Windows Server 2003 überwachen: Die Ereignisprotokolle

Übersicht über die einzelnen Protokolle

Wie gesagt, alle Windows-2003-Systeme haben mindestens die folgenden drei Protokolle:

  • System - In dieser Datei werden Ereignisse aufgezeichnet, die den Systembetrieb betreffen. Zumeist haben sie mit Gerätetreibern und Diensten wie DHCP oder WINS zu tun. Die Informationen hier betreffen das Anhalten und Starten von Diensten oder den Ausfall einer Systemkomponente.

  • Anwendung - In dieser Datei werden Ereignisse aufgezeichnet, die Applikationen, Programme und Utilities betreffen, die normalerweise nicht zu den nativen Komponenten von Windows Server 2003 gehören. Beispiele wären Datenbanken oder Mail-Server. Was hier genau aufgezeichnet wird, bestimmt der Programmierer der Applikation. Normalerweise sind dies Nachrichten, Fehler und Warnungen. In diesem Protokoll werden auch die Warnungen gespeichert, die vom Tool "Leistungsprotokolle und Warnungen" erzeugt werden.

  • Sicherheit - In dieser Datei werden Ereignisse aufgezeichnet, die mit Sicherheit und Überwachung zu tun haben. Typische Ereignisse sind gültige und ungültige Anmeldeversuche und der Zugriff auf Ressourcen (Öffnen, Lesen oder Löschen einer Datei oder eines Ordners). Welche Arten von Ereignissen in diesem Protokoll aufgezeichnet werden, kann mit der Überwachungsrichtlinie konfiguriert werden. Bei den Vorgängerversionen zeichnete das Sicherheitsprotokoll keinerlei Informationen auf, ehe nicht eine Überwachungsrichtlinie aktiviert war. Bei Windows Server 2003 ist die Sicherheitsprotokollierung per Vorgabe aktiv.

Wenn auf Ihrem Server der DNS-Dienst installiert ist, sehen Sie auch DNS-Server in der Ereignisanzeige. Darin werden die Ereignisse aufgezeichnet, die den Betrieb des DNS-Servers betreffen. Wenn Sie im Netzwerk Probleme mit der Namensauflösung haben, sollten Sie hier zuerst nachsehen.

Zudem besitzen Active-Directory-Domänen-Controller die folgenden Protokolle:

  • Verzeichnisdienst - Diese Datei zeichnet Ereignisse auf, die sich auf den Betrieb des Active-Directory-Diensts beziehen. Typische Ereignisse in diesem Protokoll betreffen die Kommunikation zwischen Domänen-Controllern und Globalen-Katalog-Servern.

  • Dateireplikationsdienst - Diese Datei zeichnet Ereignisse auf, die die Replikation von SYSVOL und des DFS-Baums betreffen.