🛡️ PowerShell Get-WinEvent ile Windows Event Log Analizi, Güvenlik Denetimi ve Sistem Forensics

Windows işletim sistemlerinde meydana gelen kapanmalar, yeniden başlatmalar, ani güç kesintileri, kullanıcı işlemleri ve kritik sistem olayları Event Log altyapısı üzerinden kayıt altına alınmaktadır.

Bu kayıtların doğru analiz edilmesi; sistem yöneticileri, network uzmanları, SOC ekipleri, audit uzmanları, penetration tester’lar, incident response ekipleri ve siber güvenlik profesyonelleri için kritik öneme sahiptir.

Özellikle aşağıdaki senaryolarda Windows Event Log analizi büyük önem taşır:

• Sistem restart geçmişinin incelenmesi
• Yetkisiz restart veya shutdown tespiti
• Beklenmeyen sistem kapanmalarının analizi
• Kernel-Power ve crash incelemeleri
• Adli bilişim (Digital Forensics) süreçleri
• SIEM ve SOC korelasyon analizleri
• İç denetim ve audit süreçleri
• Siber saldırı sonrası olay inceleme (Incident Response)

📌 Kullanılan PowerShell Komutu

Get-WinEvent -FilterHashtable @{
    LogName='System'
    ID=1074,6006,6008,41
} | Select-Object TimeCreated, Id,
@{Name="User";Expression={$_.Properties[6].Value}},
@{Name="Process";Expression={$_.Properties[0].Value}},
Message | Sort-Object TimeCreated -Descending
        

Bu komut Windows System Event Log kayıtlarını filtreleyerek kritik kapanma ve restart olaylarını analiz etmek amacıyla kullanılmaktadır.

📌 Komutun Teknik Analizi

📌 Kritik Event ID Açıklamaları

📌 Siber Güvenlik ve Audit Perspektifinden Değerlendirme

Event ID analizi yalnızca sistem yönetimi açısından değil, güvenlik denetimleri açısından da son derece değerlidir.

• Yetkisiz restart işlemlerinin tespiti
• Malware veya ransomware sonrası zorunlu restart analizi
• Log temizleme girişimlerinin incelenmesi
• Persistence mekanizmalarının araştırılması
• Blue Team olay korelasyonu
• Adli bilişim zaman çizelgesi oluşturulması
• APT davranış analizi
• Privilege escalation sonrası sistem davranışı incelemesi

📌 Incident Response ve Forensic Kullanımı

Incident Response süreçlerinde sistem restart kayıtları saldırı zaman çizelgesinin oluşturulmasında önemli rol oynar.

TimeCreated         Id    User            Process
-----------         ---   -----           --------
25.05.2026 02:15    1074  Administrator   shutdown.exe
25.05.2026 02:14    6008
25.05.2026 02:14    41
        

Yukarıdaki örnekte sistemin beklenmeyen şekilde kapandığı ve sonrasında manuel restart işlemi gerçekleştirildiği anlaşılabilir.

📌 SIEM ve SOC Entegrasyonu

Bu Event ID kayıtları aşağıdaki SIEM platformlarında korelasyon amacıyla sıklıkla kullanılmaktadır:

• Microsoft Sentinel
• Splunk
• QRadar
• Elastic SIEM
• ArcSight
• Graylog
• Wazuh

Özellikle SOC ekipleri Event ID 41 ve 6008 kayıtlarını kritik alarm seviyesinde izlemektedir.

📌 PowerShell ile Gelişmiş Filtreleme Örneği

Get-WinEvent -FilterHashtable @{
    LogName='System'
    StartTime=(Get-Date).AddDays(-7)
    ID=41,6008
}
        

Bu örnek son 7 gün içerisindeki kritik kapanma kayıtlarını analiz etmek için kullanılabilir.

📌 Dikkat Edilmesi Gereken Teknik Detaylar

Büyük ölçekli ortamlarda Event Log analizi merkezi log yönetimi ve SIEM sistemleri ile birlikte kullanılmalıdır.

✅ Sonuç

PowerShell Get-WinEvent komutu; sistem yöneticileri, güvenlik uzmanları, audit ekipleri ve SOC analistleri için Windows Event Log analizi konusunda son derece güçlü bir araçtır.

Event ID 1074, 6006, 6008 ve 41 kayıtlarının doğru analiz edilmesi; sistem kararlılığı, güvenlik olay incelemesi, saldırı analizi ve forensic süreçlerinde kritik avantaj sağlar.

Özellikle modern SOC operasyonlarında ve kurumsal güvenlik denetimlerinde Event Log korelasyonu vazgeçilmez hale gelmiştir.