Event Log Oluşan bir hatanın, durumun, olayın zaman damgası ile birlikte kayıt altına alınmasına log denilmektedir. Ortaya çıkan, oluşan durum ilgi çeken veya çekebilecek nitelikte olan her türlü işe ise event denilmektedir. Log kayıtları sayesinde sistem üzerinde uygulamalar, servisler ve donanımların stabil çalışıp çalışmadıkları öğrenebiliriz ve hatanın nedenini öğrenilmesini sağlandığından kritik bir değere sahiptir. Gelişen teknolojiyle birlikte log kayıtları sayesinde anormal bir durum sistemsel saldırı olduğunun anlaşılması için güvenlik loglarıda geliştirilmiştir.
Windows Event Log, Windows tarafından depolanan sistem, güvenlik ve uygulama bildirimlerin ayrıntılı kaydıdır bir başka deyişle tüm eventlar log dosyalarına kaydedilir. Bunları kolayca depolamak, gruplandırmak ve sunmak için kullanılan bir arşiv diyebiliriz. Windows Event Log, 1993’te Windows NT işletim sisteminde kullanılmaya başlandı. Bu Windows sürümü üç Windows logu birlikte geldi: Application Event Log, System Event Log ve Security Event Log. Windows’un modern sürümleri, yüzden fazla Windows Event Log ile birlikte gelir ve üçüncü taraf uygulamalar, kendi Event Log kaydederek Windows’a entegre edebilir.
Windıws Event logları bilgilerin net bir şekilde anlaşılmasını sağlayan standart bir biçimde saklar. Bir event log ana unsurları şunlardır;
· Log adı: farklı log oluşturma bileşenlerinde eventların yazılacağı event log adıdır.
· Zaman damgası: Event ın meydana geldiği tarih ve saati içerir.
· Task category: Kaydedilen event logun türünü tanımlar. Uygulama geliştiricileri, event hakkında ek bilgi olarak hizmet edecek görev kategorileri de tanımlayabilir.
· Event ID: Loga kaydedilen belirli bir eventı benzersiz şekilde tanımlamasına yardımcı olur.
· Source: Event ID neden olan program veya uygulamanın adı
· Level: Kaydedilen event değerin önem derecesini temsil eder. Bunlar “information”, “error”, “verbose”, “warning” ve “critical” olarak değerlendirilir.
· User: Event gerçekleştiğinde Windows sistem üzerinde oturum açan kullanıcının adı
· Computer: Event loga kaydedilen bilgisayarın adı.
Windows eventları ayrıca beş farklı türe ayrılır:
Information: Bir uygulama veya hizmetin iyi çalıştığını gösterir. Örneğin Windows ağ driver yüklendiğinde event bir bilgi olayı olarak günlüğe kaydeder.
Warning: Gelecekte olası sorunlara işaret eden önemsiz olaylar. Düşük disk alanı gibi bir sorun için bir uyarı event kaydedilir.
Error: Bir sistem normal bir şekilde çalışmadığında ortaya çıkan önemli bir sorunu açıklar. Örneğin işlerim sistemi yanıt vermeyi durdurur.
Success Audit: Security Event log için geçerli denetlenen güvenlik erişim girişimini kaydeder örneğin iyi giden bir oturum açma girişimi başarılı bir denetim etkinliğine tabi olacaktır.
Failure Audit: Ağ driver erişememe gibi security event log altında denetlenen güvenlik erişimin başarısızlığını gösterir.
Windows Event loglar kendi içerisinde bir önem düzeyleri bulunur. Windows event seviyeleri kaydedilen olayın önem derecesini veya önemini belirtir. Bunlar aşağıdaki gibi sınıflandırılır;
· Information: Bilgi: olayın sorunsuz gerçekleştiğini gösterir. Çoğu log kaydı bilgi eventlarını içerir.
· Verbose: Ayrıntı: belirli bir olay için ilerleme veya başarı mesajlarını gösterir.
· Waring: Uyarı: sistem yöneticilerinin izlemesi gereken olası bir sorunu vurgular
· Error: Hata: sistemdeki veya hizmetteki anında sorun giderme gerektirmeyen sorunları açıklar.
· Critical: Kritik: bir uygulamada veya sistemde acil müdahale gerektiren önemli bir sorunu belirtir.
Windows Event Log Önemi
Eventlog izlenirken sistem hataları, yetkisiz erişim, dış tehditler, sistem arızaları ve önemli oluşan sorunlar hakkında bilgiler sunmaktadır. Windows event loglar kaynak, kullanıcı adı, bilgisayar, event türü, düzeyi gibi ayrıntılı bilgiler sağlar. Olay günlükleri prensipte basit olsa da, olay günlüklerindeki çok miktarda veri, yüksek işlemli bir sistem içinde hızla terabaytlarca veri toplayabilir Bizim çok fazla olan event logları manuel olarak analiz edilmesini kolaylaştırmak için otomatik event log izleme araçları mevcuttur. Bu araçlar sistemdeki kritik bir sorunu gösteren event logları filtreleme ve görüntülemeye yardımcı olmak için sezgisel bir konsol ekranı sunmaktadır. Ayrıca, bazı araçlar, otomatik günlük arşivleme ve temizleme yoluyla mevzuat uyumluluğuna da yardımcı olur. SIEM logging, güvenlik amacıyla logların toplanması ve izlenmesi işlemidir. SIEM sistemleri güvenlik ekipleri tarafından bir kuruluştaki BT sistemlerinde ve güvenlik araçlarından olay verilerini toplamak, bir güvenlik olayını anlamına gelecek şüpheli davranışları belirlemek için kullanılır. SIEM’ler korelasyon kullarını kullanarak loglardan uyarılar üretirler. Bir korelasyon kuralı bir güvenlik tehdidini gösterebilecek bir dizi olayı ve belirli log değerlerini ve değer aralıklarını belirtir.
Windows Event Logları Görüntüleme
Windows event loglar C:WindowsSystem32winevtLogs klasörü altında bulunur
Event Logları Windows sistemde default olarak bulunan Event Viewer ile görüntüleyebiliriz. Event Viewer Microsoft’un Windows işletim sisteminin yöneticilerin ve kullanıcıları yerel veya uzak bir makinedeki event ‘ları görüntülenmesine olanak tanıyan bir uygulamadır. Uygulamalar ve işletim sistemi bileşenleri başlatılması tamamlanması hata alması gibi olayları raporlamak için bu Log Viewer kullanılır.
Event Viwer açmak için başlat menüsüne event viwer yazıp çalıştırabiliriz.
Event Log Analizi
Bu kadar içeresinden değerli bilgi barındıran event loglar forensics bakış açısı ile bakacak olursak, birçok soru işaretinin cevabını verebiliriz. Event log analizi sayesinde bir siber saldırının root cause’ını başarılı olup olmadığı, servisin başlatılması, kullanıcı ayrıcalık değiştirme, başarısız oturum açma, saldırganın yapmış olduğu lateral movement hareketleri, RDP bağlantıları, saldırganlar tarafından ele geçirildiği düşünülen bir kullanıcı hesabının hangi sistemlere oturum açmak için kullanıldığını, saldırganların sızdığı sistemlerin hangileri olduğunu tespit etmekte işimize yarayacaktır.
“C:Windowssystem32winevt “ klasörü altında yüzlerce event log görebiliriz.
Bu kadar fazla event log kaydedilmesi saklanması, anlamlandırılması zor olduğunda kendi içerisinde kategorilere, ID değerlerine ayrılmıştır. System, Application ve Security belli başlı kategorilerdir bunlara bakacak olursak;
System Event Log (system.evtx): Sistem ve bileşenleriyle ilgili olayları içerir. Sistem bileşenleri tarafından günlüğe kaydedilen olay türleri, Windows tarafından önceden belirlenir. İşletim sisteminin temel bileşenlerinin oluşturduğu logların bulunduğu alandır. Önyükleme başlatma sürücüsünün yüklenememesi drive yükleme, boşaltma işlemleri donanım değişiklikleri, aygıt sürücüleri, sistem değişiklikleri ve makineyle ilgili tüm etkinlikler hakkındaki veriler sistem düzeyinde bir event log örneğidir.
Application Event Log (application.evtx): Sistemde kurulu yazılımda meydana gelen hatalar hakkında bilgiler sağlar. Bir Windows bilgisayarında barındırılan bir yazılım veya uygulamayla ilgili olaylar, uygulama olay günlüğü altında kaydedilir. Program geliştiricileri, hangi olayların günlüğe kaydedileceğine karar verir Internet Explorer, PowerShell gibi bazı uygulamalar, Windows uygulama olay günlüğünü kullanmak yerine kendi olay günlüğünü oluşturur. Bu tür günlükler tam olarak standart Windows olay günlüklerine benzer ve Olay Görüntüleyicisi (ve ayrıca Olay Günlüğü Gezgini) bu olay günlüklerini okuyabilir.Sistemde bulunan uygulamalar hakkında log kaydı tutar. Kullanılan bir antivirüs uygulamasının almış olduğu error logunu application.evtx içerisinde görebiliriz. Örneğin, Microsoft PowerPoint’i başlatmadaki sorun, Uygulama günlüğünün altına gelir. Microsoft SQL Server, SQL sunucusuyla bağlantılı önemli olaylarla, “bellek yetersiz”, “yedekleme hatası” vb ilgili ayrıntıları günlüğe kaydeder.
Security Event Log (security.evtx): sistemin güvenliği ile ilgili olayları içerir. Olay, Windows denetleme işlemi aracılığıyla kaydedilir. Yöneticiler, güvenlik günlüğüne hangi olayların kaydedileceğini belirleyebilir. Örneğin, oturum açma denetimini etkinleştirdiyseniz, sistemde oturum açma girişimleri güvenlik günlüğüne kaydedilir. Denetim politikasını ayarlarken dikkatli olun. Örneğin Windows, NTFS disklerindeki tüm dosyalara erişimi, bir dosyaya yapılan herhangi bir erişimin yeni bir olay olarak günlüğe kaydedileceği şekilde denetlemenize izin verir. Bu, saniyede yüz olay üretebilir, olay günlüğünü bunaltabilir ve sistem performansını azaltabilir. Bu nedenle, denetim erişim politikasını ayarlarken, yalnızca belirli dosya ve klasörlerin denetleme özelliklerine sahip olduğundan emin olun. Başarısız ve geçerli oturum açmaları, dosya silmeleri kullanıcı kimlik doğrulaması oturum açmalar, komut olarak çalıştırma, uzaktan erişim, oturum açtıktan sonraki kullanıcı etkinlikleri, account logon, hesap yönetimi, oturum açma olayları, dizin hizmeti, nesne erişimi, politika değişikliği, ayrıcalıklı kullanım, işlem izleme, sistem olayları olmak üzere çeşitli kullanıcı etkinlikleriyle ilgili ayrıntıları sunabilirler.
Event ID Değerleri
Event logların her birinin kendine ait ID değeri bulunur. Loglar arsında filtrelemeyi isim bazlı yapmak zordur bu nedenle ID değerlerini kullanmak daha kolaydır. Çok fazla Event ID değeri bulunmaktadır bunların tamamını ezberlemek zordur. Bilinmesi gereken belli başlı Event ID değerlerine bakacak olursak;
Event ID |
Açıklama |
4624 |
Başarılı oturum açma |
4625 |
Başarısız oturum açma |
4634 |
Hesap oturumunu kapat |
4648 |
Açık kimlik bilgileriyle oturum açma girişimi |
4719 |
Sistem denetim politikası değişikliği |
4964 |
Yeni oturum açma girişimine atanan özel grup |
1102 |
Denetim günlüğü temizlendi |
4720 |
Yeni kullanıcı hesabı oluşturuldu |
4722 |
Kullanıcı hesabı etkinleştirildi |
4723 |
Şifre değiştirmeyi dene |
4725 |
Kullanıcı hesabı devre dışı bırakıldı |
4728 |
Kullanıcı, ayrıcalıklı global gruba eklendi |
4732 |
Kullanıcı ayrıcalıklı yerel gruba eklendi |
4756 |
Kullanıcı ayrıcalıklı evrensel gruba eklendi |
4738 |
Kullanıcı hesabına geç |
4740 |
Kullanıcının hesabı kilitlendi |
4767 |
Kullanıcı hesabının kilidi açıldı |
4735 |
Ayrıcalıklı yerel gruba geç |
4737 |
Ayrıcalıklı küresel gruba geçiş |
4755 |
Evrensel gruba geç |
4772 |
Kerberos bileti için başarısız istek |
4777 |
Etki alanı denetleyicisi, kimlik bilgilerini doğrulayamadı |
4782 |
Hesap şifresi hash’ine erişildi |
4616 |
Sistem zamanı değişti |
4657 |
Kayıt defteri değerine değiştir |
4697 |
Hizmet yükleme girişimi |
4946 |
Windows Güvenlik Duvarı istisnasına kural eklendi |
4947 |
Windows Güvenlik Duvarı istisnasında değiştirilen kural |
4950 |
Windows Güvenlik Duvarı ayarları değişikliği |
4954 |
Windows Güvenlik Duvarı Grup İlkesi’nde Değişiklik |
5025 |
Windows Güvenlik Duvarı hizmeti durduruldu |
5031 |
Uygulamanın trafiği kabul etmesi Windows Güvenlik Duvarı tarafından engellendi |
5155 |
Windows Filtreleme Platformu, bir hizmetin bir bağlantı noktasını dinlemesini engelledi |
Daha çok fazla event ıd değeri bulunur.
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/default.aspx
https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/appendix-l–events-to-monitor
adreslerine bakıp event ıd değerlerini bulunabilirsiniz.
Halil hocanın yazmış olduğu efsane blog yazısında göz atabilirsiniz. https://halilozturkci.com/siber-olay-mudahalesi-sirasinda-elinizin-altinda-olmasi-tavsiye-edilen-windows-event-idler/ bu blog yazısında işinize yarayabilecek event logları görebilirsiniz.
Logon Type
Event loglar içerisinde logon type’lar bulunur bu type giriş yapan kullanıcının nasıl bir bağlantı yaptığını bizlere belirtir. Başarılı/Başarısız Oturum Açma olayının sağladığı yararlı bilgilerden biri, kullanıcının/işlemin nasıl oturum açmaya çalıştığıdır (Oturum Açma Türü). Windows bu bilgiyi bir sayı olarak görüntüler. Aşağıdaki liste, oturum açma türünü ve kodlarını açıklamaktadır: Logon Type kısmı oturum açma işleminin nereden gerçekleştirildiğini belirtir ve aşağıdaki tabloda burada yer alabilecek olası değerlerin ne anlama geldiği gösterilmiştir.
Logon Type |
Logon Title |
Description |
|
|
Bilgisayar konsolundan oturum açma işlemi gerçekleşmiş. |
3 |
Network |
Network üzerinden gerçekleştirilen oturum açma işlemi. (SMB) |
4 |
Batch |
Zamanlanmış görev (Scheduled Task) çalışması sırasında oturum açma işlemi |
5 |
Service |
Windows’taki servislerin açtığı oturum açma işlemi |
7 |
Unlock |
Kilitli bilgisayarın kullanıcı tarafından açılması sırasında gerçekleşen oturum açma işlemi |
8 |
NetworkClearttext |
Kullanıcının network üzerinden cleartext formtta parola göndererek oturum açma işlemi
|
9 |
NewCredentials |
Kullanıcının RunAs kullanarak aynı oturum içinde ikinci bir kimlik kullanmaya başlaması oturum açma işlemi |
|
|
Kullanıcı uzaktan terminal services veya Remote Desktop (RDP) üzerinde açtığı oturum açma işlemi |
|
|
Domain Controller’a ulaşılmaması durumunda cached credential ile kullanıcının oturum açma işlemi |
Bir olay olduğunda Event logları analiz etmek olay hakkında bilgi edinmemizi sağlar. Windows işletim sistemlerinde default olarak gelen Event Viewer aracı ile logları görüntüleyebiliriz .
Benim favori araçlarımdan biri Event Log Explorer ile de event logları görüntüleyebiliriz analiz edebiliriz. Event Log Explorer gelişmiş filtreleme özelliği sayesinde elimizdeki logları detaylı analiz edebiliriz.
İlgili logun üzerine çift tıklayarak analizi sağlayabiliriz.
Event Logları parse etmek içi kullandığımız bir diğer araç EvtxECmd aracı. EvtxECmd kullanılarak tüm loglar parse edilip csv formatında analizi gerçekleştirebiliriz. EvtxECmd EZ tool olarak bilinen CLI olarak çalışan, ücretsiz bir şekilde kullanabiliriz.
EvtxECmd.exe -d “E:BelgelerDesktopEvent_Logs” –vss –csv .
Komutunu yazıp çalıştırıyorum
-d event logların bulunduğu dizni belirtiyorum
–vss ile birimde volüme shadows copy var ise işlesin diyorum
–csv çıktıyı belirtiyorum . ile bulunduğu konuma çıktı çıkarmasını sağlıyorum
Komut çalıştıktan sonra csv formatında bir çıktı bize sunmaktadır.
Csv dosyasını açıp Map Description kısmında ilgili event logun mapping kısmından analiz gerçekleştirebiliriz.
Kaynak:
https://docs.microsoft.com/tr-tr/dotnet/api/system.diagnostics.eventlog?view=dotnet-plat-ext-6.0
https://en.wikipedia.org/wiki/Event_Viewer
https://eventlogxp.com/essentials/windowseventlog.html
https://halilozturkci.com/adli-bilisim-windows-event-log-analizi-ile-kullanici-logonlogoff-tespiti/