Oturum Açma Olaylarını İzleme
DC (domain controller) üzerinde domain hesaplarının, yerel bilgisayar üzerinde ise yerel hesapların oturum açma durumlarını kayıt altına alabiliriz.
DC ya da yerel bilgisayar üzerinde kimler hangi saatte, hangi tarihte ve hangi ip üzerinden oturum açmış ya da oturum açmayı denemiş ama başaramamış görmek mümkün.
Bunun için öncelikle aşağıdaki Policy ayarının Enable yapılması gerekiyor. Bu ayar başarılı denemeler için DC üzerinde Default olarak aktif geliyor ancak Windows XP Pro üzerinde (yani yerel oturum açma olaylarını izleyeceksek) ayrıca Enable yapılması gerekiyor.
Bunun için:
Başlat> Çalıştır> gpedit.msc açıyoruz.
Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Yerel İlkeler\Denetim İlkesi altında Oturum Açma Olaylarını Denetle ayarını etkin yapıyoruz. (Başarılı ya da Başarısız ya da her ikisi de.)
Böylece Event Viewer altına ilgili kayıtlar düşer. Oturum açma olayları ile ilgili ID ‘ler ise aşağıda yer alıyor.
Oturum Açma Olayları | Açıklama | ||
529 | Oturum açma hatası. Bilinmeyen bir kullanıcı adı ile veya yanlış parola kullanarak bilinen bir kullanıcı adı ile oturum açma girişiminde bulunuldu. | ||
531 | Oturum açma hatası. Devre dışı kalmış bir hesap kullanılarak oturum açma girişiminde bulunuldu. | ||
533 | Oturum açma hatası. Bu bilgisayarda oturum açma izni olmayan bir kullanıcı tarafından oturum açma girişiminde bulunuldu. | ||
535 | Oturum açma hatası. Belirtilen hesap için kullanılan parolanın süresi bitmiş. | ||
537 | Oturum açma hatası. Oturum açma girişimi başka nedenlerden dolayı başarısız oldu. Not
|
||
539 | Oturum açma hatası. Oturum açma girişiminin yapıldığı anda hesap kilitlendi. | ||
541 | Yerel bilgisayar ve listelenen eş kimlik arasında ana mod Internet Anahtar Değişimi (IKE) kimlik doğrulama işlemi (bir güvenlik ilişkisi kurularak) tamamlandı veya hızlı mod bir veri kanalı kurdu. | ||
543 | Ana mod sona erdirildi. Not
|
||
545 | Bir Kerberos hatasından veya geçersiz bir paroladan dolayı, ana mod kimlik doğrulama işlemi başarısız oldu. | ||
547 | Bir IKE anlaşması sırasında hata oluştu. | ||
549 | Oturum açma hatası. Ormanlar arası bir kimlik doğrulama işlemi sırasında, güvenilmeyen ad alanları’na karşılık gelen tüm SID’ler dışarıda bırakıldı. | ||
551 | Kullanıcı oturum kapatma işlemi başlattı. | ||
682 | Bir kullanıcı, bağlantısı kesilmiş bir terminal sunucusu oturumuna yeniden bağlandı. | ||
• | Bu olay, bir kullanıcı ağ üzerinden bir terminal sunucusu oturumuna bağlandığında oluşturulur. Terminal sunucusunda görünür. |
Olay 528 olay günlüğe kaydedildiğinde, olay günlüğünde bir oturum açma türü de listelenir. Aşağıdaki tablo her bir oturum açma türünü açıklamaktadır.
Oturum açma türü | Oturum açma adı | Açıklama |
3 | Ağ | Bir kullanıcı veya bilgisayar bu bilgisayara ağ üzerinden oturum açtı. |
5 | Hizmet | Hizmet Denetim Yöneticisi tarafından bir hizmet başlatıldı. |
8 | NetworkCleartext | Bir kullanıcı bu bilgisayara ağ üzerinden oturum açtı. Kullanıcının parolası kimlik doğrulama paketine bütün halde verildi. Tüm yerleşik kimlik doğrulama paketleri, kimlik bilgilerini ağ üzerinden göndermeden önce karma hale getirir. Kimlik bilgileri ağda düz metin (buna cleartext de denir) olarak aktarılmazlar. |
10 | RemoteInteractive | Kullanıcı bu bilgisayara Terminal Hizmetleri veya Uzak Masaüstü’nü kullanarak uzaktan oturum açtı. |
Yazı Etiketleri: Windows Server 2003 , Windows XP
Aşağıdakiler de İlgini Çekebilir
- • Remote Desktop Services CVE-2019-0708 ve Etki Kapsamı
- • Windows’lar için Time Zone DST Güncellemesi ve 30 Ekim 2016 Tarihine Kadar Yapılması Gerekenler
- • Windows Server 2016 Sürümleri, Lisanslama, Özellikler
- • Windows 25 Ekim Sabahı 1 Saat Gerideyse Yapılması Gerekenler
- • Get-DstInfo | Windows Yaz Saati Uygulaması için Kontrol Aracı
11.02.2013 - 19:08
KARDEŞ benim bilgisayara uzaktan oturum açılmış ne yapabilirim şifre falan giremiyorum çalarlar diye.
06.08.2013 - 15:15
çok güzel site açan çok akıllı olmalı
11.03.2014 - 15:47
Emeğinize sağlık…
01.12.2014 - 15:58
Serhat Bey, Bilgisayarın Shutdown yapıldığı saatleri nasıl izleyebilirim.
02.12.2014 - 17:35
Merhaba, Windows Log\System altında bir event olarak yer alır. Evet ID, işletim sistemine sürümüne göre değişiklik gösterebilir.