Windows sistemlerde güvenlik açısından en azından Audit logların alınması gerekir. Bu loglara Windows’un kendi görüntüleyicisi Event Viewer ile baktığınızda Security altında görebilirsiniz. Gelin ve burada yer alan Event ID olarak tekilleştirilmiş bir id ‘ye sahip olay kayıtlarını inceleyelim.
Not : Windows Server 2012 baz alınmıştır.
1102 – The audit log was cleared.
Bu log çok önemli bir logdur. Sisteminizde audit log silindiğinde ilk oluşan logdur. Önemli kılan şey ise genellikle audit log istisnai durumlar dışında silinmez. Böyle bir aktivite bu durumda şüphelidir. Biri sisteminize sızmış, daha sonrasında iz bırakmamak adına logları temizlemiş olabilir. Özellikle bu olay kaydı için SIEM’de alarm üretilmelidir.