Windows Server 2003 überwachen: Die Ereignisprotokolle
Ein gespeichertes Ereignisprotokoll laden
In hochsensiblen Umgebungen wird das Protokoll Sicherheit fast immer archiviert, damit frühere Sicherheits- und Überwachungsereignisse auch später noch nachvollzogen werden können. Zudem mag es Situationen geben, in denen Sie andere Protokolle archivieren wollen, um Fehler nachvollziehen zu können. Ein archiviertes Protokoll kann in die Ereignisanzeige eines beliebigen 2000/2003/XP-Rechners importiert werden.
Ein gespeichertes Ereignisprotokoll laden
1. Wählen Sie START, VERWALTUNG, EREIGNISANZEIGE.
2. Im linken Fensterbereich der Ereignisanzeige klicken Sie mit der rechten Maustaste auf EREIGNISANZEIGE (LOKAL) und wählen im Kontextmenü PROTOKOLLDATEI ÖFFNEN.
3. Im ÖFFNEN -Dialogfeld (Bild 19) wählen Sie die zu öffnende Datei aus. Gespeicherte Ereignisprotokolle haben die Dateierweiterung EVT.
4. Klicken Sie auf ÖFFNEN, um die gespeicherte Protokolldatei zu laden. Die gespeicherte Datei erscheint als zusätzlicher Eintrag in der Ereignisanzeige (Bild 20).
Die PhrasePROTKOLL ... WURDE GESPEICHERT ist ein Übersetzungsfehler; es müsste heißen: "Gespeichertes Protokoll...".
Im Resource Kit von Windows 2000 gab es ein sehr nützliches Tool namens dumpel.exe, das die Ereignisprotokolle auf Grundlage verschiedener Suchkriterien nach speziellen Ereignissen durchsucht. Aus irgendeinem Grund jedoch fehlt es im Resource Kit von Windows Server 2003. Sie können es aber immer noch bei Microsoft herunterladen: Geben Sie einfach dumpel.exe als Suchbegriff ein und folgen Sie dem Download-Link.
Lösungen von Drittherstellern
Die Ereignisanzeige kann zahlreiche nützliche, ja essenzielle Informationen aufzeichnen, aber das Extrahieren oder auch nur Auffinden von Daten innerhalb des Protokolls kann schwierig werden. Es gibt daher Programme zur Ereigniskonsolidierung und -berichterstellung, die die Ereignisanzeige automatisch und semi-intelligent prüfen. Diese Tools suchen nach Erkennungsmustern von Ausfällen, Angriffen oder potenziellen Problemen des Systems und melden Ihnen die Ergebnisse in einem übersichtlichen Format.