Logboeken

Wat zijn Logboeken?

Logboeken is een hulpprogramma in het Microsoft Windows-besturingssysteem dat een uitgebreid logboek van systeemgebeurtenissen biedt, zodat beheerders over de informatie beschikken die nodig is voor systeemonderhoud, beveiliging en verantwoordingsplicht.

Om Logboeken beter te begrijpen, kunt u het vergelijken met het bewakingsnetwerk van een gebouw: Als Windows OS een beveiligingscamera is en de logboeken de opnames zijn, dan is Logboek het CCTV-bewakingssysteem. Een goed bewakingssysteem voor toezicht heeft zichtbaarheidsfuncties zoals inzoomen of HD. Logboeken bieden ook functies waarmee u een kritieke gebeurtenis kunt onderscheiden van een normale, te negeren gebeurtenis.

Logboeken bevatten functies zoals de mogelijkheid om gebeurtenissen te filteren en groeperen, een krachtige zoekmachine en verbeterde rapportagemogelijkheden. Logboeken is uw ingang tot de wereld van logboeken van Windows-gebeurtenissen.

Logboeken openen

• Typ Logboek in de zoekbalk van Windows en klik vervolgens op de toepassing om deze te openen.
• Of klik op de Windows-logotoets + R en voer Logboeken in.

Windows-logboeken

Op een computer vinden elke dag talloze activiteiten plaats. Het Windows-besturingssysteem registreert elke gebeurtenis met betrekking tot de systeemprestaties, toepassingen en beveiligingsaspecten van een computer in een logboek in C:\WINDOWS\system32\winevt.

De Logboeken lezen deze ruwe logboeken van gebeurtenissen en presenteren de informatie vervolgens in een leesbare indeling.

Wat is het doel van logboeken van gebeurtenissen?

De informatie die in deze logbestanden wordt opgeslagen, is zeer uitgebreid; elk detail over de hardware, software, gebruikers en hun interacties wordt geregistreerd. U kunt bijvoorbeeld algemene informatie vinden over wanneer een proces is gestart, gegevens over een applicatiecrash of details over wanneer een gebruiker zich heeft geauthenticeerd of wanneer de authenticatie niet is geslaagd. Met al deze informatie kunnen beheerders potentiële bedreigingen of problemen opsporen en verhelpen voordat ze uitgroeien tot grotere rampen. Bovendien kunnen beheerders met de gegevens over beveiligingsgerelateerde gebeurtenissen hun beveiligingsstatus verbeteren en verantwoordingsplicht vaststellen.

Het formaat van gegevens in het logboek met gebeurtenissen en hoe deze worden weergegeven in Logboeken

Windows classificeert elke gebeurtenis die op een computer plaatsvindt in de volgende categorieën:

• Systeemlogboek: In dit logboek worden gebeurtenissen met betrekking tot het computersysteem, inclusief de hardware, geregistreerd. Er worden hier bijvoorbeeld gebeurtenissen zoals het opstarten en afsluiten van het systeem geregistreerd.
• Toepassing: Alle gebeurtenissen met betrekking tot de toepassingen die op een machine worden gehost, worden hier geregistreerd. In dit logboek wordt bijvoorbeeld informatie over toepassingen zoals MS Word vastgelegd.
• Installatie: Gebeurtenissen die optreden tijdens de installatie of upgrade van het besturingssysteem. Hier vindt u bijvoorbeeld informatie over updates voor Windows OS.
• Beveiliging: De auditfunctie van Windows controleert continu op beveiligingsgebeurtenissen en registreert deze in dit logboek. Dit zijn bijvoorbeeld gebeurtenissen met betrekking tot gebruikersauthenticatie, waaronder succesvolle en mislukte inlogpogingen.
• Doorgestuurde gebeurtenissen: Dit is een speciale categorie die in 2008 is geïntroduceerd en waarin gebeurtenissen worden opgeslagen die door andere computers zijn doorgestuurd.

De volgende informatie wordt voor elke gebeurtenis geregistreerd en gedetailleerd weergegeven in de Logboeken-console:

• Gebeurtenis-ID: Een uniek identificatienummer waarmee beheerders een gebeurtenis kunnen identificeren (bijvoorbeeld Gebeurtenis-ID 6008 voor onverwacht afsluiten van het systeem). Hier zijn acht van de meest kritieke Windows-gebeurtenis-ID's.
• Datum en tijdstip van de gebeurtenis: De informatie over wanneer een gebeurtenis precies heeft plaatsgevonden.
• Bron: De details van de software, service of het proces dat de gebeurtenis heeft veroorzaakt.
• Naam van logboek: Het type logboek waarin deze gebeurtenis is geregistreerd (d.w.z. systeem, toepassing, beveiliging, installatie of doorgestuurde gebeurtenissen).
• Gebruiker: De informatie over de gebruiker die was aangemeld bij de computer op het moment dat de gebeurtenis plaatsvond.
• Computer: De informatie over de computer waarop de gebeurtenis zich heeft voorgedaan.

Verder wordt ook de ernst van de gebeurtenis gespecificeerd. Windows wijst aan elke gebeurtenis één van de volgende ernstniveaus toe om beheerders te vragen passende maatregelen te nemen:

• Informatie: Zoals de naam al aangeeft, is dit gewoon nuttige informatie.
• Waarschuwing: Dit is een aanwijzing voor een mogelijk probleem.
• Fout: Dit geeft een probleem aan, maar hoeft niet onmiddellijk te worden verholpen.
• Kritiek: Dit is alarmerend. Deze gebeurtenis vraagt dringend om aandacht en actie.

Dit is hoe de gegevens in Logboeken eruitzien:

Extra functies van Logboeken

• Logboeken bieden exclusieve zoekfilters om specifieke details in het logboek te vinden.
• Met de optie om aangepaste weergaven te maken, kunt u alleen de details zien die voor u interessant zijn.
• Met Gebeurtenisabonnement kunt u een verzameling gebeurtenissen van externe computers configureren.
• Met Toepassingen en servicelogboeken kunnen toepassingen van derden hun gebeurtenissen registreren.
• Het logboek archiveringsmechanisme stelt beheerders in staat om belangrijke logboeken te archiveren, wat een cruciale stap is in het naleven van informatietechnologie-voorschriften.

Beperkingen van Logboeken

Logboeken zijn, ondanks de functies, geen wondermiddel voor de uitdagingen waarmee een beheerder wordt geconfronteerd. De beperkingen ervan zijn al merkbaar bij het werken met slechts één machine, laat staan bij een netwerk van computers. Het wordt gehinderd door verschillende beperkingen, waaronder:

• Logboeken van gebeurtenissen worden niet gerepliceerd tussen computers in een netwerk, waardoor het samenvoegen van logboeken van meerdere computers moeilijk is.
• Om de rapporten van Logboeken te begrijpen, moet u een enorme hoeveelheid gegevens doorzoeken.
• Een gebrek aan correlatie en context. Een gebeurtenis lijkt op zichzelf vaak onbeduidend, maar wanneer ogenschijnlijk niet-gerelateerde gebeurtenissen met elkaar in verband worden gebracht, ontstaat het grote geheel. Dit is niet mogelijk met alleen Logboeken.
• Geen rapportage over beveiliging of auditrapporten voor naleving. Hierdoor is het onmogelijk om uitsluitend te vertrouwen op Logboeken voor nalevingscontroles.

Het voordeel van ADAudit Plus: De kloof overbruggen

ADAudit Plus is een UBA-gestuurde controleur voor wijzigingen die logboeken van gebeurtenissen van verschillende computers verzamelt, deze centraal opslaat en gerelateerde gebeurtenissen programmatisch met elkaar in verband brengt om de beste context te creëren voor het nemen van maatregelen. Daarnaast biedt het realtime waarschuwingen en meldingen over kritieke gebeurtenissen en wijzigingen. Dit alles met slechts een paar muisklikken!