Windows Server - Kullanıcı Hesabı Oluşturma/Düzenleme Log'larının İncelenmesi

 

Merhaba. 

Bu konuda, Active Directory'de yeni bir kullanıcı hesabı oluşturduğunuzda, bir hesabı düzenlediğinizde veya sildiğinizde yapılan bu değişikliklere karşı sistemde oluşan log'ları inceleyeceğiz. Kullanıcı hesaplarıyla ilgili olaylar Event Viewer konsolu üzerinde Windows Logs > Security altına düşmektedir. 

İlk olarak yeni bir kullanıcı hesabı oluşturduğumuzda Event Viewer'a düşen log'u inceleyelim.

Bu işlem, 4720 numaralı event olarak gözlemlenmektedir. user.1 isimli hesabın Administrator tarafından dc.vatanci.int üzerinden oluşturulduğunu ve oluşturulma tarihini görmekteyiz. 

Bir kullanıcının parolasını resetlediğinizde ise ilgili durum 4724 numaralı event olarak gözlemlenecektir. 

Yukarıdaki resimde user.1 isimli kullanıcı hesabının parolasının Administrator tarafından değiştirildiğini görmekteyiz. 

Hesabın parolasını yenilerken aynı zamanda hesabı unlock ettim. Bu durum 4767 numaralı event olarak log'lara yansımıştır. 

Deneme amacıyla user.1 isimli kullanıcı hesabını DnsAdmins grubuna ekliyorum. 

Kullanıcıyı gruba ekleme işlemi 4732 numaralı event ID ile log'lara yansımıştır. 

Son olarak kullanıcı hesabı silindiğinde ne olduğuna bakalım. 

İlgili olay 4726 numarasıyla log'lanmıştır. user.1 isimli kullanıcının Administrator tarafından 29.05.2021 12:34'te dc.vatanci.int isimli sunucudan silindiği belirtilmiştir. 

NOT: Burada yer alan event'lar local log'lardır. ADC makineler üzerinde yapılan işlemler DC makinesinin local kayıtlarına yansımayacaktır. Yani, bir kullanıcı hesabında yapılan işlemi DC sunucusu üzerinden gözlemleyemiyorsanız ve domain ortamınızda ADC sunucularınız varsa bu sunuculara da local olarak erişip makinelerin local log kayıtlarını incelemeniz gerekecek. Eğer ADC'ler fiziksel olarak uzak lokasyonlarda ise, bu durumda herhangi bir sistemin Event Viewer konsolundan ilgili sunuculara bağlantı yaparak log'ları inceleyebilirsiniz.