Windows 10 ve Windows 11'de Oturum Açma Geçmişi Nasıl Kontrol Edilir

Genel Bakış

Windows 10 veya Windows 11'e Kimin Giriş Yaptığı Nasıl Görülür?

Windows, kimlik doğrulama ile ilgili birçok olayı yerleşik Güvenlik günlüğüne kaydeder. Bu olayları kontrol ederek birinin ne zaman oturum açtığını, oturum açmanın yerel mi yoksa uzaktan mı yapıldığını, hangi hesabın kullanıldığını ve başarısız parola denemeleri olup olmadığını öğrenebilirsiniz.

Bu iş için en kullanışlı yerleşik araç Olay Görüntüleyicisi'dir. Daha hızlı filtreleme için PowerShell, temel hesap bilgileri için Komut İstemi ve Microsoft hesabıyla oturum açıyorsanız Microsoft hesap güvenliği sayfası da kullanılabilir.

ℹ️

Bilmekte Fayda Var Tam Güvenlik günlüğünü görüntülemek için genellikle yönetici hakları gerekir. Standart kullanıcılar tüm oturum açma denetimi olaylarını göremeyebilir.

Neleri Bulabilirsiniz?

Bilgisayara yapılan başarılı yerel oturum açmalar.
Başarısız parola denemeleri.
Uzak Masaüstü oturum açma oturumları.
Bilgisayarı kilitleme ve kilidini açma olayları.
Hesap adları, zaman damgaları, oturum açma türleri ve kaynak bilgisayar adları.

Referans

Bilmeniz Gereken Windows Oturum Açma Olay Kimlikleri

Günlükleri kontrol etmeden önce en yaygın olay kimliklerini bilmek işinizi kolaylaştırır. Windows bu numaraları belirli oturum açma ve hesap olaylarını tanımlamak için kullanır.

4624 Başarılı hesap oturumu açma. Başarılı girişleri bulmak için temel olaydır.

4625 Başarısız oturum açma denemesi. Yanlış parola girişlerini veya yetkisiz erişim denemelerini kontrol etmek için kullanışlıdır.

4634 Hesap oturumu kapatma. Bir oturum açma oturumunun ne zaman sona erdiğini gösterir.

4647 Kullanıcı tarafından başlatılan oturum kapatma. Kullanıcının aktif olarak oturumu kapattığını gösterir.

4800 İş istasyonu kilitlendi. Bilgisayar kilitlendiğinde görünür.

4801 İş istasyonunun kilidi açıldı. Bilgisayarın kilidi açıldığında görünür.

Yaygın Oturum Açma Türleri

Oturum Açma Türü	Anlamı	Örnek
`2`	Etkileşimli oturum açma	Bir kişi klavye ve ekran başında oturum açtı.
`3`	Ağ oturumu açma	Paylaşılan klasöre veya ağ kaynağına erişim.
`7`	Kilit açma	Kullanıcı daha önce kilitlenmiş oturumun kilidini açtı.
`10`	Uzaktan etkileşimli oturum açma	Uzak Masaüstü bağlantısı.
`11`	Önbelleğe alınmış etkileşimli oturum açma	Etki alanı kullanıcısı önbelleğe alınmış kimlik bilgileriyle oturum açtı.

Yöntem 1

Olay Görüntüleyicisi ile Windows Oturum Açma Geçmişini Kontrol Etme

Olay Görüntüleyicisi, Windows oturum açma geçmişini kontrol etmek için en kolay grafik yöntemdir. Windows 10 ve Windows 11'de çalışır.

Win + R tuşlarına basın.
eventvwr.msc yazın ve Enter'a basın.
Sol panelde Windows Günlükleri bölümünü açın.
Güvenlik'i seçin.
Başarılı oturum açmalar için 4624, başarısız oturum açmalar için 4625 kimlikli olayları arayın.

Olay Görüntüleyicisi → Windows Günlükleri → Güvenlik

Bir olaya tıklayın ve Genel sekmesini açın. Hesap Adı, Oturum Açma Türü, İş İstasyonu Adı, Kaynak Ağ Adresi ve Hata Nedeni gibi alanları kontrol edin.

⚠️

Önemli Tek bir gerçek kullanıcı oturum açması birden fazla olay oluşturabilir. Windows arka plan işlemlerini, hizmetleri, ağ erişimini ve sistem kimlik doğrulama olaylarını da kaydeder. Sonuç çıkarmadan önce her zaman Oturum Açma Türü alanını kontrol edin.

Yöntem 2

Olay Görüntüleyicisi'nde Başarılı ve Başarısız Giriş Denemelerini Filtreleme

Güvenlik günlüğü binlerce olay içerebilir. Olay kimliğine göre filtreleme, yalnızca ihtiyacınız olan oturum açma kayıtlarını bulmayı çok daha kolay hale getirir.

Başarılı Girişleri Filtreleme

Olay Görüntüleyicisi'ni açın.
Windows Günlükleri → Güvenlik yoluna gidin.
Sağ tarafta Geçerli Günlüğü Filtrele'ye tıklayın.
<Tüm Olay Kimlikleri> alanına 4624 yazın.
Tamam'a tıklayın.

Başarısız Giriş Denemelerini Filtreleme

Aynı Geçerli Günlüğü Filtrele penceresini açın.
Olay kimliği alanına 4625 yazın.
Tamam'a tıklayın.
Bir olayı açın ve Hata Nedeni ile Hesap Adı alanlarını kontrol edin.

Birkaç olay türünü aynı anda kontrol etmek için kimlikleri virgülle ayırarak yazın:

4624,4625,4634,4647,4800,4801

Yöntem 3

PowerShell ile Windows Oturum Açma Geçmişini Kontrol Etme

Son oturum açma olaylarını Olay Görüntüleyicisi'nde elle aramak istemiyorsanız PowerShell daha hızlıdır. Windows Terminal veya PowerShell'i yönetici olarak açın ve aşağıdaki komutları çalıştırın.

Son Başarılı Girişleri Gösterme

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} -MaxEvents 20 |
Select-Object TimeCreated, Id, ProviderName, Message

Son Başarısız Giriş Denemelerini Gösterme

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625} -MaxEvents 20 |
Select-Object TimeCreated, Id, ProviderName, Message

Giriş, Çıkış, Kilitleme ve Kilit Açma Olaylarını Birlikte Gösterme

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625,4634,4647,4800,4801} -MaxEvents 50 |
Select-Object TimeCreated, Id, Message

💡

İpucu PowerShell çıktısı çok uzun olabilir çünkü Message alanı olayın tam metnini içerir. Görsel arayüz tercih ediyorsanız Olay Görüntüleyicisi'ni kullanın.

Yöntem 4

Komut İstemi ile Temel Kullanıcı Giriş Bilgilerini Kontrol Etme

Komut İstemi, tam Güvenlik günlüğünü Olay Görüntüleyicisi veya PowerShell kadar net göstermez, ancak yararlı hesap ayrıntılarını gösterebilir.

Yerel Kullanıcı İçin Son Oturum Açma Bilgisini Kontrol Etme

net user username

username yerine gerçek Windows hesap adını yazın. Son oturum açma satırını bulun.

Şu Anda Oturum Açmış Kullanıcıları Gösterme

query user

Bazı sistemlerde daha kısa quser komutu da çalışır.

Geçerli Kullanıcıyı Gösterme

whoami

⚠️

Sınırlama net user komutu hızlı hesap kontrolü için kullanışlıdır, ancak tam bir oturum açma denetim kaydı değildir. Ayrıntılı giriş geçmişi için Güvenlik günlüğünü kullanın.

Yöntem 5

Windows'ta Uzak Masaüstü Giriş Geçmişini Kontrol Etme

Birinin Uzak Masaüstü üzerinden bağlanıp bağlanmadığını öğrenmek istiyorsanız 4624 olay kimliğinde oturum açma türü 10 değerini kontrol edin. Bu değer uzaktan etkileşimli oturum açmayı gösterir.

Olay Görüntüleyicisi'ni açın.
Windows Günlükleri → Güvenlik yoluna gidin.
4624 olay kimliğine göre filtreleyin.
Bir olayı açın ve Oturum Açma Türü alanını kontrol edin.
Değer 10 ise oturum açma Uzak Masaüstü üzerinden yapılmıştır.

Uzak Masaüstü oturum etkinliği için şu günlüğü de kontrol edebilirsiniz:

Uygulama ve Hizmet Günlükleri → Microsoft → Windows → TerminalServices-LocalSessionManager → Operational

Yöntem 6

Microsoft Hesabı Oturum Açma Etkinliğini Kontrol Etme

Windows'ta oturum açmak için Microsoft hesabı kullanıyorsanız, yerel Olay Görüntüleyicisi Windows oturum açma etkinliğini kaydeder; Microsoft hesap güvenliği etkinliği ise çevrimiçi olarak kontrol edilir.

Tarayıcınızı açın.
Microsoft hesabı güvenlik sayfasına gidin.
Oturum açma etkinliği veya Son etkinlik bölümünü açın.
Başarılı oturum açmaları, başarısız denemeleri, konumları, cihazları ve IP ile ilgili bilgileri inceleyin.

Birinin Microsoft hesabınıza başka bir cihazdan veya konumdan erişmeye çalıştığından şüpheleniyorsanız bu yöntem özellikle yararlıdır.

Denetim Ayarları

Windows'ta Oturum Açma Denetimi Nasıl Etkinleştirilir?

Çoğu Windows kurulumunda önemli oturum açma olayları zaten kaydedilir. Ancak Güvenlik günlüğünde beklenen kayıtlar yoksa denetim ilkesini kontrol edin.

Yerel Güvenlik İlkesi'nde Oturum Açma Olaylarını Denetlemeyi Etkinleştirme

Win + R tuşlarına basın.
secpol.msc yazın ve Enter'a basın.
Yerel İlkeler → Denetim İlkesi yolunu açın.
Oturum açma olaylarını denetle seçeneğine çift tıklayın.
Başarılı ve Başarısız seçeneklerini etkinleştirin.
Tamam'a tıklayın.

ℹ️

Windows Home Notu Windows'un bazı sürümlerinde Yerel Güvenlik İlkesi konsolu bulunmaz. Bu durumda Komut İstemi veya PowerShell'i yönetici haklarıyla kullanın.

Komut İstemi'nden Oturum Açma Denetimini Etkinleştirme

auditpol /set /subcategory:"Logon" /success:enable /failure:enable

Geçerli Denetim İlkesini Kontrol Etme

auditpol /get /subcategory:"Logon"

Sorun Giderme

Windows Oturum Açma Geçmişi Neden Eksik Olabilir?

Oturum açma olaylarını bulamıyorsanız genellikle nedenlerden biri şudur:

Denetim devre dışı: oturum açma olayları için başarılı ve başarısız denetimini etkinleştirin.
Güvenlik günlüğü temizlenmiş: Olay Görüntüleyicisi günlük temizleme işlemini ayrı bir yönetim olayı olarak kaydeder.
Günlük üzerine yazılmış: maksimum günlük boyutuna ulaşıldığında eski olaylar kaybolabilir.
Yönetici değilsiniz: Güvenlik günlüğünü okumak için yönetici hesabı kullanın.
Yanlış olay türünü kontrol ediyorsunuz: ağ erişimi, kilit açma olayları, RDP oturumları ve yerel oturum açmalar farklı oturum açma türleri kullanır.

Güvenlik Günlüğü Boyutunu Artırma

Olay Görüntüleyicisi'ni açın.
Windows Günlükleri → Güvenlik üzerine sağ tıklayın.
Özellikler'i seçin.
Maksimum günlük boyutu değerini artırın.
Windows'un eski olayların üzerine yazmasını mı yoksa günlüğü arşivlemesini mi istediğinizi seçin.

SSS

Windows Oturum Açma Geçmişi Hakkında Sık Sorulan Sorular

Başarısız bir giriş denemesinde kullanılan parolayı tam olarak görebilir miyim?

Hayır. Windows girilen parolaları Olay Görüntüleyicisi'nde saklamaz veya göstermez. Bir girişin başarısız olduğunu, hangi hesabın hedeflendiğini ve bazen hata nedenini görebilirsiniz; ancak parolanın kendisini göremezsiniz.

Ben yokken birinin bilgisayarıma giriş yapıp yapmadığını nasıl anlarım?

Güvenlik günlüğünde 4624 olay kimliğini kontrol edin ve 2, 7 veya 10 oturum açma türlerini arayın. Ayrıca 4800 ve 4801 kilitleme/kilit açma olaylarını kontrol edin.

Windows oturum açma geçmişini sonsuza kadar saklar mı?

Hayır. Olaylar yalnızca Güvenlik günlüğünün içinde kaldıkları sürece saklanır. Günlük boyut sınırına ulaşırsa, günlük ayarlarına bağlı olarak eski kayıtların üzerine yazılabilir.

Yönetici hakları olmadan oturum açma geçmişini kontrol edebilir miyim?

Çoğu durumda hayır. Tam Güvenlik günlüğünü görüntülemek için yönetici ayrıcalıkları gerekir.

Başarısız parola denemelerini kontrol etmenin en iyi yolu nedir?

Olay Görüntüleyicisi'ni kullanın ve Güvenlik günlüğünü 4625 olay kimliğine göre filtreleyin. Her olayı açıp Hesap Adı, Hata Nedeni ve kaynak bilgilerini inceleyin.

Özet

Özet: Windows Oturum Açma Geçmişini Görüntülemenin En İyi Yolları

Windows oturum açma geçmişini kontrol etmenin en kapsamlı yolu Olay Görüntüleyicisi → Windows Günlükleri → Güvenlik yolunu açmak ve başarılı oturum açmalar için 4624, başarısız denemeler için 4625 gibi olay kimliklerine göre filtrelemektir. Daha hızlı arama için PowerShell kullanın. Hızlı hesap bilgileri için net user, query user ve whoami komutlarını kullanabilirsiniz.

Gelecekte güvenilir kayıtlar tutmak istiyorsanız oturum açma denetiminin etkin olduğundan emin olun ve eski giriş olaylarının çok hızlı üzerine yazılmaması için Güvenlik günlüğü boyutunu artırın.