Windows

Windows event log analizi haqında

Photo of orxan orxan10 Dekabr 2024
8 4 minutes read
Oxundu: 12

Windows Event Log, Windows əməliyyat sistemindəki vacib bir funksiyadır və sistem, tətbiqetmə və təhlükəsizliklə bağlı hadisələri izləmək, araşdırmaq və saxlamaq üçün istifadə olunur. Bu mexanizm sistem administrasiyası və təhlükəsizlik üzrə mütəxəssislər üçün əsas məlumat mənbəyidir.

Windows Event Log, sistemin sağlamlığını izləmək, xətaları diaqnostika etmək və təhlükəsizliyi təmin etmək üçün güclü bir vasitədir. Administratorlar bu loglardan istifadə edərək problemləri sürətlə həll edə və sistem fəaliyyətini optimallaşdıra bilərlər. Təhlükəsizlik mütəxəssisləri üçün isə loglar kiber təhlükələrin aşkarlanmasında və araşdırılmasında əsas rol oynayır.

Bəhs baxaq görək bu  Windows Event Log nədir axı?
Windows Event Log, sistemdə baş verən müxtəlif hadisələri qeydə alır və istifadəçilərə və administratorlara bu hadisələri təhlil etməyə imkan verir. Bu hadisələrə sistem xətaları, proqram problemləri, giriş cəhdləri və təhlükəsizliklə bağlı digər məlumatlar daxildir.

Windows Event Viewer-də hadisələr üç əsas logda toplanır Gəlin sizlərə birlikdə əsas log tiplərinə baxış keçirək

System Log – Sistemlə bağlı hadisələri qeydə alır, məsələn, cihaz sürücüləri ilə bağlı xətalar və sistem xidmətlərinin başlaması və ya dayandırılması.

Application Log – Proqram təminatları  tərəfindən yaradılan hadisələri özündə əks etdirir. Bu hadisələr proqram təminatının inkişaf etdiriciləri tərəfindən təyin olunur.

Security Log – Təhlükəsizliklə bağlı hadisələr, məsələn, istifadəçi girişləri, uğursuz giriş cəhdləri və fayl əməliyyatları burada saxlanılır. Bu log audit məqsədləri üçün xüsusilə vacibdir.

Event Viewer vasitəsilə loglara baxmaq üçün aşağıdakı addımları izləyə bilərsiniz 

Event Viewer-i açmaq üçün aşağıdakı addımları izləyək

Win + R düymələrini basın və “eventvwr” yazıb “Enter”-ə basın.
Və ya Start Menu axtarış çubuğuna “Event Viewer” yazın.

Yaranmış hadisələri nəzərdən keçirmək üçün Sol paneldə müxtəlif log kateqoriyalarını seçə bilərsiniz.

  • Application
  • Security
  • System

Bir hadisəni seçdiyiniz zaman onun təfərrüatları aşağı paneldə görünəcək. Hadisələr müxtəlif növlərdə qeydə alınır 

Information: Uğurlu əməliyyatlar haqqında məlumatlar.
Warning: Potensial problemlər barədə xəbərdarlıqlar.
Error: Sistem və ya tətbiqetmə xətaları.
Critical: Ciddi problemlər və ya sistem çökmələri.
Audit Success/Failure: Təhlükəsizliklə bağlı uğurlu və uğursuz hadisələr.

Administratorlar bir log faylını digər sistemdə araşdırmaq və ya arxivləşdirmək üçün inport  edə bilər. Bunun üçün 

Seçilmiş log üzərində sağ klik edib “Save All Events As” seçimini edin.inport üçün “Import Custom View” funksiyasından istifadə edə bilərsiniz

 

Windows Event Log audit məqsədləri üçün geniş istifadə olunur. Təhlükəsizlik siyasətinə uyğun olaraq, müəyyən əməliyyatlar (məsələn, faylların dəyişdirilməsi və ya giriş cəhdləri) logda qeydə alınır.

Audit siyasətini konfiqurasiya etmək üçün

  1. Group Policy Editor-i açın (gpedit.msc).
  2. Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy Configuration bölməsinə keçin.
  3. Burada müvafiq qaydaları aktivləşdirin.

Powershell vasitəsilə Event Log İdarəçiliyinə baxsaq Powershell ilə logları idarə etmək mümkündür 

Get-EventLog -List

Yaxşı Log-a baxdıq bəs bunu necə oxuya biləcəyik? Aşağıdakı komandanı yazaraq logları oxumaq mümkün olacaq

Get-EventLog -LogName System -Newest 10

Xüsusi bir yaranmış bir xətanı axtarmaq üçün

Get-EventLog -LogName Application -Message "*Error*"

 

Event Log-ların tipik analiz ssenarilərinə baxaq Event log analizi bir neçə əsas sahədə tətbiq oluna bilər Sistem xətalarının aşkarlanması üçün Sistem logları, Windows əməliyyat sisteminin fəaliyyətinə dair vacib məlumatlar təqdim edir. Xüsusilə, System loglarında təkrarlanan səhvlər, xətalar və kritik hadisələr (məsələn, sistemin çökməsi və ya cihaz sürücüləri ilə bağlı problemlər) diqqətlə təhlil edilməlidir.Hadisə kodlarına nəzrə salaraq  Məsələn, 41 (Kernel-Power) hadisəsi, sistemin qəfil dayandırılmasını göstərir. Bu, hardware problemləri və ya enerji təchizatı ilə əlaqəli ola bilər.Baxaq indi digər təkrarlanan xətalara Eyni hadisələrin təkrarlanan qeydiyyatı, proqram təminatının səhv və ya birbaşa istifadəçi tərəfindən edilən yanlış konfiqurasiya barədə məlumat verə bilər.

Təhlükəsizlik təhdidlərinin aşkarlanması üçün aşağıdakı addımları izləməliyik Security logları təhlükəsizliklə bağlı hadisələri saxlayır və istifadəçi fəaliyyətlərinin izlənməsi üçün xüsusilə əhəmiyyətlidir. Təhlükəsizlik təhdidlərinin təhlili, giriş cəhdləri, hüquq dəyişiklikləri, fayl əməliyyatları və digər anomaliyaların axtarılmasını əhatə edir. İstifadəçi girişiş cəhdləri təkrarlanan uğursuz giriş cəhdləri, təhlükəsizlik açığını və ya güclü şifrə siyasətinin tətbiq olunmadığını göstərə bilər.Administrator fəaliyyətlərinə baxsaq Administrator hüquqları ilə əlaqəli dəyişikliklər və ya icazələrin dəyişdirilməsi şübhəli fəaliyyətlərə işarə edə bilər.Audit məlumatlarına baxsaq əgər audit qaydaları aktivdirsə, istifadəçi fəaliyyətinin izlənməsi mümkündür. Məsələn, faylların dəyişdirilməsi və ya sistem xidmətlərinin işə salınması hadisələri

 

Proqram təminatı və Servis problemlərinin təhlilinə nəzər salsaq  Application logları, tətbiqetmələr tərəfindən yaradılan hadisələri ehtiva edir. Tətbiq problemlərinin aşkarlanmasında bu loglar faydalıdır.

Tətbiq xətaları – Xüsusilə tətbiqetmənin çökməsi, qeyri-dəqiq iş prinsipləri və ya qarşılıqlı təsirlər barədə məlumat verir.

Proqramın qeyri-normal davranışı –  Sistem fəaliyyətini dayandıran və ya anormal resurs istifadəsi edən tətbiqlər analiz edilə bilər.

Digər yoxlanışlardan iridə Komputer performansın təhlilinə baxsaq Windows Event Log, performansla əlaqəli məlumatlar verə bilər. Bu məlumatlar, sistemin resurslardan istifadəsini izləmək və optimallaşdırmaq üçün vacibdir.

Sistem resurslarının istifadəsi – Disk istifadəsi, RAM və CPU resurslarının yüksək səviyyədə olması, sistemin zəif performansını və ya müəyyən xidmətlərin yüklənməsini göstərə bilər.

Disk və fayl sistemləri – Diskdəki səhvlər, boşluğun bitməsi və ya oxuma/yazma gecikmələri barədə məlumat verir.

Event Log analizində istifadə edilən alətlərə nəzər salsaq Hadisə loglarının təhlilində istifadə edilən alətlər müxtəlif təhlil metodlarını təqdim edir və istifadəçilərə daha sürətli və effektiv araşdırma imkanı verir. Bəzi mühüm alətlər bunlardır

Event Viewer – Windows-un daxili aləti, əsas logları və hadisələri göstərir.
Powershell – Hadisə logları ilə əlaqəli əmrlər vasitəsilə daha dərin təhlil və idarəetmə funksiyaları təklif edir. Məsələn, Get-EventLog komutu ilə log məlumatlarını asanlıqla əldə edə bilərsiniz.
Log Management Tools – Daha böyük sistemlər və şəbəkələr üçün istifadə edilən üçüncü tərəf alətləri, məsələn, Splunk, SolarWinds və LogRhythm, logları mərkəzləşdirilmiş şəkildə toplayır və təhlil edir.
SIEM (Security Information and Event Management) – Təhlükəsizlik hadisələrinin təhlili üçün SIEM platformaları, log məlumatlarını real zamanlı izləyərək təhlükəsizlik təhdidlərini aşkar edir.

Qısa olaraq baxsaq Windows Event Log analizi, sistemin sağlamlığını, performansını və təhlükəsizliyini qorumaq üçün vacib bir fəaliyyət sahəsidir. Bu analiz düzgün şəkildə həyata keçirildikdə, problemlərin daha sürətlə həllinə, təhlükəsizlik təhdidlərinin zamanında aşkar edilməsinə və əməliyyatların optimallaşdırılmasına imkan verir. Event logların təhlili həmçinin kiberhücumların qarşısını almaqda və uyğunsuzluqları aşkar etməkdə mühüm rol oynayır

1
Photo of orxan orxan10 Dekabr 2024
8 4 minutes read
Photo of orxan

orxan

Related Articles

DNS PTR record nə işə yarayır?

04 Noyabr 2024

Kompüterdə CMOS batareyası dəyişdirilirlməsi

15 Noyabr 2024

HDD-dən (Hard Disk Drive) silinmiş faylları bərpa

24 Noyabr 2024

Sistem Administrator olmaq üçün bilmək lazımdır

06 Oktyabr 2024

Bir cavab yazın

Sizin e-poçt ünvanınız dərc edilməyəcəkdir. Gərəkli sahələr * ilə işarələnmişdir

Back to top button