Event Log Analizi

Event ID 4720: Bir kullanıcı hesabı oluşturuldu.

• Yeni kullanıcı hesabı ne zaman, nereden, hangi hesap tarafından oluşturuldu.

Event ID 4722: Bir kullanıcı hesabı etkin.

•  Pasif kullanıcı hesabı ne zaman, nereden, hangi hesap tarafından aktif edildi.

Event ID 4723: Bir girişim hesabınızın şifresini değiştirmek için yapılmıştır.

• Kullanıcı hesabı parolası ne zaman, nereden değiştirildi.

Event ID 4724: Bir girişim hesaplarına parola sıfırlama yapıldı.

• Kullanıcı hesabı parolası ne zaman, nereden, hangi hesap tarafından sıfırlandı.

Event ID 4725: Bir kullanıcı hesabı devre dışı bırakıldı.

• Kullanıcı hesabı ne zaman, nereden, hangi hesap tarafından pasif edildi.

Event ID 4726: Bir kullanıcı hesabı silindi.

• Kullanıcı hesabı ne zaman, nereden, hangi hesap tarafından silindi.

Event ID 4738: Bir kullanıcı hesabı değiştirildi.

• Kullanıcı hesabı ne zaman, nereden, hangi hesap tarafından değiştirildi.

Event ID 4740: Bir kullanıcı hesabı kilitli.

• Kullanıcı hesabı ne zaman, nereden, hangi hesap tarafından kilitlendi.

Event ID 4767: Bir kullanıcı hesabı kilitli değildi.

• Kilitli kullanıcı hesabı ne zaman, nereden, hangi hesap tarafından kilidi kaldırıldı.

Event ID 4624: Bir hesap başarıyla oturum açmış.

Kullanıcı ne zaman, nereden, ne şekilde oturum açtı:

• Interactive (2): Yerel makine üzerinde.
• Network (3): Ağ üzerinden.
• Batch (4): Script ile.
• Service (5): Servis tarafından.
• Unlock (7): Ekran kilidi.
• NetworkCleartext (8):  Ağ üzerinden şifresiz.
• RunAs (9): Farkı çalıştır ile.
• RemoteInteractive (10): Uzaktan bağlantı ile (RDP)
• CachedInteractive (11): Etki alanına üye makinede parolası kayıtlı etki alanı kullanıcısı  ile

Event ID 4625: Bir hesap oturum açamadı.

Kullanıcı ne zaman, nereden, ne şekilde oturum açma girişiminde bulundu:

• Interactive (2): Yerel makine üzerinde.
• Network (3): Ağ üzerinden.
• Batch (4): Script ile.
• Service (5): Servis tarafından.
• Unlock (7): Ekran kilidi.
• NetworkCleartext (8):  Ağ üzerinden şifresiz.
• RunAs (9): Farkı çalıştır ile.
• RemoteInteractive (10): Uzaktan bağlantı ile (RDP)
• CachedInteractive (11): Etki alanına üye makinede parolası kayıtlı etki alanı kullanıcısı  ile

Oturum açamamasının sebepleri (Status&SubStatus):

• (0xC0000064) KullaniciYok
• (0xC000006A) KullaniciVarParolaYanlis
• (0xC0000234) KullaniciKilitli
• (0xC0000072) KullaniciPasif
• (0xC000006F) ZamanKisitlamasi
• (0xC0000070) IstemciKisitlama
• (0xC0000193) HesapExpired
• (0xC0000071) ParolaExpired
• (0xC0000133) ParolaDegis
• (0xC0000224) DCileZamanFarkiCok
• (0xC0000225) ParolaDegistirDevamEt
• (0xc000015b) BuMakinedeOturumAcamaz
• (0xc000006d) KimlikPaketBozuk
• (0xc0000133) OturumAcmaHatasi
• (0xc0000192) NetlogonCalismiyor