Windows Log Analizi — Windows Loglar
Windows işletim sisteminde logları görüntülemek için Event Viewer uygulamasını kullanabiliriz.
Event viewer ile meydana gelen hatalar, sistem bilgisi, uyarılar gözlemlenebilmekte ve tehdit avcılığı işlemleri yapılabilmektedir.
Windowsta olay kayıtlarını genel kapsamda 3 kısıma ayırabiliriz.
Uygulama Logları: Uygulamalara ait loglar tutulmaktadır. Örneğin lisans kontrolü gibi..
Sistem Logları: Sistemlere ilişkin loglar tutulmaktadır.Örneğin Windows update başlatılma kaydı, boot modu seçimi kaydı….
Güvenlik Logları: Güvenlik kayıtlarında, Windows sistemlerin oturum açma ve oturumdan çıkma kayıtları, bağlantı kayıtları, dosya erişim vb. kayıtları tutulmaktadır.
Tehdit avcılığında ilk olarak bakılacak log türü güvenlik logları olacaktır.
Windows işletim sisteminde her bir log benzersiz tek bir olay ID ‘si ile ifade edilir. En sık kullanılan olay ID’ leri aşağıdaki şekildedir:
Bundan sonraki yazılarda ilgili saldırı vektörü uygulanarak logların tetiklenmesi ve analizi yapılacaktır.
