İçerikleri sosyal medya üzerinden paylaşarak daha fazla kişiye ulaşmasına yardımcı olabilirsiniz.



Kategori: Windows Powershell
Fırat Boyan 01.07.2018 6

Event ID 1074,1076 ve 6008 Log kayıtlarının incelenmesi

Bu makalemde sizlere yönettiğimiz server sistemlerinin; kimi zaman planlı olarak bizim kontrolümüzde, kimi zaman yaptığımız bir işlemden sonra uygulamanın zorlaması ile, kimi zaman da beklenmedik durumlarda yaşanan Restart (yeniden başlama) ya da Shutdown (kapanma) olaylarının PowerShell komutları ile Event Viewer (olay görüntüleyici) Log kayıtlarına erişip, bunları nasıl inceleyeceğimizden bahsedeceğim. Bu iligili PowerShell komutları sayesinde de ilgili Event Viewer (olay görüntüleyici) Log kayıtlarını tek tek arama zahmetine de girmemiş oluyoruz. İşlemimi Windows Server 2016 üzerinde gerçekleştireceğim. Komutum aşağıdaki gibidir.

Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap

Event ID 1074,1076,6008

1074, 1076 ve 6008 ID'li (kimlik numaralı) Event Viewer (Olay Görüntüleyici) Log kayıtlarını tek tek inceleyecek olursak;

1- Event ID (olay kimliği) 1074: 1074 Event ID'si, bir uygulamanın neden olduğu Restart (yeniden başlatma) ya da Shutdown (kapanma) olaylarının Event Viewer (olay görüntüleyici) Log kayıt kimliğidir.

Get-EventLog System | Where-Object {$_.EventID -eq "1074"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap

Event ID 1074,1076,6008

2- Event ID (olay kimliği) 1076: 1076 Event ID'si, Kullanıcı tarafından gerçekleştirilmiş Restart (yeniden başlatma) ya da Shutdown (kapanma) olaylarının Event Viewer (olay görüntüleyici) Log kayıt kimliğidir.

Get-EventLog System | Where-Object {$_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap

Event ID 1074,1076,6008

3- Event ID (olay kimliği) 6008: 6008 Event ID'si, Beklenmedik Shutdown (kapanma) olaylarının Event Viewer (olay görüntüleyici) Log kayıt kimliğidir.

Get-EventLog System | Where-Object {$_.EventID -eq "6008"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap

Event ID 1074,1076,6008

İlgili komut satırında | Out-File C:\DosyaAdi.txt komutunu kullanarak sistem Disk'i üzerinde çıktısını alabilirsiniz.

Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap | Out-File C:\systemShutdownRestart.txt

Event ID 1074,1076,6008

Event ID 1074,1076,6008

Faydalı olması dileğiyle...


Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.



Yazar: Fırat Boyan

Adım Fırat Boyan. 1985 yılında Antalya'nın Alanya ilçesinde doğdum. 2008 yılından beri İstanbul'da yaşıyorum. Kıdemli Sistem Mühendisi, Microsft Sertifikalı Eğitmen (MCT) ve İngilizceden Türkçeye ve Türkçeden İngilizceye serbest, Noter Yeminli Tercümanım. 18 yıldır Bilgi Teknolojileri alanında hizmet veriyorum. Şu anda Data Market bünyesinde Senior Cloud Engineer olarak çalışıyorum ve Bilgi Teknolojileri alanında eğitim hizmetleri veren Bilge Adam bünyesinde Microsoft Sertifikalı Eğitmen (MCT) olarak Sistem ve Network Uzmanlığı eğitimleri veriyorum. Bunun yanı sıra, kurumsal firmalara BT danışmanlık hizmetleri de vermekteyim. Hakkımda daha fazla bilgi sahibi olmak ve sahip olduğum Microsoft sertifikalarımı incelemek için Hakkımda sayfasını ziyaret edebilirsiniz.

YORUMLAR
Bu makaleye 6 yorum yapıldı.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

   
   
  750 karakter yazabilirsiniz.
 
Captcha
Güvenlik kodunu BÜYÜK harflerle giriniz.
* Yorumlar, onaylandıktan sonra yayınlanmaktadır.
* E-posta, yorum onay bildirimi için gereklidir. Yayınlanmaz.


08.03.2022 Tolga
Fırat Bey makale için teşekkürler,elinize sağlık. Dosya paylaşım işlemlerinde user audit işlemlerinde Event Log takibi ile ilgili makale yayınlarsanız çok sevirim teşekkürler.

09.03.2022 Fırat Boyan
Paylaşım klasöründeki Auit yetkilendirmesi için sadece Failed seçip, yetkilendirme adımında seçmen, sadece silinme Log'larını gösterecektir.

08.03.2022 Tolga
Cevabınız için teşekkürler Fırat Bey şimdiden teşekkürler. Bu konuya istinaden bir sorum var. Bir dosya adını değiştirdiğizde önce silindi sonra oluşturuldu şeklinde görünüyor pek mantıklı durmuyor. File server için böyle bir sistem üzerinden audit önerilir mi ? öneriniz nedir.

08.03.2022 Fırat Boyan
Merhaba Tolga, epeydir aklımda. Yazacağım.


01.11.2021 Hakan
keşke kodlarıda kopyalamamızı engellemeseydiniz.

01.11.2021 Fırat Boyan
Merhaba Hakan, Kodların kopyalanmasında bir sorun yoktur. Tek tıklama ile tümünü seçebilir, kopyalayabilirsin.