Loglama İşlemleri ve Log Analizi

İşletim sistemlerinde yapılan işlemlerin kayıtları tutulmaktadır. Windows işletim sistemlerinde log kayıtlarının tutulduğu path “C:WindowsSystem32winevt” dizinidir. Linux İşletim sistemlerinde bu dizin /var/log/*.* şeklindedir.  Windows ortamında tutulan log kayıtlarını inceleyebileceğimiz ara yüz ise “eventvwr.msc” diye Run(Çalıştır) yazarak veya Windows tuşuna bastıktan sonra “Event Viewer(Olay Görüntüleyici)” diye aratabiliriz. Kısacası sistemde tüm aktiviteler kayıt altına alınır. Bu aktiviteler olay tiplerine göre ayırılır. Her bir olayın da bir id si vardır. Dolayısıyla sistemlerde oluşacak, oluşabilecek her türlü olayın nedenleri hakkında bu logları yani oluşan loğların event id değerlerine bakarak bir çıkarım yapılabilir. Kısacası oluşan her türlü iş veya işlemin, ister başarılı ister başarısız fark etmeksizin nedeni hakkında sistemde bir iz kaydı da oluşmaktadır. Dolayısıyla bir sorunla karşılaştığımızda yâda adli bir soruşturma konusu olduğu zaman bu logları kanıt niteliğinde(5651 Sayılı Yasa: İNTERNET ORTAMINDA YAPILAN YAYINLARIN DÜZENLENMESİ VE BU YAYINLAR YOLUYLA İŞLENEN SUÇLARLA MÜCADELE EDİLMESİ HAKKINDA KANUN) dava dosyasına sunabiliriz. Ayrıca 6698 (KİŞİSEL VERİLERİN KORUNMASI KANUNU) da yine kişisel verileri korumak için çıkarılmış bir kanundur. Bu yasayı ihlal eden kişileri yine loglama sayesinde kurumsal firma ve kurumlarda kolaylıkla bulabiliriz. Windows ve Linux Sistemler kendi loğunu üretebildiği gibi bu sistemler üzerine kurulan uygulamalar da kendi loğunu üretir.

Event ID: Windows sitemlerde gerçekleşen her olayın ayak izi gibi düşünebiliriz. Örneğin işletim sisteminde oturum açma işlemleri Windows sistemlerde 4624 Event ID değeri ile belirtilir. WEB sayfalarının http STATUS CODE ları vardır. Örneğin 404-sayfa bulunamadı. 500 internal server hatası gibi. Bu konu kendi içinde detaylandırılabilir. Windows sitemlerde 1102 Event ID loğların temizlendiğini yani tüm loğların silindiğini gösteren bir Event ID dir.  Windows Server 2003-2008 İşletim Sitemlerine sahip sistemlerde oluşan Event ID değerleri farklıdır. Eskimiş olduklarından ve artık kullanılmadığını düşündüğümden onlarla ilgili çok bilgi vermeye gerek duymuyorum. Dileyen internette bunlarla ilgili çokça kaynak bulabilir. (https://www.ultimatewindowssecurity.com/)

Bazı Önemli Log Kaydı Event ID Değerleri

Bazı Event ID adli inceleme veya olay analizi durumlarında işimizi çok kolaylaştırmaktadır. Ancak bazıları daha olay gerçekleşmeden bize fikir verebilir. Aşağıdaki bazı Event ID değerleri için varsa SIEM çözümü üzerinde anlamlı alert oluşturulabilir.

1102: Tüm Logların silindiğini gösterir. Bu aslında sisteme sızan birisinin yapabileceği bir durumun göstergesi olabilir.

4624: Başarılı hesap oturum açma.

4625: Başarısız hesap oturum açma. Eğer sürekli ve arda arda başarısız girişim denemeleri varsa bu bir Brute Force saldırısının işaretçisi olabilir.

4672: Admin Hesabı Logini

4648: Açık kimlik bilgileriyle oturum açma girişiminde bulundu

4720: Bir kullanıcı hesabı oluşturuldu

4722: Bir kullanıcı hesabı etkinleştirildi

4723: Bir hesabın şifresi değiştirilmeye çalışıldı

4740: Hesap kilitlendi

4767: Kullanıcı hesabının kilidi açıldı

4964: Yeni bir oturum açma işlemine özel bir grup atandı

4698: Bir zamanlanmış görev oluşturuldu. Sisteme sızan birisinin bakcdoor tarzı bir uygulama bırakmak için oluşturabileceği bir zamanlanmış görev.

4778: RDP oturum isteği

5025: Firewall durduruldu

4800: Ekran kilitlendi

7034: Servis beklenmedik şekilde çöktü.

7035: Servis başlatma, durdurma komutu gönderildi.

5140: Ağ paylaşımı planlandı.