Ereignisverwaltung von Windows XP

DSCC – Berlin
Deutscher Senioren-Computer-Club Berlin e.V.
Interessengruppe Windows XP - Leitung Eberhard Thieme
HT362 Windows XP Hilfethema 3. Systemsteuerung und Computerverwaltung /3.6 Verwaltung
Überarbeitet im September 2009 von Eberhard Thieme
3.62 Ereignisverwaltung
Diese Systemfunktion ist der Wächter über das Betriebssystem Windows XP. Alle Programm- und Systemfehler, falsche Einstellungen, erlaubte sowie unerlaubte Zugriffe und Anmeldungen werden mit Tag
und Zeit, verursachendem Benutzer und Art des Ereignisses registriert. Für den Administrator gibt die
Ereignisverwaltung Auskunft, welche Benutzer sich am Computer an- und abmelden, Benutzerkennworte
ändern oder sich unberechtigt Zugang verschaffen wollten. Es wird auch ein Tippfehler im Kennwort festgehalten. Die Netzwerkadministratoren erkennen, wenn Computer nicht mehr so funktionieren, wie sie
sollen. Windows XP protokolliert fast alles. Dieses Protokollsystem heißt Ereignisverwaltung, ist Bestandteil der Computerverwaltung und kann in der Microsoft Management Console (MMC) als Arbeitswerkzeug
des Administrators zusammengefasst werden. Benutzer mit eingeschränkten Rechten können die Ereignisverwaltung einsehen, aber nicht bearbeiten.
Die Ereignisverwaltung gliedert sich in die drei Protokolldateien für Anwendungs-, Sicherheits- und Systemereignisse. Die Einsicht in die Protokolle erfolgt oder über die Systemsteuerungskategorie Verwaltung
entweder über die Computerverwaltung bzw. MMC. (Thema 3.61)
Mit Hilfe der Ereignisprotokolle in der Ereignisverwaltung können Informationen über Hardware, Software
und Systemkomponenten eingeholt und Sicherheitsereignisse auf einem lokalen oder Netzwerkcomputer,
bzw. einem Remotecomputer überwacht werden. Ereignisprotokolle können helfen, die Ursachen aktueller
Systemprobleme zu identifizieren und zu diagnostizieren, oder auch mögliche Systemprobleme im Voraus
zu erkennen.
Die Ereignisanzeige Anwendung (Bild 1) enthält Ereignisse, die von Programmen protokolliert wurden. So kann zum Beispiel ein Datenbankprogramm einen Programmfehler im Anwendungsprotokoll protokollieren. Welche Ereignisse in das Anwendungsprotokoll geschrieben werden, wird von den Entwicklern der jeweiligen Software festgelegt.
Bild 1
Bild 2
3.62 Ereignisverwaltung – Seite 2
Die Ereignisanzeige Sicherheit (Bild 2) protokolliert Ereignisse wie gültige und ungültige Anmeldeversuche oder Ereignisse im Zusammenhang mit der Ressourcennutzung. Zum Beispiel das Erstellen, Öffnen oder Löschen von Dateien. Wenn beispielsweise die Anmeldeüberwachung aktiviert ist, wird immer
dann ein Ereignis im Sicherheitsprotokoll festgehalten, wenn sich ein Benutzer beim Computer an- oder
abmeldet. Nur Administratoren oder Mitglieder der Gruppe "Administratoren" sind berechtigt, die Ereignisanzeige Sicherheit aufzurufen, das Sicherheitsprotokoll zu deaktivieren bzw. zu aktivieren und festzulegen, welche Ereignisse dort protokolliert werden sollen.
Die Ereignisanzeige System (analog Bild 1) enthält Ereignisse, die von Windows XP - Systemkomponenten protokolliert wurden. Wenn zum Beispiel beim Start ein bestimmter Treiber nicht geladen worden
ist, wird dieses oder ein entsprechendes Ereignis im Systemprotokoll aufgezeichnet. Welche Ereignisse
von Systemkomponenten protokolliert werden sollen, ist von Windows XP vordefiniert.
Interpretieren eines Ereignisses
Jeder Protokolleintrag ist als bestimmter Typ klassifiziert und enthält dem Typ entsprechende Informationen. Die verschiedenen Ereignistypen werden durch vorangestellte Symbole gekennzeichnet (siehe Bild
1 und 2).
Ereignistypen
Die Protokolle System und Anwendung enthalten folgende Typen:
Information beschreibt die erfolgreiche Ausführung einer Funktion, zum Beispiel einer Anwendung, eines Treibers oder eines Dienstes. Ein Informationsereignis wird zum Beispiel protokolliert, wenn ein
Netzwerktreiber erfolgreich geladen werden konnte.
Warnung muss nicht notwendigerweise von besonderer Wichtigkeit sein, es kann jedoch auf ein zukünftiges Problem hindeuten. So wird zum Beispiel eine Warnung protokolliert, wenn der Festplattenspeicher knapp zu werden beginnt.
Fehler beschreibt ein bedeutendes Problem, wie zum Beispiel das Fehlschlagen einer wichtigen
Operation. Fehlerereignisse können mit Daten- oder Funktionalitätsverlusten verbunden sein. Ein
Fehlerereignis wird zum Beispiel protokolliert, wenn beim Start ein bestimmter Dienst nicht geladen
wurde.
Im Sicherheitsprotokoll werden folgende Ereignistypen angezeigt:
Erfolgsüberwachung beschreibt den erfolgreichen Abschluss eines überwachten Sicherheitsereignisses. Ein Erfolgsüberwachungsereignis wird zum Beispiel protokolliert, wenn sich ein Benutzer beim Computer anmeldet.
Fehlversuchsüberwachung beschreibt ein überwachtes Sicherheitsereignis, das nicht erfolgreich abgeschlossen wurde. Ein Fehlversuchereignis kann zum Beispiel protokolliert werden, wenn einem nicht
berechtigten Benutzer der Zugriff auf ein Netzwerk oder auf einen Computer verwehrt wurde.
Einsehen von Ereignisdetails
Die Ereignisse werden als Liste mit Datum,
Uhrzeit, Benutzer, Computer, Ereigniskennung,
Quelle, Ereignistyp und Kategorie angezeigt. Um
sich die Details zu einem gewünschten Ereignis
anzeigen zu lassen, wird mit Doppelklick auf die
gewünschte Ereigniszeile das dazu gehörende
Protokoll geöffnet, das eine Beschreibung und
Details enthält. (Bild 3). Mit der Schaltfläche Kopieren kann der Inhalt in das Dokument eines
Textprogramms (Word) eingefügt und gespeichert werden. Um sich die Beschreibung des
vorherigen oder nächsten Ereignisses anzusehen, wird auf den nach oben bzw. den nach unten weisenden Pfeil geklickt.
Bild 3
Suchen nach Protokollereignissen
Nach bestimmten Protokollereignissen kann gesucht werden:
3.62 Ereignisverwaltung – Seite 3
Im Menü Ansicht wird auf Suchen geklickt (Bild 4) und die Optionen für das Ereignis (Bild 5) festgelegt,
das eingesehen werden soll. Mit Weitersuchen kann somit das ganze Protokoll durchsucht werden.
Bild 4
Bild 5
Bild 6
Bild 7
Bild 8
Festlegen von Protokollgröße und Überschreiboptionen
Im Menü Aktion oder im Kontextmenü der jeweiligen Ereignisanzeige wird auf Eigenschaften (Bild 6)
geklickt. Im Fenster Allgemein (Bild 7) werden Datei-Informationen (Größe, Erstellt, Geändert, Letzter
Zugriff) angezeigt. Es können Überschreiboptionen festgelegt werden. Unter Protokollgröße ist die gewünschte, maximale Protokollgröße einzutragen. Inhalte des Protokolls können hier gelöscht werden.
Filtern von Protokollereignissen
Im Menü Aktion oder im Kontextmenü der jeweiligen Ereignisanzeige wird auf Eigenschaften geklickt,
Filtern ausgewählt, die gewünschten Filterungsoptionen festgelegt und anschließend mit OK bestätigt.
(Bild 8) Im Detailfenster werden jetzt nur Ereignisse angezeigt, die den Filterungskriterien entsprechen.
Archivieren eines Protokolls
Ereignisprotokolle können in folgenden Formaten archiviert werden (Bild 6):
• Protokolldateiformat (.evt)
• Textdateiformat (.txt)
• Textdatei (Komma getrennt) (.csv)
Mit der rechten Maustaste wird auf das Protokoll geklickt, das archiviert werden soll. Danach auf Protokolldatei speichern unter geklickt, Dateiname und Speicherort für die Datei angegeben. Im Feld Dateiformat ist das gewünschte Format auszuwählen und zu speichern.