Windows 7 / Erste Schritte
Windows Server und Exchange Server können eine große Menge an Informationen bezüglich ihres Betriebs in den Windows-Ereignisprotokollen generieren. Exchange generiert die meisten seiner Informationen für das Anwendungsereignisprotokoll und optional für das Überwachungsereignisprotokoll.
Elemente, die im Audit-Ereignisprotokoll platziert werden, sind in der Regel Success / Failure-Elemente, die in irgendeiner Weise mit der Sicherheit zusammenhängen. Dazu gehören das Öffnen eines Postfachs, das Öffnen eines Ordners und die Verwendung von SendAs.
Im Anwendungsereignisprotokoll platzierte Elemente können Informationen praktisch jeder Art enthalten, sind jedoch im Allgemeinen in eine von drei Ebenen unterteilt: Information, Warnung oder Fehler.
In Windows Server 2008 wurde das Ereignisprotokoll-Subsystem von Windows von Grund auf neu erstellt.Vor dieser Version von Windows sollte die Gesamtgröße aller Ereignisprotokolle zusammen (aufgrund einer implementationconstraint) niemals 300 MB überschreiten. Beginnend mit Windows Server 2008, dass limitationis weg. Unabhängig von der Aufhebung dieser Einschränkung werden Ereignisprotokolle mit recht kleinen Standardgrößen ausgeliefert. Die Standardgrößen in Windows Server 2008 R2 sind in Tabelle 5 dargestellt.
Tabelle-5: Standardgrößen für Windows-Ereignisprotokolle in Windows Server 2008 R2
Event Log SizeApplication 20 MBSecurity 128 MBSystem 20 MB
Wir empfehlen, die Größe Ihrer Ereignisprotokolle vor der Verwendung erheblich zu erhöhen. Wenn es an der Zeit ist, ein Problem zu diagnostizieren, werden Sie feststellen, dass es schwierig (wenn nicht unmöglich) ist, wenn Sie nicht auf alle Informationen zugreifen können, die Ihnen zur Verfügung stehen könnten.
Anzeigen der Größe eines Windows-Ereignisprotokolls (und Anpassen) ist eine einfache Angelegenheit. Öffnen Sie Dieereignisanzeige in Verwaltung und erweitern Sie den Windows-Protokollknoten. Klicken Sie mit der rechten Maustaste auf ein bestimmtes Ereignisprotokoll und wählen Sie Eigenschaften aus dem Kontextmenü. Sie sehen den Dialog Protokolleigenschaften für das Systemereignisprotokoll in der Standardkonfiguration.
Es wird empfohlen, die Größen der drei primären Ereignisprotokolle auf die in Tabelle-6 als Minimum angegebenen Werte festzulegen. Wenn Ihre Server ausgelastet sind, können Sie diese Werte erhöhen.
Sie können auch (falls noch nicht geschehen) die Größe der System- und Securityevent-Protokolle auf allen Ihren Domänencontrollern erhöhen (sofern diese unter Windows Server 2008 oder höher ausgeführt werden).
Der Dialog Protokolleigenschaften enthält eine Einstellung zur Steuerung des Verhaltens der Ereignisprotokollierung, wenn die maximale Protokollgröße erreicht ist. Der Standardwert ist Ereignisse überschreiben AsNeeded. In einer sicherheitsbewussten Umgebung können Sie diese Option auf Do Not OverwriteEvents (Protokoll manuell löschen) setzen. Wenn Sie dies einstellen und das Ereignisprotokoll gefüllt wird, bevor es entweder gelöscht wird oder die maximale Anzahl von Tagen erreicht ist, wird die Ereignisprotokollierung beendet. Diese Funktion soll verhindern, dass Eindringlinge oder Übeltäter ihre Spuren verwischen, indem sie zusätzliche Ereignisprotokollierungen erstellen und so Beweise für ihre bösen Taten entfernen. Im Falle des Sicherheitsprotokolls wird der Server jedoch angehalten, wenn das Ereignisprotokoll voll ist. Diese Option soll verhindern, dass jemand das Ereignisprotokoll ausfüllt und dann Aktivitäten fortsetzt, die normalerweise Fehler erzeugen, aber nicht protokolliert werden, weil die Datei voll ist.
Wenn die Protokollierung fortgesetzt werden soll, unabhängig von der Größe, die von Ereignisprotokollen und deren Archiven belegt wird, wählen Sie Archivieren Sie das Protokoll, wenn es vollständig ist (Ereignisse nicht überschreiben).
Ereignisprotokollgrößen und Einstellungen zum Überschreiben von Ereignisprotokollen können manuell auf Server-für-Server-Basis konfiguriert oder mithilfe von Gruppenrichtlinien aktualisiert werden. Wenn Sie mehr als habenein paar Server, mit Gruppenrichtlinien wird weniger Arbeit sein. Beachten Sie die Größenbeschränkung, dieimpaktiert Windows Server 2003 und frühere Versionen von Windows Server. Wenn Sie versuchen, largerevent-Protokolldateigrößen unter Windows Server 2003 zuzuweisen, führt dies dazu, dass der Server nicht ordnungsgemäß funktioniert und möglicherweise abstürzt.
Tabelle-6: Empfohlene Größen für Ereignisprotokolle
Event Log SizeApplication 192 MB (196,608 KB)Security 256 MB (262,144 KB)System 192 MB (196,608 KB)
In Windows Server 2003 wurden die Ereignisprotokolle in Speicherzuordnungsdateien gespeichert, wobei Speicher verwendet wurde, der nicht ausgelagert werden konnte (d. h. nicht ausgelagerter Poolspeicher). Dies führte zu weniger Speicher für Anwendungen.
Das Umschreiben des Ereignismechanismus in Windows Server 2008 verwendet keine Speicherzuordnungsdateien mehr und fügt dem Ereignisprotokollsubsystem eine große Anzahl von Funktionen (z. B. Ereignisse und Benachrichtigungen) hinzu.
System Center Operations Manager 2007, das zuvor in diesem Lernprogramm erläutert wurde, verfügt über ein Submodul namens Microsoft Audit Collection System (MACS). MACS dient zum Lesen Undarchivieren des Inhalts des Sicherheitsereignisprotokolls (und zum Generieren von Berichten aus diesen Inhalten).Wenn OpsMgr verwendet wird, können die Sicherheitsereignisprotokolle im Allgemeinen recht klein gehalten werden.