Windows loglama İnfrastrukturunda xüsusi event ID-lər

1. Windows Loglama İnfrastrukturu və Event ID nədir?

Windows əməliyyat sistemində loglama hadisələrin izlənməsi və təhlili üçün kritik bir mexanizmdir. Event ID (Hadisə ID-si) bu logların müəyyən hadisələri təsvir edən unikal identifikatorudur. Hər bir Event ID konkret bir hadisəni, məsələn, uğurlu giriş, uğursuz autentifikasiya, sistem xətası və ya konfiqurasiya dəyişikliklərini göstərir.

Windows logları əsasən üç kateqoriyaya bölünür:

• Security Log – Təhlükəsizlik hadisələri və giriş cəhdləri haqqında məlumatları ehtiva edən loglar. Buraya uğurlu və uğursuz girişlər, hesab dəyişiklikləri və s. daxildir.
• System Log – Əməliyyat sisteminin və sürücülərin fəaliyyəti ilə bağlı loglar. Sistem xidmətlərinin işə düşməsi, çökməsi və digər mühüm hadisələr burada qeyd edilir.
• Application Log – Proqramların fəaliyyətini izləyən loglar. Bu loglar, tətbiqlərin hər hansı bir xəta verməsi və ya müvəffəqiyyətlə işləməsi kimi hadisələri qeyd edir.

Windows Event Viewer aləti bu logları oxumaq və analiz etmək üçün istifadə edilir. Bundan başqa, PowerShell, WMI (Windows Management Instrumentation) və SIEM (Security Information and Event Management) sistemləri də Event ID-ləri izləmək üçün istifadə oluna bilər.

2. Əsas Xüsusi Event ID-lər və onların açıqlamaları ilə aşağıdakı məqalədə baxa bilərik

Windows loglarında çox sayda Event ID mövcuddur. Təhlükəsizlik və sistem administrasiyası baxımından xüsusi əhəmiyyət daşıyan bəzi Event ID-lər aşağıdakılardır.

Təhlükəsizlik Logları üçün vacib Event ID-lər

Sisteməki  hadisələr  üçün vacib Event ID-lər baxaq

Event ID-lərin monitorinqi və təhliliə baxmaq üçün

Event Viewer ilə təhlil Windows-un daxili aləti olan Event Viewer ilə logları analiz edə bilərsiniz

1. Win + R basıb eventvwr.msc yazaraq Event Viewer-i açın.
2. Windows Logs > Security bölməsinə daxil olun.
3. Filter Current Log seçimi ilə konkret Event ID-ni axtarın.

PowerShell ilə Event ID axtarışına baxaq Məsələn, son 24 saat ərzində baş vermiş 4625 (uğursuz giriş) hadisələrini görmək üçün

Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4625; StartTime=(Get-Date).AddDays(-1)}

SIEM və Event Log analiz alətlərinə baxdıqda Daha geniş miqyaslı analiz üçün SIEM (Security Information and Event Management) həlləri istifadə olunur

• Splunk – Event log analizi və real-time monitorinq.
• ELK Stack (Elasticsearch, Logstash, Kibana) – Məlumat vizuallaşdırması və analizi
• Microsoft Sentinel – Bulud əsaslı təhlükəsizlik monitorinqi.
• Graylog – Açıq mənbəli SIEM aləti.

Təhlükəsizlik təcrübələri və ən yaxşı praktikalar Windows loglarını effektiv izləmək və idarə etmək üçün bəzi ən yaxşı praktikalara əməl etmək vacibdir

• Real-time monitorinq: SIEM alətləri ilə canlı nəzarət etmək.
• Şübhəli Event ID-ləri təhlil etmək: Məsələn, ardıcıl 4625 hadisələri bruteforce hücumuna işarə edə bilər.
• Event ID əsaslı qaydalar qurmaq: Firewall və ya Group Policy ilə şübhəli fəaliyyətlərin qarşısını almaq.
• Hesab kilidləmə qaydaları təyin etmək: Məsələn, çoxsaylı uğursuz giriş cəhdlərindən sonra hesabın avtomatik kilidlənməsi.
• Log rotasiyasını və arxivlənməni konfiqurasiya etmək: Windows log fayllarının lazımi müddət ərzində saxlanılması və ehtiyat nüsxələrinin alınması.

Sonunda isə Windows Event ID-lər təhlükəsizlik və sistem administrasiyası üçün vacib bir mənbədir. Müvafiq Event ID-ləri izləmək və analiz etmək sistemin bütövlüyünü qorumağa və təhlükəsizlik təhdidlərini aşkarlamağa kömək edir. SIEM və Event Viewer kimi alətlərdən istifadə edərək logları düzgün analiz etmək sistemin daha təhlükəsiz işləməsinə kömək edəcəkdir.