İçerikleri sosyal medya üzerinden paylaşarak daha fazla kişiye ulaşmasına yardımcı olabilirsiniz.



Kategori: Windows Powershell
Fırat Boyan 01.07.2018 6

Event ID 1074,1076 ve 6008 Log kayıtlarının incelenmesi

Bu makalemde sizlere yönettiğimiz server sistemlerinin; kimi zaman planlı olarak bizim kontrolümüzde, kimi zaman yaptığımız bir işlemden sonra uygulamanın zorlaması ile, kimi zaman da beklenmedik durumlarda yaşanan Restart (yeniden başlama) ya da Shutdown (kapanma) olaylarının PowerShell komutları ile Event Viewer (olay görüntüleyici) Log kayıtlarına erişip, bunları nasıl inceleyeceğimizden bahsedeceğim. Bu iligili PowerShell komutları sayesinde de ilgili Event Viewer (olay görüntüleyici) Log kayıtlarını tek tek arama zahmetine de girmemiş oluyoruz. İşlemimi Windows Server 2016 üzerinde gerçekleştireceğim. Komutum aşağıdaki gibidir.

Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap

Event ID 1074,1076,6008

1074, 1076 ve 6008 ID'li (kimlik numaralı) Event Viewer (Olay Görüntüleyici) Log kayıtlarını tek tek inceleyecek olursak;

1- Event ID (olay kimliği) 1074: 1074 Event ID'si, bir uygulamanın neden olduğu Restart (yeniden başlatma) ya da Shutdown (kapanma) olaylarının Event Viewer (olay görüntüleyici) Log kayıt kimliğidir.

Get-EventLog System | Where-Object {$_.EventID -eq "1074"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap

Event ID 1074,1076,6008

2- Event ID (olay kimliği) 1076: 1076 Event ID'si, Kullanıcı tarafından gerçekleştirilmiş Restart (yeniden başlatma) ya da Shutdown (kapanma) olaylarının Event Viewer (olay görüntüleyici) Log kayıt kimliğidir.

Get-EventLog System | Where-Object {$_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap

Event ID 1074,1076,6008

3- Event ID (olay kimliği) 6008: 6008 Event ID'si, Beklenmedik Shutdown (kapanma) olaylarının Event Viewer (olay görüntüleyici) Log kayıt kimliğidir.

Get-EventLog System | Where-Object {$_.EventID -eq "6008"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap

Event ID 1074,1076,6008

İlgili komut satırında | Out-File C:\DosyaAdi.txt komutunu kullanarak sistem Disk'i üzerinde çıktısını alabilirsiniz.

Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap | Out-File C:\systemShutdownRestart.txt

Event ID 1074,1076,6008

Event ID 1074,1076,6008

Faydalı olması dileğiyle...


Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.



Yazar Hakkında

firatboyan.com


1985 yılında Alanya'da doğdum. İlk, orta ve lise öğrenimimi Alanya'da tamamladım. Liseden mezun olduktan sonra Akdeniz Üniversitesi Bilgisayar Teknolojisi Ön Lisans programına yerleştim ve bu programdan mezun oldum. Ön Lisans programından mezun olduktan bir süre sonra Dikey Geçiş Sınavı (DGS) ile İstanbul Teknik Üniversitesi (İTÜ) Bilgisayar Mühendisliği Lisans programına yerleştim. 2003 yılından beri Bilgi Teknolojileri sektöründe Sistem ve Network alanlarında çalışıyorum. Bir çok firma bünyesinde farklı projelerde yer alarak bu alanda yıllar içinde ciddi bir bilgi birikimi ve deneyimler kazandım. Bilgi Teknolojileri sektöründeki profesyonel çalışma hayatımın uzunca bir dönemini entegratör firma bazında, ağılıklı olarak Microsoft ürünleri üzerine danışman olarak sürdürüyor ve yüksek seviyeli projeler geliştiriyorum. Uzunca bir süredir de Türkiye'nin en önde gelen entegratör firması olan Data Market bünyesinde Senior Cloud Engineer olarak çalışıyorum. Ek olarak, 2015 yılında Network Akademi bünyesinde Sistem ve Network Uzmanlık eğitimleri vermeye başladım ve 2017 yılında da eğitmenlik tecrübemi, Microsft Certified Trainer (MCT) ünvanı ile taçlandırdım. Eğitmenlik serüvenime 2021 yılından beri Bilge Adam bünyesinde MCT ünvanı ile devam etmekteyim.

YORUMLAR
Bu makaleye 6 yorum yapıldı.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

   
   
  750 karakter yazabilirsiniz.
 
Captcha
Güvenlik kodunu BÜYÜK harflerle giriniz.
* Yorumlar, onaylandıktan sonra yayınlanmaktadır.
* E-posta, yorum onay bildirimi için gereklidir. Yayınlanmaz.


08.03.2022 Tolga
Fırat Bey makale için teşekkürler,elinize sağlık. Dosya paylaşım işlemlerinde user audit işlemlerinde Event Log takibi ile ilgili makale yayınlarsanız çok sevirim teşekkürler.

09.03.2022 Fırat Boyan
Paylaşım klasöründeki Auit yetkilendirmesi için sadece Failed seçip, yetkilendirme adımında seçmen, sadece silinme Log'larını gösterecektir.

08.03.2022 Tolga
Cevabınız için teşekkürler Fırat Bey şimdiden teşekkürler. Bu konuya istinaden bir sorum var. Bir dosya adını değiştirdiğizde önce silindi sonra oluşturuldu şeklinde görünüyor pek mantıklı durmuyor. File server için böyle bir sistem üzerinden audit önerilir mi ? öneriniz nedir.

08.03.2022 Fırat Boyan
Merhaba Tolga, epeydir aklımda. Yazacağım.


01.11.2021 Hakan
keşke kodlarıda kopyalamamızı engellemeseydiniz.

01.11.2021 Fırat Boyan
Merhaba Hakan, Kodların kopyalanmasında bir sorun yoktur. Tek tıklama ile tümünü seçebilir, kopyalayabilirsin.