Das Windows-Ereignisprotokoll ist eine detaillierte Aufzeichnung der vom Windows-Betriebssystem gespeicherten System-, Sicherheits- und Anwendungsbenachrichtigungen, die von Administratoren zur Diagnose von Systemproblemen und zur Vorhersage zukünftiger Probleme verwendet wird.
Anwendungen und das Betriebssystem verwenden diese Ereignisprotokolle, um wichtige Hardware- und Softwareaktionen aufzuzeichnen, mit denen der Administrator Probleme mit dem Betriebssystem beheben kann. Das Windows-Betriebssystem verfolgt bestimmte Ereignisse in seinen Protokolldateien, z. B. Anwendungsinstallationen, Sicherheitsverwaltung, Systemeinrichtungsvorgänge beim ersten Start sowie Probleme oder Fehler.
Die Elemente eines Windows-Ereignisprotokolls
Jedes Ereignis in einem Protokolleintrag enthält die folgenden Informationen:
Datum: Das Datum, an dem das Ereignis aufgetreten ist.
Zeit: Die Zeit, zu der das Ereignis aufgetreten ist.
User: Der Benutzername des Benutzers, der beim Auftreten des Ereignisses am Computer angemeldet war.
Computer: Der Name des Computers.
Ereignis-ID: Eine Windows-Identifikationsnummer, die den Ereignistyp angibt.
Quelle: Das Programm oder die Komponente, die das Ereignis verursacht hat.
Typ: Der Typ des Ereignisses, einschließlich Informationen, Warnung, Fehler, Sicherheitserfolgsaudit oder Sicherheitsfehleraudit.
Ein Informationsereignis könnte beispielsweise wie folgt aussehen:
Information 5/16/2018 8:41:15 AM Service Control Manager 7036 None
Ein Warnereignis könnte folgendermaßen aussehen:
Warning 5/11/2018 10:29:47 AM Kernel-Event Tracing 1 Logging
By comparison, ein Fehlerereignis kann wie folgt angezeigt werden:
Fehler 5/16/2018 8:41:15 AM Service Control Manager 7001 None
Ein kritisches Ereignis könnte folgendermaßen aussehen:
Kritisch 5/11/2018 8:55:02 AM Kernel-Power 41 (63)
Die Art der in Windows-Ereignisprotokollen gespeicherten Informationen
Das Windows-Betriebssystem zeichnet Ereignisse in fünf Bereichen auf: Anwendung, Sicherheit, Setup, System und weitergeleitete Ereignisse. Windows speichert Ereignisprotokolle im C:\WINDOWS\system32\config \ Ordner.
Anwendungsereignisse beziehen sich auf Vorfälle mit der auf dem lokalen Computer installierten Software. Wenn eine Anwendung wie Microsoft Word abstürzt, erstellt das Windows-Ereignisprotokoll einen Protokolleintrag über das Problem, den Anwendungsnamen und den Grund für den Absturz.
Sicherheitsereignisse speichern Informationen, die auf den Überwachungsrichtlinien des Windows-Systems basieren, und zu den typischen gespeicherten Ereignissen gehören Anmeldeversuche und Ressourcenzugriff. Im Sicherheitsprotokoll wird beispielsweise ein Datensatz gespeichert, wenn der Computer versucht, die Kontoanmeldeinformationen zu überprüfen, wenn ein Benutzer versucht, sich an einem Computer anzumelden.
Setup-Ereignisse umfassen unternehmensbezogene Ereignisse in Bezug auf die Steuerung von Domänen, z. B. den Speicherort von Protokollen nach einer Festplattenkonfiguration.
Systemereignisse beziehen sich auf Vorfälle auf Windows-spezifischen Systemen, z. B. den Status von Gerätetreibern.
Weitergeleitete Ereignisse kommen von anderen Computern im selben Netzwerk, wenn ein Administrator einen Computer verwenden möchte, der mehrere Protokolle sammelt.
Verwenden der Ereignisanzeige
Microsoft integriert die Ereignisanzeige in sein Windows Server- und Client-Betriebssystem, um Windows-Ereignisprotokolle anzuzeigen. Benutzer greifen auf die Ereignisanzeige zu, indem sie auf die Schaltfläche Start klicken und die Ereignisanzeige in das Suchfeld eingeben. Benutzer können dann das gewünschte Protokoll auswählen und einsehen.
Windows kategorisiert jedes Ereignis mit einem Schweregrad. Die Ebenen in der Reihenfolge des Schweregrads sind Information, Warnung, Fehler und kritisch.
Die meisten Protokolle bestehen aus informationsbasierten Ereignissen. Protokolle mit diesem Eintrag bedeuten normalerweise, dass das Ereignis ohne Zwischenfall oder Problem aufgetreten ist. Ein Beispiel für ein systembasiertes Informationsereignis ist das Ereignis 42, Kernel-Power, das anzeigt, dass das System in den Ruhemodus wechselt.
Ereignisse der Warnstufe basieren auf bestimmten Ereignissen, wie z. B. einem Mangel an Speicherplatz. Warnmeldungen können auf potenzielle Probleme aufmerksam machen, die möglicherweise kein sofortiges Handeln erfordern. Ereignis 51, Datenträger ist ein Beispiel für eine systembasierte Warnung in Bezug auf einen Auslagerungsfehler auf dem Laufwerk der Maschine.
Eine Fehlerstufe weist darauf hin, dass ein Gerät möglicherweise nicht wie erwartet geladen oder betrieben werden konnte. Ereignis 5719, NETLOGON ist ein Beispiel für einen Systemfehler, wenn ein Computer keine sichere Sitzung mit einem Domänencontroller konfigurieren kann.
Ereignisse auf kritischer Ebene weisen auf die schwerwiegendsten Probleme hin. Ereignis-ID 41, Kernel-Power ist ein Beispiel für ein kritisches Systemereignis, wenn ein Computer ohne sauberes Herunterfahren neu gestartet wird.
Andere Tools zum Anzeigen von Windows-Ereignisprotokollen
Microsoft stellt außerdem das Befehlszeilendienstprogramm wevtutil im Ordner System32 bereit, das Ereignisprotokolle abruft, Abfragen ausführt, Protokolle exportiert, Protokolle archiviert und Protokolle löscht.
Dienstprogramme von Drittanbietern, die auch mit Windows-Ereignisprotokollen arbeiten, umfassen SolarWinds Log & Event Manager, der Echtzeit-Ereigniskorrelation und -behebung, Dateiintegritätsüberwachung, USB-Geräteüberwachung und Bedrohungserkennung bietet. Log & Event Manager sammelt automatisch Protokolle von Servern, Anwendungen und Netzwerkgeräten.
ManageEngine EventLog Analyzer erstellt benutzerdefinierte Berichte aus Protokolldaten und sendet Echtzeit-Textnachrichten und E-Mail-Benachrichtigungen basierend auf bestimmten Ereignissen.
Verwenden von PowerShell zum Abfragen von Ereignissen
Microsoft erstellt Windows-Ereignisprotokolle im XML-Format (Extensible Markup Language) mit einer EVTX-Erweiterung. XML bietet detailliertere Informationen und ein konsistentes Format für strukturierte Daten.
Administratoren können komplizierte XML-Abfragen mit dem Get-WinEvent PowerShell-Cmdlet erstellen, um Ereignisse zu einer Abfrage hinzuzufügen oder auszuschließen.