Windows-Logs analysieren mit dem kostenlosen MyEventViewer

    MyEventViewerDie Auswertung von Log-Dateien spielt eine zentrale Rolle beim Troubleshooting. Windows bietet zu diesem Zweck sowohl grafische Werkzeuge als auch Tools für die Kommando­zeile, hinzu kommen etliche Cmdlets für PowerShell. Defizite bei der Bedienbarkeit und im Funktionsumfang lassen aber viel Spielraum für Produkte von Drittanbietern wie das kostenlose MyEventViewer von Nirsoft.

    Das bekannteste Interface zu den Windows-Logs ist zweifellos die Ereignisanzeige. Sie bietet für die verschiedenen Protokolle jeweils eigene Sichten auf die Log-Einträge, so dass man wissen muss, ob man ein Ereignis am ehesten unter Anwendungen, Sicherheit, System oder einem anderen Log-File findet. Die Software bietet zwar die Möglichkeit zur Definition eigener Ansichten und Filter (inklusive Support für XPath), aber die Features sind relativ umständlich zu bedienen.

    MyEventViewer als Alternative zur Ereignisanzeige

    Wie der Name schon vermuten lässt, versteht sich MyEventViewer als Alternative zur Ereignisanzeige. Sein wesentlicher Vorzug besteht darin, viele der Auswertungen, Ansichten und Filter, die man in der Microsoft-eigenen Software selbst erstellen muss, entweder schon vorzugeben oder zumindest ihre Einrichtung deutlich zu erleichtern.

    MyEventViewer zeigt alle Log-Einträge unabhängig von ihrer Quelle in einer Liste an.

    Wer dagegen fortgeschrittene Funktionen wie die Konsolidierung von Log-Files aus mehreren Rechnern (inklusive Nicht-Windows-PCs) benötigt oder die Events nutzen möchte, um sicherheitsrelevante Aktivitäten auszuspüren, der muss auf mächtigere Tools für Log-Analyse bzw. für Security Information and Event Management (SIEM) ausweichen.

    Remote-PCs nur über Kommandozeile

    Nach dem Start von MyEventViewer liest die Software die Log-Einträge des lokalen PCs aus. Möchte man diese Daten von einem entfernten Rechner abrufen, dann sieht die grafische Bedienerführung eine solche Möglichkeit nicht vor. Vielmehr muss man die Software in diesem Fall wie folgt von der Kommandozeile starten:

    MyEventViewer.exe /remote \\<Remote-PC>

    Nach dem Einlesen der Log-Einträge lädt er diese in eine einzige Liste, unabhängig davon, welchem Protokoll sie entstammen. Die große Zahl an Tabellenspalten lässt sich über einen entsprechenden Dialog unter View => Choose Columns reduzieren, auch eine andere Anordnung ist möglich. Durch Klicken auf die Spaltenüberschriften kann man die Daten sortieren, so dass sich die Ansicht beispielsweise wie in der Ereignisanzeige nach Log Types gruppieren lässt. Die angezeigten Einträge kann man selektiv oder vollständig in das HTML-Format exportieren.

    Log-Files nach Server-Rollen einschränken

    Die eigentliche Stärke des Programms besteht vor allem darin, die zumeist große Menge an Log-Einträgen durch verschiedenste Filter aufzubereiten.

    Die Log-Einträge lassen sich auf bestimmte Rollen und Features von Windows eingrenzen.

    Zum einen kann man die Logs auf Basis einer dynamisch generierten Liste einschränken, um sich beispielsweise auf einem Server nur die Events zu bestimmten Rollen wie Directory Services und DNS anzeigen zu lassen. Außerdem kann die Anzeige auf Event-Typen wie Fehler, Warnungen oder Informationen eingrenzen.

    Der Dialog Advanced Filter erlaubt eine weitere Eingrenzung der Events.

    Zum anderen bietet das Tool eine Reihe vordefinierter Filter, mit denen man die angezeigten Ereignisse nach Datum und Uhrzeit, nach Benutzer oder nach Event-ID einschränken kann. Darüber hinaus besteht die Möglichkeit, Komma-separierte Listen mit Log-Quellen anzugeben, die in der Ausgabe berücksichtigt oder ausgeschlossen werden sollen.

    MyEventViewer ist eine portable Software, die keine Installation erfordert. Sie liegt in separaten Ausführungen für Windows x86 und x64 vor. Das Tool kann kostenlos und ohne Registrierung von der Website des Herstellers Nirsoft heruntergeladen werden.

    Keine Kommentare