Benutzerdefinierte Filter in der Ereignisanzeige erstellen

    Administrative Ereignisse im Event ViewerLog-Dateien sind eine wichtige Informations­quelle für die Fehler­suche und die Überwachung des Systemzustands. Die Standardansichten des Event Viewers von Windows sind jedoch kaum geeignet, um Ereignisse systematisch auszu­werten. Benutzer­defi­nierte Ansichten können bei der Log-Analyse helfen.

    Die Fülle an Daten, die in den Logfiles zu den Aktivitäten von Prozessen, Benutzern und Applikationen gespeichert sind, kann die Ereignisanzeige bloß filtern und anzeigen. Aus diesem Grund hat sich ein ganzer Markt von fortgeschrittenen Tools für die Logfile-Analyse und SIEM (Security Information and Event Management) entwickelt. Sie können auf Basis intelligenter Algorithmen Erkenntnisse aus diesen Informationen gewinnen, die sonst nicht so offensichtlich sind.

    Auswahl der Kriterien über Filtermaske

    Bleibt man bei den Bordmitteln von Windows, dann wird man die Ereignisanzeige so konfigurieren, dass sie die Sicht auf bestimmte Events vereinfacht, seien es sicherheitskritische Vorkommnisse oder Fehlermeldungen einer Software. Ein wichtiges Feature zu diesem Zweck sind benutzerdefinierte Ansichten.

    Die Maske zum Erzeugen von benutzerdefinierten Ansichten startet man aus dem Menü 'Aktion'.

    Um das Erzeugen von solchen angepassten Filtern zu vereinfachen, bietet die Ereignisanzeige eine Maske, aus der man alle wichtigen Eigenschaften und Kriterien auswählen kann. Sie lässt sich über das Menü Aktionen => Benutzerdefinierte Ansicht erstellen aufrufen.

    Eingrenzung des Zeitraums und der Logfiles

    Die Auswahl eines Zeitraums ist die erste Möglichkeit, um die Events einzugrenzen. Voreingestellt ist Jederzeit, alternativ kann man beliebige Intervalle angeben. Wenn man die vorgegebene Konfiguration für ein Logfile nicht verändert hat, dann sollte man jedoch keine allzu großen Erwartungen an den analysierbaren Zeitraum haben. Ist nämlich die maximale Größe von 20 MB erreicht, dann beginnt Windows bereits mit dem Überschreiben der ältesten Einträge.

    Als Quelle wählt man bestimmte Logfiles oder die zu bestimmten Prozessen gehörigen Meldungen aus.

    Nach der Klassifizierung der Ereignisse in Kritisch, Fehler, Warnung, etc. wählt man die Datenquellen aus, aus denen die Einträge gelesen werden sollen. Hier wird man meistens das Menü Per Protokoll nutzen, um eine oder mehrere Logfiles zu untersuchen. Wenn man dagegen den oder die Namen von bestimmten Prozessen kennt und genau diese beobachten möchte, dann markiert man diese im Pulldown-Menü Per Quelle.

    Keine Volltextsuche in den Meldungen

    Die eigentliche Filterung erfolgt dann anschließend nur nach Ereignis-IDs, die man einzeln oder durch Komma getrennt eingeben muss. Es ist eine der großen Schwächen des Event Viewers, dass er eine Suche nach Begriffen in den Meldungen nicht zulässt. Daher muss man sich erst durch die Protokolle arbeiten und die für ein bestimmtes Anliegen relevanten Ereignis-IDs ermitteln.

    Event-IDs und Schlüsselwörter sind die beiden Hauptkriterien zur inhaltlichen Filterung.

    Als schwachen Ersatz für die fehlende Volltextsuche dienen einige vordefinierte Schlüsselwörter wie Antwortzeit oder Überwachung erfolgreich. Die Auswahl Aufgabenkategorie steht nur dann zur Verfügung, wenn das betreffende Programm eine solche in den Logs definiert. In den meisten Fällen bleibt diese Option ausgegraut.

    Einschränkung auf User und Computer

    Schließlich kann man das Ergebnis noch anhand der Benutzer oder Computer eingrenzen, die bestimmte Events ausgelöst haben. Wie bei den IDs gibt man auch hier bei Bedarf mehrere Namen ein, indem man sie durch Kommata trennt.

    Wenn Computer in der Logfile als FQDN gespeichert sind, dann muss man diesen in das entsprechende Feld des Dialogs eintragen, der Hostname alleine würde keine Treffer liefern.

    Export und Import von Ansichten

    Zum Abschluss gibt man noch an, wo man die neue Ansicht innerhalb der Baumstruktur im linken Fenster hinterlegen möchte. Standardmäßig schlägt das Tool einen Ort unterhalb von Benutzerdefinierte Ansichten vor.

    Möchte man die selbst erstellten Ansichten nicht nur auf einem Rechner nutzen, dann kann man sie über den Befehl Benutzerdefinierte Ansicht exportieren (aus dem Kontextmenü oder dem Menü Aktionen) in eine XML-Datei schreiben. Diese wiederum lässt sich über den komplementären Importbefehl auf einem anderen PC einlesen.

    Die Standardansichten für einzelne Protokolle lassen sich über die gleiche Maske filtern.

    Wenn man nur ein bestimmtes Protokoll für den einmaligen Gebrauch filtern will, dann muss man dafür keine eigene Ansicht erstellen und diese permanent speichern. Hier reicht es, wenn man aus dem Kontextmenü der Logfile den Befehl Aktuelles Protokoll filtern ausführt. Dann erhält man dieselbe Maske wie beim Anlegen einer benutzerdefinierten Ansicht.

    Keine Kommentare