Windows Loglama Altyapısında Belirli Event ID Açma/Kapama İşlemleri

Windows sunucularda işletim sistemi bazındaki loglama altyapısını, üzerinde tanımlı olarak gelen “Local Policy” servisindeki event’lar oluşturmaktadır. Aynı türden uyarılar bir araya gelerek önce alt kategorileri, daha sonra da ana kategorileri oluşturmaktadır. Bu durum şu şekilde bir örnek ile açıklanabilir.
Örneğin “ A computer account was deleted” ifadesi en alt seviyede spesifik bir mesajdır. Bu şekilde aksiyonları ifade eden mesajların bir araya gelmesi ile alt kategoriler oluşmuştur. Bu mesajın bağla olduğu alt kategori ise “Computer Account Management” dır. Sonrasında ise bu alt kategoriler bir araya gelerek ana kategoriyi yani “Account Management” kategorisini oluşturmuşlardır. 

Bu ilişkiyi gösteren örnek bir ekran görüntüsü aşağıdaki gibidir.


Windows sistemlerde bu örnekte olduğu gibi birden fazla kategori ve birçok alt kategoride Security Event bulunmaktadır. İdeal bir loglama altyapısı için bu event’lardan bazı kategori ya da alt kategorilerin açılması veya kapatılması gerekebilir.
Örneğin sisteme yapılan login/logoff olaylarını loglamak istiyorsanız sırasıyla Local Security Policies -> Local Policies -> Audit Policy pencerelerini takip ederek açılan ekrandan “Audit account logon events” ifade aktif edilmelidir. Aktif etmek için ilgili ifadeye sağ tıklayarak açılan pencereden başarılı ya da başarısız logların alınmasını sağlayabilirsiniz.



Bu ifade aktif edildikten sonra ise sisteme giriş/çıkış yapan bir kullanıcıya ait logu “Event Viewer“ üzerinde bulunan Security loglarında görebilrsiniz.



Buraya kadar olan kısımda bir kategoriye ait tüm logların nasıl alınabileceğinden bahsedildi. Eğer bütün bir kategorinin loglanması istenilmiyorsa bu durumda yapılması gereken şey, loglanılması istenmeyen alt kategorilerin  disable edilmesi şeklinde olacaktır. Örneğin “Account Management” kategorisinin altında birden fazla alt kategoride loglama mesajları bulunmaktadır. Bu  alt kategorilerden “Computer Account Management” ifadesinin loglanması istenilmiyorsa bunu auditpol.exe ile basit bir komutla yapmak mümkündür.
auditpol /set /subcategory:”Computer Account Management” /success:disable /failure:enable
Bu komut admin hakları ile çalıştırıldıktan sonra artık sistem üzerinde “Computer Account Management” ifadesine bağlı başarılı loglar disable olacak ve sadece hatalı loglar alınacaktır.

Artık bu aşamadan sonra Account Management kategorisi altındaki loglar alınmaya devam edecek fakat Computer Account Management alt kategorisindeki başarılı loglar alınmayacaktır. 

Not : Burada başarılı ya da başarısız logların alınıp alınmaması tamamen örnekleme amaçlıdır.