Ereignisverwaltung von Windows XP
Transcription
Ereignisverwaltung von Windows XP
DSCC – Berlin Deutscher Senioren-Computer-Club Berlin e.V. Interessengruppe Windows XP - Leitung Eberhard Thieme HT362 Windows XP Hilfethema 3. Systemsteuerung und Computerverwaltung /3.6 Verwaltung Überarbeitet im September 2009 von Eberhard Thieme 3.62 Ereignisverwaltung Diese Systemfunktion ist der Wächter über das Betriebssystem Windows XP. Alle Programm- und Systemfehler, falsche Einstellungen, erlaubte sowie unerlaubte Zugriffe und Anmeldungen werden mit Tag und Zeit, verursachendem Benutzer und Art des Ereignisses registriert. Für den Administrator gibt die Ereignisverwaltung Auskunft, welche Benutzer sich am Computer an- und abmelden, Benutzerkennworte ändern oder sich unberechtigt Zugang verschaffen wollten. Es wird auch ein Tippfehler im Kennwort festgehalten. Die Netzwerkadministratoren erkennen, wenn Computer nicht mehr so funktionieren, wie sie sollen. Windows XP protokolliert fast alles. Dieses Protokollsystem heißt Ereignisverwaltung, ist Bestandteil der Computerverwaltung und kann in der Microsoft Management Console (MMC) als Arbeitswerkzeug des Administrators zusammengefasst werden. Benutzer mit eingeschränkten Rechten können die Ereignisverwaltung einsehen, aber nicht bearbeiten. Die Ereignisverwaltung gliedert sich in die drei Protokolldateien für Anwendungs-, Sicherheits- und Systemereignisse. Die Einsicht in die Protokolle erfolgt oder über die Systemsteuerungskategorie Verwaltung entweder über die Computerverwaltung bzw. MMC. (Thema 3.61) Mit Hilfe der Ereignisprotokolle in der Ereignisverwaltung können Informationen über Hardware, Software und Systemkomponenten eingeholt und Sicherheitsereignisse auf einem lokalen oder Netzwerkcomputer, bzw. einem Remotecomputer überwacht werden. Ereignisprotokolle können helfen, die Ursachen aktueller Systemprobleme zu identifizieren und zu diagnostizieren, oder auch mögliche Systemprobleme im Voraus zu erkennen. Die Ereignisanzeige Anwendung (Bild 1) enthält Ereignisse, die von Programmen protokolliert wurden. So kann zum Beispiel ein Datenbankprogramm einen Programmfehler im Anwendungsprotokoll protokollieren. Welche Ereignisse in das Anwendungsprotokoll geschrieben werden, wird von den Entwicklern der jeweiligen Software festgelegt. Bild 1 Bild 2 3.62 Ereignisverwaltung – Seite 2 Die Ereignisanzeige Sicherheit (Bild 2) protokolliert Ereignisse wie gültige und ungültige Anmeldeversuche oder Ereignisse im Zusammenhang mit der Ressourcennutzung. Zum Beispiel das Erstellen, Öffnen oder Löschen von Dateien. Wenn beispielsweise die Anmeldeüberwachung aktiviert ist, wird immer dann ein Ereignis im Sicherheitsprotokoll festgehalten, wenn sich ein Benutzer beim Computer an- oder abmeldet. Nur Administratoren oder Mitglieder der Gruppe "Administratoren" sind berechtigt, die Ereignisanzeige Sicherheit aufzurufen, das Sicherheitsprotokoll zu deaktivieren bzw. zu aktivieren und festzulegen, welche Ereignisse dort protokolliert werden sollen. Die Ereignisanzeige System (analog Bild 1) enthält Ereignisse, die von Windows XP - Systemkomponenten protokolliert wurden. Wenn zum Beispiel beim Start ein bestimmter Treiber nicht geladen worden ist, wird dieses oder ein entsprechendes Ereignis im Systemprotokoll aufgezeichnet. Welche Ereignisse von Systemkomponenten protokolliert werden sollen, ist von Windows XP vordefiniert. Interpretieren eines Ereignisses Jeder Protokolleintrag ist als bestimmter Typ klassifiziert und enthält dem Typ entsprechende Informationen. Die verschiedenen Ereignistypen werden durch vorangestellte Symbole gekennzeichnet (siehe Bild 1 und 2). Ereignistypen Die Protokolle System und Anwendung enthalten folgende Typen: Information beschreibt die erfolgreiche Ausführung einer Funktion, zum Beispiel einer Anwendung, eines Treibers oder eines Dienstes. Ein Informationsereignis wird zum Beispiel protokolliert, wenn ein Netzwerktreiber erfolgreich geladen werden konnte. Warnung muss nicht notwendigerweise von besonderer Wichtigkeit sein, es kann jedoch auf ein zukünftiges Problem hindeuten. So wird zum Beispiel eine Warnung protokolliert, wenn der Festplattenspeicher knapp zu werden beginnt. Fehler beschreibt ein bedeutendes Problem, wie zum Beispiel das Fehlschlagen einer wichtigen Operation. Fehlerereignisse können mit Daten- oder Funktionalitätsverlusten verbunden sein. Ein Fehlerereignis wird zum Beispiel protokolliert, wenn beim Start ein bestimmter Dienst nicht geladen wurde. Im Sicherheitsprotokoll werden folgende Ereignistypen angezeigt: Erfolgsüberwachung beschreibt den erfolgreichen Abschluss eines überwachten Sicherheitsereignisses. Ein Erfolgsüberwachungsereignis wird zum Beispiel protokolliert, wenn sich ein Benutzer beim Computer anmeldet. Fehlversuchsüberwachung beschreibt ein überwachtes Sicherheitsereignis, das nicht erfolgreich abgeschlossen wurde. Ein Fehlversuchereignis kann zum Beispiel protokolliert werden, wenn einem nicht berechtigten Benutzer der Zugriff auf ein Netzwerk oder auf einen Computer verwehrt wurde. Einsehen von Ereignisdetails Die Ereignisse werden als Liste mit Datum, Uhrzeit, Benutzer, Computer, Ereigniskennung, Quelle, Ereignistyp und Kategorie angezeigt. Um sich die Details zu einem gewünschten Ereignis anzeigen zu lassen, wird mit Doppelklick auf die gewünschte Ereigniszeile das dazu gehörende Protokoll geöffnet, das eine Beschreibung und Details enthält. (Bild 3). Mit der Schaltfläche Kopieren kann der Inhalt in das Dokument eines Textprogramms (Word) eingefügt und gespeichert werden. Um sich die Beschreibung des vorherigen oder nächsten Ereignisses anzusehen, wird auf den nach oben bzw. den nach unten weisenden Pfeil geklickt. Bild 3 Suchen nach Protokollereignissen Nach bestimmten Protokollereignissen kann gesucht werden: 3.62 Ereignisverwaltung – Seite 3 Im Menü Ansicht wird auf Suchen geklickt (Bild 4) und die Optionen für das Ereignis (Bild 5) festgelegt, das eingesehen werden soll. Mit Weitersuchen kann somit das ganze Protokoll durchsucht werden. Bild 4 Bild 5 Bild 6 Bild 7 Bild 8 Festlegen von Protokollgröße und Überschreiboptionen Im Menü Aktion oder im Kontextmenü der jeweiligen Ereignisanzeige wird auf Eigenschaften (Bild 6) geklickt. Im Fenster Allgemein (Bild 7) werden Datei-Informationen (Größe, Erstellt, Geändert, Letzter Zugriff) angezeigt. Es können Überschreiboptionen festgelegt werden. Unter Protokollgröße ist die gewünschte, maximale Protokollgröße einzutragen. Inhalte des Protokolls können hier gelöscht werden. Filtern von Protokollereignissen Im Menü Aktion oder im Kontextmenü der jeweiligen Ereignisanzeige wird auf Eigenschaften geklickt, Filtern ausgewählt, die gewünschten Filterungsoptionen festgelegt und anschließend mit OK bestätigt. (Bild 8) Im Detailfenster werden jetzt nur Ereignisse angezeigt, die den Filterungskriterien entsprechen. Archivieren eines Protokolls Ereignisprotokolle können in folgenden Formaten archiviert werden (Bild 6): • Protokolldateiformat (.evt) • Textdateiformat (.txt) • Textdatei (Komma getrennt) (.csv) Mit der rechten Maustaste wird auf das Protokoll geklickt, das archiviert werden soll. Danach auf Protokolldatei speichern unter geklickt, Dateiname und Speicherort für die Datei angegeben. Im Feld Dateiformat ist das gewünschte Format auszuwählen und zu speichern.