Jump to content

Windows Event Logs verstehen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Forum,

ich bin kein Windows Guru, muss mich aber im Rahmen meines Jobs regelmäßig mit dem Thema Windows Logging auseinander setzten.

 

Deshalb habe ich einige grundlegende Fragen, die ich über Google irgendwie nicht beantwortet kriege. Wäre schön, wenn ihr mir weiter helfen könntet.

 

Das Szenario:

- Windows Domäne mit einem DC (ich denke, es kommt nicht auf 2008/2003 an)

- Clients verschiedener Ausprägungen (XP, 7...)

- Server (z.B. IIS, MSSQL, DNS, RAS, FTP, Mail, Exchange, Sharepoint......) (auch Domänen Members)

 

Die Aufgabe:

- Abgreifen aller (Event)Logs (System, Security, Application...) am Domänen Controller

 

Meine Frage:

- Wie kann ich sicherstellen/prüfen, welche Event Logs von den Clients und Servern zum Domänen Controller übertragen werden?

- Welche der üblichen MS verdächtigen Server-SW-Komponenten loggen in ein zentrales Eventlog, bzw. sind derart konfigurierbar?

- Wie kann ich eine MS Server Software Komponente für Logging ins Windows Event Log konfigurieren?

 

Mir ist klar, dass ich per GPO festlegen kann, welche Audit Logs erzeugt werden. Ist dies aber gleich bedeutend mit "sie werden auch zum DC geschickt"?

 

Ich hoffe, irgendwer kann mal in einem ersten Schritt etwas Klarheit hier rein bringen.

 

Vielen Dank,

Schizo

Link zu diesem Kommentar

Moin,

 

Windows sendet von sich aus überhaupt keine Protokolle irgendwohin. Die liegen immer lokal.

 

Ab Windows 2008 bzw. Vista kann man Abonnements einrichten: Ein zentrales System holt sich die Logs anderer Systeme. Das ist aber nicht ganz trivial, und man müsste prüfen, ob und in welcher Konstruktion das die Anforderungen erfüllt.

 

Womit wir bei den Anforderungen wären - die scheinen mir nicht besonders klar definiert. Was genau soll denn erreicht werden?

 

Gruß, Nils

Link zu diesem Kommentar

Hi nilsk,

Die Anforderung ist, zu verstehen, welche Events eines Domänen mitglieds auf dem DC sichtbar sind und, wie ich (bzw ob ich) die aufgezählten Applikationen in das lokale event log integrieren kann...

 

Das mssql Server per Default ins Event log schreibt und IIS per Default ein log file, ist klar...

 

Hier noch eine konkrete Frage: kann ich das anschließen eines USB sticks oder einer USB Festplatte an einem domänen client (z.b per Audit Policy in den GPOs) im Event log des DCs sichtbar machen?

 

Danke euch,

Schizo

Link zu diesem Kommentar

Hi Dukel,

primär möchte ich mal alle Logs von Windows Servern und Clients zentral einsammeln um sie von einer zentralen Stelle auswerten zu können.

Bitte keine "Warum/Achtung Betriebsrat/etc..." Fragen, zumindest nicht, wenn Sie an der Lösung/Frage vorbei führen!

 

Ich habe Mechanismen, mit denen ich Logdaten von AD Controllern (aus dem Eventlog) abziehe, und mich, weil das zahlenmäßig gerade so noch machbar ist, auf die einzelnen Server verbinde (automatisch) und auch dort die Event Logs abhole.

 

Nun habe ich aber auch Vorfälle, die ich scheinbar nur lokal am Client sehen kann (z.B. USB Device wurde angeschlossen, DVD wurde gebrannt, IE Settings wurden verändert...) und auch die würde ich gern auswerten.

 

Also:

Optimaler Fall: Alle Logs (AD, Windows Server, Clients), die mich aus sicherheitstechnischen Gründen interessieren, möchte ich gern von möglichst wenigen Systemen, mit möglichst einheitlichen Techniken, zusammen suchen.

 

Und nun zurück zur Frage:

Wie kriege ich MS Anwendungen dazu, ins Event Log zu schreiben (z.B. IIS), bzw. welche tun das eh schon automatisch?

Die Anwendungen von Interesse sind:

- SQLServer, IIS, Exchange, DNS, DHCP, RAS, FTP, File Services, etc...

 

Dann gibt es weitere Events von Interesse (siehe oben, USB, DVD...), die ich an den Clients abgreifen müsste, das aber nicht möchte, bei vielen tausend Clients.

 

Und dann gibt es noch die Frage nach der Auswirkung eines Audit Settings auf GPO Ebene:

- Wenn ich z.B. Object Access/Change per GPO setze und verbreite, und ein Client löscht eine Datei, wo landet dann das Event dazu? Im AD-Event Log oder bleibt es auch bei einer GPO basierten Audit Richtline lokal am Client liegen?

 

So, ich hoffe, mit diesen Erläuterungen kommen wir in der Sache etwas weiter.

 

Danke euch,

Schizo

Link zu diesem Kommentar

Moin,

 

eine Antwort wie "keine Rückfragen bitte" ist in keinem Board gern gesehen. Gewöhn dir das ab, sonst wirst du hier nicht viel Unterstützung finden.

 

Abgesehen davon, habe ich dir deine Frage oben beantwortet.

 

Zu deiner Zusatzfrage: Wenn eine Anwendung von sich aus nicht ins Eventlog schreibt und der Programmierer das auch nicht vorgesehen hat, dann schreibt sie da halt nicht rein.

 

Und: Wenn es dir um die zentrale Überwachung von "vielen tausend Clients" geht, dann solltest du dich mal auf dem Drittanbietermarkt umsehen. Es gibt eine ganze Reihe von Werkzeugen für das Log- und Event-Management.

 

Gruß, Nils

Link zu diesem Kommentar

Hallo NilsK,

danke für das Feedback!

 

"Keine Rückfragen bitte" hast du falsch verstanden. Ich empfinde es einfach nicht als zielführend, wenn man in einem Forum ein Problem beschreibt, und die Antworten die kommen,"nur" darauf abzielen, eine alternative Lösung vorzuschlagen.

 

Manchmal weiß man wirklich warum man eine Frage so stellt, wie man sie stellt.

Und wenn einem Alternativen nicht weiter helfen, muss man irgendwie äußern, dass man nur Antworten auf die Frage haben möchte und nicht "weshalb" möchtest du das denn tun... Vielleicht habe ich mich da in der Wortwahl vergriffen, aber der Inhalt bleibt so stehen.

 

Übrigens, was den Dritt Anbieter Markt angeht: Das ist meine Kern Kompetenz.

 

Aber glaube mir: auch, wenn du eine Lösung hast, die genau das tut (Logdaten einsammeln), möchtest du lieber Logdaten von 10 Quellen holen, statt von 10000.

Und deshalb holen wir

- Logon/Logoff vom DC

- AV Logs vom AV Management

- FW Logs vom FW Management, usw....

 

Und übrigens: "Keine Rückfragen bitte" habe ich nicht geschrieben. Meine Aussage, die eine Bitte war, war völlig anders forumliert.

 

Danke trotzdem für eure Antworten...

 

Schizo

Link zu diesem Kommentar

Moin,

 

ich bleibe auch bei meiner Haltung. Du wirst es in einem Forum hinnehmen müssen, dass du nach dem Hintergrund gefragt wirst und dass man dir Alternativen vorschlägt. Wir haben ebenso gute Gründe dafür, wie du sie für deine Ansicht reklamierst. Allzu oft schlagen wir uns hier mit Problemen herum, die keine sind, weil sie von falschen Voraussetzungen ausgehen. Das ist kontraproduktiv und verplempert nur wertvolle Zeit.

 

Damit dürfte alles Nötige gesagt sein. Antworten zu deiner usprünglichen Frage hast du ja bereits bekommen.

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...