Windows ortamlarında “log topluyoruz” cümlesi çoğu zaman şu anlama gelir: bir SIEM ajanı kuruldu ve bir şeyler gidiyor. Incident olduğunda ise ilk soru şudur: Gerçekten gidiyor mu, doğru mu gidiyor, eksik mi?
Windows Event Forwarding (WEF), özellikle domain’li kurumsal yapılarda, ek ajan karmaşasını büyütmeden kritik event’leri merkezi toplamak için çok pratik bir zemin sunar. Ama WEF’in değeri, kurulumdan çok sağlık ve triage disiplinindedir.
1) Mimari: Collector + Forwarder
WEF’in temel bileşenleri:
- Event Collector: ForwardedEvents log’unun toplandığı sunucu(lar)
- Source Computers (Forwarder): Domain üyeleri (server/workstation)
- Subscription: Hangi event’ler, hangi koşulla, nereye gidecek?
Kurumsal ölçekte hedef:
- tek collector’a bağımlı kalmamak (HA)
- event’leri “her şeyi al” yerine katmanlı almak
2) Subscription modeli: Normal olanı hedefle
WEF’de en yaygın hata: “çok event alalım” diyerek collector’ı boğmak. Daha doğru yaklaşım:
- Başlangıç: authentication, privilege, process, policy change
- Sonra: ihtiyaç oldukça genişlet
Saha kuralı: SIEM’de kullanmadığınız event’i WEF ile taşımak, sadece maliyet üretir.
3) Sağlık sinyalleri: WEF çalışıyor mu?
WEF’i işletmek için en azından şunları izleyin:
- Collector CPU/disk/IO ve ForwardedEvents yazma hızı
- Forwarder tarafında “son forward zamanı” (heartbeat mantığı)
- Subscription bazında event rate (aniden sıfırlanma = arıza)
- WinRM servis sağlığı ve TLS/HTTP hata oranları
Pratik kontrol komutları (collector üzerinde):
wecutil es(subscription listesi)wecutil gs <subscription>(subscription detayları)
Forwarder üzerinde (PowerShell):
Get-Service WinRMwinrm quickconfig(temel doğrulama)
4) Triage runbook: “Log gelmiyor” şikâyeti
4.1 İlk 10 dakika
- Collector erişilebilir mi? (network/DNS)
- Collector disk dolu mu? (en klasik kırılma)
- Subscription’da event rate sıfır mı?
- Forwarder’da WinRM çalışıyor mu?
- GPO/Policy değişti mi? (özellikle firewall/WinRM)
4.2 En sık gerçek sebep: Sessiz policy kırılması
WEF çoğu zaman “sessizce” bozulur:
- firewall kuralı değişti
- WinRM policy sıkılaştı
- sertifika/HTTPS geçişi yarım kaldı
- collector kapasitesi doldu, event yazamaz oldu
Bu yüzden WEF’i “kur ve unut” değil, “kalp atışı” olan bir servis gibi izleyin.
5) Operasyonel öneriler (üretimde fark yaratanlar)
- Collector’ı log platformuna da logla (collector’ın kendi event’leri kritik)
- Subscription’ları katmanla:
baseline,security-high,domain-controllers - Kritik makineler için “beklenen event” sentineli kur (günlük en az X event)
- Test: Ayda 1 kez kontrollü bir test event’i üretip zinciri doğrula
Windows Event Forwarding ile merkezi loglama, SIEM ajanı alternatifi olmak zorunda değil; çoğu kurumda en iyi sonuç hibrittir. WEF’i doğru kullandığınızda, “Windows tarafı kör” hissi kaybolur ve incident triage süresi ciddi biçimde düşer.