Erfassen und Verarbeiten von Windows-Ereignisprotokollen

Überblick

Windows-Ereignisse werden in unterschiedlichen Protokolltypen gesichert: Computer mit Windows NT oder höher erfassen Fehler, Warnungen und Informationen im Sicherheitsprotokoll, Anwendungsprotokoll bzw. Systemprotokoll. Zusätzlich zeichnen Computer mit besonderen Aufgaben im Netzwerk, beispielsweise Domänen-Controller und DNS-Server, Ereignisse in eigenen Protokollen auf.

Screenshot 40 – Eigenschaften einer Computer-Gruppe: zu verarbeitende Protokolle

Windows-Betriebssysteme zeichnen Ereignisse vorrangig in folgenden Protokollen auf:

•	Sicherheitsprotokoll: Enthält sicherheitsrelevante Ereignisse, die sich zur Überwachung erfolgreicher oder versuchter Sicherheitsverletzungen nutzen lassen. Im Sicherheitsprotokoll werden beispielsweise gültige und ungültige Anmeldeversuche aufgezeichnet.

•	Anwendungsprotokoll: Enthält Ereignisse, die von Programmen protokolliert wurden, beispielsweise Dateifehler.

•	Systemprotokoll: Enthält Ereignisse, die von Windows XP-Systemkomponenten protokolliert wurden, beispielsweise Fehler beim Laden von Gerätetreibern beim Systemstart.

•	Verzeichnisdienstprotokoll: Enthält von Active Directory (AD) ausgegebene Ereignisse, z. B. zur erfolgreichen oder fehlgeschlagenen Aktualisierung der AD-Datenbank.

•	Dateireplikationsdienst-Protokoll: Enthält vom Windows-Dateireplikationsdienst protokollierte Ereignisse. Hierzu zählen fehlgeschlagene Dateireplikationen und Ereignisse während der Aktualisierung von Domänen-Controllern mit Sysvol-Daten.

•	DNS-Server-Protokoll: Enthält Ereignisse zur Auflösung von DNS-Namen in IP-Adressen.

•	Anwendungs- und Dienstprotokolle: Enthalten Ereignisse zu Windows Vista und den Diensten/Funktionalitäten des Betriebssystems.

 

Screenshot 41 – Eigenschaften einer Computer-Gruppe: Einstellungen zu Windows-Ereignisprotokollen

Folgende Einstellungen sind zur Erfassung und Verarbeitung von Windows-Ereignisprotokollen festzulegen:

•	Angabe der zu erfassenden Ereignisprotokolle

•	Festlegung der Verarbeitung von Protokollen (z. B. Filterung) oder der Archivierung im Originalzustand

•	Auswahl der Regelsätze/Regeln zur Ereignisverarbeitung, mit denen erfasste Protokolle kontrolliert werden sollen

Auswählen zu erfassender und zu bearbeitender Ereignisprotokolle

So legen Sie fest, welche Windows-Ereignisprotokolle von GFI EventsManager erfasst werden sollen:

1. Öffnen Sie den Eigenschaften-Dialog zum betreffenden Computer/zur Computer-Gruppe.

2. Klicken Sie auf den Reiter Windows Event Log.

Screenshot 42 – Auswählen zu erfassender Ereignisprotokolle

3. Klicken Sie auf die Schaltfläche Add und markieren Sie die zu erfassenden Protokolle.

Hinweis: GFI EventsManager unterstützt die Erfassung individueller Ereignisprotokolle. Weitere Informationen hierzu erhalten Sie in diesem Kapitel unter „Konfigurieren individueller Ereignisprotokolle”.

4. Optional können Sie die Option Clear collected events after completion auswählen, um bereits erfasste Ereignisse von der Ereignisquelle zu löschen.

Wichtig: Beachten Sie, dass das Löschen von Ereignissen aus Protokollen der Ereignisquelle ohne vorherige Archivierung oder anderweitige Sicherung eine Verletzung gesetzlicher Richtlinien darstellen kann. Stellen Sie daher sicher, dass wichtige Ereignisse gemäß den für Ihr Unternehmen geltenden Gesetzen zur Datenaufbewahrung und zum Datenschutz archiviert oder gesichert werden.

Archivieren von Windows-Ereignissen

Weitere Informationen zur Archivierung von Ereignissen erhalten Sie unter „Archivieren von Ereignissen“ in diesem Kapitel.

Auswählen von Regeln zur Verarbeitung von Windows-Ereignissen

Weitere Informationen zur Auswahl von Regeln zur Ereignisverarbeitung erhalten Sie unter „Auswählen von Regeln zur Ereignisverarbeitung“ in diesem Kapitel.