Workshop - Log-Dateien auf Windows-Systemen auswerten

Werkzeuge für den Weg zur richtigen Information

So ist es auch kein Geheimnis, dass sich die Suche in den Ereignisprotokollen nicht gerade großer Beliebtheit bei Administratoren und Systembetreuern erfreut. Daher verwundert es kaum, dass Support-Mitarbeiter ihre Frage "Haben Sie schon im Ereignisprotokoll nachgeschaut?" zumeist mit einem "Nein" oder "Daran hab‘ ich nicht gedacht …" beantwortet bekommen.

Aber es existiert eine Reihe von Techniken, die eine Suche in den Log-Dateien vereinfachen können. Zudem bietet die Ereignisanzeige seit dem Erscheinen von Windows Server 2008 einige zusätzliche, sehr hilfreiche Fähigkeiten, und schließlich existiert ja auch noch die PowerShell, deren Einsatz als eine Art Universalwerkzeug für Systemverwalter auch in diesem Fall sehr hilfreich sein kann.

Die Ereignisanzeige ist auf einem Windows Server 2008 oder 2008 R2 zunächst einmal schnell und einfach zu erreichen:

1. Öffnen Sie das Startmenü des Servers.

2. Wählen Sie anschließend den Punkt "Verwaltung" auf, der Ihnen eine Liste mit den standardmäßig zur Verfügung stehenden Verwaltungsprogrammen anbietet.

3. Dort können Sie dann die Ereignisanzeige auswählen.

Schneller geht es auf einem Windows Server 2008, genauso wie auf den Windows-7-Systemen, wenn man im Suchfeld des Startmenüs einfach die ersten Buchstaben des gewünschten Programms eingibt und dann auf den vom System präsentierten Link zu klickt.

Nun stehen Sie als Systembetreuer aber vor dem Problem, beispielsweise nach einem Beweis für einen bestimmten Vorgang auf Ihrem Server oder gar für ein Sicherheitsvorkommnis in dieser riesigen Datenmenge zu suchen: Wonach soll man da am besten suchen, um schnell zu Ergebnissen zu kommen? Nach einem bestimmten String? Nach Nachrichten, Daten oder Event-Typen?

Schließlich stehen auch noch Dinge wie Event-Kategorien zur Verfügung, nach denen die Ereignisse gegliedert und - hoffentlich - gefunden werden könnten. In der Praxis wird es häufig so sein: Ein Administrator vermutet, dass ein Ereignis stattgefunden hat und dass sein System dazu auch einen Eintrag in einem Log angelegt hat, aber er weiß nicht sicher, welcher Beweis für das vermutete Ereignis in dieser Log-Datei existiert.