POWERSHELL İLE LOGLARI İNCELEYİN
PowerShell ile olay müdahale ve log inceleme süreçlerini kolaylaştırabilecek log incelemesi nasıl yapılır?
Olay müdahalesi veya tespiti için sistem logları hayati önem taşır. Windows Eventviewer (Olay Görüntüleyici) bu konuda oldukça sağlam ve kolay kullanılabilir bir arayüz sunmaktadır. Ancak belirli zamanlarda sistem loglarına daha hızlı erişmeye, yakından takip etmeye veya ayrıntılı inceleme ve raporlama için dışa aktarmaya ihtiyaç duyulabilir.
Bu noktada, PowerShell olay müdahale ve log inceleme süreçlerini kolaylaştırabilecek “Get-EventLog” komutuna sahiptir.
“List” parametresi eklenerek sistem üzerinde tutulan loglar ve her log türü için bulunan kayıt sayısı görüntülenebilir.
Komut, Get-EventLog ve istenilen log türü belirtilerek kullanılabilir.
Ekranda binlerce log satırının görüntülenmesi çok kullanışlı olmadığı için “Out-GridView” komutunu kullanmakta fayda olacaktır.
Yukarıda görüldüğü gibi loglar ayrı bir pencerede daha kolay okunur halde görüntülenmektedir. Bu pencerede bulundan “Add Criteria” seçeneği ile loglar belli bir kritere uygun olarak filtrelenebilir.
Burada “4624” ile sadece sisteme başarılı giriş yapıldığına dair oluşturulan kayıtlar görüntülenmektedir.
Bazı durumlarda sadece bir log türündeki son eklenen kayıtlar görüntülenmek istenebilir. Bunun için “-newest” parametresi ile istenen kayıt sayısı belirtilebilir.
Kayıtların işlenmesi veya incelenmesi için bunların geçici olarak dışarı aktarılması gerekebilir. Bunun için kullanılabilecek yöntemlerden birisi bir değişken atamaktır.
Aşağıdaki örnekte son 10 güvenlik logu “$olay” olarak saklanmaktadır. Ve yine görüldüğü gibi “$olay” yazıldığında bu liste görüntülenir.
“Group-Object InstanceID” komutu kullanılarak loglar hızlıca gruplanıp sayılabilir.
Çok sayıda başarısız giriş denemesi gösterebilecek 4625 logu veya 1102 gibi daha şüpheli log türleri göze çarpacaktır.
Belirli bir log türü aranıyorsa bu “-InstanceID” ile belirtilebilir.
Kayıtların ayrıntılarını görüntülemek için “Select-Object -Property” parametresi kullanılabilir.
Aşağıdaki örnekte ilk satırda en yeni (Newest) Windows PowerShell kaydı $log adında bir değişken olarak alınmıştır. Sonrasında “Select-Object” ile bütün ayrıntılar (* ile belirtilmiştir) listelenmiştir.
Alternatif olarak tek bir özellik veya virgülle ayrılmış birkaç özellik seçilebilir.
İstenilen belli bir tarih aralığındaki logları (örn. Geçen hafta) görüntülemek için önce “geçen hafta” tanımı yapılmalıdır. Bunun için “$geçenhafta” adıyla bir değişken oluşturulabilir.
Daha sonra logları Get-EventLog ve -After parametreleriyle görüntülemek mümkün olacaktır.
PowerShell kullanımı hakkında farklı yazılar okumak ve daha fazla bilgi edinmek isterseniz aşağıdaki linke tıklayabilirsiniz:
Teknik Yazılar