Selamlar arkadaşlar bu makalemizde sizlere Event Viewer anlatmaya çalışacağım.
Neden kullanırız bu özelliği?
Sistemimizde bulunan uygulamaların, güvenlik takiplerinin, program kurulumları sırasında meydana gelebilecek olan hataların ve sistemle alakalı olan sorunların neden kaynaklandığını buraya bakarak tespit edilebilir ve çözüm üretilebilir. Bundan dolayı Event Viewer kullanılmaktadır.
Nasıl giriş yaparız?
Bunun için Computer Management’ı açmamız gerekmektedir. Client bilgisayarlar da Bilgisayarım simgesinin üzerine sağ tıklayarak Manage denir ya da Server bilgisayarlar; Server management konsolu üzerinde bulunan Tools’a tıklanır açılan menüden Computer Management seçilir.
Açılacak ekran yukarıdaki gibi olacaktır. Windows Logs altında tutulan log bilgilerini görmemiz mümkün.
Application : Bu alanda uygulamalar ile ilgili loğlar tutulur.
Bu alanda tutulan log türleri : Information : Bilgilendirme amaçlı olan loğlardır. Warning : Hata değildir ama hata alma olasılığı olan olayları anlatan loğlardır. Error : Hata alan loğlardır.
Alan açıldığında karşımıza yukarıdaki gibi bir ekran gelecektir. Bu ekran sayesinde Logları görmemiz ve seçmemizle birlikte gerekli açıklamaları da gelecektir.
Application alanına sağ tıklamamız durumunda karşımıza çıkan liste yukarıdadır.
Open Saved Log.. : Bu alana tıklamamız durumunda önceden kayıt edilen Application log’larını açmamız için browse ekranı gelecektir ve seçerek açarız.
Create Custom View :
Application logları istediğimiz gibi görünmesini bu alandan sağlayabiliriz.
Import Custom View… : Bu alanı kullanmamız durumunda Dışarıya kayıt edilen alanı çekeriz.
Clear Log : Bu özellik bütün logları silmeyi sağlayacaktır.
Filter Current Log :
Bu alanı kullanarak sadece istediğimiz logları görmemiz sağlanacaktır.
Properties :
Properties penceresinde bulunan Log path: ile logların nerede tutulduğunu görmüş oluruz. Maximum log size (KB): buraya yazılan değer sayesinde kaç KB data tutulacağı belirlenir. When maximum event log size is reached alanında bulunan Overtime events as needed (oldest events first) seçilmesi durumunda maximum size gelindiğinde eski loglar silinerek yenileri kayıtta tutulmaya başlanır. Archive the log when full, do not overwrite events alanı seçilmesi durumunda maximum seviyeye gelindiğinde dahi bütün loğlar tutulacaktır. Do not overwrite events (Clear logs manually) seçilmesi durumunda maximum size’a gelindiğinde sistem duracaktır. Loglar tutulmayacaktır ve sadece administrator hesapı ile cihaz açılabilecek ve loglar manual olarak silinmesi gerekecektir. Ayrıca Clear Log diyerek temizleme işlemide yapılabilir.
Save All Events As… : Bu seçenek yardımıyla loğlar farklı formatlarda masaüstüne kayıt edilebilecektir.
Attach a Task To this log.. : seçeneği ile görev olarak kayıt edebiliriz logu.
Security : Bu alanda cihazla ilgili audit takip logları yazılır. Girişin başarılı olup olmadığı yazılır bu kısıma. Yukarıdaki işlemlerin aynısını bu kısımda da yapmanız mümkündür. İki tür log tutar Success ve Failure loglarıdır. Success olması durumunda başarılı olduğunu Failure olması durumunda başarısız olduğunu bildirir.
Karşımıza gelecek olan pencere yukarıdaki gibidir. Şimdi buranın en önemli rollerinden biri de sistemimize izinsiz girmeye çalışanları, başarılı bir şekilde giriş, çıkış yapanları göstermesidir. Bu anlamda birkaç adet Event id yi de buraya yazarak anlamlarını açıklamaya çalışacağım.
| Event ID | Açıklama |
| 4624 | Başarılı bir şekilde Logon olunduğunu gösterir. |
| 4634 | Başarılı bir şekilde Log off olduğumuzu gösterir. |
| 4625 | Logon olmaya çalışırken başarız olduğunu bildirir. |
Yukarıda görmüş olduğunu bir Logon Failure(4625) çıktısıdır. Rapora göre 14.04.2017 09:55:50’de WINSEV16 bilgisayarında Account Domain kısmında server adı yazması local kullanıcı anlamına gelmektedir. Local olan Administrator kullanıcısı WinSev16 bilgisayarına oturum açmaya çalışmış ancak başarılı olamamıştır. Failure Reason kısmında yazan Unknown user name or bad password nedeninden dolayı hata alınmıştır.
Bu ekranda yer alan Logon Type oturum açma işleminin nereden gerçekleştirildiğini bildirir. Buna göre aşağıdaki tabloyu inceleyebilirsiniz.
| Logon Type | Logon Title | Açıklama |
| 2 | Interactive | Bilgisayar başından yapılan logonu |
| 3 | Network | Ağ üzerinden oturum açma işlemlerinde kullanılan logon tipi. Genel olarak SMB üzerinden bir sürücü map ederken kullanılan oturum açma türü. |
| 4 | Batch | Zamanlanmış görevler sırasında etkinleşen ve kullanıcıdan herhangi bir etkileşim içine girilmeden meydana gelen oturum açma türüdür. |
| 5 | Service | Windows servislerinin açtığı oturumlar için kullanılır. |
| 7 | Unlock | Kilitli bilgisayarların kullanıcı tarafından açılması sırasında meydana gelen oturum açma türüdür. |
| 8 | NetworkCleartext | Kullanıcıların ağ üzerinden Cleartext formatta şifre göndererek oturum açmaya çalışmasıdır. |
| 9 | NewCredentials | Kullancının aynı oturum içersinde Run As özelliğini kullanarak farklı bir kullanıcı ile oturum açmaya çalışmasını göstermektedir. |
| 10 | RemoteInteractive | Kullanıcıların uzaktan terminal ya da Remote Desktop ile açmış olduğu oturumları gösterir. |
| 11 | CachedInteractive | Domain Controllera ulaşmaması durumunda kullanıcının Cache üzerinden oturum açmasına denilmektedir. |
Setup : Bu kısımda da sistem üzerinde kurulan programların durumları ile ilgili bilgilendirmeler mevcuttur.
Yukarıdaki görmüş olduğunuz pencere bilgisayarımızda bulunan Setup loglarıdır.
System : Bu alanda da sistemle alakalı loğların bulunduğu kısımdır. Ekran görüntüsü aşağıdaki gibidir.
Yararlı olması dileğiyle kolaylıklar dilerim.
