Active-Directory-Tipp: So archivieren Sie die Ereignisprotokolle (Event Logs) Ihres Active Directory
Mit der Ereignisanzeige (Event Viewer) können Sie alle Aktivitäten einsehen, die mit Ihrem Windows-Gerät ausgeführt werden. Die angezeigten Ereignisprotokolle (Event Logs) liefern Ihnen beispielsweise Informationen zu Programmen, die nicht wie erwartet gestartet werden, zu automatisch heruntergeladenen Updates, unerwartetem Herunterfahren und mehr.
In diesem Tipp zeigen wir Ihnen, wie Sie die Ereignisprotokolle in Active Directory archivieren können.
Tipp:
Wie Sie die Überwachungsrichtlinie für die Event Logs anpassen können, haben wir hier ausführlich erklärt. Dort stellen wir zudem zwei Möglichkeiten vor, wie Sie sich die Ereignisprotokolle anzeigen lassen können – einmal in der Ereignisanzeige und einmal mit ADAudit Plus.
Vorbemerkung:
Welche Ereigniskategorien gibt es in der Ereignisanzeige und was bedeuten sie?
Die Ereignisse (Events) werden in der Ereignisanzeige wie folgt klassifiziert:
- Fehler: Hier liegt ein erhebliches Problem vor, wie Datenverlust oder Verlust der Funktionalität. Ein Fehler wird beispielsweise protokolliert, falls ein Dienst beim Systemstart nicht geladen werden kann.
- Warnung: Ein Ereignis ist nicht unbedingt von Bedeutung, kann aber auf ein mögliches zukünftiges Problem hinweisen. Eine Warnung wird beispielsweise protokolliert, wenn der Speicherplatz auf dem Datenträger fast ausgeschöpft ist.
- Information: Dabei handelt es sich um Ereignisse, die ein erfolgreiches Funktionieren von Anwendungen, Treibern oder Diensten beschreiben. Ein Ereignis der Kategorie „Information“ wird zum Beispiel dann protokolliert, wenn ein Netzwerktreiber erfolgreich geladen wurde.
- Erfolgsüberwachung: Hier hat ein erfolgreicher Sicherheitszugriffsversuch stattgefunden, für den die Protokollierung aktiviert wurde. Erfolgsüberwachungsereignis wird beispielsweise protokolliert, wenn sich ein Benutzer erfolgreich am System angemeldet hat.
- Fehlerüberwachung: Hier hat ein überwachter, fehlgeschlagener Sicherheitszugriffsversuch stattgefunden. Als Fehlerüberwachungsereignis wird beispielsweise der fehlgeschlagene Versuch eines Benutzers aufgezeichnet, der auf ein Netzwerklaufwerk zuzugreifen wollte.
Der Ereignisprotokolldienst wird übrigens automatisch beim Start von Windows mitgestartet. Anwendungs- und Systemprotokolle können von allen Benutzern abgerufen werden. Sicherheitsprotokolle sind nur für Administratoren zugänglich.
Übrigens:
Es gibt mehrere Möglichkeiten, wie Sie die Ereignisanzeige öffnen können. Am schnellsten geht es über den Ausführen-Dialog („Windows + R-Taste“). Dort geben Sie „eventvwr.msc“ ein.
Alternativ können Sie die Ereignisanzeige auch über Start > Systemsicherheit > Verwaltungstools > Ereignisanzeige aufrufen.
Wie können die Ereignisanzeigeprotokolle exportiert werden?
Es gibt zwei Möglichkeiten, wie Sie die Ereignisprotokolle (Event Logs) exportieren können:
1. Ereignisprotokoll als CSV exportieren
- Öffnen Sie die Ereignisanzeige (Ausführen > eventvwr.msc).
- Suchen Sie das Protokoll, das Sie exportieren möchten.
- Wählen Sie die zu exportierenden Protokolle aus und klicken Sie mit der rechten Maustaste darauf. Anschließend wählen Sie „Alle Ereignisse speichern unter …“.
- Geben Sie einen Dateinamen ein und speichern Sie die Datei als CSV-Datei.
Unser Tipp:
Der Dateiname sollte den Protokolltyp und den Server enthalten, von dem exportiert wurde, damit Sie auch später noch wissen, welche Datei welche Daten enthält.
2. Alle Windows-Protokolle in einer ZIP-Datei archivieren
- Gehen Sie zu C:\Windows\System32\winevt\Logs.
- Archivieren Sie sämtliche Inhalte des Logs-Ordners (ZIP\7z\RAR).
Active-Directory-Auditing leicht gemacht!
Mit der AD-Auditing-Lösung ADAudit Plus können Sie übrigens alle Ereignisse Ihres Netzwerks in Form von detaillierten Berichten abrufen und in den Formaten CSV, PDF, XLS und HTML exportieren.
Weitere Active-Directory-Tipps: