Ereignisse suchen, finden und bewerten

Workshop - Log-Dateien auf Windows-Systemen auswerten

Benutzerdefinierte Ansichten - Suche eingrenzen

Wie bereits erwähnt, stellt sich die Suche nach einer genau spezifizierten Ereignis-ID in der Praxis zumeist als der beste Weg heraus, einem Vorfall auf einem Serversystem schnell auf die Spur zu kommen.

Der Nachteil dieses Ansatzes besteht darin, dass ein Administrator bereits die Ereignis-ID kennen muss, nach der suchen will. Die Möglichkeit, nach einem bestimmten Anwender zu suchen erscheint auf den ersten Blick als probates Mittel, die Aktivitäten eines Anwenders zu finden.

Leider zeigt diese Suchmethode nicht alle Ereignisse an, die einen bestimmten Nutzer auf diesem System betreffen. Ist beispielsweise ein "Anmelde-Ereignis" eines Kontos mit einem Anwender "N/A" verbunden, so können Sie den Nutzernamen, unter dem er angemeldet war, nur sehen, indem Sie im Datenfeld des entsprechenden Ereignisses nachschauen. Auch eine Suche nach Schlüsselwörtern bietet die Filterfunktionalität an, doch diese ist auf bestimmte vorgegebene Schlüsselwörter beschränkt, und eine freie Suche ist hier nicht möglich.

Eine benutzerdefinierte Ansicht - eine der Neuerungen, die mit Windows Server 2008 eingeführt wurden. Hier wurde eine solche Ansicht für alle Events mit der ID 4738 entworfen.
Eine benutzerdefinierte Ansicht - eine der Neuerungen, die mit Windows Server 2008 eingeführt wurden. Hier wurde eine solche Ansicht für alle Events mit der ID 4738 entworfen.

Erst mit Windows Server 2008 ist es schließlich möglich, die benutzerdefinierten Ansichten zu entwerfen, abzuspeichern und auf mehrere verschiedenen Ereignisprotokolle beliebig anzuwenden. Beim Anlegen einer solchen Ansicht gehen Sie folgendermaßen vor:

1. Öffnen Sie die Ereignisanzeige.

2. Mit einem Rechtsklick auf den Knoten Benutzerdefinierte Ansichten im linken Panel der Ereignisanzeige wählen Sie Benutzerdefinierte Ansicht erstellen… aus.

3. Das Fenster, das nun erscheint, gleicht im Prinzip dem zuvor geschilderten Filter. Allerdings besitzen Sie hier nun die Möglichkeit, Daten von mehreren Log-Dateien zu extrahieren. Die Optionen, die Ihnen zur Verfügung stehen, entsprechen dabei jenen, die auch von der Filterfunktionalität angeboten werden.

Der wichtigste Zusatznutzen, der mit diesem Feature für die Systembetreuer bereitgestellt wird, besteht ohne Zweifel darin, dass Sie entsprechende benutzerdefinierte Ansichten ex- und wieder importieren und so auch auf mehreren Maschinen im Netz problemlos einsetzen können.