Ereignisse protokollieren

Active Directory effizient überwachen und Probleme erkennen

Ereignis-Abonnements erstellen

Windows Server 2008 R2 kann die Ereignisanzeigen verschiedener Server im Netzwerk zusammentragen und anzeigen. Es gibt einen Server, der die Daten sammelt (Sammlungscomputer), und Server, die an den Sammlungsserver angebunden sind (Quellcomputer).

Abonnement anlegen: Sie sollten beim Konfigurieren eines neuen Abonnements die Verbindung testen.
Abonnement anlegen: Sie sollten beim Konfigurieren eines neuen Abonnements die Verbindung testen.

Im ersten Schritt müssen Sie die Remote-Verwaltung auf den einzelnen Servern aktivieren. Dazu führen Sie auf jedem Quellcomputer und dem Sammlungscomputer in einer Befehlszeile mit Administratorrechten den Befehl

winrm quickconfig

aus. Im nächsten Schritt führen Sie noch den Befehl

wecutil qc

aus. Das Tool konfiguriert das Weiterleiten von Ereignissen über das Netzwerk zu einem Sammlungscomputer. Nehmen Sie anschließend das Computerkonto des Sammlungscomputers in die lokalen Administratorgruppen der einzelnen Server auf.

Starten Sie auf dem Sammlungscomputer die Ereignisanzeige und klicken Sie auf Abonnements. Ist der Systemdienst Windows-Ereignissammlungsdienst nicht gestartet, erhalten Sie eine entsprechende Meldung. Lassen Sie in diesem Fall den Dienst starten. Anschließend klicken Sie mit der rechten Maustaste auf Abonnements und dann auf Abonnement erstellen. Klicken Sie im Menü Aktionen auf Abonnement erstellen. Bei Zielprotokoll wählen Sie aus, wo auf dem Sammlungsserver die Ereignisse der Quellcomputer gesammelt werden sollen. Standardmäßig ist hier das Protokoll Weitergeleitete Ereignisse auswählt.

Wählen Sie Sammlungsinitiiert und dann Computer auswählen. Anschließend wählen Sie die Quellcomputer aus, die das Abonnement erfassen soll. Sie sollten für jeden Computer, den Sie hinzufügen, die Schaltfläche Testen klicken, um sicherzustellen, dass der Sammlungscomputer eine Verbindung aufbauen kann.

Über die Schaltfläche Ereignisse auswählen erstellen Sie neue Filter, über die Sie festlegen, welche Ereignisse auf den Quellcomputern der Sammlungscomputer anzeigen soll. Nach der Erstellung muss das Abonnement als Aktiv gekennzeichnet sein. Auf diesem Weg können Sie auch mehrere Abonnements erstellen, die verschiedene Computer mit verschiedenen Abfragefiltern erfassen, zum Beispiel alle Domänencontroller.

Sie können über die Schaltfläche Erweitert in den Eigenschaften des Abonnements einige Einstellungen ändern. So lässt sich festlegen, dass die Abfrage der Ereignisse nicht durch das Computerkonto des Servers erfolgt, sondern mit einem speziellen Benutzerkonto, dessen Daten Sie in den erweiterten Einstellungen des Abonnements hinterlegen. Achten Sie aber darauf, dieses Konto in die lokale Administratorengruppe der Quellcomputer aufzunehmen.

Neben den Abonnements,können Sie auch mit der Standard-Ereignisanzeige problemlos Ereignisanzeigen von Computern im Netzwerk abrufen. Entweder verwenden Sie dazu die Ereignisanzeige selbst oder das Befehlszeilen-Tool wevtutil.

Starten Sie dazu die Ereignisanzeige und klicken Sie mit der rechten Maustaste auf Ereignisanzeige (Lokal). Anschließend können Sie durch Auswahl von Verbindung mit einem anderen Computer herstellen die Ereignisanzeige beliebiger Server öffnen. Sie können die Ereignisanzeige eines Servers auch direkt durch Eingabe des Befehls eventvwr<Computername> öffnen.