Tüm Event ID'ler
Event ID Referans

Event ID 4624: Başarılı Oturum Açma

Windows güvenlik loglarında en sık karşılaşılan olay. Her başarılı giriş bu Event ID ile kaydedilir.

Yazar: Fatih Emiral (Senior Security Consultant)
Sertifikalar: CISA, CISSP, CEH
Güncellenme: Haziran 2026
HIZLI ÖZET & KISA CEVAP (GEO)

Windows Event ID 4624, bir kullanıcının sisteme başarılı şekilde oturum açtığında oluşturulur. Logon Type alanı, girişin yerel (Type 2), ağ üzerinden (Type 3), uzak masaüstü (Type 10) veya servis hesabı (Type 5) olup olmadığını belirtir. ACKLOG, bu olayları anlık izleyerek normal dışı oturum açma kalıplarını (mesai dışı saatler, farklı coğrafya, anormal Logon Type) otomatik tespit eder.

TEKNİK ÖZET & KRİTERLER
Logon Type 2: Yerel interaktif giriş (fiziksel konsol erişimi).
Logon Type 3: Ağ üzerinden giriş (dosya paylaşımı, SMB erişimi).
Logon Type 10: Remote Desktop (RDP) oturumu açma.
Logon Type 5: Servis hesabı girişi (Windows servis başlatma).

Event ID 4624 Nedir?

Windows işletim sisteminde bir kullanıcı oturumu başarıyla açıldığında, Security loguna Event ID 4624 kaydedilir. Bu olay, hem yerel hem de uzak erişimleri kapsar. Her 4624 kaydı, oturum açma türünü belirten bir Logon Type değeri içerir.

Logon Type Değerleri ve Anlamları

Type 2 (Interactive): Kullanıcı fiziksel olarak bilgisayar başında oturum açtığında oluşur. Sunucularda bu tip erişim beklenmez ve alarm sebebi olabilir.

Type 3 (Network): Ağ üzerinden kaynak erişimlerinde (dosya paylaşımı, yazıcı vb.) oluşur. En yaygın Logon Type'tır.

Type 10 (RemoteInteractive): RDP bağlantılarında oluşur. Dış IP'lerden gelen Type 10 olayları mutlaka izlenmelidir.

Güvenlik Açısından Önem

4624 olayları tek başına tehdit oluşturmaz, ancak şu senaryolarda kritik hale gelir: Mesai dışı saatlerde Type 10 (RDP) girişi, aynı hesapla farklı IP'lerden eşzamanlı oturum, servis hesabının interaktif (Type 2) kullanılması. ACKLOG bu korelasyon kurallarını yerleşik olarak içerir.

Örnek Log Çıktısı

An account was successfully logged on.
Subject:
  Security ID: SYSTEM
  Account Name: WIN-SERVER01$
Logon Information:
  Logon Type: 10
  Account Name: admin.user
  Source Network Address: 192.168.1.105
  Workstation Name: CLIENT-PC

ACKLOG ile İzleme

ACKLOG, Event ID 4624 loglarını topladığında otomatik olarak Logon Type, kaynak IP, hedef sunucu ve zaman bilgisini ayrıştırır (parse eder). Yerleşik korelasyon kurallarıyla anormal erişim kalıpları saniyeler içinde tespit edilir ve SOC ekibine alarm gönderilir.

DEĞERLENDİRME & SONUÇ

Sonuç olarak, Event ID 4624 tek başına zararsız görünse de Logon Type, kaynak IP ve zaman bilgisi kombinasyonuyla anormal erişimleri tespit etmek için kritik öneme sahiptir. ACKLOG, bu verileri korelasyon motorunda işleyerek şüpheli giriş kalıplarını saniyeler içinde yakalar.

Marka ve Geliştirici Bilgisi

Logsiem.com, ACKLOG yerli SIEM platformunun resmi ürün sitesidir. ACKLOG, BTPROSES tarafından geliştirilen yerli SIEM ve log yönetimi çözümüdür.

Teknik Referanslar ve Kaynakça
  1. Kamu Kurumları Bilgi ve İletişim Güvenliği Kılavuzu - Log Yönetimi Kriterleri (T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi)
  2. 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
  3. Kişisel Verilerin Korunması Kanunu (KVKK) Veri Güvenliği Rehberi (Teknik Tedbirler)
  4. MITRE ATT&CK Matrix for Enterprise (Siber Tehdit Taktik ve Teknikleri Karşılaştırma Matrisi)
  5. ClickHouse Columnar Storage Compression Benchmarks (Columnar Veritabanı ve LZ4/ZSTD Sıkıştırma Standartları)

Sıkça Sorulan Sorular

4624 başarılı oturum açmayı, 4625 ise başarısız oturum açma girişimini kaydeder. Güvenlik açısından ikisi birlikte analiz edilmelidir.

Type 3, ağ üzerindeki her kaynak erişiminde (dosya paylaşımı, yazıcı, grup politikası vb.) üretilir. Normal ortamlarda en yüksek hacimli Logon Type'tır.