Verbesserte Ereignisüberwachung in Windows Server 2008

Analyse und Verwaltung von Ereignisprotokollen von Microsoft vereinfacht

21.11.2008 | Autor / Redakteur: Manuela Reiss / Stephan Augsten

Mithilfe der erweiterten Ereignisüberwachung unter Windows Server 2008 können Administratoren effizienter arbeiten.
Mithilfe der erweiterten Ereignisüberwachung unter Windows Server 2008 können Administratoren effizienter arbeiten.

XML-basierte Protokollstruktur

Möglich ist dies durch die Einführung einer XML-basierten Infrastruktur, wie sie auch Windows Vista verwendet. Die Informationen über die einzelnen Ereignisse werden hierbei im XML-Format gespeichert und können mittels XML-Abfragen verwaltet werden. Dies ermöglicht das Suchen und Filtern über alle Felder hinweg sowie den Export und die Analyse von Ereignissen im XML-Format.

Zur Nutzung der neuen Funktionen sind keine XML-Kenntnisse erforderlich. In der in Bild 5 gezeigten Dialogbox können die wichtigsten Filtermöglichkeiten einfach genutzt werden. Allerdings stellen die in den Dialogboxen verfügbaren Filter-Optionen nur einen Teil der nutzbaren XML-Funktionen zur Verfügung.

Weitere Möglichkeiten ergeben sich aus der Nutzung von XPATH. Hierfür muss die Registerkarte XML geöffnet werden. Der angezeigte XPATH-Ausdruck gibt die Optionen wieder, die auf der Registerkarte Filter ausgewählt wurden. Nach der Aktivierung der Option Manuell bearbeiten kann der XPATH-Text editiert werden.

Einen komplexen Filter zu erstellen kann sehr zeitaufwändig sein. Windows Server 2008 bietet daher die Möglichkeit, Filter als benutzerdefinierte Ansicht zu erstellen und zu speichern. Außerdem ermöglichen nur benutzerdefinierte Ansichten die Erstellung eines Filters über mehrere Protokolle.

Alternative: Das Befehlszeilentool WEVTUtil

Wie gezeigt stehen eine Reihe neuer Funktionen zur Verwaltung von Ereignisprotokollen in der Ereignisanzeige unter Windows Server 2008 zur Verfügung. Alternativ zur Ereignisanzeigenkonsole kann zur Verwaltung der Ereignisprotokolle das Befehlszeilentool „WEWTUtil“ verwendet werden. Das Tool EventQuery aus Windows Server 2003 wurde durch dieses neue Tool ersetzt.

WEVTUtil kann das gesamte Ereignissystem über die Eingabeaufforderung verwalten und unterstützt u.a. das Abrufen von Informationen zu Ereignisprotokollen, das Ausführen von Abfragen sowie das Exportieren, Archivieren und Löschen von Protokollen. Um beispielsweise ein Ereignisprotokoll an der Befehlszeile zu löschen, ist der folgende Befehl zu verwenden:

wevtutil cl <LogName> [/bu: <backup_file_name>]

Fazit

Windows Server 2008 bietet mit der neuen Ereignisanzeigenkonsole nicht nur eine verbesserte Verwaltung der Ereignisseinträge. Viele Neuerungen und Verbesserungen, wie beispielsweise die XML-basierte Protokollstruktur oder Änderungen im Anzeigeformat der Ereigniseinträge, offenbaren sich erst auf den zweiten Blick. Eine genauere Betrachtung der „neuen Ereignisanzeige“ lohnt.

Inhalt des Artikels:

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2017977 / Allgemein)