\documentclass[10pt,a4paper]{article}

% Packages
\usepackage{fancyhdr}           % For header and footer
\usepackage{multicol}           % Allows multicols in tables
\usepackage{tabularx}           % Intelligent column widths
\usepackage{tabulary}           % Used in header and footer
\usepackage{hhline}             % Border under tables
\usepackage{graphicx}           % For images
\usepackage{xcolor}             % For hex colours
%\usepackage[utf8x]{inputenc}    % For unicode character support
\usepackage[T1]{fontenc}        % Without this we get weird character replacements
\usepackage{colortbl}           % For coloured tables
\usepackage{setspace}           % For line height
\usepackage{lastpage}           % Needed for total page number
\usepackage{seqsplit}           % Splits long words.
%\usepackage{opensans}          % Can't make this work so far. Shame. Would be lovely.
\usepackage[normalem]{ulem}     % For underlining links
% Most of the following are not required for the majority
% of cheat sheets but are needed for some symbol support.
\usepackage{amsmath}            % Symbols
\usepackage{MnSymbol}           % Symbols
\usepackage{wasysym}            % Symbols
%\usepackage[english,german,french,spanish,italian]{babel}              % Languages

% Document Info
\author{codeluu (codeluu)}
\pdfinfo{
  /Title (windows-event-id.pdf)
  /Creator (Cheatography)
  /Author (codeluu (codeluu))
  /Subject (Windows Event ID Cheat Sheet)
}

% Lengths and widths
\addtolength{\textwidth}{6cm}
\addtolength{\textheight}{-1cm}
\addtolength{\hoffset}{-3cm}
\addtolength{\voffset}{-2cm}
\setlength{\tabcolsep}{0.2cm} % Space between columns
\setlength{\headsep}{-12pt} % Reduce space between header and content
\setlength{\headheight}{85pt} % If less, LaTeX automatically increases it
\renewcommand{\footrulewidth}{0pt} % Remove footer line
\renewcommand{\headrulewidth}{0pt} % Remove header line
\renewcommand{\seqinsert}{\ifmmode\allowbreak\else\-\fi} % Hyphens in seqsplit
% This two commands together give roughly
% the right line height in the tables
\renewcommand{\arraystretch}{1.3}
\onehalfspacing

% Commands
\newcommand{\SetRowColor}[1]{\noalign{\gdef\RowColorName{#1}}\rowcolor{\RowColorName}} % Shortcut for row colour
\newcommand{\mymulticolumn}[3]{\multicolumn{#1}{>{\columncolor{\RowColorName}}#2}{#3}} % For coloured multi-cols
\newcolumntype{x}[1]{>{\raggedright}p{#1}} % New column types for ragged-right paragraph columns
\newcommand{\tn}{\tabularnewline} % Required as custom column type in use

% Font and Colours
\definecolor{HeadBackground}{HTML}{333333}
\definecolor{FootBackground}{HTML}{666666}
\definecolor{TextColor}{HTML}{333333}
\definecolor{DarkBackground}{HTML}{BCCF44}
\definecolor{LightBackground}{HTML}{FAFCF3}
\renewcommand{\familydefault}{\sfdefault}
\color{TextColor}

% Header and Footer
\pagestyle{fancy}
\fancyhead{} % Set header to blank
\fancyfoot{} % Set footer to blank
\fancyhead[L]{
\noindent
\begin{multicols}{3}
\begin{tabulary}{5.8cm}{C}
    \SetRowColor{DarkBackground}
    \vspace{-7pt}
    {\parbox{\dimexpr\textwidth-2\fboxsep\relax}{\noindent
        \hspace*{-6pt}\includegraphics[width=5.8cm]{/web/www.cheatography.com/public/images/cheatography_logo.pdf}}
    }
\end{tabulary}
\columnbreak
\begin{tabulary}{11cm}{L}
    \vspace{-2pt}\large{\bf{\textcolor{DarkBackground}{\textrm{Windows Event ID Cheat Sheet}}}} \\
    \normalsize{by \textcolor{DarkBackground}{codeluu (codeluu)} via \textcolor{DarkBackground}{\uline{cheatography.com/26083/cs/8500/}}}
\end{tabulary}
\end{multicols}}

\fancyfoot[L]{ \footnotesize
\noindent
\begin{multicols}{3}
\begin{tabulary}{5.8cm}{LL}
  \SetRowColor{FootBackground}
  \mymulticolumn{2}{p{5.377cm}}{\bf\textcolor{white}{Cheatographer}}  \\
  \vspace{-2pt}codeluu (codeluu) \\
  \uline{cheatography.com/codeluu} \\
        \uline{\seqsplit{code0day}.wordpress.com}
  \end{tabulary}
\vfill
\columnbreak
\begin{tabulary}{5.8cm}{L}
  \SetRowColor{FootBackground}
  \mymulticolumn{1}{p{5.377cm}}{\bf\textcolor{white}{Cheat Sheet}}  \\
   \vspace{-2pt}Published 20th October, 2016.\\
   Updated 20th October, 2016.\\
   Page {\thepage} of \pageref{LastPage}.
\end{tabulary}
\vfill
\columnbreak
\begin{tabulary}{5.8cm}{L}
  \SetRowColor{FootBackground}
  \mymulticolumn{1}{p{5.377cm}}{\bf\textcolor{white}{Sponsor}}  \\
  \SetRowColor{white}
  \vspace{-5pt}
  %\includegraphics[width=48px,height=48px]{dave.jpeg}
  Measure your website readability!\\
  www.readability-score.com
\end{tabulary}
\end{multicols}}


\begin{document}
\raggedright
\raggedcolumns

% Set font size to small. Switch to any value
% from this page to resize cheat sheet text:
% www.emerson.emory.edu/services/latex/latex_169.html
\footnotesize % Small font.

\begin{multicols*}{3}

\begin{tabularx}{5.377cm}{x{0.89586 cm} x{4.08114 cm} }
\SetRowColor{DarkBackground}
\mymulticolumn{2}{x{5.377cm}}{\bf\textcolor{white}{Windows Olay Kimlikleri}}  \tn
% Row 0
\SetRowColor{LightBackground}
Event ID & Açıklama \tn 
% Row Count 2 (+ 2)
% Row 1
\SetRowColor{white}
4624 & Başarılı Login \tn 
% Row Count 3 (+ 1)
% Row 2
\SetRowColor{LightBackground}
4625 & Başarısız Login \tn 
% Row Count 4 (+ 1)
% Row 3
\SetRowColor{white}
4672 & Admin Hesabı Logini \tn 
% Row Count 5 (+ 1)
% Row 4
\SetRowColor{LightBackground}
4634,4647 & Başarılı Logoff \tn 
% Row Count 7 (+ 2)
% Row 5
\SetRowColor{white}
4771 & Etki alanında {\"o}n kimlik doğrulama başarısız oldu \tn 
% Row Count 9 (+ 2)
% Row 6
\SetRowColor{LightBackground}
4768 & Kerberos Ticket istemi \tn 
% Row Count 10 (+ 1)
% Row 7
\SetRowColor{white}
4776 & Etki alanında başarılı ya da başarısız login \tn 
% Row Count 12 (+ 2)
% Row 8
\SetRowColor{LightBackground}
7034 & Servis beklenmedik bir şekilde ç{\"o}ktü \tn 
% Row Count 14 (+ 2)
% Row 9
\SetRowColor{white}
7035 & Servis, başlatma veya durdurma komutu g{\"o}nderdi \tn 
% Row Count 16 (+ 2)
% Row 10
\SetRowColor{LightBackground}
7036 & Servis durdu veya başladı \tn 
% Row Count 17 (+ 1)
% Row 11
\SetRowColor{white}
7040 & Servis başlangıç tipi değiştirildi (Başlangıçta, elle vs.) \tn 
% Row Count 20 (+ 3)
% Row 12
\SetRowColor{LightBackground}
5140 & Ağ paylaşımı planlandı \tn 
% Row Count 21 (+ 1)
% Row 13
\SetRowColor{white}
4778 & RDP oturum isteği \tn 
% Row Count 22 (+ 1)
% Row 14
\SetRowColor{LightBackground}
4779 & RDP oturumu kapandı \tn 
% Row Count 23 (+ 1)
\hhline{>{\arrayrulecolor{DarkBackground}}--}
\SetRowColor{LightBackground}
\mymulticolumn{2}{x{5.377cm}}{Farklı ID'leri birbirleriyle ilişkilendirmek de {\"o}nemlidir. Örneğin 4624 akabinde g{\"o}rülen 4634/4647 ID'leri tamamlanmış bir oturum fikri verebilir. Çok fazla 4625 ID'si g{\"o}rmek bir s{\"o}zlük saldırısının ya da bir zararlı yazılımın işareti olabilir.}  \tn 
\hhline{>{\arrayrulecolor{DarkBackground}}--}
\end{tabularx}
\par\addvspace{1.3em}

\begin{tabularx}{5.377cm}{p{0.64701 cm} x{4.32999 cm} }
\SetRowColor{DarkBackground}
\mymulticolumn{2}{x{5.377cm}}{\bf\textcolor{white}{Yerel Login}}  \tn
% Row 0
\SetRowColor{LightBackground}
4624 & DC'ye bağlı değil (Yerel) \tn 
% Row Count 1 (+ 1)
% Row 1
\SetRowColor{white}
4625 & DC'ye bağlı değil (Yerel) \tn 
% Row Count 2 (+ 1)
% Row 2
\SetRowColor{LightBackground}
4771 & Etki Alanı üzerinde \tn 
% Row Count 3 (+ 1)
% Row 3
\SetRowColor{white}
4768 & Etki Alanı üzerinde \tn 
% Row Count 4 (+ 1)
% Row 4
\SetRowColor{LightBackground}
4776 & Etki Alanı üzerinde \tn 
% Row Count 5 (+ 1)
\hhline{>{\arrayrulecolor{DarkBackground}}--}
\SetRowColor{LightBackground}
\mymulticolumn{2}{x{5.377cm}}{4624 ve 4625 in 4776 ID lerinin birbirinden farkları net olarak ortaya konmalıdır. Özellikle 4624 ve 4625 lokal makine üzerinde alınan ve DC'ye erişilemediğinde üretilen ID'lere {\"o}rnektir. Makine DC'ye bağlıysa ise 4771, 4768 ve 4776 ID'leri üretilir.}  \tn 
\hhline{>{\arrayrulecolor{DarkBackground}}--}
\end{tabularx}
\par\addvspace{1.3em}

\begin{tabularx}{5.377cm}{p{0.4977 cm} x{4.4793 cm} }
\SetRowColor{DarkBackground}
\mymulticolumn{2}{x{5.377cm}}{\bf\textcolor{white}{Windows Oturum Türleri}}  \tn
% Row 0
\SetRowColor{LightBackground}
2 & Yerel login (Örn: Klavye ile) \tn 
% Row Count 1 (+ 1)
% Row 1
\SetRowColor{white}
3 & Network Logini \tn 
% Row Count 2 (+ 1)
% Row 2
\SetRowColor{LightBackground}
4 & Batch Login- zamanlanmış g{\"o}revler için kullanılır \tn 
% Row Count 4 (+ 2)
% Row 3
\SetRowColor{white}
5 & Windows servis login – (G{\"o}rünür/Interaktif olmayacaktır) \tn 
% Row Count 6 (+ 2)
% Row 4
\SetRowColor{LightBackground}
7 & Kilit ekranını açmak/kapatmak için kimlik bilgileri kullanıldı \tn 
% Row Count 8 (+ 2)
% Row 5
\SetRowColor{white}
8 & Ağ üzerinden kimlik bilgileri clear text olarak g{\"o}nderildi \tn 
% Row Count 10 (+ 2)
% Row 6
\SetRowColor{LightBackground}
9 & Şu anki oturumu açan haricinde "run as" komutuyla (Y{\"o}netici vs. olarak çalıştır ) yeni kimlik bilgileri kullanıldı \tn 
% Row Count 14 (+ 4)
% Row 7
\SetRowColor{white}
10 & RDP (Uzak Masaüstü) \tn 
% Row Count 15 (+ 1)
% Row 8
\SetRowColor{LightBackground}
11 & Login kimliği cachten getirildi \tn 
% Row Count 16 (+ 1)
% Row 9
\SetRowColor{white}
12 & Cachten RDP yapıldı \tn 
% Row Count 17 (+ 1)
% Row 10
\SetRowColor{LightBackground}
13 & Cachten kilit açıldı (oturum zaten açık) \tn 
% Row Count 19 (+ 2)
\hhline{>{\arrayrulecolor{DarkBackground}}--}
\SetRowColor{LightBackground}
\mymulticolumn{2}{x{5.377cm}}{Önemli bir olay {\"o}rneğin 7 numaralı login tipi ile 11 numaralı login tipinin farklarıdır. 7 numaralı login bilgileri DC'den eşleştirilirken, 11 nolu login tipi makine DC'ye erişilemediğinde g{\"o}rülür. Windows o makineye oturum açmayı başaran son 10 kimlik bilgilerini (kullanıcı adı ve şifre) hash olarak saklar. Buradaki son 10 kimlik bilgisinden kasıt birbirinden farklı olan değil, aynısı veya farklısı da olsa son 10 oturum açılmış kimlik bilgileridir.}  \tn 
\hhline{>{\arrayrulecolor{DarkBackground}}--}
\end{tabularx}
\par\addvspace{1.3em}

\begin{tabularx}{5.377cm}{p{0.64701 cm} x{4.32999 cm} }
\SetRowColor{DarkBackground}
\mymulticolumn{2}{x{5.377cm}}{\bf\textcolor{white}{Zamanlanmış G{\"o}revler}}  \tn
% Row 0
\SetRowColor{LightBackground}
106 & G{\"o}rev zamanlandı \tn 
% Row Count 1 (+ 1)
% Row 1
\SetRowColor{white}
200 & G{\"o}rev başlatıldı \tn 
% Row Count 2 (+ 1)
% Row 2
\SetRowColor{LightBackground}
201 & G{\"o}rev tamamlandı \tn 
% Row Count 3 (+ 1)
% Row 3
\SetRowColor{white}
141 & G{\"o}rev silindi \tn 
% Row Count 4 (+ 1)
\hhline{>{\arrayrulecolor{DarkBackground}}--}
\SetRowColor{LightBackground}
\mymulticolumn{2}{x{5.377cm}}{Windows içerisinde "zamanlanmış g{\"o}rev" logları bilgisayarımızın ele geçirilip geçirilmediği hususunda bize fikir verebilir. Örneğin bir servisin günün belli saatlerinde oturum açılması için g{\"o}rev zamanlaması gerçekleştirmesi şüpheli bir harekettir.}  \tn 
\hhline{>{\arrayrulecolor{DarkBackground}}--}
\end{tabularx}
\par\addvspace{1.3em}

\begin{tabularx}{5.377cm}{p{0.4977 cm} x{4.4793 cm} }
\SetRowColor{DarkBackground}
\mymulticolumn{2}{x{5.377cm}}{\bf\textcolor{white}{Malware Hareketleri}}  \tn
% Row 0
\SetRowColor{LightBackground}
1 & Zararlı; {\"o}nce sızılmış sistem üzerinden ağa yayılmak için 4624 olay kimliğini 3 nolu oturum türüyle kullanacaktır. Burada zamanı bi kenara not edin. \tn 
% Row Count 5 (+ 5)
% Row 1
\SetRowColor{white}
2 & O zamana yakın diğer sistemlerde 4672 ile oturum açılıp açılmadığına bakın. \tn 
% Row Count 8 (+ 3)
% Row 2
\SetRowColor{LightBackground}
3 & Bulunursa o sistem üzerinde artık zararlı kod y{\"o}netici hakları ile çalıştığından kendisini diğer sistemlere bulaştırmak için 5140 olay kimliğini kullanarak ağ paylaşımı planlayacaktır. Sistemdeki bu çatlaktan zararlının bağlantı sağlanmış olduğu C\&C sunucusunun IP bilgileri gibi kritik bilgilere dahi ulaşılabilir. \tn 
% Row Count 18 (+ 10)
% Row 3
\SetRowColor{white}
4 & Sistemdeki bu çatlak ile çalıştırabilir kodlar ağı ele geçirecektir. \tn 
% Row Count 21 (+ 3)
% Row 4
\SetRowColor{LightBackground}
5 & Olay kimliklerinde zamanlanan, başlatılan, tamamlanan, silinen g{\"o}revler fikir vermelidir. İş tamamlandıktan sonra kendisini ve logları silmek isteyecektir. Zararlı dosyanın ismi ile birlikte zamanlanmış 200 kodlu bir log silme işlemi varsa {\"o}nemlidir. \tn 
% Row Count 29 (+ 8)
% Row 5
\SetRowColor{white}
6 & Logları da temizleyen zararlı son olarak kendi oturumunu 4634 olay kimliği ile kapatacaktır. \tn 
% Row Count 32 (+ 3)
\hhline{>{\arrayrulecolor{DarkBackground}}--}
\end{tabularx}
\par\addvspace{1.3em}

\begin{tabularx}{5.377cm}{X}
\SetRowColor{DarkBackground}
\mymulticolumn{1}{x{5.377cm}}{\bf\textcolor{white}{RDP Hareketleri}}  \tn
% Row 0
\SetRowColor{LightBackground}
\mymulticolumn{1}{x{5.377cm}}{\textasciicircum{}4778 nolu RDP oturumu talebi ile bir uzak masaüstü oturumu isteği gelir. Ancak bu başlamış bir oturum olarak yorumlanmamalıdır. Burada g{\"o}rülen IP adres ve sistem adı gibi bilgiler işe yarayabilir.4778 in akabinde g{\"o}rülen 4624 olay kodu ve 10 nolu oturum tipi oturumun artık RDP ile açıldığı kesin bilgisini verecektir.Bu kısımdan sonra bir {\"o}nceki b{\"o}lümün 3. Maddesindeki ağ paylaşımı ya da 5. Maddesindeki g{\"o}rev zamanlama şeklinde bir senaryo ile \seqsplit{karşılaşılabilir.Oturumun} 4634/4647 kodlarından sonra 4779 RDP'in sonlandırıldığında dair bir bilgi verecektir. Tek başına 4778 ve 4779 RDP istek ve kapanmalarına aldanmamak gerekir. RDP oturumunun açıldığına emin olmak için mutlaka 4778-4624..4634-4779 sıralaması ile g{\"o}rmek gerekir. 4778 ve 4779'un ayrıntılarına bakılabilir\textasciicircum{}} \tn 
% Row Count 17 (+ 17)
\hhline{>{\arrayrulecolor{DarkBackground}}-}
\end{tabularx}
\par\addvspace{1.3em}


% That's all folks
\end{multicols*}

\end{document}