Windows Server ortamında dosya işlemlerinin (silme, değiştirme, erişim vb.) izlenmesi, güvenlik ve denetim açısından kritik önem taşır. Bu rehberde, sistem yöneticilerinin dosya işlemlerini nasıl etkin şekilde izleyebileceğini detaylı olarak ele alacağız.
## 1. Event Viewer Yapılandırması
### Event Viewer’ı Etkin Kullanma
Event Viewer, Windows Server’da dosya işlemlerini izlemenin temel araçlarından biridir. Önemli event ID’ler şunlardır:
– **4663**: Nesneye erişim denemeleri
– **4660**: Nesne silme işlemleri
– **4656**: Nesneye erişim talepleri
– **4658**: Nesneye erişim kapatma işlemleri
– **4664**: Nesne bağlantıları oluşturma
### Event Viewer’da Log Arama
1. Server Manager > Tools > Event Viewer yolunu izleyin
2. Windows Logs > Security sekmesine gidin
3. Sağ panelden “Filter Current Log” seçeneğini kullanın
4. Event ID’leri filtrelemek için yukarıdaki ID’leri kullanın
## 2. Audit Policy Yapılandırması
### Group Policy Üzerinden Audit Ayarları
1. Group Policy Management Console’u açın
2. Default Domain Policy’yi düzenleyin
3. Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration
4. Aşağıdaki politikaları yapılandırın:
– Object Access > Audit File System
– Object Access > Audit File Share
– Object Access > Audit Handle Manipulation
### PowerShell ile Audit Policy Yapılandırma
“`powershell
# Tüm dosya sistemi erişimlerini izleme
auditpol /set /category:”Object Access” /success:enable /failure:enable
# Belirli bir kategoriyi sorgulama
auditpol /get /category:”Object Access”
“`
## 3. File Server Resource Manager (FSRM) Kullanımı
### FSRM Kurulumu
“`powershell
Install-WindowsFeature FS-Resource-Manager -IncludeManagementTools
“`
### File Screening ve Storage Reports
1. File Screening Management:
– Belirli dosya türlerini engelleme
– Engellenen dosya türlerini loglama
2. Storage Reports Management:
– Dosya kullanım raporları oluşturma
– Disk kullanım analizi
– Duplicate files raporu
## 4. PowerShell ile Log Analizi
### Temel Log Sorguları
“`powershell
# Son 24 saatteki silme işlemlerini getir
Get-WinEvent -FilterHashtable @{
LogName=’Security’
ID=4663
StartTime=(Get-Date).AddDays(-1)
} | Where-Object {$_.Message -like “*Delete*”} | Format-Table TimeCreated,ID,Message -Wrap
# Belirli bir kullanıcının işlemlerini izleme
Get-WinEvent -FilterHashtable @{
LogName=’Security’
ID=4663,4660
} | Where-Object {$_.Message -like “*UserName*”} | Select-Object TimeCreated,ID,Message
“`
## 5. Shadow Copy Yapılandırması
### Shadow Copy Etkinleştirme
“`powershell
# Shadow Copy depolama alanı oluşturma
vssadmin add shadowstorage /for=C: /on=C: /maxsize=10GB
# Shadow Copy zamanlaması oluşturma
schtasks /create /tn “Daily Shadow Copy” /tr “wmic shadowcopy call create Volume=’C:\'” /sc daily /st 00:00
“`
### Shadow Copy Durumunu İzleme
“`powershell
# Mevcut Shadow Copy’leri listele
vssadmin list shadows
Örnek çıktı:
# Shadow Copy depolama alanı kullanımını görüntüle
vssadmin list shadowstorage
“`
PS C:\Users\Administrator> vssadmin list shadowstorage
vssadmin 1.1 – Volume Shadow Copy Service administrative command-line tool
(C) Copyright 2001-2013 Microsoft Corp.
Shadow Copy Storage association
For volume: (C:)\\?\Volume{123123123123123123123}\
Shadow Copy Storage volume: (C:)\\?\Volume{123123123123123}\
Used Shadow Copy Storage space: 0 bytes (0%)
Allocated Shadow Copy Storage space: 0 bytes (0%)
Maximum Shadow Copy Storage space: 19.9 GB (9%)
## 6. İyi Uygulama Önerileri
1. **Log Rotasyonu**
– Logları düzenli olarak arşivleyin
– Eski logları sıkıştırın veya farklı bir konuma taşıyın
– Log dosyaları için disk alanı planlaması yapın
2. **Alarm Mekanizması**
– Kritik dosya işlemleri için e-posta bildirimleri ayarlayın
– Belirli eşik değerler için uyarı sistemleri kurun
– Şüpheli aktiviteleri otomatik raporlayın
3. **Periyodik Raporlama**
– Haftalık/aylık dosya işlem raporları oluşturun
– Kullanıcı bazlı aktivite özetleri hazırlayın
– Anormal davranışları tespit eden raporlar planlayın
Windows Server’da dosya işlemlerinin izlenmesi, sistem güvenliği ve denetimi açısından kritik öneme sahiptir. Bu yazıda bahsedilen yöntemleri kullanarak, sisteminizde gerçekleşen tüm dosya işlemlerini etkin bir şekilde izleyebilir ve gerektiğinde müdahale edebilirsiniz.
Düzenli kontroller ve raporlamalar yaparak, olası güvenlik ihlallerini erkenden tespit edebilir ve gerekli önlemleri alabilirsiniz. Ayrıca, bu izleme mekanizmalarını kurum politikalarınıza ve yasal gerekliliklere uygun şekilde yapılandırmanız önemlidir.
