Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

236 Kapitel 8: Überwachung
Analysieren von Ereignissen mit den eingebauten Tools
Die Tools, mit denen Sie Ereignisse in Windows analysieren, wurden stark verbessert. Die
Befehlszeilentools sind nun genauso leistungsfähig wie die grafischen Tools, und die grafischen
Tools wurden deutlich ausgefeilter. Früher konnten Sie anhand von Headerfeldern
filtern und einfache Suchfunktionen nutzen. Jetzt können Sie in beliebigen Feldern aller
Ereignisse suchen. Und Ereignisse können als Text oder XML exportiert und analysiert werden,
sodass Automatisierungsmöglichkeiten genutzt werden können, die früher viel arbeitsintensiver
waren.
Ereignisanzeige
Wie bereits erwähnt, hat sich die Ereignisanzeige, das Hauptwerkzeug in Windows zum
Analysieren von Ereignissen, in Windows Server 2008 gegenüber den früheren Versionen
gewaltig verbessert.
Wie in älteren Versionen zeigt die Ereignisanzeige eine Liste der Ereignisse an, wenn ein
Protokoll ausgewählt wird. Sie können nach verschiedenen Feldern sortieren, indem Sie auf
den gewünschten Spaltenkopf klicken. In der Ereignisanzeige von Windows Server 2008
können Sie Ereignisse auf diese Weise auch gruppieren.
Sehen wir uns diese Gruppierungsmöglichkeiten an einem kleinen Beispiel an. Klicken Sie
in der Ereignisliste mit der rechten Maustaste auf den Kopf der Spalte Aufgabenkategorie
und wählen Sie den Befehl Ereignisse nach dieser Spalte gruppieren. Nach einem Moment
fasst die Ereignisanzeige alle Ereignisse anhand ihrer Unterkategorie zu Gruppen zusammen.
Klicken Sie nun wieder mit der rechten Maustaste auf den Spaltenkopf Aufgabenkategorie
und wählen Sie den Befehl Alle Gruppen reduzieren; Sie erhalten nun eine Ansicht
wie in Abbildung 8.10.
Sie können ein Protokoll filtern, indem Sie im linken Fensterabschnitt der Ereignisanzeige
mit der rechten Maustaste auf den Protokollnamen klicken und den Befehl Aktuelles Protokoll
filtern wählen. Daraufhin öffnet sich das Dialogfeld Aktuelles Protokoll filtern. Wählen
Sie erst einmal nur die Windows-Überwachungsereignisse aus. Der Quellenname für diese
Ereignisse lautet Microsoft Windows security auditing. Zeigen Sie die Liste der Ereignisquellen
an, indem Sie die Dropdownliste Quellen aufklappen. Wählen Sie die Ereignisquelle
aus, indem Sie das zugehörige Kontrollkästchen aktivieren, und klicken Sie dann irgendwo
außerhalb der Liste. Abbildung 8.11 zeigt ein Beispiel, wie Ereignisse anhand der Ereignisquelle
gefiltert werden.
Jetzt können Sie den Filter so eng fassen, dass nur Ereignisse aus der Unterkategorie Anmelden
angezeigt werden. Wie Sie sich erinnern werden, entspricht die »Unterkategorie« in den
Überwachungsrichtlinien der »Aufgabenkategorie« in der Ereignisanzeige. Klicken Sie auf
die Schaltfläche neben dem Feld Aufgabenkategorie, um die Dropdownliste aufzuklappen,
und aktivieren Sie das Kontrollkästchen neben der Aufgabenkategorie Anmelden. Klicken
Sie irgendwo außerhalb der Liste, um sie wieder einzuklappen. Abbildung 8.12 zeigt ein
Beispiel, wie die Ereignisse anhand der Aufgabenkategorie gefiltert werden.
Wenn Sie alles richtig gemacht haben, bekommen Sie nun nach einem Klick auf OK eine
gefilterte Ereignisliste wie in Abbildung 8.13 angezeigt.