Ereignisse suchen, finden und bewerten
Workshop - Log-Dateien auf Windows-Systemen auswerten
Nützliches Werkzeug: Filtern und eigene Sichten
Einen schnellen und gangbaren Weg dazu bieten die Filtermöglichkeiten, die Sie an dieser Stelle verwenden können, um die Anzahl der angezeigten Daten in einer bestimmen Log-Datei deutlich zu reduzieren.
Diese Filter standen auch schon auf Windows Server 2003 zur Verfügung und können auf Server 2008 in der gleichen Art und Weise verwendet werden. Diese stellen Ihnen nur einen augenblicklichen "View" auf die Daten zur Verfügung, sind also nicht permanent. Das System bieten Ihnen aber die Möglichkeit, eine benutzerdefinierte Ansicht in eine XML-Datei abzuspeichern, die dann später wieder in die Ereignisanzeige importiert und auf die Daten angewendet werden kann.
Wenn Sie einen Filter auf einem Windows Server 2008 verwenden wollen, müssen Sie die folgenden Schritte durchführen:
1. Öffnen Sie, wie zuvor beschrieben, die Ereignisanzeige.
2. Wählen Sie das Log aus, das Sie filtern möchten. Sie können entweder über einen Klick auf den entsprechenden Eintrag im Bereich Aktionen der MMC oder durch einen Rechtsklick auf das Log aus dem Kontextmenü Aktuelles Protokoll filtern… auswählen.
3. Daraufhin wird das Fenster "Aktuelles Protokoll filtern" geöffnet. Hier steht Ihnen nun eine ganze Reihe von Möglichkeiten zur Verfügung, wie sie filtern können. So können Sie beispielsweise nur die Ereignisse auswählen, die innerhalb der vergangenen zwölf Stunden auf dem System aufgetreten sind.
4. Weiterhin steht Ihnen an dieser Stelle die Möglichkeit offen, nach den unterschiedlichen Event-Quellen oder nach Schlüsselwörtern beziehungsweise Anwendern oder Systemen zu suchen. Hier können Sie auch nach einer ganz spezifischen Ereignis-ID suchen.