Windows-Ereignisprotokoll

Der Betriebssystemagent verwendet die Datei .conf, um Ereignisse im Windows-Ereignisprotokoll zu überwachen.

Der Betriebssystemagent verwendet weiterhin die Option WINEVENTLOGS der Konfigurationsdatei (.conf), um Ereignisse aus dem Windows-Ereignisprotokoll zu überwachen. Der Agent überwacht eine durch Kommas getrennte Liste mit Ereignisprotokollen, die im folgenden Beispiel dargestellt ist: 

WINEVENTLOGS=System,Security,Application

Der Betriebssystemagent verwendet auch weiterhin die Einstellung WINEVENTLOGS=All. Die Einstellung All bezieht sich auf die folgenden Standardereignisprotokolle Security, Application, System, Directory, Domain Name System (DNS) und File Replication Service (FRS), die zum Lieferumfang von Windows-Versionen vor 2008 gehören. Allerdings werden nicht alle Ereignisprotokolle auf dem System überprüft.

Dieser Tag der Konfigurationsdatei UseNewEventLogAPI ermöglicht dem Ereignisprotokoll (Windows-Ereignisprotokoll ab Version 2008) den Zugriff auf alle neuen Protokolle, die von Microsoft hinzugefügt wurden, und auf alle Windows-Ereignisprotokolle, die von anderen Anwendungen oder vom Benutzer erstellt wurden. Die neuen Protokolle werden mithilfe des Schlüsselworts WINEVENTLOGS aufgelistet.

Im folgenden Beispiel ist der Tag UseNewEventLogAPI auf y gesetzt. 

UseNewEventLogAPI=y
WINEVENTLOGS=Microsoft-Windows-Hyper-V-Worker-Admin

In diesem Beispiel wird Microsoft-Windows-Hyper-V/Admin auf einem Windows-System überwacht, dem die Rolle 'Hyper-V' zugewiesen wurde.

Im Windows-Ereignisprotokoll verfügt jedes Ereignis über die folgenden Felder, die in der hier aufgeführten Reihenfolge definiert sind:

  • Datum im folgenden Format: Monat, Tag, Uhrzeit und Jahr.
  • Ereigniskategorie als eine Ganzzahl.
  • Ereignisebene.
  • Windows-Sicherheits-ID. Alle Leerzeichen in der Windows-Sicherheits-ID werden durch ein Unterstreichungszeichen ersetzt, wenn in der Konfigurationsdatei (.conf) die Einstellung SpaceReplacement=TRUE definiert ist.
    Anmerkung: SpaceReplacement=TRUE ist der Standardwert, wenn Sie für UseNewEventLogAPI in der Konfigurationsdatei (.conf) die Einstellung y angeben (sofern Sie das Ereignisprotokoll verwenden).
  • Windows-Quelle. Alle Leerzeichen in der Windows-Quelle werden durch ein Unterstreichungszeichen ersetzt, wenn in der Konfigurationsdatei (.conf) die Einstellung SpaceReplacement=TRUE definiert ist.
  • Schlüsselwörter für Windows-Ereignisprotokolle. Alle Leerzeichen in den Windows-Ereignisprotokollschlüsselwörtern werden durch ein Unterstreichungszeichen ersetzt, wenn in der Konfigurationsdatei (.conf) die Einstellung SpaceReplacement=TRUE definiert ist.
    Anmerkung: Das hier beschriebene Schlüsselwortfeld wurde in der Ereignisprotokollversion von Windows 2008 neu eingeführt. Im vorherigen Ereignisprotokoll ist es nicht vorhanden, sodass sein Vorhandensein verhindert, dass Sie die Formatanweisungen im alten Ereignisprotokollformat direkt verwenden können. Sie müssen geändert werden, um dieses zusätzliche Feld zu berücksichtigen.
  • Windows-Ereigniskennung
  • Nachrichtentext

Wenn ein Benutzer mit Verwaltungsaufgaben sich z. B. bei einem Windows 2008-System anmeldet, dann wird ein Ereignis im Sicherheitsprotokoll generiert, in dem die Berechtigungen angegeben sind, die der neuen Benutzersitzung zugewiesen sind. 

Mar 22 13:58:35 2011 1 Information N/A Microsoft-Windows-
Security-Auditing Audit_Success 4672 Special privileges assigned to new logon. 
S-1-5-21-586564200-1406810015-1408784414-500    Account Name: 
Administrator   Account Domain:     MOLDOVA     Logon ID: 
0xc39cb8e    Privileges:        SeSecurityPrivilege  
SeBackupPrivilege          SeRestorePrivilege  
SeTakeOwnershipPrivilege            SeDebugPrivilege 
SeSystemEnvironmentPrivilege            SeLoadDriverPrivilege      
SeImpersonatePrivilege
Um alle Ereignisse zu erfassen, die von der Ereignisquelle Microsoft-Windows-Security-Auditing erstellt wurden, müssen Sie die folgende Formatanweisung schreiben: 
REGEX BaseAuditEvent
^([A-Z][a-z]{2} [0-9]{1,2} [0-9]{1,2}:[0-9]{2}:[0-9]{2} [0-9]
{4}) [0-9] (\S+) (\S+) Microsoft-Windows-Security-Auditing (\S+)
([0-9]+) (.*)
timestamp $1
severity $2
login $3
eventsource "Microsoft-Windows-Security-Auditing"
eventkeywords $4
eventid $5
msg $6
END
Für das vorherige Beispielereignis gibt das folgende Beispiel die Werte an, die Segmenten zugewiesen werden: 
timestamp=Mar 22 13:58:35 2011
severity=Information
login=N/A
eventsource=Microsoft-Windows-Security-Auditing
eventid=4672
msg="Special privileges assigned to new logon.
S-1-5-21-586564200-1406810015-1408784414-500    Account Name: 
Administrator   Account Domain:     MOLDOVA     Logon ID: 
0xc39cb8e    Privileges:        SeSecurityPrivilege  
SeBackupPrivilege          SeRestorePrivilege  
SeTakeOwnershipPrivilege            SeDebugPrivilege 
SeSystemEnvironmentPrivilege            SeLoadDriverPrivilege      
SeImpersonatePrivilege

Da es schwierig ist, das genaue Format dieser Ereignisse vorherzusagen, ist es sinnvoll, beim Schreiben regulärer Ausdrücke die eigentlichen Ereignisse in einer Datei zu erfassen. Anschließend können Sie die Datei überprüfen, die vom Agenten zu erfassenden Ereignisse auswählen und reguläre Ausdrücke schreiben, die mit diesen Ereignissen übereinstimmen. Zum Erfassen aller Ereignisse aus dem Windows-Ereignisprotokoll können Sie die folgenden Schritte verwenden:

  1. Erstellen Sie eine Formatdatei, die nur ein Muster enthält, das mit keinem anderen Element übereinstimmt. Beispiel: 
    REGEX NoMatch
This doesn't match anything
END
  2. Fügen Sie die folgende Einstellung zur Konfigurationsdatei (.conf) hinzu: 
    UnmatchLog=C:/temp/evlog.unmatch
  3. Führen Sie den Agenten aus und erfassen Sie einige Beispielereignisse.