülen bir kullanıcı hesabının hangi sistemlere oturum açmak için kullanıldığını tespit etmek saldırganların sızdığı sistemlerin hangileri olduğunu tespit etmekte işimize yarayacaktır.

EVENT ID Nedir ?

Olay günlüğü kayıt değerleri; Event ID olarak tanımlayabiliriz. Windows sistemlerde gerçekleşen işlemler neticesinde ciddi sayıda ‘Event ID’ oluşmaktadır.

Event ID’ler arasında olay incelemesi ID sayısı çok olduğu için oldukça zorlaşır ve bazı kayıtların gözden kaçma ihtimali bulunmaktadır. Windows olay kimlikleri (Event ID) her türlü olayın çözümlenmesinde fikir verebilir, başka bir vaka için ön ayak olabilir ya da kolaylık sağlayabilir.

1102 – The audit log was cleared.

Sisteminizde audit log silindiğinde ilk oluşan logdur ve oldukça önemlidir. Önemli olmasının en etkin sebebi ise istisnai durumlar dışında silinme ihtimalinin olmamasıdır. Böyle bir log kaydının düşmesi sisteme birinin sızmış olabileceğini sonrasında ise iz bırakmamak için logları silmiş olabileceğini düşündürebilir.

Olay günlükleri bilindiği üzere silinebilir fakat tamamının doğrudan silinmesi oldukça dikkat çekecek ve sistem yöneticisi tarafından fark edilecektir. Saldırganlar sistemde yönetici olarak erişim sağladıktan sonra arkalarında iz bırakmamaya çalışacaklardır.

Önemli Olay Kimliklerinden Bazıları

Event ID – Açıklama

4624 – Başarılı Login
4625 – Başarısız Login
4672 – Admin Hesabı Logini
4634,4647 – Başarılı Logoff
4771 – Etki alanında ön kimlik doğrulama başarısız oldu
4768 – Kerberos Ticket istemi
4776 – Etki alanında başarılı ya da başarısız login
7034 – Servis beklenmedik bir şekilde çöktü
7035 – Servis, başlatma veya durdurma komutu gönderdi
7036 – Servis durdu veya başladı
7040 – Servis başlangıç tipi değiştirildi (Başlangıçta, elle vs.)
5140 – Ağ paylaşımı planlandı
4778 – RDP oturum isteği
4779 – RDP oturumu kapandı

Event ID’ler hakkında daha detaylı bilgi edinmek için https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/ URL adresini ziyaret edebilirsiniz.

Event ID’leri incelerken birbirleriyle ilişkilendirmek  oldukça önemlidir.

  • Örneğin 4624 akabinde görülen 4634/4647 ID’leri tamamlanmış bir oturum fikri verebilir.
  • Çok fazala 4625 ID’si görmek bir bir şifre tahmin saldırısının olduğuna işaret edebilir.

4624 : Başarılı Login
4634/4647 : Başarılı Logoff
4625 : Başarısız Login

Zamanlanmış Görevler

  • 106 Görev zamanlandı
  • 200 Görev başlatıldı
  • 201 Görev tamamlandı
  • 141 Görev silindi

Windows içerisinde “zamanlanmış görev” logları bilgisayarımızın ele geçirilip geçirilmediği hususunda bize fikir verebilir. Örneğin bir servisin günün belli saatlerinde oturum açılması için görev zamanlaması gerçekleştirmesi şüpheli bir harekettir.

Windows Logon Type (Windows Oturum Türleri)

Windows Oturum Türleri de (Login tipleri) araştırma için daha fazla yol kat edilmesini sağlayabilir. Logon type kısmı oturum açma işleminin nereden gerçekleştirildiğini belirtir.

Windows Günlük Türleri

Uygulama Günlüğü (Application Log): Uygulamalar tarafından gerçekleşen olaylar burada kayıt altına alınır. Örneğin, bir veritabanı uygulaması, uygulama günlüğüne bir dosya hatasını kaydedebilir.

Güvenlik Günlüğü (Security Log): Sistem kaynaklarının kullanımından oluşan hatalar burada kayıt altına alınır. Başarısız oturum açma girişimleri gibi güvenlik olaylarını kaydeder. Bu güvenlik sistemi değişiklikleri izlemek ve olası güvenlik ihlallerini tanımlamanıza yardımcı olur. Bu günlük, etkinlikleri yerel ve grup politikalarına göre kayıt işlemlerini yapar.

Sistem Günlüğü (System Log): Windows server sistem bileşenleri tarafından sebep olunan hatalar burada kayıt altına alınır.

Windows bazı işlemler için özel olay günlükleri de dahil olmak üzere birçok ek olay günlüğüne sahiptir.

Directory Service: Burada ki kayıtlar Active Directory içerisinde bulunan problemleri, yapılan değişiklikleri, Global katalogda oluşan olayların izlenilmesinde bizlere yardımcı olacaktır.

File Replication Server: File Replication servisi tarafından kayıt altına alınan olayları barındırır. Bu olaylar sistem bölümünde bulunan dosyalarımız üzerinde bulunan değişiklikleri, replice olaylarını, Policylerimizin bilgilerinin tutulmuş olduğu SYSVOL’ um klasörümüz içinde olan değişikleri görmemize imkân tanır.

DNS Server: Sistemimizde oluşan hataların birçoğu DNS tabanlıdır. Ve biz burada ki günlüklere bakarak DNS’ mizde oluşan hataları tespit edebilir veya daha önceden günlüğe kaydedilen, oluşabilecek muhtemel hataları görerek problem yaşanmadan önce soruna çözüm üretebiliriz.

Etkinlik Türleri

Herhangi bir olay günlüğünün neden kayıt altına alındığına dair açıklayıcı bilgileri bize etkinlik türleri sunar. Böylece, ilgili kaydın ciddiyeti hakkında bilgi almanın yanı sıra, daha kritik olaylara öncelik verilmesine imkan tanır.

  • Information (Bilgi) : Başarılı olarak yüklenmiş uygulama, sürücü veya servis hakkında bilgi verir. Örneğin; herhangi bir hizmetin başlaması.
  • Warning : UYARI ! Şu an sorun yok ancak ileride sorun yaratabilecek olaylar hakkında bilgi verir. Örneğin; diskimizde yeteri kadar alan kalmadığında.
  • Error : Hata ! Uygulama, sürücü veya servisin açılış sırasında bir problemle karşılaştığını bildiren loglardır. Örneğin; sunucunun yüklenirken herhangi bir sorun ile karşılaşması durumunda.
  • Success : Başarılı bir şekilde istenilen işlemler gerçekleştirilmiştir.
  • Failure : Başarısız olarak gerçekleştirilmiştir.

Windows Security (Güvenlik) Log Detayları

Normal şartlarda tüm günlükler araştırma ve soruşturma aşamasında mutlaka ilgili kişiye fayda sağlayacaktır. Fakat adli bir vaka olarak konuyu düşündüğümüzde birçok sorumuzun cevabını güvenlik olay günlüğünde bulabiliriz. Sistem ve Uygulama Olay Günlükleri, daha çok sorunlara çözüm üretmek için sistem yöneticileri için kullanılır.

  • Sistemin başlatılması, kapatılması
  • Sisteme yapılan başarılı ya da başarısız giriş işlemleri
  • Hesap yönetimi ile ilgili işlemler
  • Parola süresinin aşılması
  • Bir dosyanın açılması
  • İzin düzenlemeleri
  • Domain düzenlemeleri
  • Kullanıcı bilgilerinin düzenlenmesi
  • Grup üyeliklerinin düzenlenmesi

Bir soruşturma sırasında bazen hayal kırıklığı yaratan şeyler karşınıza çıkabilir. Bunlardan en kötüsü olay günlüklerinin olmaması ya da kayıtların eksik bir şekilde tutulması : ) .

Olay Günlüklerinin Depolanması

Olay günlüğü sistemi, log kayıtlarını uzak bir sunucuya gönderebilir, bu nedenle başka bir sunucuda ek olay günlüklerinin bulunabileceği göz önünde bulundurulmalıdır. Olay günlüklerinin depolanması için bilgilerin kayıt defteri anahtarıyla değiştirilebileceğini bilmeniz sizlere fayda sağlayacaktır.

  • HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application
  • HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\System
  • HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security

Örnek Vaka : Malware Hareketleri

  • Zararlı; önce sızılmış sistem üzerinden ağa yayılmak için 4624 olay kimliğini 3 nolu oturum türüyle kullanacaktır. Burada zamanı bi kenara not edin.
  • O zamana yakın diğer sistemlerde 4672 ile oturum açılıp açılmadığına bakın.
  • Bulunursa o sistem üzerinde artık zararlı kod yönetici hakları ile çalıştığından kendisini diğer sistemlere bulaştırmak için 5140 olay kimliğini kullanarak ağ paylaşımı planlayacaktır. Sistemdeki bu çatlaktan zararlının bağlantı sağlanmış olduğu C&C sunucusunun IP bilgileri gibi kritik bilgilere dahi ulaşılabilir.
  • Sistemdeki bu çatlak ile çalıştırabilir kodlar ağı ele geçirecektir.
  • Olay kimliklerinde zamanlanan, başlatılan, tamamlanan, silinen görevler fikir vermelidir. İş tamamlandıktan sonra kendisini ve logları silmek isteyecektir. Zararlı dosyanın ismi ile birlikte zamanlanmış 200 kodlu bir log silme işlemi varsa önemlidir.
  • Logları da temizleyen zararlı son olarak kendi oturumunu 4634 olay kimliği ile kapatacaktır.
  • Örnek Vaka: RDP yani uzak masaüstü ile ele geçirilmiş bir sistemde olay kayıtları
  • 4778 nolu RDP oturumu talebi ile bir uzak masaüstü oturumu isteği gelir. Ancak bu başlamış bir oturum olarak yorumlanmamalıdır. Burada görülen IP adres ve sistem adı gibi bilgiler işe yarayabilir.
  • 4778 in akabinde görülen 4624 olay kodu ve 10 nolu oturum tipi oturumun artık RDP ile açıldığı kesin bilgisini verecektir.
  • Bu kısımdan sonra bir önceki bölümün 3. Maddesindeki ağ paylaşımı ya da 5. Maddesindeki görev zamanlama şeklinde bir senaryo ile karşılaşılabilir.
  • Oturum ise 4634/4647 kodlarının akabinde 4779 RDP’in sonlandırıldığında dair bir bilgi verecektir. Tek başına görülen 4778 ve 4779 RDP istek ve kapanmalarına aldanmamak gerekir. RDP oturumunun açıldığına kesin emin olmak için mutlaka 4778-4624…..4634-4779 sıralaması ile logları görmek gerekir. 4778 ve 4779’un ayrıntılarından çeşitli fikirler elde edilebilir.

Event log kayıtlarının analizi için log kayıtları analiz araçları sayfasını ziyaret edebilirsiniz.


Faydalı Görülen ve Faydalanılan kaynaklar

  • https://www.sans.org/reading-room/
  • https://www.sans.org/reading-room/whitepapers/logging/detecting-security-incidents-windows-workstation-event-logs-34262
  • http://www.eventid.net/
  • https://www.slideshare.net/bgasecurity/log-yonetimi-ve-analizi-2
  • http://www.ultimatewindowssecurity.com/
  • http://halilozturkci.com/adli-bilisim-windows-event-log-analizi-ile-kullanici-logonlogoff-tespiti/
  • http://halilozturkci.com/adli-bilisim-incelemelerinde-timezone-degerinin-onemi/
  • https://www.cheatography.com/codeluu/cheat-sheets/windows-event-id/pdf_bw/
  • https://h4cktimes.com/nasil-yapilir/windows-event-idlerin-onemi.html
  • https://www.cozumpark.com/blogs/windows_server/archive/2008/03/29/domain-ortaminin-event-viewer-ile-takip-edilmesi.aspx
  • http://blog.btrisk.com/2016/02/windows-log-konfigurasyonu.html

Site Footer