Windows Logları Filtreleme

20 Temmuz 2016

Microsoft, Windows Event Log API ‘si ile geliştiricilere Windows içerisinde tutulmuş loglara erişebilmeyi sağlıyor. Erişebilmekten daha fazlasını da yapabilen bu API’nin önemli özelliklerinden biri de istemcinin xml ile sorgu (XPath) yapabilmesi. Kısacası bu API’yi kullanarak sizde kendi istemcinizi yapabilirsiniz.

Bu yazı da, iki amacım var. Birincisi Windows’da bu API’yi kullanan Event Viewer üzerinden bir anlatımla diğer istemciler için logları nasıl filtreleyebileceğimizi anlatmak. Bir diğeri ise QRadar gibi SIEM ürünlerinde XPath’in destekleniyor olması.

XPath sayesinde sadece istediğiniz (filtrelediğiniz) logların SIEM ajanları tarafından SIEM’e xml ile kolayca aktarılmasını sağlayabiliyorsunuz. Şimdi gelin lafı daha fazla uzatmadan nasıl gerçekleyeceğimizi görelim.

Öncelikle logları görüntülediğimiz Event Viewer’ı açalım.

ev2 - Windows Logları Filtreleme

Event Viewer istemcisi arka planda bir sorgu işlemi gerçekleştirdi ve ekranımıza olay kayıtlarını yansıttı. Windows Logs altında Security view’ine bakalım. Windows içinde oluşan audit log dediğimiz kayıtlar Event Viewer içinde bura da görüntüleniyor. İsterseniz sizde Event Viewer içerisinde var olanlar üzerinden ya da sıfırdan yeni bir view oluşturabilirsiniz.

Örneğin Security üzerinden bir View oluşturalım.

ev3 - Windows Logları Filtreleme

Diyelim ki tüm seviyelerde log almak istemiyorum. Sadece kritik ve bilgi niteliğindeki seviyedeki logları almak istiyorum. Bu durumda aşağıdaki gibi Filter tabındayken bir filtreleme yapabilirim.

ev4 - Windows Logları Filtreleme

Bir isim verip kaydettikten sonra sonuçlarını görebilirsiniz.

ev6 - Windows Logları Filtreleme

Peki bu yaptığımız şeyin XML’deki karşılığı nedir ? Yukarıdaki filtreleme yaparak oluşturduğumuz view için xpath sorgusunu çıktısını XML tabında görebiliyoruz.

ev7 - Windows Logları Filtreleme

Bu xml’i XPath destekleyen bir istemciye vererek filtrelenmiş logları görebiliriz. Örneğin SIEM ürünü QRadar’da, Wincollect ajanı ile logları toplayıp merkeze yollayabiliyoruz. Merkez QRadar’a şunu diyebilir. XML ‘i al ve bu filtrelere göre logları bana gönder.

q2 - Windows Logları Filtreleme

Örneğin QRadar içerisinde yazdığımız yukarıdaki sorgu ile Windows’a ait Security ve Exchange sunucuya ait audit logları birlikte alabiliriz..

Benzer Gönderiler:

  1. Windows Security Events
  2. SIEM, SIM, SEM Kavramları
  3. Windows logon tipleri
  4. Wincollect Ajanı ile Log Toplama
Gökhan Kesici
Adanalı. Evli ve bir çocuk sahibi. İstanbul Üniversitesi Bilgisayar Mühendisliği lisans ve İstanbul Şehir Üniversitesi Bilgi Güvenliği Mühendisliği yüksek lisans mezunu.

Kategoriler