Windows LOGON-LOGOFF Aktivitelerinin İncelenmesi

                Günümüz sistemlerinde artık olmazsa olmaz kriter ‘Güvenlik’. Networkumuz içerisinde ‘Hangi Kullanıcının, Hangi IP adresi ile Ne yaptığını’ bilmemiz gerekiyor. Özellikle artan adli vakalar ve siber olaylar düşünüldüğünde vakaların hangi hesaplar üzerinden gerçekleştirildiğini bilmek hayati önem taşıyor.

                Windows Sistemlerde bu tip Log kayıtlarının tutulduğu yere ‘Olay Günlükleri (Event Viewer)’ denir. Olay Günlükleri üzerinde Windows Serverler üzerinden Networkte oturum açan kullanıcıların kayıtları tutulur. Ancak çoğu zaman bu kayıtları okumak ve yorumlamak karışık bir hal alabilir. Çünkü Windows Sistemler üzerinde ciddi sayıda ‘Event ID (Olay Günlüğü Kayıt Değerleri)’ oluşur. Bu Event ID’ler arasında olay incelemesi yapmak zorlaşır ve gözden kaçar.

               Yeni nesil log yönetim sistemi olan Logsign Focus sizin için bu işlemleri daha okunabilir ve anlamlı kılacak parametrelerle süsleyip, Sisteme hangi kullanıcının, hangi isim ile, hangi ip adresinden LogOn/LogOff olduğuna dair bilgileri basit ve hızlı bir biçimde sunar.

               Şimdi adım adım birlikte Logsign Focus ‘a Windows Server 2008 üzerinde çalışan bir Active Directory Servisini entegre edelim ve Log Kayıtlarını açarak Logsign Focus’umuza WMI Servisini kullanarak Log göndermesini sağlayalım.

               Öncelikli olarak Windows Server 2008’imiz üzerinde Active Directory servisinin daha önce kurulu olduğunu var sayıyoruz ve ‘Local Policy Security’ üzerinde işlemler gerçekleştiriyoruz.

‘Local Security Policy’ ‘e giriş yaptıktan sonra aşağıdaki işlemleri gerçekleştiriyoruz.

Henüz Auditing işlemi gerçekleştirilmemiş bir Windows Server’da Audit Policy sekmesinde yer alan (Sağ sekmede görülen) değerler, ‘No Auditing’ şeklinde belirtilir. Biz bu değerleri Logsign’ımıza Log göndermesi için ‘Success, Failure’ şeklinde tikleyerek açıyoruz.

                Windows Server tarafında işlemlerimiz bu kadar. Artık Logsign Focus üzerinde Windows Server’ımızı Entegre edebilir, Active Directory üzerinden Oturum Açan (LogOn/LogOff) olan Kullanıcıları tespit edebiliriz.

                Bunun için Logsign Focus’umuzda aşağıdaki adımları gerçekleştiriyoruz.

                Settings > Data Input > Device List seçeneğine giderek Add New Source diyoruz.

 

Kaynak Tipi Seçiminde Windows Sistemlerin Loglarını almak için kullandığımız yöntem olan  ‘WMI’ Yöntemini seçiyoruz.

Windows Server bilgilerini bu kısımda girmeniz gekmektedir. Bu kısımda girilen IP ve credential bilgileri ile bağlantı testi yapılacaktır.

 

Logfile kısmında Event Viewer'daki hangi log kayıtları görüntülenmek isteniyorsa seçilir.Örn; System,Security,Application,DNS Server

NOT: Kayıtlarını Windows'un event loglarına yazan 3rd party yazılımların loglarını da buradan WMI kaynağı ile ekleyebilirsiniz.

Bilgiler girildikten sonra Save butonu tıklanır ve kaynak eklenmiş olur.

Gerekli bilgiler girildikten sonra Windows Server’ımız artık  Logsign tarafında cihaz listesinde görünmekte.

Kaynak eklendikten sonra logları görüntülemek için Device List'te kaynağın yanındaki Search butonu tıklanır.

Az önce eklediğimiz Windows Server 2008 Log kaynağımızdan gelen örnek bir Log değerini görmektesiniz. Burada Active Directory servisi üzerinden gelen bir LOGON/LOGOFF kategorisindeki bir kaydı incelemektesiniz.

LOGON/LOGOFF aktivitesinin detaylarına bakmak için istediğimiz değerin üzerine bir kere tıklamamız yeterli olacaktır. Bu detaylarda önemli parametreler, Event Category:LOGON/LOGOFF, Event.VendorID: 4624/4625/4634 vs oturumun başarılı ya da başarısız olma durumu, EventSource (Log Kaynağı hakkında bilgiler), IP: Windows Server’ımızın yani Log Kaynağımızın IP Adresi gibi önemli bilgiler yer almaktadır.

Log’umuzu detaylandırmaya devam edecek olursak, Source kısmında ‘UserDomain’ kısmında domain ismi yer almaktadır. Bu bir Networkte birden fazla domain yapısı bulunduran yapılar için önemli bir bilgidir. 

‘UserName’ kısmında ise anladığınız üzere işlemin gerçekleştirildiği kullanıcı adı bilgisi yer almaktadır.

‘Time’ kısmında ise olayın hangi tarih ve saatte üretildiği (Received) ve olayın hangi tarih ve saatte Logsign tarafından işlendiği (Generated) görülmektedir. Bu da oluşmuş ya da oluşacak olan olayların detaylarını tarih ve saat olarak en ince ayrıntısına kadar öğrenebildiğimiz anlamına gelmektedir.

 

Logsign Focus üzerinde WMI servisi kullanılarak Windows sistemler üzerinde daha pek çok farklı log parametresi ele alınıp incelenebilir.

Ayrıca Logsign Focus içerisinde internet üzerinden kullanabileceğiniz Windows Serverler için oluşturulmuş ‘Hazır Raporlar’  kullanılarak çok daha detaylı ve farklı parametreler içinde grafik tabanlı görsel raporlar alabilmek mümkündür. Üstelik bu raporları birkaç tıklama ile .PDF ve .Excel’e dökebilir, hızlı ve basit bir şekilde profesyonel sunumlarda kullanmak üzere rapor oluşturabilirsiniz.

Logsign Focus, karmaşık ve anlamsız olan olay günlüğü yapısını ele alıp, sizin için kesintisiz ve sürekli görsel bir rapor sistemi sunarak, log kayıtlarını incelemeyi bir keyif haline getirir.

Windows sistemlerde LogOn/LogOff aktivitelerini incelediğimiz bu makalemizin sonuna geldik. Başka bir makalemizde görüşmek üzere.

Logsign hakkında daha fazla bilgi için, www.logsign.net ve support.logsign.net adreslerini ziyaret edebilirsiniz.

İyi Çalışmalar.

Başka sorularınız var mı? Bir talep gönder

Yorumlar