Merhaba, yönetmekte olduğunuz windows tabanlı sunucu sayısı
fazlaysa ve aynı zamanda yönetmekte olduğunuz windows sunucuların üzerindeki
uygulamaların her birinin süreç sahibi kişi ve grupları yine sayı olarak
fazlaysa yönetim olarak biraz işiniz zor demektir. Böyle bir ortamda bir de sunucularınız
üzerinde uygulama sahibi kullanıcılarınıza Local Adminlik gibi haklar
vermişseniz mecburi nedenlerle bazen istemediğiniz durumlarla
karşılaşabilirsiniz. Örneğin bir sunucunuz var üzerinde çok kritik bir uygulama
çalışıyor. Ve Bu sunucunun üzerindeki uygulamanın sahipleri aynı zamanda
sunucunun localin de admin hakkına sahipler. Bir gün size sunucunun birisi
tarafından restart edildiğini söylediler ve sizden kim olduğunu öğrenmenizi
istediler.
Böyle bir durumda bir süreç kesintisi ve buna bağlı olarak
bazı mali kayıplar ortaya çıkacağı için pek hoş bir durum gibi gözükmüyor. Şimdi
gelelim bu kontrolü nasıl yapacağımıza.
Kullanıcılarınız ister domain userlarıyla sunuculara
bağlanıp işlemler gerçekleştirsin ister local user accountlarıyla işlem
gerçekleştirsinler yapılan çoğu işlem
Event Viewer aracına yani olay görüntüleyiciye yansır. Aşağıdaki örneğimizde Ozgur Senerdogan isimli domain userımız Server01 isimli sunucunun localinde admin
yetkisine sahip.
Server1 isimli sunucumu restart ediyorum.
Saat 12:14 de restart ettim. Ve kullanıcım CMD ekranında gördüğünüz üzere ozgur.senerdogan kullanıcısı.
Sunucum açıldıktan sonra
Start > Run >
eventvwr.msc komutuyla event
viewer aracını çalıştırıyorum.
Windows Logs > System logları alanına geliyorum ve Filter current log seçeneğini seçiyorum.
Event id olarak 1074
değerini giriyor ve Ok diyorum.
Sarı ile işaretli alanlarda gördüğünüz üzere 1074 id li eventta açıklayıcı bilgi yer
almakta.
Hangi userın hangi zaman diliminde sunucuyu restart ettiği
bilgileri mevcut.
Peki işlemimiz restart değil Shutdown olsaydı. Yani shutdown
–s komutunu verseydik o zamanda yine
aynı event id yi aratarak kontrol sağlayabilecektik. Aşağıda örnek ekran
görüntüsü paylaşıyorum. Sunucuyu ozgur.senerdogan kullanıcısıyla shutdown ettim ve
yansıyan bilgiler aşağıdaki gibidir.
Peki suddenly
shutdown dediğimiz windows üzerinden değilde
makinenin elektriğini keserek kapanmış olsaydı bunu nasıl anlardık yine
Event viewer aracı üzerinden System loglarını
kontrol etmemiz gerekir. Fakat aratacağımız event id kodu 1076 olmalı.
Aşağıda daha önceden sunucuyu power off yapmıştım onun
uyarısı mevcut.
faydalı olması dileğiyle.
2 yorum:
sunucu da kimin ne dosya sildiğini nasıl görebiliriz?
Merhaba, success ve failure auditleri inceleyebilirsiniz.
Yorum Gönder