Windows logları, sistem, güvenlik, uygulama ve diğer sevislerden gelen olayları kaydeden günlük kayıtlarıdır. Olay günlükleri sistemi ve bazı uygulama sorunlarını izlemek kullanıcı aktivitelerini ve sistem değişikliklerini izlemek için kullanılabilir.

Bu logları incelmek için başlat menüsünden “Olay Görüntüleyici” veya “Run” (Windows+ R tuşlarına basarak) penceresini açarak “eventvwr” komutunu çalıştırabilirsiniz.

Windows olay günlükleri, sistemde meydana gelen farklı olaylar hakkında bilgi depolar ve belirli kategorilere göre kaydedilir:

1. Application (Uygulama Logları): Bilgisayarda yüklü uygulamaların hata, çökme ve durum bilgilerini kaydeder. Google Chrome’un beklenmedik bir şekilde kapanması bu loglarda kaydedilir.

2. Security (Güvenlik Logları): Kullanıcı oturum açma/kapama işlemleri, başarısız giriş denemeleri, yetkilendirme ve erişim kontrol olaylarını içerir. Örneğin, bir kullanıcının yanlış şifreyle oturum açmaya çalışması veya bir yöneticinin yetki değiştirmesi burada kaydedilir.

3. System (Sistem Logları): Windows’un işletim sistemi bileşenleri, sürücüler, hizmetler ve sistem hatalarıyla ilgili bilgileri kaydeder. Örneğin, bir sürücünün yüklenememesi veya bir hizmetin beklenmedik şekilde durması bu loglarda yer alır.

4. Setup (Kurulum Logları): Windows güncellemeleri, sistem kurulumları ve yazılım yükleme ile ilgili kayıtları içerir. Örneğin, yeni bir Windows güncellemesinin başarılı olup olmadığı burada kaydedilir.

5. Forwarded Events (İletilen Olaylar): Ağ üzerindeki başka bilgisayarlardan gelen olayları toplar ve merkezi bir noktada kaydeder.

Windows Log Düzeyleri Nedir?

Windows log seviyeleri, olayların önem derecesini belirler ve sistemin bu olaylara nasıl tepki vereceğini gösterir.

1. Information (Bilgi): Sistemin normal işleyişini gösteren olayları içerir. Örneğin, bir hizmetin başarılı şekilde başlatılması veya bir kullanıcının oturum açması bilgi seviyesinde kaydedilir.

2. Warning (Uyarı): Potansiyel bir sorunun oluşabileceğini gösterir, ancak henüz sistemin çalışmasını ciddi şekilde etkilememiştir. Örneğin, disk alanının azalması veya bir sürücünün beklenenden daha uzun sürede yanıt vermesi uyarı seviyesinde kaydedilir.

3. Error (Hata): Bir işlemin başarısız olduğunu ve sistemin beklendiği gibi çalışmadığını gösterir. Örneğin, bir programın çökmesi veya bir ağ bağlantısının başarısız olması hata seviyesinde kaydedilir.

4. Critical (Kritik): Sistem veya uygulama için ciddi bir hata meydana geldiğini gösterir ve genellikle acil müdahale gerektirir. Örneğin, sistemin aniden kapanması veya donanım hatası gibi olaylar kritik seviyede kaydedilir.

 5. Audit Success (Denetim Başarılı): Güvenlikle ilgili bir olayın başarıyla tamamlandığını gösterir. Örneğin, bir kullanıcının başarılı bir şekilde giriş yapması veya bir dosyanın yetkili bir kullanıcı tarafından açılması denetim başarılı seviyesinde kaydedilir (Yalnızca Güvenlik Kategorisinde bulunur).

 6. Audit Failure (Denetim Başarısız): Güvenlikle ilgili bir olayın başarısız olduğunu gösterir. Örneğin, bir kullanıcının yanlış şifreyle giriş yapmaya çalışması veya yetkisiz bir kullanıcının hassas bir dosyaya erişmeye çalışması denetim başarısız seviyesinde kaydedilir (Yalnızca Güvenlik Kategorisinde bulunur).

Windows Loglarında Bulunan Temel Özellikler

Windows logları, bir olay meydana geldiğinde detaylı bilgi sağlayan belirli bileşenlere sahiptir. Bu özellikler, olayın nerede, ne zaman ve nasıl gerçekleştiğini anlamamıza yardımcı olur.

1. Event ID (Etkinlik Kimliği) :Her olay için benzersiz bir kimlik numarasıdır. Belirli bir olayın neyle ilgili olduğunu anlamamızı sağlar. Örneğin, Event ID 4624 başarılı bir oturum açma anlamına gelirken, Event ID 4625 başarısız oturum açma girişimini gösterir.

2. Source (Kaynak): Olayın hangi sistem bileşeni veya uygulama tarafından oluşturulduğunu gösterir. Örneğin, “Microsoft-Windows-Security-Auditing” güvenlikle ilgili olayları kaydederken, “Kernel-Power” güç yönetimi ile ilgili olayları kaydeder.

3. Task Category (Görev Kategorisi): Olayın hangi alt kategoriye ait olduğunu gösterir. Örneğin, güvenlik loglarında “Logon/Logoff” kategorisi kullanıcı giriş-çıkışlarını belirtirken, sistem loglarında “File System” kategorisi dosya işlemlerini belirtir.

4. Düzey (Seviye): Olayın önem derecesini gösterir. Loglar bilgi, uyarı, hata ve kritik seviyelerine ayrılır. Örneğin, “Information” (Bilgi) seviyesi günlük işlemleri kaydederken, “Critical” (Kritik) seviyesi sistemde ciddi bir hata olduğunu belirtir.

5. Keywords (Anahtar Kelimeler): Olayın türü hakkında ek bilgi verir. Örneğin, güvenlik loglarında “Audit Success” (Denetim Başarılı) başarılı bir işlemi, “Audit Failure” (Denetim Başarısız) ise başarısız bir işlemi gösterir

6. User (Kullanıcı): Olayı hangi kullanıcının tetiklediğini gösterir. Örneğin, bir program belirli bir kullanıcı tarafından çalıştırılmışsa, o kullanıcının adı logda yer alır. Eğer sistem tarafından otomatik bir işlem yapılmışsa, kullanıcı olarak “SYSTEM” veya “LOCAL SERVICE” görünebilir.

7. Date and Time (Tarih ve Saat): Olayın gerçekleştiği tarih ve saati gösterir. Güvenlik analizlerinde olayın tam olarak ne zaman meydana geldiğini bilmek önemlidir.

8. Computer (Bilgisayar): Olayın kaydedildiği cihazın adını veya IP adresini gösterir. Özellikle birden fazla sistemin izlendiği ağlarda, hangi cihazın belirli bir olayı ürettiğini görmek için kullanılır.

Bir log hakkında daha fazla bilgi almak için log’a çift tıklamanız yeterlidir. Açılan pencerede olayla ilgili özet bilgiler görüntülenir. Daha detaylı bilgiye ulaşmak için “Ayrıntılar” sekmesine geçebilirsiniz. Ayrıca, olayın üzerine gelip “Kopyala → Ayrıntıları Metin Olarak Kopyala” seçeneğini kullanarak log bilgilerini bir .txt dosyasına yapıştırabilir ve detaylı olarak inceleyebilirsiniz.