PowerShell kullanarak Event ID 1074, 1076 ve 6008 olaylarını incelemek, sistemde meydana gelen önemli olayları takip etmek ve anlamak için oldukça etkili bir yöntemdir. Bu Event ID'ler, sistem yeniden başlatma, kapatma veya beklenmedik kapanma gibi olayları kayıt altına alır. Bu tür olaylar, sistem yöneticilerinin ve güvenlik ekiplerinin sistem durumu hakkında bilgi edinmelerine ve olası sorunları tespit etmelerine yardımcı olur.
» Event ID 1074: bir sistemin planlı olarak yeniden başlatıldığını veya kapatıldığını belirtir. Bu olay genellikle kullanıcı veya uygulama tarafından başlatılır ve yeniden başlatma veya kapatma nedeni, ilgili mesajda belirtilir. Event ID 1074'ü incelemek, sistemin neden ve ne zaman yeniden başlatıldığını veya kapatıldığını anlamanızı sağlar.
» Event ID 1076: Sistemin beklenmedik bir şekilde kapandığını veya yeniden başlatıldığını gösterir. Bu olay, genellikle bir sistem hatası veya ani güç kaybı gibi beklenmedik durumlar sonucunda meydana gelir. Bu tür olayları analiz etmek, sistemdeki potansiyel güvenlik açıklarını veya donanım sorunlarını tespit etmenize yardımcı olabilir.
» Event ID 6008: Sistemin beklenmedik bir şekilde kapanmasının ardından kaydedilen bir olaydır. Bu olay, genellikle ani güç kaybı, sistem hatası veya diğer beklenmedik kesintiler sonucu meydana gelir. Event ID 6008'in incelenmesi, sistemin neden beklenmedik bir şekilde kapandığını ve bu tür olayların tekrarını önlemek için hangi adımların atılması gerektiğini belirlemenizi sağlar.
PowerShell, bu Event ID'leri hızlı ve etkili bir şekilde sorgulamak ve analiz etmek için güçlü bir araçtır. PowerShell kullanarak, belirli tarih ve saat aralıklarındaki olayları filtreleyebilir, olay mesajlarını detaylı bir şekilde inceleyebilir ve gerektiğinde bu verileri raporlayabilirsiniz. Bu, olayların nedenlerini daha iyi anlamanıza ve gerekli önlemleri almanıza olanak tanır.
Bu tür olayları Event Viewer üzerinden izlemek ve analiz etmek, sistem güvenliği ve performansını artırmak için kritik öneme sahiptir. Olayların nedenlerini anlamak, olası sorunları erken tespit etmek ve proaktif önlemler almak için gereklidir. Ayrıca, bu bilgiler, sistemin genel sağlığı ve güvenliği hakkında önemli ipuçları sunar.
|
Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap |
1074, 1076 ve 6008 ID'li (kimlik numaralı) Event Viewer (Olay Görüntüleyici) Log kayıtlarını tek tek inceleyecek olursak;
1- Event ID (olay kimliği) 1074: 1074 Event ID'si, bir uygulamanın neden olduğu Restart (yeniden başlatma) ya da Shutdown (kapanma) olaylarının Event Viewer (olay görüntüleyici) Log kayıt kimliğidir.
|
Get-EventLog System | Where-Object {$_.EventID -eq "1074"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap |
2- Event ID (olay kimliği) 1076: 1076 Event ID'si, Kullanıcı tarafından gerçekleştirilmiş Restart (yeniden başlatma) ya da Shutdown (kapanma) olaylarının Event Viewer (olay görüntüleyici) Log kayıt kimliğidir.
|
Get-EventLog System | Where-Object {$_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap |
3- Event ID (olay kimliği) 6008: 6008 Event ID'si, Beklenmedik Shutdown (kapanma) olaylarının Event Viewer (olay görüntüleyici) Log kayıt kimliğidir.
|
Get-EventLog System | Where-Object {$_.EventID -eq "6008"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap |
İlgili komut satırında | Out-File C:\DosyaAdi.txt komutunu kullanarak sistem Disk'i üzerinde çıktısını alabilirsiniz.
|
Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap | Out-File C:\systemShutdownRestart.txt |
Faydalı olması dileğiyle...
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.
1985 yılında Alanya'da doğdum. İlk, orta ve lise öğrenimimi Alanya'da tamamladım. Liseden mezun olduktan sonra Akdeniz Üniversitesi Bilgisayar Teknolojisi Ön Lisans programına yerleştim ve bu programdan mezun oldum. Ön Lisans programından mezun olduktan bir süre sonra Dikey Geçiş Sınavı (DGS) ile İstanbul Teknik Üniversitesi (İTÜ) Bilgisayar Mühendisliği Lisans programına yerleştim.
2003 yılından beri Bilgi Teknolojileri sektöründe Sistem ve Network alanlarında çalışıyorum. Bir çok firma bünyesinde onlarca farklı projelerde yer alarak bu alanda yıllar içinde ciddi bir bilgi birikimi ve deneyimler kazandım. Bilgi Teknolojileri sektöründeki profesyonel çalışma hayatımın uzunca bir dönemini entegratör firma bazında, ağılıklı olarak Microsoft ürünleri üzerine danışman olarak sürdürüyor ve yüksek seviyeli projeler geliştiriyorum. Uzunca bir süredir de Türkiye'nin önde gelen entegratör firmalarından olan Data Market bünyesinde Senior Cloud Engineer olarak çalışıyorum.
Ek olarak, 2015 yılında Network Akademi bünyesinde Microsoft Certified Trainer (MCT) ünvanı ile Sistem ve Network Uzmanlık eğitimleri vermeye başladım. Sistem ve Network Uzmanlığı alanındaki eğitmenlik serüvenime Network Akademi bünyesinde devam etmekteyim.