Verbesserte Ereignisüberwachung in Windows Server 2008 Analyse und Verwaltung von Ereignisprotokollen von Microsoft vereinfacht

Autor / Redakteur: Manuela Reiss / Stephan Augsten

Die Überwachung von Systemen gehört zu den wichtigsten Sicherheitsmaßnahmen des operativen IT-Betriebs – und die Ereignisanzeige bildet hierfür eines der Hauptwerkzeuge. Dieses Werkzeug wurde in Windows Server 2008 gegenüber früheren Versionen deutlich verbessert.

Firma zum Thema

Mithilfe der erweiterten Ereignisüberwachung unter Windows Server 2008 können Administratoren effizienter arbeiten.
Mithilfe der erweiterten Ereignisüberwachung unter Windows Server 2008 können Administratoren effizienter arbeiten.
( Archiv: Vogel Business Media )

Viele Administratoren, Insbesondere in komplexen Umgebungen, kennen den täglichen Kampf mit der Fülle der gelieferten Einträge in den Ereignisprotokollen. Die Protokolle enthalten zwar viele Informationen. Aber da sich Überwachungsrichtlinien nicht fein genug steuern lassen, entstehen riesige Mengen an Protokolleinträgen.

Gerade an diesen Punkten wurde bei Windows Server 2008 das Überwachungs-Subsystem in etlichen Punkten verbessert. So wurden die Überwachungsrichtlinien erweitert, sodass es einfacher ist, genau die relevanten Ereignisse auszuwählen.

Bildergalerie
Bildergalerie mit 6 Bildern

Diese Möglichkeiten werden auch dringend benötigt. Denn auf der anderen Seite lösen unter Windows Server 2008 viel mehr Ereignisse die Protokollierung von Überwachungsereignissen aus.

Ein Blick auf die neue Ereignisanzeige

Bevor die Ereignisanzeige geöffnet wird, zeigt Windows Server 2008 eine Dialogbox der Benutzerkontensteuerung. Es handelt sich hierbei um eine Sicherheitsfunktion, die Microsoft bereits mit Windows Vista eingeführt hat.

Die Benutzerkontensteuerung sorgt dafür, dass alle Benutzer Anwendungen und Aufgaben unter einem Standard-Benutzerkonto ausführen, auch wenn sie Mitglied der Gruppe der lokalen Administratoren sind. Außerdem schränkt sie den administrativen Zugriff auf autorisierte Prozesse ein. Nach der Bestätigung oder nach der Eingabe eines Admin-Kennworts öffnet sich die in Bild 1 gezeigt Konsole.

Auffällig ist zunächst die Unterteilung in zwei Kategorien von Ereignisprotokollen:

  • Windows-Protokolle: Die Kategorie der Windows-Protokolle enthält die Protokolle, die bereits unter früheren Windows-Versionen zur Verfügung standen. Das Sicherheitsprotokoll gehört demzufolge in diese Kategorie. Zusätzlich gibt es hier zwei neue Protokolle: das Einrichtungsprotokoll und das Protokoll für weitergeleitete Ereignisse. Ersteres enthält Ereignisse im Zusammenhang mit der Installation von Anwendungen und das Protokoll für weitergeleitete Ereignisse wird zum Speichern von Ereignissen von Remotecomputern verwendet.
  • Anwendungs- und Dienstprotokolle: Anwendungs- und Dienstprotokolle bilden eine neue Kategorie von Ereignisprotokollen. Diese speichern keine Ereignisse, die systemweite Auswirkungen haben, sondern Ereignisse einzelner Anwendungen oder Komponenten. Sie enthalten also Ereignisse, die von Anwendungen oder Programmen protokolliert wurden.

Das Beispiel zeigt auch die analytischen Protokolle und die Debugprotokolle. Diese sind standardmäßig deaktiviert und ausgeblendet, da sie aufgrund einer großen Anzahl von Einträgen sehr schnell anwachsen können. Aus diesem Grund sollten diese Protokolle nur für den Zeitraum verwendet werden, in dem zusätzliche Daten zur Problembehandlung benötigt werden.

Seite 2: Ereigniseinträge analysieren

Ereigniseinträge analysieren

Betrachtet man nun die einzelnen Ereignisse, fällt auf, dass die Nummern der Sicherheitsereignis-IDs von Windows Server 2008 andere sind, als die früherer Versionen. Im Allgemeinen ist die Ereignis-ID eines Sicherheitsereignisses in Windows Server 2008 um 4.096 höher als das entsprechende Ereignis in Windows Server 2003.

So wird beispielsweise das Ereignis einer erfolgreichen Anmeldung (ID 528 in früheren Versionen) unter Windows Server 2008 mit der Ereignis-ID 4.624 (528 + 4.096 = 4624) protokolliert. Weiterhin sind die Informationen zu den Ereignissen in der Ereignisanzeige etwas anders aufgebaut und enthalten zusätzliche Informationen, wie Bild 3 beispielhaft zeigt.

Einfachere Verwaltung

Das geänderte Format der Ereigniseinträge erlaubt eine einfachere und schnellere Suche nach Einträgen. Neu ist auch die Möglichkeit Ereignisse zu gruppieren.

Wie bereits in älteren Versionen kann ein Protokoll nach verschiedenen Feldern sortiert werden, indem auf den gewünschten Spaltenkopf geklickt wird. Durch Auswahl des Befehls Ereignisse nach dieser Spalte gruppieren im Kontextmenü des Spaltenkopfes lassen sich Ereignisse unter Windows Server 2008 zusätzlich gruppieren.

Weiterhin ist es möglich, die Ereignisse in einem Ereignisprotokoll zu filtern. Bei einem Filter handelt es sich um einen Satz von Regeln, mit denen bestimmt wird welche Ereignisse in dem Protokoll sichtbar sind und welche ausgeblendet werden.

Die Verwendung von Filtern war zwar schon in früheren Versionen möglich, doch bietet Windows Server 2008 hierfür erweiterte Möglichkeiten. Hier wird das Konzept der Filterung auf mehr als ein einzelnes Ereignisprotokoll ausgedehnt. Damit können beispielsweise Ereignisse gleichzeitig aus verschiedenen Protokollen gefiltert werden.

Seite 3: XML-basierte Protokollstruktur

XML-basierte Protokollstruktur

Möglich ist dies durch die Einführung einer XML-basierten Infrastruktur, wie sie auch Windows Vista verwendet. Die Informationen über die einzelnen Ereignisse werden hierbei im XML-Format gespeichert und können mittels XML-Abfragen verwaltet werden. Dies ermöglicht das Suchen und Filtern über alle Felder hinweg sowie den Export und die Analyse von Ereignissen im XML-Format.

Zur Nutzung der neuen Funktionen sind keine XML-Kenntnisse erforderlich. In der in Bild 5 gezeigten Dialogbox können die wichtigsten Filtermöglichkeiten einfach genutzt werden. Allerdings stellen die in den Dialogboxen verfügbaren Filter-Optionen nur einen Teil der nutzbaren XML-Funktionen zur Verfügung.

Weitere Möglichkeiten ergeben sich aus der Nutzung von XPATH. Hierfür muss die Registerkarte XML geöffnet werden. Der angezeigte XPATH-Ausdruck gibt die Optionen wieder, die auf der Registerkarte Filter ausgewählt wurden. Nach der Aktivierung der Option Manuell bearbeiten kann der XPATH-Text editiert werden.

Einen komplexen Filter zu erstellen kann sehr zeitaufwändig sein. Windows Server 2008 bietet daher die Möglichkeit, Filter als benutzerdefinierte Ansicht zu erstellen und zu speichern. Außerdem ermöglichen nur benutzerdefinierte Ansichten die Erstellung eines Filters über mehrere Protokolle.

Alternative: Das Befehlszeilentool WEVTUtil

Wie gezeigt stehen eine Reihe neuer Funktionen zur Verwaltung von Ereignisprotokollen in der Ereignisanzeige unter Windows Server 2008 zur Verfügung. Alternativ zur Ereignisanzeigenkonsole kann zur Verwaltung der Ereignisprotokolle das Befehlszeilentool „WEWTUtil“ verwendet werden. Das Tool EventQuery aus Windows Server 2003 wurde durch dieses neue Tool ersetzt.

WEVTUtil kann das gesamte Ereignissystem über die Eingabeaufforderung verwalten und unterstützt u.a. das Abrufen von Informationen zu Ereignisprotokollen, das Ausführen von Abfragen sowie das Exportieren, Archivieren und Löschen von Protokollen. Um beispielsweise ein Ereignisprotokoll an der Befehlszeile zu löschen, ist der folgende Befehl zu verwenden:

wevtutil cl [/bu: ]

Fazit

Windows Server 2008 bietet mit der neuen Ereignisanzeigenkonsole nicht nur eine verbesserte Verwaltung der Ereignisseinträge. Viele Neuerungen und Verbesserungen, wie beispielsweise die XML-basierte Protokollstruktur oder Änderungen im Anzeigeformat der Ereigniseinträge, offenbaren sich erst auf den zweiten Blick. Eine genauere Betrachtung der „neuen Ereignisanzeige“ lohnt.

(ID:2017977)