Ereignisanzeige von Remote-Windows-PCs überwachen

Prinzipiell kann man dazu auch Nicht-Domänenmitglieder verwenden, diese benötigen dann allerdings ein Zertifikat, das sie für den Zugriff auf den Remote-Windows-PC berechtigt – diese Funktion ist also nur mit professioneller IT-Infrastruktur nutzbar.

Remote-Ereignisanzeige einschalten

Bei der Remote-Überwachung der Ereignisse anderer PCs handelt es sich um eine Funktion des Windows Remote Management (WinRM). Man schaltet sie mit der gleichen Methode ein wie sonst auch: Falls noch nicht geschehen, gibt man innerhalb einer Eingabeaufforderung mit Administratorrechten den Befehl

winrm quickconfig

auf dem Rechner ein, dessen Ereignisse gesammelt werden sollen. Dies stellt einen unverschlüsselten Kanal per HTTP über Port 5985 bereit. Ist verschlüsselte Kommunikation gewünscht, sind noch einige Konfigurations­schritte mehr erforderlich.

Auf dem empfangenden Rechner startet man die Ereignisanzeige und kann nun von allen für WinRM konfigurierten PCs Abonnements ihrer Ereignisse beziehen. Dazu benötigt Windows im Hintergrund den Dienst Windows-Ereignissammlung.

Er wird gestartet und auf Starttyp „Automatisch“ gesetzt, sobald man das erste Abonnement anlegt. Manuell kann man dies in einer administrativen Eingabeaufforderung per

wecutil qc

im Voraus erledigen.

Abonnements der Ereignisanzeigen anlegen und verwalten

Abonnements legt man per Klick mit der rechten Maustaste auf das gleichnamige Element in der linken Spalte an – im Prinzip eine einfache, per GUI durchzuführende Angelegenheit.

Die manuelle Anlage auf der Kommandozeile per wecutil.exe cs erfordert die Übergabe der entsprechenden Parameter in einer XML-Datei, ist für Ad-hoc-Abonnements also nicht tauglich.

Man kann (und sollte) die Remote-Ereignisse nach Art, Protokoll, Quelle und zusätzlich nach IDs filtern. Sie sind nach erfolgreicher Konfiguration unter „Weitergeleitete Ereignisse“ zu finden.

Die GUI der Ereignisanzeige warnt, wenn man zu viele Protokolle oder so viele Quellen auswählt, dass der Ereignissammeldienst zu Performance-Einbußen führen könnte.

Sie erkennt allerdings nicht alle Fehlkonfigurationen: So gibt es zwar eine Schaltfläche „Testen“ beim Hinzufügen von Quellen, jedoch prüft diese nur, ob die Gegenseite per WinRM erreichbar ist, auch der grüne „OK“-Haken an einem Abonnement und die Statusmeldung „Aktiv“ können täuschen.

Ob wirklich Ereignisse abgerufen werden können, erfährt man erst, nachdem man mit der rechten Maustaste auf ein frisch erstelltes Abonnement klickt und den Menüpunkt Laufzeitstatus aufruft.

Gibt es hier Fehler, weil Zugriffsberechtigungen fehlen, muss man eventuell in der Konfiguration des Abonnements ein Administrator-Benutzerkonto definieren und dessen Passwort angeben, um mit diesen Anmeldedaten auf den Remote-Rechner zuzugreifen. Alternativ richtet man das Abonnement auf einem Rechner ein, dessen Computerkonto von der Quelle für die Delegierung vertraut wird.

Sollen die Ereignisse verschlüsselt übertragen werden, ist dies, zusätzlich zu den erforderlichen Maßnahmen auf dem Quellrechner, in den erweiterten Einstellungen des Abonnements extra einzustellen, die Voreinstellung ist immer HTTP.

Das Kommandozeilentool zur Verwaltung der Ereignisabonnements heißt wecutil.exe. Mit

wecutil gs ‹Abo-ID›

lässt sich etwa die Konfiguration eines eingerichteten Abonnements abrufen; ersetzt man gs durch gr, erfährt man dessen Laufzeitstatus.