Forum
Bildirimler
Hepsini Temizle
Windows Server
4
Yazılar
3
Üyeler
2
Reactions
1,450
Görüntüleme
Konu başlatıcı
Merhaba,
Windows server üzerinde birden fazla admin kullanıcısına sahip bir sunucuda yüklenilen programların hangi kullanıcı tarafından gerçekleştiğinin tespiti anlamında ne yapılabilir? SIEM vb. ürünler olmadan
iyi çalışmalar dilerim.
Gönderildi : 19/04/2021 09:14
Merhabalar,
Event viewer kullanarak Application Log kısmında 11707 Event id sini filterlerseniz hangi uygulamalar yüklendi görebilirsiniz. Uygulama event detayına girdiğinizde UserId kısmı yer almaktadır. Buradan hangi userın yüklediğinin bilgisini bulabilirsiniz.
Kim kaldırdı görmek isterseniz 11724 Event Id sini filterlerseniz bunu da görebilirsiniz.
wmic useraccount where name='username' get sid
Yukarıdaki komut ile kullanıcıların SID lerini çekip bulabilirsiniz.
Aşağıda yer alan linkteki gibi kendinize uyarı sistemi de oluşturabilirsiniz:
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 19/04/2021 11:27
Merhaba,
Event id 1107 (MsiInstaller) üzerinden kontrol edebilirsiniz , program internet üzerinden download edildiyse user klasörü içeresinde download klasörünü kontrol edebilirsiniz. Programın klasörün oluşturulduğu tarihe bakıp sunucuda o saatlerde kim login olmuş event lardan kontrol edebilirsiniz.
Gönderildi : 19/04/2021 11:43
Eray KAÇAR and Eray KAÇAR reacted
Konu başlatıcı
Kadir Hocam Merhaba,
Desteğiniz için teşekkür ederim, faydalı bilgileriniz ve kaynak gösteriminiz için de ayrıca teşekkür ederim.
iyi çalışmalar.
Gönderildi : 19/04/2021 11:44
