Windows EreignisprotokollArtikel geschrieben 2002-11-21 von Bernd Krischok. Das Windows Ereignisprotokoll speichert vielfältige Ereignisse, die in direktem Zusammenhang mit allen Aktivitäten des Betriebssystems und der einzelner Programmzugriffe eines Anwenders stehen.Es kann entsprechend den Anforderungen des jeweiligen Administrators angepasst werden und liefert lokale Informationen zu Sicherheitsaspekten, zum Systemzustand und wichtige Informationen zur Anwendungsumgebung. Mit Hilfe dieser protokollierten Daten sollte sich jeder Administrator in der Lage fühlen, vorausschauend seine Aktivitäten zu planen, Sicherheitslücken zu erkennen und bestimmte Ereignisse eindeutig einem Nutzer zu ordnen können. Die Beurteilung des Netzwerkzustandes wird durch die regelmäßige Protokollauswertung ermöglicht. Das Windows Ereignisprotokoll läuft unauffällig im Hintergrund dem jeweiligen Server und der Arbeitsstationen und führt bei modernen Rechnern auch bei anspruchsvollen Konfigurationen nicht zu Performanceproblemen. Das Windows Ereignisprotokoll beinhaltet diese Protokolle:
Ab Windows2000 sind weitere Server-Protokolle integriert: DNS, FileReplication Service und Active Directory Das Systemprotokoll Das Systemprotokoll beinhaltet zahlreiche Hinweise, Fehlermeldungen und Warnungen der einzelnen Systemkomponenten. Probleme die hier ersichtlich werden tragen dazu bei, vorausschauende Entscheidungen zu treffen um einen reibungslosen Ablauf der jeweiligen Arbeitsstation zu gewährleisten. Durch das Systemprotokoll bekommt der Administrator einen Ressourcenüberblick über die jeweilige Arbeitsstation. Das Sicherheitsprotokoll Das Sicherheitsprotokoll beinhaltet alle Überwachungsnachrichten. Es berichtet über Erfolg und Fehlschlag einer Aktion. Durch entsprechende Konfiguration ist es dem Administrator möglich notwendige sicherheitsrelevante Daten zu gewinnen und damit entsprechende Sicherheitsprobleme zu erkennen. Durch die Protokollanalyse können Zugriffsmuster erkannt werden, die den Administrator in die Lage versetzen, rechtzeitig Maßnahmen zu ergreifen zum Schutz seines Systems. Das Anwendungsprotokoll Das Anwendungsprotokoll beinhaltet Informationen, Fehler und Warnungen der einzelnen Programme und Dienste. Active Directory -Protokoll Das Active Directory erfasst Informationen aus Synchronisierungen des Verzeichnisdienstes im Zusammenspiel der Domänen FileReplication Service -Protokoll Der FileReplication Service ist ein Protokoll das Informationen, Fehler und Warnungen aus dem Serverabgleich erfasst. DNS-Protokoll Das DNS-Protokoll zeichnet alle Ereignisse des Windows DNS Service auf, wie Verbindungsprobleme im Zusammenhang mit der Domänenkontrolle und der IP -Adresse.
Der Inhalt des Windows Ereignisprotokolls Die Ereignisinhalte werden mit Hilfe von Teilschlüsseln charakterisiert.
Was kann man protokollieren? Es lassen sich Systemereignisse, Informationen über benutzte Programme, einzelne Objektzugriffe, Prozessverfolgung, Zugriffsfehler, An- und Abmeldungen, Richtlinienänderungen, die Verwendung von Benutzerrechten und vieles mehr protokollieren. Konfiguration Die Konfiguration des Windows Ereignisprotokoll erfolgt durch Einstellungen im Benutzermanager, im Dateimanager, im Druckmanager und in anderen Hilfsprogrammen. Hier können verschiedene Überwachungsaufgaben und Berechtigungen eingestellt werden. Jedes definierte Ereignis wird so im Windows Ereignisprotokoll archiviert. Über entsprechende Filter wird die Auswertung des Protokolls erleichtert.
Auswertung Zur Auswertung des Windows Ereignisprotokoll können verschiedene Filter genutzt werden. Diese beinhalten verschiedene Ereignistypen, Ereignisquellen, Kategorien und Kennungen, Benutzer und Zeitintervalle. Nachteile Problemlösung Im Internet sind verschiedene Netzwerklösungen zur Auswertung der
|
||||||||||||||||||||||||||||||
|
||||||||||||||||||||||
