Ereignisse suchen, finden und bewerten

Workshop - Log-Dateien auf Windows-Systemen auswerten

Das Problem unterschiedlicher Formate

Leider macht es Microsoft den Systemverwaltern auch nicht einfacher: So kommt erschwerend hinzu, dass der Hersteller mit dem Erscheinen von Windows Vista und Windows Server 2008 ein neues, erweitertes Dateiformat für die Protokolldateien eingeführt hat. Dabei wurde das alte EVT-Format, das schon seit Windows NT 4 für die Log-Dateien zum Einsatz kam, durch das neue EVTX-Format ersetzt.

Der Event-Viewer auf einem Windows Server 2008 R2: Er kann auch mit dem alten EVT-Format der Protokolldateien vor Windows Vista umgehen und bietet eine entsprechende Konvertierung der Dateien an.
Der Event-Viewer auf einem Windows Server 2008 R2: Er kann auch mit dem alten EVT-Format der Protokolldateien vor Windows Vista umgehen und bietet eine entsprechende Konvertierung der Dateien an.

Was kann dieses Format besser? Es bietet nicht nur neue Ereigniseigenschaften (Event Properties), sondern ist zudem in der Lage, sogenannte Kanäle zum Ausgeben von Ereignissen zu verwenden. Ein weiterer Vorteil besteht sicherlich darin, dass dieses EVTX-Format nun zusätzlich auch das Speichern im XML-Format unterstützt.

Für den Administrator bedeuten diese Änderungen zunächst allerdings, dass er sich besonders in Systemumgebungen, in denen sowohl ältere als auch neue Windows-Systeme zum Einsatz kommen, mit einem zusätzlichen Arbeitsaufwand bei Bearbeitung, Verwaltung und Auswertung dieser Log-Dateien konfrontiert sieht.

Ein ähnliches Bild wie auf dem Server: Auch Windows-7-Systeme stellen eine Ereignisanzeige mit den entsprechenden Fähigkeiten zur Verfügung.
Ein ähnliches Bild wie auf dem Server: Auch Windows-7-Systeme stellen eine Ereignisanzeige mit den entsprechenden Fähigkeiten zur Verfügung.

Allerdings ist es möglich, mit dem in der MMC (Microsoft Management Console) integrierten Event-Viewer eines aktuellen Windows-Systems eine alte EVT-Datei zu öffnen, die beispielsweise auf einem XP-System angelegt wurde - umgekehrt funktioniert das natürlich nicht. Die Software weist den Anwendern dann auch sogleich darauf hin, dass eine bessere Navigation in dieser Datei sowie eine Analyse im neuen EVTX-Format möglich sind, und bietet automatisch eine entsprechende Konvertierung an.

Sehr nützlich in Batch- und Script-Dateien: Auf den Windows-Systemen steht auch ein mächtiges Kommandozeilenprogramm zum Bearbeiten der Ereignisprotokolle bereit.
Sehr nützlich in Batch- und Script-Dateien: Auf den Windows-Systemen steht auch ein mächtiges Kommandozeilenprogramm zum Bearbeiten der Ereignisprotokolle bereit.

Weiterhin stellt Microsoft auf den aktuellen Windows-Systemen ein Kommandozeilen-Werkzeug mit dem Namen wevtutil.exe zur Verfügung. Es ermöglicht ebenfalls eine Konvertierung der Protokolldateien und kann zudem zur Analyse und Manipulation der Ereignisprotokolle verwendet werden. Allerdings sind diese beiden Standardmöglichkeiten der Windows-Betriebssysteme in der täglichen Praxis weder einfach einzusetzen noch besonders praktisch.