Event ID
Olay günlüğü üzerinde bulunan kayıt değerleri Event ID olarak tanımlanmaktadır. Windows sistemler üzerinde gerçekleşen işlemler sonucunda çok sayıda “Event ID” oluşmaktadır.
Oluşan bu Event ID’ler çok fazla ve farklı ID değerlerine sahip olduğu için olay incelemelerinde oldukça zor olmaktadır.
Windows Olay Kimlikleri (Event ID) çoğu olayın çözümlenmesinde bizlere yardımcı olmakla birlikte, diğer vakaların çözümlenmesinde de bizlere kolaylık sağlamaktadır.
Log kayıtlarının bulunduğu yerde olay kimliği kısmında Event ID'ler bulunmaktadır. Bu ID numaralarının her birinin farklı anlamı bulunmaktadır.
|
ID |
Anlamı |
|
1 ProccesCreate |
İşlem başlatıldı |
|
2 FileCreateTime |
Dosya oluşturma süresi |
|
3 NetworkConnect |
Ağ bağlantısı algılandı |
|
4 n/a |
Sysmon hizmet durumu değişikliği(filtrelenemez) |
|
5 Process Terminate |
Süreç sonlandırıldı |
|
6 DriverLoad |
Sürücü Yüklendi |
|
7 ImageLoad |
Resim yüklendi |
|
8 CreateRemoteThread |
Uzak Konu Oluşturılması algılandı |
|
9 RawAccessRead |
Ham Erişim Okuması algılandı |
|
10 ProcessAccess |
İşlem erişildi |
|
11 FileCreate |
Dosya oluşturuldu |
|
12 RegistryEvent |
Kayıt defteri nesnesi eklendi veya silindi |
|
13 RegistryEvent |
Kayıt defteri değeri kümesi |
|
14 RegistryEvent |
Kayıt defteri nesnesi yeniden adlandırıldı |
|
15 FileCreateStreamHash |
Dosya akışı oluşturuldu |
|
16 n/a |
Sysmon yapılandırma değişikliği(filtrelenemez) |
|
17 PipeEvent |
Adlandırılmış kanal oluşturuldu |
|
18 PipeEvent |
Adlandırılmış boru bağlandı |
Event ID bir üst panelde olay kısmında olay kimliği sütununda görünmektedir. Bir olay hakkında daha detaylı bilgialmak için olaya tıklanması yeterli olacaktır.
