Windows Server 2003 überwachen: Die Ereignisprotokolle

Filtertypen

Es gibt folgende Filter

  • EREIGNISTYP - Damit können Sie nach dem Typ des Ereignisses filtern. Vielleicht wollen Sie ja nur Ereignisse sehen, die auf ein Problem hinweisen, wie Warnungen und Fehler. Beim Sicherheitsprotokoll interessieren Sie sich mehr für Erfolgs- oder Fehlerüberwachungen, wie mehrfach erfolglose Anmeldungen (die auf einen Hackversuch hindeuten könnten).

  • EREIGNISQUELLE - Damit können Sie nach einer bestimmten Quelle (Treiber, Systemkomponente, Dienst) filtern.

  • KATEGORIE - Damit können Sie nach einer speziellen Kategorie filtern. Dieser Filter ist insbesondere beim Sicherheitsprotokoll wichtig, da dort das Kategoriefeld öfter benutzt wird als bei den anderen Protokollen. Damit können Sie schnell zwischen Anmelde-, Ressourcenzugriffs- und Systemereignissen trennen. Typische Kategorien im Protokoll Sicherheit sind An-/Abmeldung, Kontoanmeldung, Richtlinienänderung und Systemereignis.

  • EREIGNISKENNUNG - Filtert das Protokoll so, dass nur Ereignisse mit einer bestimmten Kennung angezeigt werden.

  • BENUTZER - Filtert das Protokoll so, dass nur Ereignisse angezeigt werden, die mit einem bestimmten Benutzer verknüpft sind. Nicht alle Ereignisse haben einen Benutzereintrag.

  • COMPUTER - Filtert das Protokoll so, dass nur Ereignisse angezeigt werden, die mit einem bestimmten Computer verknüpft sind. Da Windows Server 2003 derzeit ohnehin nur das Protokoll eines Computers darstellt, ist diese Option ohne praktischen Nutzwert.

  • VON und BIS - Filtert das Protokoll so, dass nur Ereignisse in einem bestimmten Zeitfenster dargestellt werden.

Neue Protokollansicht

Manchmal hilft Ihnen eine spezielle Ansicht eines Protokolls sehr. Microsoft hat daher eine Option bei der Ereignisanzeige eingebaut, die Neue Protokollansicht heißt. Mit dieser Option können Sie sich eine maßgeschneiderte Ansicht jedes beliebigen Protokolls erstellen (Filtern, Größe et cetera) und diese Ansicht unter einem neuen Namen speichern. Damit können Sie die Ansicht der Protokolle frei gestalten, ohne die Standardansicht der Protokolle selbst zu verändern.

Um eine neue Ansicht hinzuzufügen, klicken Sie den Eintrag des betreffenden Protokolls mit der rechten Maustaste an. Wählen Sie im Kontextmenü NEUE PROTOKOLLANSICHT. Der Eintrag des neuen Protokolls erscheint dann in der Ereignisanzeige. Er kann umbenannt und wie jedes andere Protokoll konfiguriert werden.