Workshop - Log-Dateien auf Windows-Systemen auswerten

Der Schlüssel: Die Ereignis-ID führt zum Ziel

Für die Fehlersuche, beziehungsweise für die grundsätzliche Überwachung und Kontrolle eines Windows-Servers mithilfe der Ereignisprotokolle, ist es also sehr wichtig zu wissen, wonach man zu suchen hat: Dabei hat es sich in der Praxis als der effizienteste Weg erwiesen, jeweils mittels der Ereignis-ID (Event ID) nach einem bestimmten Vorfall Ausschau zu halten.

Das bedeutet für den Administrator, dass er wissen muss, welche Ereignis-ID für ein spezifisches Ereignis steht. Alle Event-IDs des Windows Servers 2008 sind auf dem TechNet von Microsoft dokumentiert, allerdings stehen keine kompletten Listen wirklich sämtlicher IDs, sondern nur nach Ereigniskategorien getrennte zur Verfügung. So können Sie beispielsweise bei Microsoft eine Beschreibung der Sicherheitsereignisse und der ihnen zugeordneten Ereignis-IDs finden. Diese Liste bezieht sich explizit auf die neuen Windows-Systeme wie Windows 7 und Windows Server 2008 R2, denn auch hier hat Microsoft mal wieder einige Änderungen mit dem Wechsel des jeweilige Betriebssystem-Releases vorgenommen.

So verwenden die Ereignis-IDs auf Systemen unter Windows Server 2008 ein anderes System zur Nummerierung als die vorherigen Windows-Versionen. Beispielsweise wird ein "Account Lockout" (der Zugriff auf ein Nutzerkonto wird nach einer bestimmten Anzahl von Versuchen gesperrt) auf den Servern unter Windows 2000 und Windows 2003 mit der ID 644 notiert, während die neuen Windows-Systeme ab dem Windows Server 2008 dafür die ID 4740 vermerken.

Das bedeutet aber leider auch, dass bereits existierende Scripts, die bisher die Ereignisprotokolle unter Windows Server 2003 oder älteren Systemen nach einer bestimmten ID abgesucht haben, nun unter Windows Server 2008 nicht mehr eingesetzt werden können.