Ereignisse suchen, finden und bewerten
Workshop - Log-Dateien auf Windows-Systemen auswerten
Auf einem Windows-Server sind standardmäßig immer mindestens drei Protokolldateien zu finden: das Anwendungs-, das System- und das Sicherheitsprotokoll. Die Anwendungen und Dienste auf einem System verwenden die Anwendungsprotokolldatei, während Gerätetreiber die Systemprotokolldatei für ihre Zwecke einsetzen.
Das gilt natürlich nicht nur für die Server, sondern auch für die Windows-Client-Systeme. Ist diese Überwachung aktiviert, so wird ein solches Windows-System sowohl Erfolgs- als auch entsprechende Fehlerüberwachungsereignisse im Sicherheitsprotokoll generieren.
Im professionellen Einsatz werden zudem in der Regel noch eine Reihe anderer Anwendungen, wie beispielsweise der Verzeichnisdienst Active Directory (AD), auf dem Server installiert sein, sodass auf diesen Rechnern mit großer Wahrscheinlichkeit noch weitere Standardprotokolldateien zu finden sind. Weiterhin haben die Administratoren die Möglichkeit, eigene selbst definierte Protokolldateien auf einem lokalen oder Remote-Computer zu erstellen.
- Log-Dateien auswerten
Der Event-Viewer auf einem Windows Server 2008 R2: Er kann auch mit dem alten EVT-Format der Protokoll-Dateien vor Windows Vista umgehen und bietet eine entsprechende Konvertierung der Dateien an. - Log-Dateien auswerten
Ein ganz ähnliches Bild wie auf dem Server: Auch Windows-7-Systeme stellen natürlich eine Ereignisanzeige mit den entsprechenden Fähigkeiten zur Verfügung. - Log-Dateien auswerten
Sehr nützlich in Batch- und Script-Dateien: Auf den Windows-Systemen steht auch ein mächtiges Kommandozeilenprogramm zum Bearbeiten der Ereignisprotokolle bereit. - Log-Dateien auswerten
Erleichtert den Überblick ganz enorm: Mit Hilfe der benutzerdefinierten Ansichten können die Daten aus den Ereignisprotokollen gefiltert werden. - Log-Dateien auswerten
Ein eigener „Blick“ auf die vielen Daten wird entworfen: Durch die Filter ist es möglich, sehr viel genauer nach bestimmten Ereignissen zu suchen. - Log-Dateien auswerten
Eine benutzerdefinierte Ansicht – eine der Neuerung, die mit Windows Server 2008 eingeführt wurde: Hier wurde eine solche Ansicht für alle Events mit der ID 4738 entworfen. - Log-Dateien auswerten
Das kostenlose Werkzeug Log Parser: Es bietet umfangreiche Möglichkeiten, die Ereignisprotokolle direkt von der Kommandozeile abzufragen, ist aber veraltet und besitzt eine sehr komplexe Syntax. - Log-Dateien auswerten
Die komplette Liste: Der Get-WinEvent-Befehl zeigt alle vorhandenen Protokolle auf dem lokalen System an und steht nur auf den modernen Windows-Versionen zur Verfügung. - Log-Dateien auswerten
Kleine, aber wichtige Unterschiede: Auch wenn beide Befehle auf dem aktuellen Window-Server funktionieren, sollte man vor ihrem Einsatz unbedingt die Details bei Syntax, Parametern und Eigenschaften beachten.
Geht man nun von einer nicht allzu großen Firma aus, die 20 Serversysteme besitzt, auf denen im Durchschnitt jeweils fünf verschiedene Log-Dateien 24 Stunden am Tag mit Ereignisdaten gefüllt werden, so kann man sich schnell die Dimension der zu verwaltenden Daten ausmalen, die es im Zweifelsfall zu durchforsten gilt. Der folgende Artikel hilft, diese Aufgabe ein wenig systematischer anzugehen.