Ereignisanzeige
Die Ereignisanzeige ist ein so genanntes "Snap-In" der Microsoft Management Console (MMC), welches es dem User ermöglicht, Ereignisprotokolle zu durchsuchen und zu verwalten.
Inhaltsverzeichnis
Definition
In Windows wird ein Ereignis definiert als "bedeutsames Vorkommnis im System oder einem Programm", welches eine Benachrichtigung des Users oder das Hinzufügen eines Eintrags zu einem Protokoll erfordert.
Sinn und Zweck
Die Ereignisanzeige ist ein Tool zur Überwachung der Systemgesundheit und zur unmittelbaren Behandlung von Problemen.
Der Ereignisprotokolldienst schreibt Anwendungs-, Sicherheits- und Systemereignisse in die Ereignisanzeige. Anhand dieser Einträge in der Ereignisanzeige kann man Informationen über die Hardware, Software und Systemkomponenten einholen sowie Sicherheitsereignisse auf einem (lokalen) PC oder einem Remotecomputer überwachen.
Ereignisprotokolle können dabei helfen die Ursachen aktueller Systemprobleme zu identifizieren oder aber mögliche Systemprobleme vorherzusehen.
Mit Hilfe der Ereignisanzeige kann man die in den Ereignisprotokollen aufgezeichneten Ereignisse überwachen. In der Regel speichert ein Computer das Anwendungsprotokoll, das Sicherheitsprotokoll und das Systemprotokoll.
Zugriffs- / Änderungsberechtigung
Wenn man auf dem lokalen Computer Mitglied der Gruppe Administratoren ist, können die Zugriffsberechtigungen für Ereignisprotokolle mithilfe der Gruppenrichtlinien festgelegt werden.
Unterscheidungen der Ereignisprotokolltypen
Anwendungsprotokoll
Hier werden Ereignisse festgehalten, die von Programmen / Anwendungen eingetragen wurden. So kann zum Beispiel ein Datenbankprogramm einen Dateifehler im Anwendungsprotokoll protokollieren.
Die Entwickler der Programme / Anwendungen legen dabei fest, welche Ereignisse in das Anwendungsprotokoll geschrieben werden.
Sicherheitsprotokoll
Hier werden Ereignisse wie gültige und ungültige Anmeldeversuche oder Ereignisse im Zusammenhang mit der Ressourcennutzung festgehalten. Dies beinhaltet z.B. das Erstellen, Öffnen oder Löschen von Dateien.
Bei aktivierter Anmeldeüberwachung wird immer dann ein Ereignis festgehalten, wenn ein Benutzer versucht, sich bei dem Computer anzumelden.
Um Einstellungen am Sicherheitsprotokoll zu ändern, abzuschalten bzw. wieder einzuschalten oder um festlegen, welche Ereignisse dort protokolliert werden, muss man entweder als Administrator oder als Mitglied der Gruppe "Administratoren" angemeldet sein.
Systemprotokoll
Hier werden Ereignisse festgehalten, die von Windows-Systemkomponenten eingetragen wurden.
Wird z.B. beim Starten des PCs ein bestimmter Treiber nicht geladen, wird ein entsprechendes Ereignis im Systemprotokoll aufgezeichnet.
Dabei ist im Betriebssystem festgelegt, welche Ereignisse von Systemkomponenten protokolliert werden.
Daneben finden sich ggf. noch:
Dateireplikationsdienst-Protokoll
Dieses Protokoll enthält Ereignisse, welche durch den Windows-Dateireplikationsdienst aufgezeichnet wurden. Hierin werden z.B. Dateireplikationsfehler und -ereignisse aufgezeichnet, welche während der Aktualisierung der Domänencontroller mit Informationen zu Änderungen an den Systemvolumes auftreten.
DNS-Serverprotokoll
Auf einem unter Windows als DNS-Server (Domain Name System) konfigurierten PC werden Ereignisse in einem zusätzlichen Protokoll aufgezeichnet.
Dieses Protokoll enthält alle Ereignisse, die vom Windows-DNS-Dienst mitgeschrieben werden.
Start des Ereignisprotokolldienstes
Der Ereignisprotokolldienst wird beim Start von Windows automatisch gestartet, braucht also z.B. nicht in den Autostartbereich aufgenommen zu werden.
Aufruf der Ereignisanzeige auf mehreren Wegen
1.) Start der Ereignisanzeige in der Windows-Oberfläche ( von Vista, XP ist ähnlich aufgebaut ):
- Klick auf die Schaltfläche Start
- Klick auf Systemsteuerung.
- Klick auf System und Wartung.
- Klick auf Verwaltung.
- Doppelklick auf Ereignisanzeige
2.) In der klassischen Ansicht der Systemsteuerung ist es ggf. der nachstehende Weg:
- Start - Systemsteuerung - Verwaltung - (Computerverwaltung) - Ereignisanzeige
3.) Start der Ereignisanzeige über die Befehlszeile (DOS-prompt):
- Klick zum Öffnen einer Eingabeaufforderung auf Start -> Alle Programme -> Zubehör -> Eingabeaufforderung.
- Eingabe von --> eventvwr
4.) Start der Ereignisanzeige über Ausführen
- Eingabe von --> eventvwr.msc
Anzeigen der Ereignisdetails
Zuerst erweitert man in der Konsolenstruktur die Option "Ereignisanzeige". Dann wählt man das Protokoll mit dem Ereignis, zu dem man sich die Details ansehen möchte.
Nun führt man im Detailfenster einen Doppelklick auf das Ereignis aus, über welches man sich informieren möchte. Danach wird das Dialogfeld Ereigniseigenschaften mit den dazugehörigen Überschrifteninformationen sowie einer Beschreibung des Ereignisses angezeigt.
Um sich die Beschreibung des vorherigen oder nächsten Ereignisses anzusehen, klickt man auf den nach oben bzw. den nach unten zeigenden Pfeil.
Die Ereignisse, an denen man interessiert ist, können auch in der Art und Weise wie diese in der Ereignisanzeige dargestellt werden sollen, angepasst werden. Hierbei kann man Ereignisse und ihre Eigenschaften, wie nachstehend kurz aufgelistet, auf verschiedene Weisen sortieren und gruppieren:
- Filtern der angezeigten Ereignisse
- Gruppieren von Ereignissen nach einer gegebenen Eigenschaft
- Sortieren von Ereignissen nach einer gegebenen Eigenschaft
- Ein- und Ausblenden von Ereigniseigenschaften
- Ein- und Ausblenden von analytischen und Debugprotokollen
- Ändern der Reihenfolge von Ereigniseigenschaften