Merhaba değerli TurkHackTeam mensupları;
Bu konumda sizler ile Windows'un kendi platformlarından biri olan ve genellikle Komut İstemi (CMD) platformuna alternatif olarak gösterilen fakat çeşitli yönleriyle aralarında bir pozitif ve negatif farkların olduğu PowerShell platformu ile sistemimizdeki logları inceleyeceğiz.
LOG NEDİR ?
Öncelikle log kelimesi kayıt anlamına gelmektedir. Loglama işlemi ise bu kayıtlar ile dijital hareketlerin tutulma işlemine denir. Gelişen teknoloji ile yazılımlar, işletim sistemleri, IOT cihazları gibi elektronik sitemler üzerinde yapılan her işin kayıtlarının tutulmasıdır. Log kayıtları tüm elektronik cihazlar için önemli ve siber güvenlik olaylarının aydınlatılması için de zorunlu hale getirilmiştir. Özelliklede siber olayların tespit edilmesi ve olay yönetimi için loglama önemli bir yer tutmaktadır. 5651 sayılı yönetmelik kanunu, ISO 27001 gibi bilişim sektörünün önemli kanunları loglamayı zorunlu hale getirmiştir. Kısaca loglama işlemi bir sistemin, bir cihazın ve sistem üzerindeki kullanıcıların hareketlerini kaydeden yapıdır.
LOGLARIN İNCELENMESİ
→ Öncelikle sol alttaki Windows simgesinin yanındaki arama çubuğuna "PowerShell" (tırnak işaretleri olmadan) yazalım ve Windows PowerShell'i çalıştıralım.
→ Başlangıçta sistem üzerinde tutulan loglar ve her log türü için bulunan kayıt sayılarının incelemesini yapalım.
→ Biraz araştırmayı özelleştirelim ve belirli bir log türüne göre araştırma yapalım.
→ Muhtemeldir ki yüzlerce kayıt ekranınızdan akmaya başlayacaktır. Bunları düzenleyerek okuma işlemini kolaylaştırabilirsiniz. Ayrıca açılacak olan pencerede "Add criteria" butonu ile log kayıtlarınızı gruplandırabilir, belirli kriterlere göre listeleyebilir ve bu listelerin içerisindeki kayıtların ayrıntılı okumasını sağlayabilirsiniz.
→ Biraz da yakın geçmişe daha spesifik bir inceleme yapmaya ne dersiniz. Şimdi yapacağımız işlemle de son 10 log kaydının yazdırılmasını yapacağız. Tabiki buradaki log başlığı ve sayı tamamen değişiktir. Örneğin siz System loglarından son 20 logu incelemek isterseniz koddaki security'i system olarak 10'u ise 20 olarak değiştirebilirsiniz.
→ Peki bu log kayıtlarının bir dökümantasyonunu yapmak ve depolama işlemini gerçekleştirmek gerekmez mi ? "$" komutu bu işimize yarayacaktır. " $ = KAYIT_ELDİLECEK_İSİM" şeklinde logların kaydını yapabilir ve tekrardan daha hızlı bir şekilde çağırabiliriz.
→ Loglar hızlıca gruplandırılıp sayılabilir. Bunun için aşağıdaki komutu kullanmamız yeterli olacaktır.
→ Belirli bir log türünde arama yapılıyorsa "-InstanceID" eki kullanılarak araştırma genişletilebilir.
→ Kayıtlarımızın ayrıntılarını görüntüleyebiliriz. Bunun için de hemen bir örnek oluşturalım;
Öncelikle "Windows PowerShell" loguna ait son log kaydını tht_edros ismiyle kayıt edelim. (Buralardaki bütün isimlendirmeler, sayı adetleri ve araştırma başlıkları örnektir, siz amacınıza yönelik değişikliklere gidebilirsiniz.)
Sonrasında kaydımızı bi kontrol edelim.
Şimdi bu kaydımızı tüm ayrıntısı ile inceleyelim. Komutun sonundaki *; "tüm ayrıntılar ile incelenmesi" anlamına gelmektedir. Konunun devamında buranın detaylandırılmasından da bahsedeceğim.
→ Bir önceki basamakta bahsedilen ayrıntılandırma işlemini gerçekleştirelim. Ayrıntı olarak kayıt olmuş logdaki Makine ismini ve kayıt tarihini yazdıralım. Sizler buraları kendi amaç ve istekleriniz doğrultusunda revize edebilirsiniz.
→ Son olarak da belirli bir zaman dilimindeki kayıtların dökümantasyonunun nasıl yapıldığından bahsedelim. Konunun genelinden de kavranacağı üzere önce bir kayıt dizini oluşturarak işlemimize başlayalım;
Yazdığımız koddaki işlem emrinden de anlayacağımız üzere gecen_ay_kayitlari adındaki kayıt dizinimize bir log kayıt yığını atadık. Bu log kayıt yığınında şuanki tarihin üzerine -30 gün ekleyerek yani 1 ay geriye giderek kayıtların taranmasını istedik. Buradaki sayılar ve işlemler de değişiklik gösterebilir.
Şimdi bu kayıtlarımızı ekrana yazdıralım.
Bir konunun daha sonuna geldik. Umarım işinize yarayacak bir döküman oluşturmayı becerbilmişimdir.
Log kayıtlarınızın resmi ve adli bir delil olduğunu unutmamanızı, özellikle temizlenmeleri işleminde azami şekilde dikkatli davranmanızı tavsiye ederim. Mutlu günler diliyorum...
→ Başlangıçta sistem üzerinde tutulan loglar ve her log türü için bulunan kayıt sayılarının incelemesini yapalım.
Kod:
Get-EventLog -List→ Biraz araştırmayı özelleştirelim ve belirli bir log türüne göre araştırma yapalım.
Kod:
Get-EventLog security→ Muhtemeldir ki yüzlerce kayıt ekranınızdan akmaya başlayacaktır. Bunları düzenleyerek okuma işlemini kolaylaştırabilirsiniz. Ayrıca açılacak olan pencerede "Add criteria" butonu ile log kayıtlarınızı gruplandırabilir, belirli kriterlere göre listeleyebilir ve bu listelerin içerisindeki kayıtların ayrıntılı okumasını sağlayabilirsiniz.
Kod:
Get-EventLog security | Out-GridView→ Biraz da yakın geçmişe daha spesifik bir inceleme yapmaya ne dersiniz. Şimdi yapacağımız işlemle de son 10 log kaydının yazdırılmasını yapacağız. Tabiki buradaki log başlığı ve sayı tamamen değişiktir. Örneğin siz System loglarından son 20 logu incelemek isterseniz koddaki security'i system olarak 10'u ise 20 olarak değiştirebilirsiniz.
Kod:
Get-EventLog security -Newest 10→ Peki bu log kayıtlarının bir dökümantasyonunu yapmak ve depolama işlemini gerçekleştirmek gerekmez mi ? "$" komutu bu işimize yarayacaktır. " $ = KAYIT_ELDİLECEK_İSİM" şeklinde logların kaydını yapabilir ve tekrardan daha hızlı bir şekilde çağırabiliriz.
Kod:
$saklanacak_log_kayitlari = Get-EventLog security -Newest 10
$saklanacak_log_kayitlari→ Loglar hızlıca gruplandırılıp sayılabilir. Bunun için aşağıdaki komutu kullanmamız yeterli olacaktır.
Kod:
$saklanacak_log_kayitlari | Group-Object InstanceID→ Belirli bir log türünde arama yapılıyorsa "-InstanceID" eki kullanılarak araştırma genişletilebilir.
Kod:
Get-EventLog -LogName "Windows PowerShell" -InstanceId 600→ Kayıtlarımızın ayrıntılarını görüntüleyebiliriz. Bunun için de hemen bir örnek oluşturalım;
Öncelikle "Windows PowerShell" loguna ait son log kaydını tht_edros ismiyle kayıt edelim. (Buralardaki bütün isimlendirmeler, sayı adetleri ve araştırma başlıkları örnektir, siz amacınıza yönelik değişikliklere gidebilirsiniz.)
Kod:
$tht_edros = Get-EventLog -LogName "Windows PowerShell" -Newest 1
Kod:
$tht_edrosŞimdi bu kaydımızı tüm ayrıntısı ile inceleyelim. Komutun sonundaki *; "tüm ayrıntılar ile incelenmesi" anlamına gelmektedir. Konunun devamında buranın detaylandırılmasından da bahsedeceğim.
Kod:
$tht_edros | Select-Object -Property *→ Bir önceki basamakta bahsedilen ayrıntılandırma işlemini gerçekleştirelim. Ayrıntı olarak kayıt olmuş logdaki Makine ismini ve kayıt tarihini yazdıralım. Sizler buraları kendi amaç ve istekleriniz doğrultusunda revize edebilirsiniz.
Kod:
$tht_edros | Select-Object -Property MachineName,TimeGenerated→ Son olarak da belirli bir zaman dilimindeki kayıtların dökümantasyonunun nasıl yapıldığından bahsedelim. Konunun genelinden de kavranacağı üzere önce bir kayıt dizini oluşturarak işlemimize başlayalım;
Kod:
$gecen_ay_kayitlari = (Get-Date).AddDays(-30)Şimdi bu kayıtlarımızı ekrana yazdıralım.
Kod:
Get-EventLog -LogName security -After $gecen_ay_kayitlariBir konunun daha sonuna geldik. Umarım işinize yarayacak bir döküman oluşturmayı becerbilmişimdir.
Log kayıtlarınızın resmi ve adli bir delil olduğunu unutmamanızı, özellikle temizlenmeleri işleminde azami şekilde dikkatli davranmanızı tavsiye ederim. Mutlu günler diliyorum... TurkHackTeam.Net/Org
Saygılarımla...:Smiley1007:
