Windows Server 2008 Paylaşımdan Silinen Dosyaların Loglanması

Selamlar Herkeze,

Her admine gelen bir soru vardır.. File server daki dosyayı kim silmiş? Bizlerde genelde bu durum ile ilgili logları açmadığımız için cevap olarak “Bilmem, kim silmiş?” diye cevap veririz.

Bu noktada sunucu sistemlerimiz üzrinde bulunan Folder Auditing özelliğini kullanmamız gerekir. Bu yazımda sizlere bu özelliğin nasıl açılacağını ve açtıktan sonra yağacak olan access log ların nasıl limitlendireceğinizi anlatmaya çalışacağım.

Öncelikle policy tarafında yapılan ayarlar aynen domain ortamında ki policy lerde birden çok makinaya/sunucuya aynı anda uygulanabilir.

İlk olarak gpedit.msc yi açmak gereklidir.

Ardından Bilgisayar Yapılandırılması–>Windows Ayarları–>Güvenlik Ayaları–>Yerel İlkeler–>Denetim İlkesi altında bulunan Nesne Erişimini Denetle Ayarı aktif (Başarılı ve Başarısız seçili olmalıdır.) edilir.

(Computer Configuration–>Windows Settings–>Security Settings–>Local Policies–Audit Policy–> Audit )

gpedit.msc 1

gpedit.msc 3Ardından ise yapmanız gereken Bilgisayar Yapılandırılması–>Windows Ayarları–>Güvenlik Ayaları–>Gelişiş Denetim İlkesi Yapılandırılması –>Sistem Denetim İlkeleri –> Nesne Erişimi altındaki gerekli ayarları yapmaktır. Burada aslında nelerin loglanması ve loglanmamasını istediğinizi söylüyorsunuz. Herşeyi loglarsanız bu sefer geriye dönük log tutamazsınız. Daha doğrusu default halinde 1 günlük bile log tutamıyor 🙂 Aşağıdaki resimler benim tercih ettiğim bir konfigurasyon.. Siz kendinize göre değiştirebilirsiniz ama Tanıtıcı Değiştirmeyi Denetle (Audit Handle Manipulation) açık olmak zorunda.

gpedit.msc 2

 

(Computer Configuration–>Windows Settings–>Security Settings–> Advanced Audit Policy Configuration –> System Audit Policies)

gpedit.msc 4Bu noktadaan sonra Başlat –> Cmd yazıp enter a basıyoruz ve yaptığımız policy ayarlarının geçerli olması için “gpupdate” komutunu çalıştırıyoruz.

Bu ayarda bittikten sonra geriye sadece hangi dizinde bunu kontrol edeceğinizi seçmeniz kaldı. Takip etmek istediğiniz dizin üzerine gelin ve sağ tuş ile özelliklere tıklayın. Güvenlik tabına gelin ve Gelişmişe tıklayın. Burada da Denetimler tabına gelin.

gpedit.msc 5Burada Ekle tuşuna basarak klasör üzerinde hangi kullanıcıları yada grupların aktivitelerini takip etmek istiyorsanız onu seçin (everyone seçerseniz herkezi takip eder.) ve tamam deyin.

Bir pencere açılacak ve size hangi eylemler için takip edeyim diye soracaktır. Göreceğiniz üzere aslında sadece silme işlemlerini değil bunun yanında bir çok şeyi daha takip edebiliyoruz. Açılan pencerede “Alt Klasörleri ve Dosyaları Sil” ve “Sil” i işaretleyip tamam diyerek devam ediyoruz.

gpedit.msc 6Artık bu klasörde gerçekleşecek silme olayları olay görüntüleyicisinde Güvenlik kısmına düşmeye başlayacaktır.

Olay görüntüleyicisinde 4663, 4624 ve 5140 olay id lerini filtreleyecek bir filtre oluşturup takip edebilirsiniz.

gpedit.msc 7

İyi günler dilerim…

 

About Tansu Ekinci

Tansu Ekinci Biyografi 1980 yılının 24 Haziran’ ında Kırklareli’nin Babaeski ilçesinde doğmuştur. İlk öğretimini Hamdihelvacıoğlu İlkokulu’nda Ortaokul ve Lise eğitimini Kırklareli Anadolu Lisesi’ nde tamamladıktan sonra Ege Üniversitesi Ege Meslek Yüksek Okulu İşletmeciliği tamamlamış ve ardından İstanbul Üniversitesi İşletme Fakültesi’ ne Dikey Geçiş Sınavı ile geçerek işletme bölümünü bitirmiştir. Eğitim hayatı boyunca bir hobi olarak orta okul son sınıfta başlayan bilgisayar merakı giderek profeyonelleşmiş ve bir yaşam biçimi haline gelmiştir. Bu sırada çeşitli tüzel kişilere hizmet sunmuş ve bunun sayesinde bilgi işlem sektörünü kendisine meslek olarak seçmiştir. Bu sırada aldığı işletme eğitiminin de kendisine ileride yöneticilik için her zaman faydalı olacağının farkında olmuş ve bu konuyada önem vermiştir. Askerliğini 2005 yılında Muğla İli Ula ilçesinde Kısa Dönem Jandarma Çavuş olarak başarı ile tamamladıktan sonra Profesyonel iş hayatına atılmış ve ilk olarak bir yazılım şirketinde Yazılım Destek Departmanında işe başlamış ve burada mevcut yazılımın kullanımı ile ilgili olarak kullanıcı desteği ve eğitimi vermiştir. Ardından Netron Corparate Solutions şirketine Sistem Mühendisi olarak girmiş buradan da Marm Assistance A.Ş.‘ne geçiş yapmıştır. Ardından bu görevinden ayrılmış ve Limango Ltd.Şti isimli şirkette aynı pozisyonda çalışmaktadır. ޞu anda halen Limango Ltd.Şti. ‘de Senior Microsoft Sistem Mühendisi olarak çalışmaktadır…
This entry was posted in Server 2003, Server 2008, Server Sistemleri, Teknik and tagged , , , , , , , , , , , , , , , , , . Bookmark the permalink.

Yorum Yapın: