Lesen Sie diesen Artikel im englischen Original.
--------------------------------------------------------------------------------------------
Dieser Artikel richtet sich an alle Remote Management Monitoring & Asset Management Kunden.
Allgemein
Das Überprüfen des Ereignisprotokolls ist ein unverzichtbarer Check bei Remote Management Monitoring & Asset Management für Windows. Damit gewinnen wir Informationen über das Was? Wann? und Wie? von Ereignissen bei Windows.
Was ist die Ereignisanzeige und wie wird damit gearbeitet?
Mehr über dieses Thema erfahren Sie in den Artikeln auf Digital Citizen und How-to Geek (beide auf Englisch):
Wie funktionieren Checks der Ereignisprotokolle?
Der Remote Management Monitoring & Asset Management Dienst nutzt die Windows API, um die Protokolle der Ereignisanzeige zu überprüfen. Einmal pro Minute vergleicht das System die Protokolle der Ereignisanzeige mit den Anforderungen für das Ereignisprotokoll aus den Richtlinien für das Remote Management Monitoring & Asset Management.
Gibt es ein zu berichtendes Ereignis in den Protokollen der Ereignisanzeige, wird dies an das Remote Management Monitoring & Asset Management übermittelt und an die TeamViewer (Classic) Management Console weitergeleitet. Zudem erfolgt eine Benachrichtigung per E-Mail.
Wie werden Checks der Ereignisprotokolle eingerichtet?
Um einen Check der Ereignisprotokolle einzurichten, muss dieser zur Remote Management Monitoring & Asset Management Richtlinie hinzugefügt werden.
Schritt 1
Schritt 2
Schritt 3
Tipp: Sie können einer Richtlinie mehrere Checks der Ereignisprotokolle hinzufügen.
Konfigurieren Sie anschließend die Ereignisse, die Sie überwachen möchten.
Name: Wählen Sie einen aussagekräftigen Namen für den Check.
Ereignisprotokoll: Wählen Sie den Ordner der Windows Ereignisanzeige für die Überwachung aus.
- Anwendung
- Sicherheit
- System
Ereignis ID(s): Sie haben die Möglichkeit, eine spezifische Ereignis ID zur Überwachung einzugeben. Mehrere Ereignis IDs müssen durch ein Komma getrennt werden („,“).
Ereignisquelle: Fügen Sie den exakten Namen der Ereignisquelle ein, die die Ereignisse generiert.
Die Bezeichnung muss mit dem Namen übereinstimmen, der in den Ereignisdetails der Ereignisanzeige --> System --> Provider --> EventSourceName aufgeführt ist.
Hinweis: Das System funktioniert auch ohne Hinzufügen einer Ereignisquelle. Wir empfehlen jedoch die Ereignisquelle anzugeben, wenn diese bekannt ist. Auf diese Weise erfolgt eine ordnungsgemäße Benachrichtigung, wenn das entsprechende Ereignis von der Windows Ereignisanzeige generiert wird. Die von mehreren Quellen generierten Spam Benachrichtigungen werden so herausgefiltert.
Ereignistyp: Wählen Sie die Ereignisstufe, bei der Sie benachrichtigt werden wollen, sobald die Ereignisanzeige aktiviert wird.
| Ereignistyp |
Beschreibung |
| Fehler |
Ein Ereignis, das auf ein erhebliches Problem hinweist, wie den Verlust von Daten oder Funktionalität. Wird beispielsweise ein Dienst beim Starten nicht geladen, wird das Ereignis als Fehler protokolliert. |
| Warnung |
Ein Ereignis, das nicht zwangsläufig bedeutsam ist, das jedoch auf die Möglichkeit eines künftigen Problems hinweist. Wenn beispielsweise der Speicherplatz knapp ist, wird eine Warnung aufgezeichnet. Falls eine Anwendung ohne Verlust von Funktionalität oder Daten nach einem Ereignis wiederhergestellt werden kann, wird dies in der Regel als Warnung eingeordnet. |
| Information |
Ein Ereignis, das den erfolgreichen Betrieb einer Anwendung, eines Treibers oder Diensts beschreibt. Wenn ein Netzwerktreiber beispielsweise erfolgreich geladen wird, ist es unter Umständen angemessen, das Ereignis als Information zu protokollieren. Beachten Sie, dass es bei Desktop Anwendungen in der Regel nicht angemessen ist, bei jedem Start ein Ereignis zu protokollieren. |
| Erfolgsüberwachung |
Ein Ereignis, das den kontrollierten Versuch eines Sicherheitszugriffs erfasst, der erfolgreich ist. Wenn zum Beispiel ein Nutzer erfolgreich versucht, sich am System anzumelden, wird dies als Ereignis der Erfolgsüberwachung protokolliert. |
| Fehlerüberwachung |
Ein Ereignis, das den kontrollierten Versuch eines Sicherheitszugriffs erfasst, der fehlschlägt. Wenn ein Nutzer beispielsweise vergebens auf ein Netzwerklaufwerk zuzugreifen versucht, wird dieser Versuch als Ereignis der Fehlerüberwachung protokolliert. |
Tipp: Wenn Sie unsicher sind, welcher Ereignistyp gewählt werden soll, haben Sie die Möglichkeit, Alle markieren zu wählen. Dadurch berichtet das System auf Basis der Ereignis ID und der Quelle. Nach einigen ausgelösten Warnmeldungen können Sie dann den Ereignistyp näher eingrenzen.
Benachrichtigung: Fügen Sie E-Mail(s) für die Benachrichtigung hinzu. Sie müssen sicherstellen, dass die gewünschte E-Mail Adresse ein Teil des TeamViewer (Classic) Firmenprofils oder der Computer & Kontakte Liste des Nutzers ist. Dies ist eine im System vorgesehene Sicherheitseinstellung.
Nun können Sie die Richtlinie speichern. Über das Dialogfenster Endpunkte verwalten wenden Sie sie nun auf die Computer an.
Hinweis: Um die Richtlinie einer Gruppe mit Computern zuzuweisen, muss sie zu den Gruppeneigenschaften hinzugefügt werden. Bewegen Sie den Mauszeiger über eine Gruppe --> klicken Sie auf den Stift --> wählen Sie Bearbeiten. Setzen Sie anschließend alle Systeme im Dialogfenster Endpunkte verwalten auf Von Gruppe erben.
Nachdem Sie die Richtlinie gespeichert und auf Computer oder Gruppen angewendet haben, wird sie nach einigen Sekunden an die überwachten Endpunkte übertragen und das System beginnt das Monitoring der Windows Ereignisanzeige.
Falls eine Warnmeldung ausgelöst wird, erscheint diese in der Liste der Warnmeldungen im Monitoring Tab in der Management Console. Außerdem erfolgt eine Benachrichtigung per E-Mail mit ausführlicheren Informationen über das Ereignis.
