Zum Inhalt wechseln


Foto

Richtlinienauswertung bestätigen


  • Bitte melde dich an um zu Antworten
4 Antworten in diesem Thema

#1 Viprex

Viprex

    Newbie

  • 38 Beiträge

 

Geschrieben 24. April 2017 - 07:50

Hallo zusammen,
 
ich fange gerade an mich mit der richtlinienbasierten Verwaltung auseinander zu setzen. Als Einstieg habe ich u. A. die Best Practice Richtlinien von Microsoft angeschaut, genauer: "Fehler aufgrund eines Systemfehlers im Windows-Ereignisprotokoll"
 
Diese Richtlinie schaut im Ereignisprotokoll nach, ob es einen Fehler mit Code 6008 gibt:
IsNull(ExecuteWql('Numeric', 'root\CIMV2', 'select EventCode from Win32_NTLogEvent where EventCode=6008 and Logfile="System"'), 0)
Jetzt scheint es aber so, dass die Richtlinie immer wieder auslöst, weil sie immer wieder denselben Fehler findet (also wirklich denselben!). Stimmt ja auch, der Fehler steht ja auch im Ereignislog.
 
Meine Frage: Wie gehe ich denn nun damit um? Es ist in meinen Augen sinnlos das die Richtlinie immer wieder auslöst weil sie den Fehler findet. Der Fehler kann ja auch sehr sehr alt sein. Wie quittiere ich denn die Richtlinie, damit sie diesen gefundenen Fehler im Ereignislog nicht mehr beachtet und wohlmöglich erneut auslöst.
 
Danke für eure Meinungen und Hilfe!

Bearbeitet von Viprex, 24. April 2017 - 07:51.


#2 Viprex

Viprex

    Newbie

  • 38 Beiträge

 

Geschrieben 02. Mai 2017 - 05:44

Hallo nochmal,

 

nutzt niemand die richtlinienbasierte Verwaltung? Ich finde die ganz charmant um Compliance Bedingungen festzulegen und auf deren Einhaltung zu prüfen, wie z.B. ist das sa auch deaktiviert. Meine Frage oben ist eher genereller Natur und bezieht sich konkret auf Hilfestellung zu der og. Richtlinie. Vielmehr soll diese als Beispiel dienen.

 

Hat niemand eine Idee wir man mit solchen Richtlinien umzugehen hat, die denselben Fehler immer und immer wieder finden? Ist das evtl. also die Schwachstelle bei den Richtlinien und daher wirds nicht genutzt?



#3 wilgin

wilgin

    Member

  • 226 Beiträge

 

Geschrieben 02. Mai 2017 - 13:12

Hallo Viprex, gehört das wirklich in das SQL Server Forum? 6008 ist ein System-Neustart, oder? Viele grüße!
Wilfried

#4 Viprex

Viprex

    Newbie

  • 38 Beiträge

 

Geschrieben 03. Mai 2017 - 07:29

Hallo wilgin,

 

danke für deine Antwort. Es tut mir leid wenn ich undeutlich formuliert habe. In meinem 2 Post fehlt das Wort "nicht" in

 

und bezieht sich konkret auf Hilfestellung zu der og. Richtlinie

 

Ich möchte eigentlich nicht über den Fehler 6008 konkret reden. Es geht mir um die Techniken rund um richtlinienbasierte Verwaltung. Die oben genannte Richtlinie ist nur ein Beispiel für Richtlinien basierend auf der Auswertung von Ereignissen.

 

Wir können auch jeden anderen Fehler aus den Ereignisprotokollen als Beispiel nehmen, das Problem bei den Richtlinien bleibt gleich: Einmal im Windows Ereignisprotokoll gelistete Einträge werden anscheinend immer wieder gefunden, auch wenn diese mittlerweile obsolet sind. Ich würde gerne wissen wir man damit korrekt umgeht, ob es eine Quittierungsmöglichkeit für solche "Richtlinientreffer" gibt oder ob Richtlinien dieser Art unnütz sind weil man eben nicht einschränken kann?

 

Immerhin handelt es sich hier um ein Beispiel aus den MS best practice Richtlinien. Ich hätte erwartet, dass diese auch "funktionieren" und nicht nur blendendes Schmuckwerk sind.

 

Nochmal vielen Dank für eure Hilfe und Meinungen.



#5 BBBB

BBBB

    Newbie

  • 4 Beiträge

 

Geschrieben 09. Juli 2017 - 05:48

Ein Forum eignet sich nur bedingt zur Vermittlung von Grundlagen.