Überprüfen des Ereignisprotokolls – Remote Management Monitoring

Keine Bewertungen

Dieser Artikel richtet sich an alle Anwender und Kunden von Remote Management Monitoring & Asset Management.

Allgemein

Das Überprüfen des Ereignisprotokolls ist eine unverzichtbarer Check beim  Remote Management Monitoring & Asset Management für das Betriebssystem Windows. Damit gewinnen wir Informationen über das Was, Wann und Wie von Ereignissen im Betriebssystem Windows.

Was ist die Ereignisanzeige und wie wird damit gearbeitet?

Mehr über dieses Thema erfahren Sie in den Artikeln „Digital Citizen“ und „How-to Geek“ (beide in Englisch):

Wie funktionieren Checks der Ereignisprotokolle?

Der Dienst Remote Management Monitoring & Asset Management  verwendet die Windows API, um die Protokolle der Ereignisanzeige zu überprüfen. Einmal pro Minute vergleicht das System die Protokolle der Ereignisanzeige mit den Anforderungen für das Ereignisprotokoll aus den Richtlinien für das Remote Management Monitoring & Asset Management.

Gibt es ein zu berichtendes Ereignis in den Protokollen der Ereignisanzeige , berichtet das Remote Management Monitoring & Asset Management  an die TeamViewer Management Console. Zudem erfolgt eine Benachrichtigung per E-Mail.

Wie werden Checks der Ereignisprotokolle eingerichtet?

Um einen Check der Ereignisprotokolle einzurichten, muss dieser zur Remote Management Monitoring & Asset Management-Richtlinie hinzugefügt werden.

Workflow.png

Tipp: Sie können einer Richtlinie mehrere Checks der Ereignisprotokolle hinzufügen.

Wir sind bereit, die Ereignisse zu konfigurieren, die wir überwachen möchten.

Name: Wählen Sie einen aussagekräftigen Namen für diesen Check.

Ereignisprotokollabfrage: Hier müssen wir den Ordner der Windows-Ereignisanzeige für die Überwachung auswählen.

  • Anwendung
  • Sicherheit
  • System

Ereignis-ID(s): Hier können wir eine spezifische Ereignis-ID zur Überwachung eingeben. Mehrere Ereignis-IDs müssen durch Komma getrennt werden („,“).

Ereignisquelle:  Hier fügen wir den exakten Namen der Ereignisquelle ein, die die Ereignisse generiert.

Die Bezeichnung muss dem Namen übereinstimmen, der in Ereignisdetails der Ereignisanzeige -> System-> Provider -> EventSourceName aufgeführt ist.Event

Hinweis: Das System funktioniert auch ohne Hinzufügen einer Ereignisquelle. Wir empfehlen jedoch die Ereignisquelle anzugeben, wenn diese bekannt ist. Auf diese Weise erfolgt eine richtige Benachrichtigung, wenn das entsprechende Ereignis von der Windows-Ereignisanzeige generiert wird. Die von mehreren Quellen generierten Spam-Benachrichtigungen werden so herausgefiltert.

Ereignistyp:  Hier wählen wir die Ereignisstufe, bei der wir benachrichtigt werden wollen, sobald die Ereignisanzeige aktiviert wird.

Ereignistyp Beschreibung
Fehler Ein Ereignis, das auf ein erhebliches Problem hinweist, wie den Verlust von Daten oder den Verlust von Funktionalität. Wird beispielsweise ein Dienst beim Starten nicht geladen, wird das Ereignis als Fehler protokolliert.
Warnung Ein Ereignis, das nicht zwangsläufig signifikant ist, das jedoch auf die Möglichkeit eines künftigen Problems hinweist. Beispielsweise wird eine Warnung protokolliert, wenn die Speicherkapazität niedrig ist. Falls eine Anwendung ohne Verlust von Funktionalität oder Daten nach einem Ereignis wiederhergestellt werden kann, wird dies in der Regel als Warnung eingeordnet.
Information Ein Ereignis, das den erfolgreichen Betrieb einer Anwendung, eines Treibers oder Diensts beschreibt. Wenn ein Netzwerktreiber beispielsweise erfolgreich geladen wird, ist es unter Umständen angemessen, das Ereignis als Information zu protokollieren. Beachten Sie, dass es bei Desktop-Anwendungen in der Regel nicht angemessen ist, bei jedem Start ein Ereignis zu protokollieren.
Erfolgsüberwachung Ein Ereignis, das den überprüften Versuch eines Sicherheitszugriffs erfasst, der erfolgreich ist. Wenn zum Beispiel ein Nutzer erfolgreich versucht, sich am System anzumelden, wird dies als Ereignis der Erfolgsüberwachung protokolliert.
Fehlerüberwachung Ein Ereignis, das einen überprüften Versuch eines Sicherheitszugriffs erfasst, der fehlschlägt. Wenn ein Nutzer beispielsweise vergebens auf ein Netzwerklaufwerk zuzugreifen versucht, wird dieser Versuch als Ereignis der Fehlerüberwachung protokolliert.

 

Tipp: Wenn Sie unsicher sind, welcher Ereignistyp gewählt werden soll, können wir „Alle auswählen“ wählen. Dadurch berichtet das System auf Basis der Ereignis-ID und der Quelle. Nach einigen ausgelösten Warnmeldungen können wir den Ereignistyp näher eingrenzen.

 Benachrichtigung: Fügen Sie E-Mail(s) für die Benachrichtigung hinzu. Wir müssen die gewünschte E-Mail-Adresse zum TeamViewer Firmen-Profil oder zu den Kontakten im Konto des Benutzers unbedingt hinzufügen. Dies ist eine im System vorgesehene Sicherheitseinstellung.

 

Nun können wir die Richtlinie speichern. Über das Dialogfenster „Endpunkte verwalten“ können wir sie nun auf die Computer anwenden.

Hinweis: Um die Richtlinie zu einer Gruppe Computer hinzuzufügen, muss sie zu den Gruppeneigenschaften hinzugefügt werden. Bewegen Sie den Mauszeiger über eine Gruppe -> klicken Sie auf den Stift-> wählen Sie „Bearbeiten“. Setzen Sie anschließend alle Systeme im Dialogfenster „Endpunkte verwalten“ auf „Von Gruppe erben“.

 

Nachdem wir die Richtlinie gespeichert und auf Computer oder Gruppen angewendet haben, wird sie nach einigen Sekunden an die überwachten Endpunkte übertragen und das System beginnt das Monitoring der Windows-Ereignisanzeige.

Falls eine Warnmeldung ausgelöst wird, erscheint diese in der Liste der Warnmeldungen auf der Monitoring-Seite. Außerdem erfolgt eine Benachrichtigung per E-Mail mit ausführlicheren Informationen über das Ereignis.

 MCO

 

e-mail

 

Versionsverlauf
Revision-Nr.
2 von 2
Letzte Aktualisierung:
vor 3 Wochen
Aktualisiert von:
 
Beschriftungen (1)
Beitragleistende