Oturum Açma Olaylarını İzleme

15.03.2008 | 01:17 Çözümler , Windows , Windows Server 5 Yorum

DC (domain controller) üzerinde domain hesaplarının, yerel bilgisayar üzerinde ise yerel hesapların oturum açma durumlarını kayıt altına alabiliriz.

DC ya da yerel bilgisayar üzerinde kimler hangi saatte, hangi tarihte ve hangi ip üzerinden oturum açmış ya da oturum açmayı denemiş ama başaramamış görmek mümkün.

Bunun için öncelikle aşağıdaki Policy ayarının Enable yapılması gerekiyor. Bu ayar başarılı denemeler için DC üzerinde Default olarak aktif geliyor ancak Windows XP Pro üzerinde (yani yerel oturum açma olaylarını izleyeceksek) ayrıca Enable yapılması gerekiyor.

Bunun için:

Başlat> Çalıştır> gpedit.msc  açıyoruz.

Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Yerel İlkeler\Denetim İlkesi altında Oturum Açma Olaylarını Denetle ayarını etkin yapıyoruz. (Başarılı ya da Başarısız ya da her ikisi de.)

Böylece Event Viewer altına ilgili kayıtlar düşer. Oturum açma olayları ile ilgili ID ‘ler ise aşağıda yer alıyor.

Oturum Açma Olayları Açıklama
529 Oturum açma hatası. Bilinmeyen bir kullanıcı adı ile veya yanlış parola kullanarak bilinen bir kullanıcı adı ile oturum açma girişiminde bulunuldu.
531 Oturum açma hatası. Devre dışı kalmış bir hesap kullanılarak oturum açma girişiminde bulunuldu.
533 Oturum açma hatası. Bu bilgisayarda oturum açma izni olmayan bir kullanıcı tarafından oturum açma girişiminde bulunuldu.
535 Oturum açma hatası. Belirtilen hesap için kullanılan parolanın süresi bitmiş.
537 Oturum açma hatası. Oturum açma girişimi başka nedenlerden dolayı başarısız oldu.
Not

Bazı durumlarda oturum açma, bilinmeyen bir nedenden dolayı başarısız olabilir.
539 Oturum açma hatası. Oturum açma girişiminin yapıldığı anda hesap kilitlendi.
541 Yerel bilgisayar ve listelenen eş kimlik arasında ana mod Internet Anahtar Değişimi (IKE) kimlik doğrulama işlemi (bir güvenlik ilişkisi kurularak) tamamlandı veya hızlı mod bir veri kanalı kurdu.
543 Ana mod sona erdirildi.
Not

Bu durum, güvenlik ilişkisinin süresinin bitmesinden dolayı (varsayılan süre sekiz saattir), ilke değişiklikleri veya eş sonlandırma nedeniyle meydana gelebilir.
545 Bir Kerberos hatasından veya geçersiz bir paroladan dolayı, ana mod kimlik doğrulama işlemi başarısız oldu.
547 Bir IKE anlaşması sırasında hata oluştu.
549 Oturum açma hatası. Ormanlar arası bir kimlik doğrulama işlemi sırasında, güvenilmeyen ad alanları’na karşılık gelen tüm SID’ler dışarıda bırakıldı.
551 Kullanıcı oturum kapatma işlemi başlattı.
682 Bir kullanıcı, bağlantısı kesilmiş bir terminal sunucusu oturumuna yeniden bağlandı.
Bu olay, bir kullanıcı ağ üzerinden bir terminal sunucusu oturumuna bağlandığında oluşturulur. Terminal sunucusunda görünür.

Olay 528 olay günlüğe kaydedildiğinde, olay günlüğünde bir oturum açma türü de listelenir. Aşağıdaki tablo her bir oturum açma türünü açıklamaktadır.

Oturum açma türü Oturum açma adı Açıklama
3 Bir kullanıcı veya bilgisayar bu bilgisayara ağ üzerinden oturum açtı.
5 Hizmet Hizmet Denetim Yöneticisi tarafından bir hizmet başlatıldı.
8 NetworkCleartext Bir kullanıcı bu bilgisayara ağ üzerinden oturum açtı. Kullanıcının parolası kimlik doğrulama paketine bütün halde verildi. Tüm yerleşik kimlik doğrulama paketleri, kimlik bilgilerini ağ üzerinden göndermeden önce karma hale getirir. Kimlik bilgileri ağda düz metin (buna cleartext de denir) olarak aktarılmazlar.
10 RemoteInteractive Kullanıcı bu bilgisayara Terminal Hizmetleri veya Uzak Masaüstü’nü kullanarak uzaktan oturum açtı.
Yazı Etiketleri: ,

Sayfa Başı ▲

Yorumlar (5)

  1. isimsiz

    KARDEŞ benim bilgisayara uzaktan oturum açılmış ne yapabilirim şifre falan giremiyorum çalarlar diye.

  2. melike

    çok güzel site açan çok akıllı olmalı

  3. nevzat

    Emeğinize sağlık…

  4. akhan

    Serhat Bey, Bilgisayarın Shutdown yapıldığı saatleri nasıl izleyebilirim.

  5. Serhat AKINCI

    Merhaba, Windows Log\System altında bir event olarak yer alır. Evet ID, işletim sistemine sürümüne göre değişiklik gösterebilir.

Yorum Ekle