Windows Server 2003 überwachen: Die Ereignisprotokolle

Eigenschaften der Protokolle konfigurieren

Wenn Sie ein Protokoll in der Ereignisanzeige öffnen, sehen Sie eine Momentaufnahme des Protokolls. Falls während des Betrachtens neue Informationen ins Protokoll geschrieben werden, sehen Sie diese nicht, außer Sie klicken das AKTUALISIEREN-Icon in der Werkzeugleiste an. Wenn Sie zwischen Protokollen umschalten, wird die Ansicht automatisch aktualisiert.

Verschiedene Konfigurationseinstellungen legen fest, wie viel Information in den Ereignisprotokollen gespeichert wird und wie lange die Information gespeichert bleibt, ehe sie überschrieben wird. Sie können diese Optionen in den Eigenschaften der einzelnen Protokolle konfigurieren (Bild 9), die Sie über das Kontextmenü des jeweiligen Protokolls öffnen. Jede Protokolldatei hat eigene Größen- und Tagesgrenzen.

Neben der Festlegung der maximalen Protokollgröße gibt es drei weitere Einstellungen für die Protokollgröße:

• EREIGNISSE BEI BEDARF ÜBERSCHREIBEN - Wenn das Protokoll voll ist, überschreiben neue Ereignisse die alten.

• EREIGNISSE ÜBERSCHREIBEN, DIE ÄLTER ALS ... TAGE SIND - Dies verhindert, dass Informationen in den Protokollen überschrieben werden, bevor die angegebene Zeit verstrichen ist. Wenn das Protokoll voll ist, werden keine Ereignisse mehr aufgezeichnet, ehe nicht Ereignisse älter sind als der festgelegte Zeitraum.

• EREIGNISSE NIE ÜBERSCHREIBEN - Diese Option verhindert, dass Protokolle je überschrieben werden, selbst wenn sie voll sind. Sie sollten diese Option nur dann verwenden, wenn Sie die Protokolle regelmäßig leeren oder archivieren. Diese Option wird oft bei Sicherheitsprotokollen in hochsensiblen Netzwerken verwendet, bei denen die Zugriffsdaten für immer gespeichert werden müssen. Sie sollten dann besser die Maximalgröße der Protokolldatei erhöhen, damit der Server die Arbeit nicht einstellt, wenn das Protokoll seine Maximalgröße erreicht und keine älteren Einträge überschreiben kann.