Verbesserte Ereignisüberwachung in Windows Server 2008

Analyse und Verwaltung von Ereignisprotokollen von Microsoft vereinfacht

20.11.2008 | Autor / Redakteur: Manuela Reiss / Stephan Augsten

Mithilfe der erweiterten Ereignisüberwachung unter Windows Server 2008 können Administratoren effizienter arbeiten.
Mithilfe der erweiterten Ereignisüberwachung unter Windows Server 2008 können Administratoren effizienter arbeiten.

Die Überwachung von Systemen gehört zu den wichtigsten Sicherheitsmaßnahmen des operativen IT-Betriebs – und die Ereignisanzeige bildet hierfür eines der Hauptwerkzeuge. Dieses Werkzeug wurde in Windows Server 2008 gegenüber früheren Versionen deutlich verbessert.

Viele Administratoren, Insbesondere in komplexen Umgebungen, kennen den täglichen Kampf mit der Fülle der gelieferten Einträge in den Ereignisprotokollen. Die Protokolle enthalten zwar viele Informationen. Aber da sich Überwachungsrichtlinien nicht fein genug steuern lassen, entstehen riesige Mengen an Protokolleinträgen.

Gerade an diesen Punkten wurde bei Windows Server 2008 das Überwachungs-Subsystem in etlichen Punkten verbessert. So wurden die Überwachungsrichtlinien erweitert, sodass es einfacher ist, genau die relevanten Ereignisse auszuwählen.

Diese Möglichkeiten werden auch dringend benötigt. Denn auf der anderen Seite lösen unter Windows Server 2008 viel mehr Ereignisse die Protokollierung von Überwachungsereignissen aus.

Ein Blick auf die neue Ereignisanzeige

Bevor die Ereignisanzeige geöffnet wird, zeigt Windows Server 2008 eine Dialogbox der Benutzerkontensteuerung. Es handelt sich hierbei um eine Sicherheitsfunktion, die Microsoft bereits mit Windows Vista eingeführt hat.

Die Benutzerkontensteuerung sorgt dafür, dass alle Benutzer Anwendungen und Aufgaben unter einem Standard-Benutzerkonto ausführen, auch wenn sie Mitglied der Gruppe der lokalen Administratoren sind. Außerdem schränkt sie den administrativen Zugriff auf autorisierte Prozesse ein. Nach der Bestätigung oder nach der Eingabe eines Admin-Kennworts öffnet sich die in Bild 1 gezeigt Konsole.

Auffällig ist zunächst die Unterteilung in zwei Kategorien von Ereignisprotokollen:

  • Windows-Protokolle: Die Kategorie der Windows-Protokolle enthält die Protokolle, die bereits unter früheren Windows-Versionen zur Verfügung standen. Das Sicherheitsprotokoll gehört demzufolge in diese Kategorie. Zusätzlich gibt es hier zwei neue Protokolle: das Einrichtungsprotokoll und das Protokoll für weitergeleitete Ereignisse. Ersteres enthält Ereignisse im Zusammenhang mit der Installation von Anwendungen und das Protokoll für weitergeleitete Ereignisse wird zum Speichern von Ereignissen von Remotecomputern verwendet.
  • Anwendungs- und Dienstprotokolle: Anwendungs- und Dienstprotokolle bilden eine neue Kategorie von Ereignisprotokollen. Diese speichern keine Ereignisse, die systemweite Auswirkungen haben, sondern Ereignisse einzelner Anwendungen oder Komponenten. Sie enthalten also Ereignisse, die von Anwendungen oder Programmen protokolliert wurden.

Das Beispiel zeigt auch die analytischen Protokolle und die Debugprotokolle. Diese sind standardmäßig deaktiviert und ausgeblendet, da sie aufgrund einer großen Anzahl von Einträgen sehr schnell anwachsen können. Aus diesem Grund sollten diese Protokolle nur für den Zeitraum verwendet werden, in dem zusätzliche Daten zur Problembehandlung benötigt werden.

Seite 2: Ereigniseinträge analysieren

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2017977 / Tools)