Bir Windows sunucusunda “en son kim, ne zaman giriş yaptı?” sorusunun cevabı için, birkaç farklı yol izleyebilirsiniz. İşte operasyonel süreçlerde en sık kullandığımız yöntemler:
Event Viewer: İşin “Kara Kutusu” ve Logon TYPE 10
Geçmişe dönük tam bir denetim (audit) izi istiyorsanız, en güvenilir kaynak Güvenlik (Security) günlükleridir.
- Event Viewer > Windows Logs > Security
- Sağ paneldeki “Filter Current Log” kısmına 4624 (Success Logon) ID’sini girin.
- İnceleme yaparken Logon Type parametresine dikkat edin.
- Type 10: Uzak Masaüstü (RDP) bağlantısını,
- Type 3: Network üzerinden (dosya paylaşımı vb.) erişimi,
- Type 2: Fiziksel klavye başındaki girişi temsil eder.
PowerShell: Otomasyon ve Hız
Arayüzde boğulmak yerine, ihtiyacınız olan veriyi süzüp doğrudan konsola düşürmek çok daha profesyonel bir yaklaşımdır. Aşağıdaki tek satırlık komut, en son login olan 5 kullanıcıyı zaman damgasıyla birlikte önünüze getirir:
PowerShell
Get-EventLog -LogName Security -InstanceId 4624 -Newest 5 |
Select-Object TimeGenerated, @{Name=”User”; Expression={$_.ReplacementStrings[5]}}
Bu komutu bir script haline getirerek günlük raporlamalarınızda da kullanabilirsiniz.
quser (Query User): Anlık Durum Kontrolü
Sunucuda o an kimlerin “çakılı” kaldığını veya aktif çalıştığını görmek için en hızlı araçtır. CMD veya PowerShell terminaline sadece quser yazmanız yeterli.
- Kullanıcı adını,
- Oturum durumunu (Active/Disconnected),
- Ve oturumun tam başlangıç saatini saniyeler içinde görebilirsiniz. Özellikle RDP limitine takıldığınız anlarda kimin oturumunu kapatmadığını anlamak için hayat kurtarır.
Registry Üzerinden Hızlı Bakış
Eğer sadece sunucuyu en son hangi hesabın “teslim aldığını” merak ediyorsanız, kayıt defteri size en son giriş yapan kullanıcı adını statik olarak verir:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI
Buradaki LastLoggedOnUser anahtarı, sistemin hafızasındaki son kullanıcı bilgisini tutar.
Sistem güvenliği ve forensic (adli bilişim) analizi için Event Viewer/PowerShell ikilisi şarttır; ancak hızlı bir operasyonel kontrol için quser komutu her zaman cebinizde olmalıdır. Faydalı olması dileğiyle.
