You discover audit log entries that report attempts to log on to your computer. You need to be notified of all Logon attempts that occur on your computer.
What should you do?

A. Enable the Problem Reporting feature for all users.
B. Configure a custom view to monitor failed logon events on your computer.
C. Use the Computer Management console to connect to your computer from another computer and monitor the audit Logs.
D. In the Event Viewer window, attach a task to a failed logon event. Configure this task to send an e-mail message to your e-mail account.

Bilgisayarınızdaki izleme günlükleri (auditing logs) kayıtlarını incelerken, bilgisayarınıza başarısız giriş teşebbüsü (log on) kayıtları olduğunu farkettiniz. Bilgisayarınıza tüm giriş teşebbüslerinin anında size haberdar edilmesi için ne yapmalısınız?

A. Tüm kullanıcılar için Sorun Bildirme özelliğini etkinleştiririm.
B. Başarısız giriş olaylarını incelemek için Olay Görüntüleyici penceresinde bir izleme konsolu oluştururum.
C. Başka bir bilgisayardan kendi bilgisayamın izleme log kayıtlarını görmek için Bilgisayarı Yönet konsolundan ayar yaparım.
D. Olay Görüntüleyicisi penceresinde, başarısız bir sistem girişi olayına eklediğim bir görev ile tüm sistem girişlerinin e-posta hesabıma bir e-posta mesajı olarak anında bilidirilmesini sağlarım.

Cevap: D şıkkı.

ÇÖZÜM: Auditing (izleme,denetleme) kullanıldığı bilgisayar üstünde önceden belirlenmiş güvenlik olayları ve aktivititeleri ile ilgili loglar (günlükler) üretir. Auditing genelde ikiye ayrılır:
-Auditing of acess to system (Sisteme girişi izleme)
-Auditing of access to objects (Sistem objelerine erişimi izleme)

İzeleme Politikası (Audit Policy) içindeki güvenlik ilkelerinden her hangi biri seçildiğinde karşımıza üç seçenek çıkar:
-Success: Belirlenen durum başarıyla gerçekleştiğinde bilgisayar bir izleme kaydı yaratır. (ör.Bir user sisteme başarıyla logon olduğunda)
-Failure: Belirlenen durum başarıyla gerçekleşmediğinde bilgisayar bir izleme kaydı yaratır. (ör.Sisteme logon başarısız olduğunda)
-Success ve Failure birarada: Her iki koşulda da kayıt yaratılır.

Güvenlik ile ilgili sistem olayları Olay Görüntüleyicisi (Event Viewer) kullanılarak izlenir. Event Viewer, 3 ana çeşit varsayılan log tutar:
-Application Log (Uygulama Günlüğü): MS SQL gibi bir veritabanına erişimdeki başarı ve başarısızlık gibi olaylar tarafından loglara kaydedilen bilgiler yer alır.
-Security Log (Güvenlik Günlüğü): Yerel ya da global gruplar ile ilgili izleme düzenlemelerinin yapıldığı kısımdır.
-System Log (Sitem Günlüğü): İşletim sistemleri ve bileşenleri tarafından yapılan kayıtlardır.

Bunlar dışında ayrıca, DNS ile ilgili kayıtları tutan DNS Server Log, replikasyonla ilgili kayıtları tutan File Replication Service Log ve AD ile ilgili kayıtların tutulduğu Directory Service Log bulunur

Varsayılan olarak loglar %systemrot%\system32\config klasöründe bulunur. "Security log" istenildiğinde silinebilir veya arşivlenmek üzere kayıt edilebilir. "Security log" altında "security events" 2 şekilde görünür.Yanındaki anahtar sembolü olan log kayıtları SUCCESSFUL (Başarılı), yanında kilit sembolü olan log kayıtları ise FAILED (Başarısız) olayları gösterir. Olay üstüne çift tıklanarak ayrıntılı olay hakkında ayrıntılı bilgi alınabilir.

Yüzlerce log kaydı arasında aradıklarımızı kolay bulabilmemiz için FILTERING denilen işlem yapılır. “Security Log” üstünde sağ tıklanarak "Properties" penceresine ulaşılır ve daha sonra Filter sekmesi seçilir.

Logların bulunduğu sağ pencerede sağ tıklanarak Clear logs opsiyonu ile loglar silinebilir. Security Log lar ile ilgili diğer ayarlar ise Security Log Properties den yapılabilir. Maksimum log boyutu ve olayların üstüne yazma zamanları burdan belirlenebilir.

Vista lokal bilgisayarda izleme politikası kullanmak için sırasıyla Start -> Control Panel -> Administrative Tools -> Local Policy Security-> Local Policies -> Audit Policy tıklayalım. Açılan pencereden birçok izleme ilkeleri ayarlayabiliriz. Biz burada sistem girişleri (log on) hakkında izleme kayıtları tutmak istedğimiz için Audit Logon events ilkesini seçerek başarılı (success) veya başarısız (failure) tüm giriş olayları için ayarlama yapıyoruz.



İzleme devreye girdikten sonra, sisteme giriş olaylarının incelenmesi için Olay Görüntüleyicisi (Event Viewer) ne başvurmamız gerekiyor. Olay Görüntüleyicisi ile windows log kayıtlarını Start -> Control Panel -> Administrative Tools -> Event Viewer -> Windows logs -> Security ile görebilir ve sisteme tüm giriş olayları detaylı bir şekilde inceleyebiliriz. Olay Görüntüleyicisi penceresinde, seçtiğimiz başarısız bir sistem girişi olayı üzerinde iken sağ tarafta bulunan Actions kutusu içerisindeki seçeneklerden Attach task to this event ile tüm sistem girişlerinin e-posta hesabımıza bir mesaj olarak anında bilidirilmesini sağlayabiliriz.

__________________
Özkan Karaçar