Die Richtlinien lassen sich über Gruppenrichtlinien konfigurieren und direkt Domänencontrollern oder Arbeitsstationen und Servern zuweisen. Entweder bearbeiten Sie dazu die Default Domain Controller Policy, oder Sie erstellen eine neue Richtlinie und weisen diese den Domänencontrollern zu.
In der Richtlinie konfigurieren Sie die zu überwachenden Ereignisse. Die Daten schreiben Server in die Ereignisanzeige. Diese müssen Sie allerdings filtern oder einsammeln und entsprechend konfigurieren.
Richtlinieneinstellungen für die Überwachung von Active Directory
Die Einstellungen für die Überwachung finden Sie in Richtlinien im Bereich Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinien. Aktivieren Sie die Option Objektzugriffsversuche überwachen. Nach der Aktivierung müssen Sie noch auswählen, ob Sie erfolgreiche und/oder fehlgeschlagene Zugriffsversuche protokollieren wollen.
Wichtig bei der Überwachung des Active Directory sind die Anmeldungen. Dazu aktivieren Sie die Richtlinie Anmeldeereignisse überwachen. Diese überwacht Anmeldungen an den Domänencontrollern. Damit dies auch bei Arbeitsstationen und Mitgliedsservern klappt, müssen Sie eine Gruppenrichtlinie erstellen und mit allen Computern verknüpfen.
Nach Aktivierung der Überwachung finden Sie die entsprechenden Informationen in der Ereignisanzeige über Windows-Protokolle\Sicherheit.
Die Richtlinieneinstellung Anmeldeversuche überwachen protokolliert auch die Anmeldungen an Arbeitsstationen und Mitgliedsservern der Domäne. Diese Überwachung findet aber nur auf Domänencontrollern statt, da diese die Anmeldung von Benutzerkonten auf Mitgliedscomputern erst ermöglichen. Eine Anmeldung an einem PC ist also ein Anmeldeversuch am Active Directory, das die Domänencontroller überwacht.
Die Bearbeitung der Benutzerkonten überwachen Sie mit Kontenverwaltung überwachen. Diese überwacht das Erstellen, Ändern und Löschen von Benutzerkonten sowie das Umbenennen, Aktivieren oder Deaktivieren. Auch die Änderung von Kennwörtern steht unter Aufsicht der Richtlinie. In der Ereignisanzeige sehen Sie, zu welchem Zeitpunkt eine Änderung durchgeführt wurde und was die Änderung genau beinhaltet hat. Systemereignisse überwachen überwacht bei Domänencontrollern Aktionen wie das Herunterfahren und Änderungen des Betriebssystems.
Ereignisprotokolle im Netzwerk einsammeln
Sobald die Server, Domänencontroller und Arbeitsstationen die Richtlinien anwenden, protokollieren die Computer die Daten in den Ereignisanzeigen. Um diese zentral zu überwachen, sollten Sie sie im Netzwerk einsammeln und auf einem Admin-Computer überwachen. Darüber hinaus gibt es Freeware-Tools, die ebenfalls in der Lage sind, Ereignisse in den Protokollen von Windows-Servern zu sammeln.
EventSentry ist eine Monitoring-Software zur Erfassung, Analyse und Anzeige von Systemereignissen. Sie haben auch die Möglichkeit, Informationen per E-Mail zu versenden, wenn bestimmte Ereignismeldungen in den Protokollen der Server auftauchen, zum Beispiel die Meldungen der Überwachung. In der E-Mail ist die auslösende Ereignismeldung mit allen Daten enthalten. Eine Lizenz der Anwendung kostet 85 US-Dollar. Es gibt auch eine komplett kostenlose, aber etwas eingeschränkte Light-Variante von EventSentry.
Der Vorteil von EventSentry liegt darin, dass Sie die Ereignisanzeigen in Echtzeit überwachen können. Zur Überwachung installieren Sie auf den zu überwachenden Servern das Tool mit den entsprechenden Agenten. Die Verwaltungsoberfläche kann auf irgendeinem System im Netzwerklaufen, auf jedem Server, den Sie überwachen wollen, müssen Sie den entsprechenden Agenten installieren.
Über Packages\Event Log Packages\Default legen Sie fest, welche Ereignisse das Tool auf den Servern überwachen soll. Auf diesem Weg können Sie auch gezielt nach einzelnen IDs oder nach Ereignisquellen filtern lassen. Im Bereich Actions wählen Sie aus, welche Aufgaben das Tool durchführen soll.
Mit PsLoglist aus den Sysinternals arbeiten
Mit PsLoglist aus der PsTools-Sammlung der Sysinternals können Sie über die Befehlszeile die Ereignisanzeigen verschiedener Computer einsammeln, anzeigen und vergleichen. Das Programm bietet darüber hinaus zahlreiche Optionen, die beim Abfragen der Ereignisanzeigen viele verschiedene Vergleichsmöglichkeiten erlauben:
psloglist [\\<Computer>[,<Computer>[,...] | @<Datei> [-u <Benutzername>[-p <Kennwort>]]] [-s [-t delimiter]] [-m #|-n #|-h #|-d #|-w][-c][-x][-r][-a mm/dd/yy][-b mm/dd/yy][-f filter] [-i ID[,ID[,...] | -e ID[,ID[,...]]] [-o event source[,event source][,..]]] [-q event source[,event source][,..]]] [-l event log file] <eventlog>
Geben Sie zum Beispiel den Befehl
psloglist system
ein, listet das Tool in der Befehlszeile alle Ereignisse des Systemereignisprotokolls auf. Der Befehl
psloglist application
zeigt das Anwendungsprotokoll an. Wollen Sie nur die aktuellsten fünf Einträge sehen, verwenden Sie den Befehl
psloglist system -n 5
Die fünf ältesten Einträge zeigen Sie mit
psloglist system -r -n 5
an. Um effizient Daten anzuzeigen, sollten Sie die Anzeige filtern, da ansonsten zu viele Informationen auf dem Bildschirm erscheinen. Dazu verwenden Sie die Option -f. Wollen Sie zum Beispiel nur Fehlermeldungen erfassen, geben Sie den Befehl
psloglist system -f e
ein. Fehler und Warnungen erhalten Sie mit der Option -f ew angezeigt. Um nur Meldungen einer bestimmten ID anzuzeigen, verwenden Sie -i, gefolgt von einer kommagetrennten Liste der IDs, die Sie anzeigen wollen.
Eine ausführliche Liste mit den Optionen für PsLoglist finden Sie hier.
Ereignis-Abonnements erstellen
Windows Server 2008 R2 kann die Ereignisanzeigen verschiedener Server im Netzwerk zusammentragen und anzeigen. Es gibt einen Server, der die Daten sammelt (Sammlungscomputer), und Server, die an den Sammlungsserver angebunden sind (Quellcomputer).
Im ersten Schritt müssen Sie die Remote-Verwaltung auf den einzelnen Servern aktivieren. Dazu führen Sie auf jedem Quellcomputer und dem Sammlungscomputer in einer Befehlszeile mit Administratorrechten den Befehl
winrm quickconfig
aus. Im nächsten Schritt führen Sie noch den Befehl
wecutil qc
aus. Das Tool konfiguriert das Weiterleiten von Ereignissen über das Netzwerk zu einem Sammlungscomputer. Nehmen Sie anschließend das Computerkonto des Sammlungscomputers in die lokalen Administratorgruppen der einzelnen Server auf.
Starten Sie auf dem Sammlungscomputer die Ereignisanzeige und klicken Sie auf Abonnements. Ist der Systemdienst Windows-Ereignissammlungsdienst nicht gestartet, erhalten Sie eine entsprechende Meldung. Lassen Sie in diesem Fall den Dienst starten. Anschließend klicken Sie mit der rechten Maustaste auf Abonnements und dann auf Abonnement erstellen. Klicken Sie im Menü Aktionen auf Abonnement erstellen. Bei Zielprotokoll wählen Sie aus, wo auf dem Sammlungsserver die Ereignisse der Quellcomputer gesammelt werden sollen. Standardmäßig ist hier das Protokoll Weitergeleitete Ereignisse auswählt.
Wählen Sie Sammlungsinitiiert und dann Computer auswählen. Anschließend wählen Sie die Quellcomputer aus, die das Abonnement erfassen soll. Sie sollten für jeden Computer, den Sie hinzufügen, die Schaltfläche Testen klicken, um sicherzustellen, dass der Sammlungscomputer eine Verbindung aufbauen kann.
Über die Schaltfläche Ereignisse auswählen erstellen Sie neue Filter, über die Sie festlegen, welche Ereignisse auf den Quellcomputern der Sammlungscomputer anzeigen soll. Nach der Erstellung muss das Abonnement als Aktiv gekennzeichnet sein. Auf diesem Weg können Sie auch mehrere Abonnements erstellen, die verschiedene Computer mit verschiedenen Abfragefiltern erfassen, zum Beispiel alle Domänencontroller.
Sie können über die Schaltfläche Erweitert in den Eigenschaften des Abonnements einige Einstellungen ändern. So lässt sich festlegen, dass die Abfrage der Ereignisse nicht durch das Computerkonto des Servers erfolgt, sondern mit einem speziellen Benutzerkonto, dessen Daten Sie in den erweiterten Einstellungen des Abonnements hinterlegen. Achten Sie aber darauf, dieses Konto in die lokale Administratorengruppe der Quellcomputer aufzunehmen.
Neben den Abonnements,können Sie auch mit der Standard-Ereignisanzeige problemlos Ereignisanzeigen von Computern im Netzwerk abrufen. Entweder verwenden Sie dazu die Ereignisanzeige selbst oder das Befehlszeilen-Tool wevtutil.
Starten Sie dazu die Ereignisanzeige und klicken Sie mit der rechten Maustaste auf Ereignisanzeige (Lokal). Anschließend können Sie durch Auswahl von Verbindung mit einem anderen Computer herstellen die Ereignisanzeige beliebiger Server öffnen. Sie können die Ereignisanzeige eines Servers auch direkt durch Eingabe des Befehls eventvwr<Computername> öffnen.
Ereignisprotokollierung von Active Directory konfigurieren
Es besteht darüber hinaus die Möglichkeit, die Diagnoseprotokollierung des Active Directory zu erhöhen. Standardmäßig schreiben Domänencontroller nur kritische Fehler von Active Directory in die Ereignisanzeige, speziell in das Protokoll Verzeichnisdienst.
Sie können die Ereignisprotokollierung von Active Directory hauptsächlich über die Registry steuern. Wenn Sie die Protokollierung auf einem Domänencontroller erhöhen wollen, müssen Sie mit einem Registrierungs-Editor die Registry öffnen und zu dem Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics navigieren. An dieser Stelle können Sie für einzelne Bereiche den Wert mit einem REG_DWORD-Eintrag anpassen.
Jeder Eintrag in diesem Schlüssel steht für einen eigenen Event-Typ. Ihnen stehen verschiedene Ereignistypen zur Verfügung. Jeder dieser Werte wird durch einen eigenen REG_DWORD-Wert repräsentiert. Jedem Wert ist standardmäßig der Wert 0 zugeordnet. Um die Protokollierung zu erhöhen, müssen Sie den Wert der einzelnen REG_DWORD-Einträge anpassen. Dazu stehen sechs Stufen von 0 bis 5 zur Verfügung:
• 0 - Diese Einstellung ist bereits standardmäßig für alle Ereignistypen gesetzt und protokolliert ausschließlich kritische Fehler.
• 1 - Bei dieser minimalen Einstellung werden auch etwas weniger kritische Probleme in der Ereignisanzeige protokolliert. Wenn Sie die Protokollierung von Active Directory erhöhen, sollten Sie zunächst mit diesem Wert beginnen. Bereits bei dieser Stufe werden deutlich mehr Meldungen in die Ereignisanzeige geschrieben. Stellen Sie daher zunächst sicher, ob diese Stufe ausreichend ist, bevor Sie weiter erhöhen.
• 2 - Bei dieser Stufe wird die Protokollierung noch etwas erhöht. Sollte die Stufe 1 für Sie nicht ausreichen, dann wählen Sie zunächst Stufe 2.
• 3 - Ab der Stufe 3 werden alle Schritte der einzelnen Aufgaben im Active Directory protokolliert. Während sich die Stufen 0 bis 2 hauptsächlich für die Fehlersuche im weiteren Sinne anbieten, wird ab Stufe 3 sehr viel mehr protokolliert. Ab dieser Stufe wird der Server durch die starke Protokollierung extrem belastet. Wenn Sie die Protokollierung auf mehr als Stufe 2 erhöhen, sollten Sie über eine extrem leistungsfähige Hardware verfügen. Zur Überwachung und Fehlerbehebung von Active Directory reichen die Stufen von 0 bis 2 normalerweise aus.
• 4 - Diese Stufe setzt den Protokollierungsgrad noch mal etwas höher als Stufe 3. Allerdings findet in diesem Fall nicht die starke Steigerung wie bei der Erhöhung von 2 auf 3 statt.
• 5 - Diese Stufe ist die höchste, die Sie für einen Wert einstellen können. Bei dieser Stufe werden alle Informationen in die Ereignisanzeige geschrieben, die Active Directory protokollieren kann. Diese Stufe sollte nur für sehr wenige Kategorien gleichzeitig eingestellt werden, da der Protokollierungsgrad ansonsten die Übersicht in der Ereignisanzeige zu stark einschränkt.
Exchange-Administratoren überwachen
In Exchange Server 2010 haben Unternehmen die Möglichkeit, Änderungen, die Administratoren am System durchführen, zu überprüfen. Nach der Installation protokolliert Exchange alle Änderungen am System automatisch. Jedes CMDlet, das Administratoren ausführen, erzeugt einen Protokolleintrag. In großen Umgebungen können diese Daten sehr umfassend sein.
Wollen Sie Änderungen an der Protokollierung vornehmen, müssen Sie das CMDlet Set-AdminAuditLogConfig mit der Option -AdminAuditLogCmdlets starten. Nach der Option -AdminAuditLogCmdlets schreiben Sie eine Liste der CMDlets, die Sie überwachen wollen. In der Liste können Sie auch mit dem Platzhalter * arbeiten, um mehrere CMDlets zu überwachen, zum Beispiel mit *mailbox*.
Wollen Sie nur einige Optionen der überwachten CMDlets im Protokoll aufnehmen, verwenden Sie die Option -AdminAuditLogParameters des CMDlets Set-AdminAuditLogConfig. Auch hier können Sie mit dem Platzhalter arbeiten, zum Beispiel Set-AdminAuditLogConfig -AdminAuditLogParameters Database, *Address.
Eine ausführliche Liste der möglichen Optionen des CMDlets Set-AdminAuditLogConfig finden Sie im TechNet. Wollen Sie die aktuellen Einstellungen der Protokollierung anzeigen, verwenden Sie am besten das CMDlet Get-AdminAuditLogConfig | fl. Dieses zeigt in einer formatierten Liste alle Einstellungen an, die für die Protokollierung aktiviert und gesetzt sind.
Rufen Sie die Exchange-Systemsteuerung als Administrator über den Link https://<Servername>/ecp auf, klicken auf Rollen und Überwachung\Überwachung und dann auf Administratorüberwachungsportokoll exportieren, um das Protokoll anzuzeigen. Erfolgreiche Änderungen erhalten in der Spalte Succeeded die Option true.
Bei CMDlet sehen Sie das für die protokollierte Änderung verwendete CMDlet. Event Caller zeigt den Benutzernamen des Administrators an, ObjectModified das geänderte Objekt in der Exchange-Organisation. Das Datum der durchgeführten Änderung sehen Sie bei RunDate. Exchange protokolliert Änderungen in der Ereignisanzeige des Servers. Navigieren Sie in der Ereignisanzeige zu Anwendungs- und Dienstprotokolle\Microsoft\MSExchange Management.
Administratoren können die eigenen Änderungen in der Exchange-Verwaltungskonsole überwachen. Im Menüpunkt Ansicht aktivieren Sie die Option Befehlsprotokoll der Exchange-Verwaltungshell anzeigen. Wenn Sie auf Aktion\Befehlsprotokollierung starten klicken, zeichnet das Programm alle Änderungen auf. (mje)