Windows Log Analizi — Logon/Logoff Olayları Analizi

Logon/logoff olaylarında olay günlüğüne kaydedilen Event ID’ler aşağıdaki şekildedir:

4624 — Başarılı giriş

4625 — Başarısız giriş denemesi

4634 — Başarılı oturum kapatma

4647 — Kullanıcı tarafından başlatılan oturum kapatma

Logon type’da aşağıdaki ifadeler gözlemlenmektedir:

Logon Type 2 — Bilgisayar konsolunda gerçekleştirilen oturum açma işlemi

Logon Type 3 — Ağ üzerinden gerçekleşen oturum açma işlemi

RPC çağrıları,remote registry,..

Logon Type 4 — Zamanlanmış görevler tarafından gerçekleştirilen oturum açma işlemi

Logon Type 5 — Servisler tarafından gerçekleşen giriş işlemleri

Logon Type 7 — Kilitli bilgisayara yeniden girişte meydana gelen işlem

Logon Type 8 — Ağ üzerinden düz metin parola girişi(IIS Basic Auth ve Windows Powershell with CredSSP)

Logon Type 9 — Kullanıcının RunAs ile yeniden sisteme giriş yapması ile meydana gelen giriş işlemi(ağ kaynaklarına bağlanırken)

Logon Type 10 — RDP ile oturum açma ile meydana gelen işlem

Logon Type 11 — DC erişim sağlanamaması durumunda cachedeki veriden oturum açılması