Windows Server 2003 überwachen: Der Systemmonitor

Kategorien der Ereignistypen

Die Ereignistypen, die bei Windows Server 2003 überwacht werden können, lassen sich in die folgenden Kategorien einteilen:

  • Anmeldeversuche - Dieses Ereignis wird aufgezeichnet, wenn ein Domänen-Controller eine Anfrage erhält, ein Benutzerkonto zu validieren. So erhält der Netzwerkadministrator Aufzeichnungen über alle Benutzerkonten, die sich am Netzwerk angemeldet haben, sowie die Information, wann das geschah und welche Privilegien sie erhielten.

  • Kontenverwaltung - Dieses Ereignis überwacht die Aktionen des Netzwerkadministrators. Es verzeichnet alle Änderungen, die der Administrator an den Attributen eines Benutzers, einer Gruppe oder eines Computerkontos vornimmt. Es zeichnet auch Ereignisse auf, wenn der Administrator ein Konto erstellt oder löscht. Diese Option ist vor allem in Netzwerken mit mehreren Administratoren nützlich, besonders wenn es Anfänger gibt, auf die Sie sich nicht verlassen können und die Sie im Auge behalten müssen.

  • Verzeichnisdienstzugriff - Dieses Ereignis überwacht den Benutzerzugriff auf Verzeichnisdienstobjekte. Die Überwachung muss für das spezielle Objekt aktiviert sein, damit die Aktivität protokolliert wird.

  • Anmeldeereignisse - Dieses Ereignis überwacht An- und Abmeldungen an der lokalen Konsole sowie Netzwerkverbindungen zum Computer.

  • Objektzugriff - Dieses Ereignis überwacht den Benutzerzugriff auf Objekte im Netzwerk wie Dateien, Ordner oder Drucker. Die Überwachung muss bei dem speziellen Objekt aktiviert sein, damit die Aktivität protokolliert werden kann.

  • Richtlinienänderungen - Dieses Ereignis überwacht Änderungen an allen Richtlinien, die in der Domäne angewendet werden. Dies beinhaltet Änderungen an den Benutzersicherheitsoptionen, Benutzerrechten und Überwachungsrichtlinien. Diese Option kann sehr nützlich sein, wenn bestimmte Dinge, die mit Berechtigungen zusammenhängen, nicht mehr funktionieren. Sie können dann das Protokoll rückwärts durchsuchen und herausfinden, ob versehentlich Richtlinien geändert wurden.

  • Rechteverwendung - Dieses Ereignis überwacht die Verwendung von Benutzerrechten. Typische Beispiele wären der Zugriff des Administrators auf das Sicherheitsprotokoll oder die Änderung der Systemzeit durch einen Benutzer. Der Eintrag im Protokoll benennt den Kontonamen, die Zeit und das verwendete Privileg.

  • Prozessverfolgung - Dieses Ereignis überwacht ausführbare Dateien wie EXE, DLL oder OCX. Normalerweise wird es von Programmierern verwendet, die die Ausführung von Programmen verfolgen wollen. Es kann auch beim Aufspüren von Viren nützlich sein. Allerdings gibt es bessere Tools für beide Anliegen.

  • Systemereignisse - Das ist das allgemeine Ereignis schlechthin. Damit werden Ereignisse wie das Neustarten oder Herunterfahren von Computern, das Starten und Anhalten von Diensten und alle Ereignisse, die die Sicherheit von Windows Server 2003 im Allgemeinen betreffen, verfolgt. Ein Beispiel wäre ein komplett volles Überwachungsprotokoll.

Die Ereignistypen, die bei einem Objekt überwacht werden können, hängen vom jeweiligen Objekttyp ab. Beispielsweise setzen die Überwachungs-Features für Dateien und Verzeichnisse voraus, dass das NTFS-Dateisystem verwendet wird.