PowerShell kullanarak Event ID 1074, 1076 ve 6008 olaylarını incelemek, sistemde meydana gelen önemli olayları takip etmek ve anlamak için oldukça etkili bir yöntemdir. Bu Event ID'ler, sistem yeniden başlatma, kapatma veya beklenmedik kapanma gibi olayları kayıt altına alır. Bu tür olaylar, sistem yöneticilerinin ve güvenlik ekiplerinin sistem durumu hakkında bilgi edinmelerine ve olası sorunları tespit etmelerine yardımcı olur.
🔍 Event ID 1074: bir sistemin planlı olarak yeniden başlatıldığını veya kapatıldığını belirtir. Bu olay genellikle kullanıcı veya uygulama tarafından başlatılır ve yeniden başlatma veya kapatma nedeni, ilgili mesajda belirtilir. Event ID 1074'ü incelemek, sistemin neden ve ne zaman yeniden başlatıldığını veya kapatıldığını anlamanızı sağlar.
🔍 Event ID 1076: Sistemin beklenmedik bir şekilde kapandığını veya yeniden başlatıldığını gösterir. Bu olay, genellikle bir sistem hatası veya ani güç kaybı gibi beklenmedik durumlar sonucunda meydana gelir. Bu tür olayları analiz etmek, sistemdeki potansiyel güvenlik açıklarını veya donanım sorunlarını tespit etmenize yardımcı olabilir.
🔍 Event ID 6008: Sistemin beklenmedik bir şekilde kapanmasının ardından kaydedilen bir olaydır. Bu olay, genellikle ani güç kaybı, sistem hatası veya diğer beklenmedik kesintiler sonucu meydana gelir. Event ID 6008'in incelenmesi, sistemin neden beklenmedik bir şekilde kapandığını ve bu tür olayların tekrarını önlemek için hangi adımların atılması gerektiğini belirlemenizi sağlar.
PowerShell, bu Event ID'leri hızlı ve etkili bir şekilde sorgulamak ve analiz etmek için güçlü bir araçtır. PowerShell kullanarak, belirli tarih ve saat aralıklarındaki olayları filtreleyebilir, olay mesajlarını detaylı bir şekilde inceleyebilir ve gerektiğinde bu verileri raporlayabilirsiniz. Bu, olayların nedenlerini daha iyi anlamanıza ve gerekli önlemleri almanıza olanak tanır.
Bu tür olayları Event Viewer üzerinden izlemek ve analiz etmek, sistem güvenliği ve performansını artırmak için kritik öneme sahiptir. Olayların nedenlerini anlamak, olası sorunları erken tespit etmek ve proaktif önlemler almak için gereklidir. Ayrıca, bu bilgiler, sistemin genel sağlığı ve güvenliği hakkında önemli ipuçları sunar.
|
Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap |
1074, 1076 ve 6008 ID'li (kimlik numaralı) Event Viewer (Olay Görüntüleyici) Log kayıtlarını tek tek inceleyecek olursak;
1- Event ID (olay kimliği) 1074: 1074 Event ID'si, bir uygulamanın neden olduğu Restart (yeniden başlatma) ya da Shutdown (kapanma) olaylarının Event Viewer (olay görüntüleyici) Log kayıt kimliğidir.
|
Get-EventLog System | Where-Object {$_.EventID -eq "1074"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap |
2- Event ID (olay kimliği) 1076: 1076 Event ID'si, Kullanıcı tarafından gerçekleştirilmiş Restart (yeniden başlatma) ya da Shutdown (kapanma) olaylarının Event Viewer (olay görüntüleyici) Log kayıt kimliğidir.
|
Get-EventLog System | Where-Object {$_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap |
3- Event ID (olay kimliği) 6008: 6008 Event ID'si, Beklenmedik Shutdown (kapanma) olaylarının Event Viewer (olay görüntüleyici) Log kayıt kimliğidir.
|
Get-EventLog System | Where-Object {$_.EventID -eq "6008"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap |
İlgili komut satırında | Out-File C:\DosyaAdi.txt komutunu kullanarak sistem Disk'i üzerinde çıktısını alabilirsiniz.
|
Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap | Out-File C:\systemShutdownRestart.txt |
Sistem olaylarını takip etmek, geçmişte meydana gelen olayları anlamak ve potansiyel sorunları analiz edebilmek için Event Log incelemeleri kritik bir öneme sahiptir. Özellikle Event ID 1074, 1076 ve 6008, bir sistemin nasıl kapatıldığını, yeniden başlatıldığını ya da beklenmedik bir şekilde kapanıp kapanmadığını gösteren en önemli kayıtlar arasındadır. Bu veriler, sistemin normal bir süreç mi takip ettiğini yoksa bir hata ya da zorunlu bir müdahale sonucu mu kapandığını anlamak için kullanılır.
Sunucu ya da Client sistemlerinde meydana gelen her beklenmedik kapanma, olası bir donanım arızası, yazılım hatası veya güvenlik ihlalinin işareti olabilir. Event Log verileri detaylı bir şekilde analiz edilerek, planlanmamış kesintilerin ardındaki sebepler ortaya çıkarılabilir. Event ID 1074, sistemin neden kapatıldığını ya da yeniden başlatıldığını gösterirken, Event ID 1076 bu işlemin zorunlu bir müdahale sonucu gerçekleşip gerçekleşmediğini anlamaya yardımcı olur. Event ID 6008 ise sistemin normal dışı bir şekilde kapandığını kaydederek, aniden kapanan makinelerin neden kapandığını araştırmak için önemli bir ipucu sunar.
Bu verilerin otomatik olarak toplanması ve analiz edilmesi, büyük ölçekli sistemlerde hızlı aksiyon alınmasını sağlar. PowerShell kullanarak Event Log'ları filtrelemek, belirli bir zaman aralığında gerçekleşen olayları listelemek ve bu verileri dışa aktarmak mümkündür. Doğru parametreler ile yapılan sorgular, gereksiz kayıtları filtreleyerek yalnızca kritik olaylara odaklanmayı mümkün kılar. Böylece olası sorunlar daha erken tespit edilebilir ve sistem kararlılığı sağlanabilir.
Bu tür Log analizleri sayesinde sistemde meydana gelen kapanma ya da yeniden başlatma olayları üzerinde tam kontrol sağlanabilir. Beklenmedik olayların nedenlerini doğru bir şekilde anlamak, benzer durumların tekrar yaşanmasını önlemek ve gerektiğinde hızlı müdahale edebilmek için en güvenilir yöntemdir.
Faydalı olması dileğiyle...
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.