Ereignisanzeige von Remote-Windows-PCs überwachen

    Remote-Ereignisanzeige (Thumbnail)Zu den seit Vista/Windows Server 2008 neuen Funktionen zählt, dass man mittels der Ereignisanzeige nicht nur den eigenen, sondern auch andere Computer überwachen kann. Dabei muss es sich um Computer innerhalb der Firma oder Organisation handeln – am einfachsten und mit dem wenigsten Aufwand erreicht man dies, indem man Mitglieder der Domäne zum Sammeln der Ereignisse konfiguriert. Prinzipiell kann man dazu auch Nicht-Domänenmitglieder verwenden, diese benötigen dann allerdings ein Zertifikat, das sie für den Zugriff auf den Remote-Windows-PC berechtigt – diese Funktion ist also nur mit professioneller IT-Infrastruktur nutzbar.

    Remote-Ereignisanzeige einschalten

    Bei der Remote-Überwachung der Ereignisse anderer PCs handelt es sich um eine Funktion des Windows Remote Management (WinRM). Man schaltet sie mit der gleichen Methode ein wie sonst auch: Falls noch nicht geschehen, gibt man innerhalb einer Eingabeaufforderung mit Administratorrechten den Befehl

    winrm quickconfig

    auf dem Rechner ein, dessen Ereignisse gesammelt werden sollen. Dies stellt einen unverschlüsselten Kanal per HTTP über Port 5985 bereit. Ist verschlüsselte Kommunikation gewünscht, sind noch einige Konfigurationsschritte mehr erforderlich.

    Beim Anlegen des ersten Abonnements sorgt Windows für die richtige Dienstekonfiguration auf dem ZielrechnerAuf dem empfangenden Rechner startet man die Ereignisanzeige und kann nun von allen für WinRM konfigurierten PCs Abonnements ihrer Ereignisse beziehen. Dazu benötigt Windows im Hintergrund den Dienst „Windows-Ereignissammlung“. Er wird gestartet und auf Starttyp „Automatisch“ gesetzt, sobald man das erste Abonnement anlegt. Manuell kann man dies in einer administrativen Eingabeaufforderung per

    wecutil qc

    im Voraus erledigen.

    Abonnements der Ereignisanzeigen anlegen und verwalten

    Abonnements legt man per Klick mit der rechten Maustaste auf das gleichnamige Element in der linken Spalte an – im Prinzip eine einfache, per GUI durchzuführende Angelegenheit. Die manuelle Anlage auf der Kommandozeile per wecutil.exe cs erfordert die Übergabe der entsprechenden Parameter in einer XML-Datei, ist für Ad-hoc-Abonnements also nicht tauglich. Man kann (und sollte) die Remote-Ereignisse nach Art, Protokoll, Quelle und zusätzlich nach IDs filtern. Sie sind nach erfolgreicher Konfiguration unter „Weitergeleitete Ereignisse“ zu finden.

    Die GUI für Abonnements deckt alle Konfigurationsschritte ab, weist aber von alleine nicht alle typischen Probleme hinDie GUI der Ereignisanzeige warnt, wenn man zu viele Protokolle oder so viele Quellen auswählt, dass der Ereignissammeldienst zu Performance-Einbußen führen könnte. Sie erkennt allerdings nicht alle Fehlkonfigurationen: So gibt es zwar eine Schaltfläche „Testen“ beim Hinzufügen von Quellen, jedoch prüft diese nur, ob die Gegenseite per WinRM erreichbar ist, auch der grüne „OK“-Haken an einem Abonnement und die Statusmeldung „Aktiv“ können täuschen. Ob wirklich Ereignisse abgerufen werden können, erfährt man erst, nachdem man mit der rechten Maustaste auf ein frisch erstelltes Abonnement klickt und den Menüpunkt „Laufzeitstatus“ aufruft. Gibt es hier Fehler, weil Zugriffsberechtigungen fehlen, muss man eventuell in der Konfiguration des Abonnements ein Administrator-Benutzerkonto definieren und dessen Passwort angeben, um mit diesen Anmeldedaten auf den Remote-Rechner zuzugreifen. Alternativ richtet man das Abonnement auf einem Rechner ein, dessen Computerkonto von der Quelle für die Delegierung vertraut wird.

    Um sicher zu sein, dass ein Abonnement wirklich funktioniert, muss man einen Blick auf dessen Laufzeitstatus werfenSollen die Ereignisse verschlüsselt übertragen werden, ist dies, zusätzlich zu den erforderlichen Maßnahmen auf dem Quellrechner, in den erweiterten Einstellungen des Abonnements extra einzustellen, die Voreinstellung ist immer HTTP.

    Das Kommandozeilentool zur Verwaltung der Ereignisabonnements heißt wecutil.exe. Mit

    wecutil gs ‹Abo-ID›

    lässt sich etwa die Konfiguration eines eingerichteten Abonnements abrufen; ersetzt man gs durch gr, erfährt man dessen Laufzeitstatus.

    Keine Kommentare