Event ID Nedir ve Türleri Nelerdir?
Event ID Nedir ?
Event ID kısaca olay günlüğü demektir. Yönetici hesabı ile işlemler yapılabilir. Bilgisayarda ki önemli olayları (oturum açma, hatalı oturum denemesi, saatin değiştirilmesi gibi ) birçok durumu kayıt altına alır.
Windows Olay Günlükleri altından önem taşıyan 4 başlık şunlardır;
1. System
2. Application
3. Setup
4. Security
Kısaca bir örnekle kayıtlara nasıl erişebiliriz ona bakalım ;
-Olay günlüğünü açabilmemiz için winkey tuşu yardımıyla başlat açarız. Arama bölümüne olay günlüğü yazarız.
- Şimdi de açtığımız Windows olay görüntüleyici de (Event log) üzerinde başarılı Vgirişleri (Login) filtreleme yaparak logları görüntüleyelim.
Olay görüntüleyici > Windows Günlükleri ve güvenlik sekmesine girelim. Güvenlik sekmesine sağ tık yaparak geçerli günlüğe filtre uygulama seçeneği seçilir.
- Arama yerine 4624 başarılı login değerini yazarak tamam diyoruz.
-Ve işte başarılı girişler ile ilgili sonuçlar karşımıza çıkıyor:
Sık sık karşılaşabileceğimiz event ID’ler ve anlamlarına göz atalım :
Dosya ve Ağ Erişimleri ile Proses Aktivitelerine İlişkin Event ID'ler ve Açıklamaları:
1102 : Log Clearing(Günlük Temizleme)
4688 : Process Created (Program Execution)( Süreç Oluşturuldu (Program Yürütme))
4656 : Access to File or Other Object Requested(Dosyaya veya Talep Edilen Diğer Nesneye Erişim)
4663 : Attempt made to access a file or object(Bir dosya veya nesneye erişim denemesi)
4658 : Access to a File or object closed(Dosya veya nesneye erişim kapatıldı)
4697 : New Service has been Installed(Yeni Hizmet Kuruldu)
4782 : Password Hash of an Account has been Accessed(Bir Hesabın Parola Karmasına Erişildi)
5140 : Network Share Accessed(Ağ Paylaşımına Erişildi)
Oturum Açma/Kapama Aktivitelerine İlişkin Event ID'ler ve Açıklamaları:
4624 : Network logon(Ağ oturumu açma)
4625 : Login Failed(Oturum Açma Başarısız)
4634 : Log off(Oturumu kapat)
4648 : Attempted Login(Oturumu kapat)
4672 : Administrator has Logged in(Yönetici Giriş Yaptı)
4776 : Credential Authentication (Success/Fail)( Kimlik Bilgisi Doğrulama (Başarılı/Başarısız))
4778 : Session Reconnect (RDP or FastUser Switch)( Oturum Yeniden Bağlanma (RDP veya FastUser Switch))
4770 : Kerberos Ticket Renewed(Kerberos Bileti Yenilendi)
4793 : Password Policy Checking API called(Parola İlkesi Denetleme API'si çağrıldı)
Dipnot: Kerberos / kərbərəs / güvenli olmayan bir ağ üzerinde haberleşen kaynakların, bilet mantığını kullanarak kendi kimliklerini ispatlamak suretiyle iletişim kurmalarını sağlayan bir bilgisayar ağı kimlik doğrulama protokolüdür. Protokolün tasarımcıları, ilk başta istemci-sunucu modelini hedef almış ve bu doğrultuda hem kullanıcının hem de sunucunun birbirlerinin kimliklerini doğrulamasını sağlayan karşılıklı kimlik doğrulama özelliğini sunmuşlardır. Kerberos protokol mesajları, izinsiz dinlemelere ve yansıtma ataklarına karşı dayanıklıdır.
Kerberos simetrik anahtar şifreleme üzerine inşa edilmiştir ve güvenilir bir üçüncü doğrulayıcıya (trusted third party) ihtiyaç duyar, isteğe bağlı olarak kimlik doğrulamanın belli aşamalarında açık anahtar şifreleme modelini de kullanabilir. Kerberos varsayılan port olarak UDP 88. portu kullanır.
Kullanıcı Hesapları İle İlgili Aktivitelerine İlişkin Event ID'ler ve Açıklamaları:
4704 : User Right Assigned(Kullanıcı Hakkı Atandı)
4720 : New User Account Created(Yeni Kullanıcı Hesabı Oluşturuldu)
4722 : New User Account Enabled(Yeni Kullanıcı Hesabı Etkinleştirildi)
4725 : User Account Disabled(Kullanıcı Hesabı Devre Dışı)
4726 : User Account Deleted(Kullanıcı Hesabı Silindi)
4728 : Member Added to Global Group(Üye Küresel Gruba Eklendi)
4731 : Security Enabled Group Created(Güvenlik Etkin Grup Oluşturuldu)
4732 : Member Added to Local Group(Yerel Gruba Eklenen Üye)
4733 : Account removed from Local Security Group (Hesap Yerel Güvenlik Grubundan kaldırıldı)
4765 : SID History added to Account(SID Geçmişi Hesaba eklendi)
4634 : Local Group Deleted(Yerel Grup Silindi)
4735 : Local Group Changed(Yerel Grup Değiştirildi)
4740 : Account Locked Out(Hesap Kilitlendi)
4748 : Local Group Deleted(Yerel Grup Silindi)
4756 : Member Added to Universal Group(Üye Universal Group'a Eklendi)
4766 : SID History add attempted on Account (SID Geçmişi Hesaba eklenmeye çalışıldı)
4767 : User Account Unlocked(Kullanıcı Hesabı Kilidi Açıldı)
4781 : Account Name Changed(Hesap Adı Değiştirildi)
Firewall'da Yapılan Değişikliklere İlişkin Event ID'ler ve Açıklamaları:
4946 : Firewall Rule has been Added(Güvenlik Duvarı Kuralı Eklendi)
4947 : Firewall Rule has been Modified(Güvenlik Duvarı Kuralı Değiştirildi)
4948 : Firewall Rule has been Deleted(Güvenlik Duvarı Kuralı Silindi)
4950 : Firewall Rule has been Changed(Güvenlik Duvarı Kuralı Değiştirildi)
Sistem Kategorisinde Yer Alan Önemli Event ID'ler ve Açıklamaları:
1074 : System Halt(Sistem Durdurma)
7000 : Service failed to start: did not respond to the start control request(Hizmet başlatılamadı: başlatma kontrol isteğine yanıt vermedi)
7022 : Service hung on start(Hizmet başlatılırken takıldı)
7023 : Service terminated with error(Hizmet hata ile sonlandırıldı)
7024 : Service terminated with error(Hizmet hata ile sonlandırıldı)
7026 : Service failed on system start(Sistem başlangıcında hizmet başarısız oldu)
7031 : Service terminated unexpectedly(Hizmet beklenmedik şekilde sonlandırıldı)
7034 : Service terminated unexpectedly(Hizmet beklenmedik şekilde sonlandırıldı)
7035 : Service sent a request to Stop or Start(Hizmet Durdurma veya Başlatma isteği gönderdi)
7036 : Service was Started or Stopped(Hizmet Başlatıldı veya Durduruldu)
7045 : Service Installed(Servis Kuruldu)
7040 : Service changed from "auto start" to "disabled"(Hizmet "otomatik başlatma "dan "devre dışı" olarak değiştirildi)
Windows Defender Kategorisinde Yer Alan Önemli Event ID'ler ve Açıklamaları:
1005 : Scan Failed(Tarama Başarısız)
1006 : Malware Detected(Kötü Amaçlı Yazılım Tespit Edildi)
1008 : Action on Malware Failed(Kötü Amaçlı Yazılım Eylemi Başarısız)
2000 : Signature Updated(İmza Güncellendi)
2001 : Signature Update Failed(İmza Güncellemesi Başarısız)
2003 : Engine Update Failed(Motor Güncellemesi Başarısız)
2004 : Reverting to Last Known Gadd Signatures(Bilinen Son Gadd İmzalarına Geri Dönüş)
3001 : Real-Time Protection Stopped(Gerçek Zamanlı Koruma Durduruldu)
5008 : Unexpected Error(Beklenmeyen hata)