Wie funktioniert die Suche im Event Viewer?
Der Event Viewer ist zweifellos ein leistungsstarkes Tool. Allerdings sind Administratoren schnell damit überfordert, die Massen an Protokollen zu durchsuchen, da es einfach zu viele Ereignisse und Informationen gibt. So können Sie Protokolle filtern und nur die gewünschten Informationen anzeigen.
Filter
Um einen Filter auf einem Server-2008-Computer zu erstellen, führen Sie diese Schritte aus:
- Öffnen Sie den Event-Viewer.
- Klicken Sie auf das Protokoll, das Sie filtern möchten, und dann in der Aktionsleiste oder im Rechtsklick-Menü auf „Aktuelles Protokoll filtern“. Dadurch wird der Dialog „Aktuelles Protokoll filtern“ aufgerufen.
- Sie können einen Zeitrahmen festlegen, wenn Sie ungefähr wissen, wann die gesuchten Ereignisse aufgetreten sind. Außerdem können Sie anhand der Kriterien „Kritisch“, „Warnung“, „Wortreich“, „Fehler“ und „Informationen“ die Ereignis-Ebene festlegen. Wenn Sie keine dieser Optionen auswählen, werden alle Ebenen an Ereignissen zurückgegeben. Sie können nicht ändern, welches Ereignisprotokoll durchsucht wird, da Filter nur auf ein einzelnes Protokoll angewendet werden können.
- Wählen Sie bei Bedarf die Ereignisquellen aus, welche die Protokolleinträge erzeugt haben, und suchen SIe nach Stichwörtern, Benutzern oder Computern. Außerdem können Sie nach Ereignis-IDs suchen.
Spezifische Ansichten:
Eine spezifische Ansicht ist im Wesentlichen ein Filter, den Sie wiederverwenden und auf mehrere Ereignisprotokolle anwenden können. Um eine spezifische Ansicht zu erstellen, führen Sie diese Schritte aus:
- Öffnen Sie den Event Viewer über das Menü „Administrative Tools“.
- Klicken Sie mit der rechten Maustaste auf den Knoten „Spezifische Ansichten“ und dann auf „Spezifische Ansicht erstellen“.
- Anders als bei einem Filter können Sie eine spezifische Ansicht konfigurieren, um Daten aus mehreren Ereignisprotokollen zu extrahieren. Dabei stehen die gleichen Optionen wie bei den Filtern zur Verfügung.
Explorer l'audit et la création de rapports Active Directory avec ADAudit Plus.
- VERWANDTE PRODUKTE
- ADManager Plus Management und Reporting für Active Directory
- ADAudit Plus Echtzeit-Überprüfung von Änderungen an Active Directory
- EventLog Analyzer Umfassendes Protokoll- und IT-Compliance-Management
- ADSelfService Plus Passwort-Selfservice
- AD360 Identitäts- und Zugangsmanagement für Mitarbeitende
- Log360 (On-Premise) Integriertes SIEM mit hochentwickelter Bedrohungsanalyse