FAQ: Das Ereignisprotokoll von Windows

B 1: Ich möchte EventSave regelmäßig automatisch laufen lassen und den Bericht in eine Textdatei umleiten.

1. Kopieren Sie EventSave.exe zum Beispiel in ein neues Verzeichnis d:\events
2. Erzeugen Sie eine Datei d:\events\es.cmd mit dem folgenden Inhalt:
       d:\events\eventsave d:\events > d:\events\es.txt
3. Planen Sie mit at oder winat die Ausführung von d:\events\es.cmd so oft Sie es für nötig erachten.
4. Wenn Sie gleichzeitig auch die Protokolle von Netzwerkrechnern mit EventSave sichern möchten, müssen Sie sicherstellen, daß Ihr Job unter einem Konto läuft, dem das Benutzerrecht Verwalten von Überwachungs- und Sicherheitsprotokoll auf allen in Frage kommenden Rechnern zugewiesen wurde. Mit dem lokalen Systemkonto von Windows NT4 (die Vorgabeeinstellung für den Schedule-Dienst) können Sie nicht auf Netzwerkrechner zugreifen!

Manche Leute denken, wenn Sie für Mitternacht einen Job planen, der dann fehlschlägt, würde der Grund darin liegen, daß keiner interaktiv am Rechner angemeldet war. Das ist nicht wahr. Wenn ein Job, der auf das Netzwerk zugreifen soll, unter dem lokalen Systemkonto läuft, wird er auch fehlschlagen, wenn gleichzeitig ein Administrator angemeldet ist. Sie müssen entweder den Schedule-Dienst unter einem Administratorkonto laufen lassen, oder Sie müssen eine modernere Variante dieses Dienstes installieren. IE5 bringt beispielsweise eine neue Version des Schedule-Dienstes mit, die es Ihnen erlaubt, jeden Auftrag unter einem anderen Konto laufen zu lassen.

B 2: Ich habe es noch nicht fertig gebracht, EventSave erfolgreich mit dem Befehl AT zu starten. Ich kann damit nur die Protokolle des lokalen Rechners sichern, aber der Parameter /A scheint verloren zu gehen.

Sie können entweder eine Stapelverarbeitungsdatei verwenden (meine bevorzugte Methode, denn nur damit können Sie die Programmausgabe in eine Textdatei umleiten) oder Sie umschließen den Befehl und die Parameter mit Anführungszeichen, z.B.:

at 5:00 "Eventsave /a"

Normalerweise erfordert NT 4.0 im Gegensatz zu NT 3.x keine Anführungszeichen, aber man kann das Standardverhalten mit einem Registrierungswert ändern.

B 3: Die Datei readme.txt enthält ein Beispiel, in dem EventSave aller 5 Tage läuft. Da aber nur jeden Monat ein neuer Dateiname vergeben wird, stellt sich die Frage, in welche Datei die Ereignisse beim zweiten Aufruf des Programms in einem Monat geschrieben werden? Wir archivieren unsere Protokolle beispielsweise wöchentlich, nicht monatlich.

Alle Ereignisse eines Protokolls und Monats werden in dieselbe Datei geschrieben. Wenn Sie EventSave zum Beispiel am 28. März und das nächste Mal am 5. April laufen lassen, werden am 5. April alle Ereignisse vom 28. bis 31. März zu den Protokolldateien für März hinzugefügt, und die Ereignisse der ersten Apriltage werden in neue Protokolldateien geschrieben.
EventSave überschreibt niemals Ereignisse in den Zieldateien, es fügt lediglich die neuen Ereignisse hinzu und erzeugt nach jedem Monatswechsel bei Bedarf neue Protokolldateien.

B 4: Kann das Zielverzeichnis für EventSave auf einem Netzwerkrechner liegen?

Ja. Sie müssen das Zielverzeichnis dann lediglich in der UNC-Form \\Rechnername\Freigabename\Unterverzeichnis angeben. Es ist nicht notwendig, zuvor explizit eine Netzwerkverbindung zu diesem Verzeichnis aufzubauen.

B 5: Ist es möglich, die Protokolle verschiedener Rechner in verschiedene Verzeichnisse zu sichern?

Wenn Sie EventSave mit der Option /a aufrufen, werden alle Protokolle aller Rechner in das gleiche Verzeichnis gesichert. Wenn Sie dagegen jeden Rechner einzeln mit der Option /c sichern, können Sie selbstverständlich verschiedene Zielverzeichnisse angeben. Ich empfehle aber, nur ein gemeinsames Zielverzeichnis zu verwenden, da Sie andererseits nicht alle Vorzüge von Elwiz nutzen können.

Falls Sie es aber vorziehen, die Ereignisse von SERVER1 und SERVER2 in vorhandene lokale Verzeichnisse auf jedem Rechner zu verschieben, könnten Sie eine Batchdatei wie die folgende verwenden:
c:\Programme\Heysoft\eventsave.exe \\SERVER1\c$\events /CSERVER1
c:\Programme\Heysoft\eventsave.exe \\SERVER2\c$\events /CSERVER2

B 6: Gibt es auch eine Version von EventSave für NT-Alpha-Rechner?

Nein. Da das Programm aber auch im Netzwerk funktioniert, können Sie es auf einem Rechner mit einem x86-Prozessor installieren und die Ereignisprotokolle Ihrer Alpha-Rechner von da aus sichern.

B 7: EventSave verschiebt alle Ereignisse eines Monats in dieselbe Zieldatei. Ich muss aber einige der Report Event Tools für tägliche Auswertungen verwenden

Falls Sie Ihre Ereignisprotokolle sowohl täglich auswerten als auch archivieren wollen, können Sie z.B. folgende Batchdatei anlegen und täglich um 0:00 laufen lassen. Alle Programme müssen sich in d:\Events befinden, damit es funktioniert.

rem Sicherstellen, dass das Unterverzeichnis Daily existiert!
if not exist d:\events\daily\nul md d:\events\daily

rem Sicherstellen, dass das Unterverzeichnis Monthly existiert!
if not exist d:\events\monthly\nul md d:\events\monthly

rem Alte Logs löschen:
del d:\Events\Daily\*.evt

rem Gestrige Ereignisse kopieren:
d:\Events\EventCopy d:\Events\Daily

rem Ereignisse in dauerhafte Archivdatei kopieren:
d:\Events\EventSave d:\Events\monthly

rem Auswertungen durchführen, z.B.:
d:\Events\r528 d:\Events\Daily /m /z+
d:\Events\r529 d:\Events\Daily /m /z+

B 8: Ich kann die von EventSave gesicherten Dateien nicht mit Notepad betrachten

EventSave verwendet das originale evt-Format. Das bedeutet, dass Sie entweder die mitgelieferte Ereignisanzeige oder das auf dieser Site erhältliche Programm Elwiz verwenden müssen, um die gespeicherten Dateien zu einzusehen.
Falls Sie evt-Dateien in csv-Dateien konvertieren wollen, finden Sie Lösungen in Antwort A28.

B 9: Wofür ist der Schalter -ANSI gut?

Der Schalter -ANSI beeinflußt nur die Nachrichten, die das Programm auf dem Bildschirm anzeigt. Umlaute werden in Windows an der Kommandozeile anders dargestellt als in der GUI, daher müssen Sie diesen Schalter verwenden, wenn Sie die Ausgabe der Programmeldungen in eine Datei umleiten, die Sie dann mit einem Windows-Programm wie z.B. Notepad öffnen wollen, ohne dort den voreingestellten Zeichensatz ändern zu müssen.

B 10: Wie muß ich die Firewall von Windows XP SP2 konfigurieren, damit EventSave funktioniert?

Es genügt, wenn Sie die Datei- und Druckerfreigabe freischalten.

B 11: Gibt es eine Option, zum Beispiel in EventSave+, die die gesammelten Ereignisse gleich komprimiert?

Nein. Aber Sie finden sicher ein Tool ohne Grafikaufsatz, welches Dateien komprimieren kann. Sie können also eine Batchdatei schreiben, die zuerst EventSave aufruft und danach den Befehl zum komprimieren der evt-Dateien. Zuletzt löschen Sie die evt-Dateien.

EventSave komprimiert die Ereignisse nicht, weil kein Viewer und kein Auswerteprogramm etwas mit den gezippten Dateien anfangen könnte.

B 12: Gibt es eine Option, die die Dateien im Schema Computername_Ereignissprotokollname_Jahr_Monat.evt speichert?

Nein. Sie müssen bedenken, dass alle anderen Ereignisprotokoll-Programme von Heysoft mit dem Schema Jahr_Monat_Computername_Ereignisprotokollname.evt arbeiten. Diese Programme hätten dann ein Problem, die Dateinamen richtig zu interpretieren. Sie können das Umbenennen z.B. nach Ablauf eines Monats aber mit folgendem Befehl erledigen, wenn es sein muss:

for /f "delims=_ tokens=1,2,3,4" %A in ('dir 2006_04*.evt /b') do rename %A_%B_%C_%D %C_%A_%B_%D

Falls Sie den Befehl aus einer Batch-Datei aufrufen wollen, müssen Sie die %-Zeichen verdoppeln.

 

B 13: Warum soll ich mit EventSave keine Ereignisprotokolle von Windows Vista sichern und löschen?

EventSave löscht nach dem Einsammeln die Ereignisse auf den einzelnen Rechnern.

Seit Windows 6 gibt es ein neues Ereignisprotokollformat. Die Ereignisse befinden sich dort jetzt in evtx-Dateien. Es besteht die Möglichkeit, die Ereignisse trotzdem in evt-Dateien zu sichern, jedoch gehen dabei Informationen verloren. Das sind z.B. Angaben zum Zeitpunkt des Ereignisses (evt-Dateien speichern es mit einer Genauigkeit von einer Sekunde, evtx-Dateien aber mit einer Genauigkeit von einer Millisekunde) oder zu Prozess- und Thread-ID des verursachenden Programms. 

Wenn Sie also EventSave mit der Option /V6 dazu zwingen, auch die Ereignisse eines Vista-Rechners einzusammeln und zu löschen, verlieren Sie bei der Konvertierung in evt-Dateien einen Teil der Informationen, die anschließend nicht mehr wiederhergestellt werden können.

 

C 1: Wieso fehlen die aktuellen Protokolle mancher Rechner im Protokollbaum? Die betreffenden Rechner sind im Netzwerk erreichbar.

Seit Version 3.0 zeigt Elwiz nur noch die aktiven Ereignisprotokolle der überwachten Rechner im Protokollbaum an. Voraussetzung dafür ist aber, dass eine Verbindung zum EventWatcher3-Dienst auf den jeweiligen Rechnern besteht. Andernfalls geht Elwiz ohne weitere Tests davon aus, dass der Rechner nicht erreichbar ist.
Sie müssen also sicherstellen, dass die Rechner, deren aktuelle Protokolle Sie mit Elwiz einsehen möchten, in die Überwachungsliste aufgenommen wurden, und dass dort der EventWatcher3-Dienst gestartet und mit dem EreignisSammler-Dienst auf Ihrem Rechner verbunden ist.

C 2: Ich möchte die Ereignisse filtern, die ich sehen möchte, und nicht, was ich NICHT sehen möchte.

Ich glaube nicht, dass das eine gute Idee ist. Es gibt jede Menge unbekannte Ereignisse. Wahrscheinlich würde die Mehrzahl der Benutzer von Elwiz aus Unkenntnis einige wichtige Ereignisse nicht zur Liste hinzufügen. Ich denke da z.B. an die Warnungen, die auf Fehler auf meiner Festplatte hinwiesen, bevor diese einige Tage später ganz ihr Leben aushauchte. Mich haben genau diese Ereignisse dazu verleitet, rechtzeitig ein Backup außer der Reihe anzulegen ;-)

Mit der bisherigen Philosophie von Elwiz können Sie keine unbekannten Ereignisse übersehen. Sie können aber beispielsweise ein beliebiges Ereignisprotokoll hernehmen, einen Eintrag auswählen, die rechte Maustaste drücken und den Befehl "Als Regel zur Alarm-Filterliste hinzufügen... " wählen. Auf diese Weise lassen sich die Filterlisten sehr schnell zusammenbauen, ohne daß Sie darauf warten müssen, bis jedes Ereignis, das Sie filtern wollen, auftritt. Und wenn Sie neue Software installieren, die neue Einträge im Ereignisprotokoll anlegt, werden Sie diese automatisch serviert bekommen (mit der Option, sie beim ersten Auftreten in die Filterliste aufzunehmen).

Mit Elwiz ist es aber auch möglich, in den Filterlisten Ereignisse zu definieren, die unbedingt angezeigt werden müssen. Sie könnten also zum Beispiel ein beliebiges Druck-Ereignis nehmen und damit eine Regel definieren, die besagt, dass alle Druck-Ereignisse zu ignorieren sind. Anschließend könnten Sie eine weitere Regel definieren, die besagt, dass alle Print-Ereignisse 20 (Verändern von Druckertreibern) immer angezeigt werden sollen. Wie Sie sehen ist es also nicht nötig, für jede zu ignorierende Ereignis-ID eine eigene Regel aufzustellen.

C 3: Elwiz enthält im Kontextmenü der Ereignisprotokolltabelle den Befehl "Als Regel zur Alarm-Filterliste hinzufügen", warum gibt es nicht auch einen Befehl "Regel von Alarm-Filterliste entfernen..."?

Wie sollte das funktionieren? Es gibt viele Gründe, warum ein spezielles Ereignis gefiltert worden sein kann, z.B. weil

• alle Ereignisse seiner Kategorie
• alle Ereignisse mit dieser ID
• alle Ereignisse mit dieser ID und einer bestimmten Zeichenkette
• alle oder ein bestimmter Rechner
• alle oder ein bestimmtes Benutzerkonto

und nahezu jede Kombination dieser Aufzählung in die Filterregeln aufgenommen wurde. Es können sogar mehrere Einträge in einer Filterliste vorhanden sein, die dazu führen, daß ein bestimmtes Ereignis nicht angezeigt wird. Lassen Sie uns beispielsweise annehmen, daß Sie zuerst entscheiden, alle Print-Ereignisse mit der ID 10 für alle Benutzer auf dem Rechner ABC zu filtern. Später entscheiden Sie sich dafür, alle Ereignisse der Kategorie Print für den Benutzer Helmut auf allen Rechnern zu filtern.
Wenn es jetzt eine Option "Filterregel entfernen" gäbe und Sie diese auf ein Print-Ereignis 10 des Benutzers Helmut auf dem Rechner ABC anwenden wollten, welche Filterregel sollte dann aus der Liste entfernt werden? Ich denke, die Resultate würden nicht immer mit Ihren Erwartungen übereinstimmen.

Um Fehler zu verhindern, müssen Sie daher in die Ansicht Alarm- bzw. Execute-Filterregeln wechseln und dort die gewünschten Filterregeln direkt löschen. Hier sehen Sie wenigstens immer, was Sie machen ;-)

C 4: Wir haben 2 Domänen-Administratoren mit 2 verschiedenen Benutzerkonten. Wir möchten, daß beide Admins gleichzeitig von ihren Rechnern aus dieselben Netzwerkrechner mit Elwiz überwachen können, ist das möglich?

Sie benötigen für diesen Zweck eine spezielle Version des Eventwatcher-Dienstes. Geben Sie einfach bei der Registrierung an, wie viele Administratoren gleichzeitig dieselben Rechner überwachen sollen. Der Preis für x simultane Überwachungen ist x mal so hoch wie für eine Überwachung.

C 5: Wir betreiben ein WAN in ganz Europa. Als Zentrale sind wir begeistert von der Alarmfunktion von Elwiz, aber wir müssen vor dem Kauf sicher sein, dass das Programm Rechner in verschiedenen Domänen überwachen kann.

Sie müssen bei der Registrierung den Domänennamen des Rechners angeben, auf dem Elwiz laufen soll. Die Rechner, die Sie überwachen möchten, können sich in jeder beliebigen Domäne befinden. Das einzige Limit ist die Anzahl der Rechner, die gleichzeitig überwacht werden können, entsprechend der Anzahl der gekauften Lizenzen. Natürlich benötigen Sie auch auf jedem überwachten Rechner Rechte für den Zugriff auf die Ereignisprotokolle.

C 6: Wieso zeigt Elwiz auf Windos 2000-Rechnern bei "Client-Info | Verschiedenes" keine Festplattenbelegung an?

Man kann die Erfassung dieser Leistungsdaten ein- und ausschalten. Bis NT 4 waren sie standardmäßig aktiviert, in NT 5 sind sie erst mal ausgeschaltet. Leider ist diese Änderung nirgendwo dokumentiert. Der Befehl zum Einschalten der Leistungsdaten lautet: diskperf -yv Anschließend muß der Rechner neu gebootet werden, damit die Änderungen wirksam werden.

C 7: Warum soll ich die Namen der Domänen mitteilen, wenn ich Elwiz oder Report Event registrieren möchte?

Diese Information wird lediglich für den Kopierschutz benötigt. Ein net config rdr auf den Rechnern, auf denen die Software laufen soll, liefert Ihnen die benötigten Namen der Arbeitsstationsdomänen. Nein. Wenn Sie die Software z.B. für 20 Domänen registrieren wollen, können Sie auch eine Campuslizenz kaufen.

C 8: Ich möchte mit einer Instanz von Elwiz Rechner in verschiedenen anderen Domänen überwachen. Für wieviele Domänen muß ich Elwiz registrieren lassen?

Sie müssen Elwiz lediglich für diejenige Domäne registrieren, in der das Programm selbst läuft. Die überwachten Rechner können sich in beliebigen und unterschiedlichen Domänen befinden. Natürlich benötigen Sie die entsprechenden Berechtigungen, um auf die Ereignisprotokolle der Rechner zugreifen zu können.

C 9: Wir möchten mit Elwiz auf die aktuellen Ereignisprotokolle von Rechnern, auf denen die administrativen Freigaben entfernt wurden, zugreifen.

Sie haben 4 Möglichkeiten:

1. Verwenden Sie die Standard-Ereignisanzeige.
2. Reaktivieren Sie die administrativen Freigaben.
3. Erzeugen Sie eine neue Freigabe C$ (wobei C das Laufwerk mit den Ereignisprotokollen ist) und erlauben Sie Ihrem Benutzerkonto den Lesezugriff.
   Warnung: NT löscht diese Freigabe jedesmal, wenn der Rechner neu gestartet wird und administrativen Freigaben deaktiviert sind.
4. Erzeugen Sie eine neue Freigabe Cx$ (wobei C das Laufwerk mit den Ereignisprotokollen ist) auf allen Rechnern, deren Ereignisprotokolle Sie mit Elwiz öffnen wollen, und erlauben Sie Ihrem Benutzerkonto den Lesezugriff. Teilen Sie Elwiz die Erweiterung des Freigabenamens (hier x$) in Einstellungen > Konfiguration > Verschiedenes mit.

C 10: Darf der EventWatcher-Dienst auch unter dem System-Konto laufen?

Das System-Konto hat unter NT4 keinen Zugriff auf Netzwerkverbindungen.
Der ESD müsste daher auf demselben Rechner laufen, auf dem der EventWatcher-Dienst unter dem System-Konto betrieben wird.

D 1: Jedesmal, wenn ich ein Report Event-Programm starte, passiert folgendes:

Die Report Event-Programme arbeiten alle nur mit gesicherten Ereignisprotokolldateien, nicht jedoch mit den aktiven Protokolldateien. Der Grund dafür ist, daß NT selbst die aktiven Protokolldateien mit exklusivem Zugriff öffnet, so daß andere Programme nicht darauf zugreifen können. Der erste Schritt bei der Auswertung der Protokolle ist also die Verwendung von EventSave.exe (vorzugsweise mit einem Zielverzeichnis außerhalb der Systemverzeichnisse). Auf die von EventSave erstellten Protokolldateien können Sie dann die Report Event-Programme anwenden.

D 2: Wie läuft die Installation der Shareware-Version eines "Report Event"-Programms ab?

Die aktuellen Shareware-Versionen installieren sich ohne Rückfragen beim ersten Aufruf selbständig, ohne dabei weitere Aktionen durchzuführen. Beachten Sie, dass Sie die Shareware-Versionen nur unter einem einzigen Benutzerkonto testen dürfen! Wenn Sie das Programm also als Administrator installiert haben, können Sie es z.B. anschließend nicht mit dem Scheduler-Dienst unter dem Systemkonto laufen lassen. Hier hilft nur eine Registrierung. Wie Sie feststellen werden, können Sie in der Shareware-Version auch längst nicht alle Parameter selbst setzen ;-)

D 3: Ich möchte die Ausgabe von R528 auf einer Webseite darstellen, wie kann ich das anstellen?

Nick Tonkin schrieb ein schönes Perl-Script, das genau das macht, was Sie vorhaben. (Übrigens hat sich auf seiner Seite ein kleiner Fehler eingeschlichen - natürlich verarbeitet R528 Protokolle von allen Versionen von NT, nicht nur von 4.0 Server.)

D 4: Erlauben es die Programme, die Ereignisprotokolle verschiedener Domänen von einem Rechner aus auszuwerten?

Sie können EventSave verwenden, um alle Protokolle auf einen Rechner zu befördern. Dann können Sie alle Protokolle mit einer einzigen Lizenz auswerten. Die Programme laufen nur in der (den) Domäne(n), für die sie registriert wurden.
Wenn Sie die Ereignisse Ihres Netzwerks jedoch nicht zentral auswerten möchten, benötigen Sie Vollversionen für jede Domäne, in der die Programme laufen sollen. Bei der gleichzeitigen Registrierung für eine gößrere Anzahl von Domänen gibt es günstige Rabatte.

D 5: Gibt Print-Ereignis 10 auch dann die richtige Anzahl gedruckter Seiten an, wenn der Druckauftrag abgebrochen wurde?

Falls Print-Ereignis 10 auch die korrekte Anzahl gedruckter Seiten enthält, wenn der Druckauftrag nicht abgebrochen wird, stimmt die Seitenzahl auch nach einem Abbruch. Das ist so, weil das Ereignis erst dann geschrieben wird, wenn der Auftrag beendet wird, und nicht wenn er gestartet wird. Aber wie Sie in der Dokumentation zu RP10 nachlesen können, gibt es leider viele Fälle, (z.B. wenn Sie mehrere Kopien mit Microsoft Word für Windows 7.0 drucken) in denen prinzipiell eine falsche Seitenzahl protokolliert wird.

D 6: Die Shareware-Version von R528 scheint nicht zu funktionieren: Ich öffne die Ereignisanzeige, öffne das Sicherheitsprotokoll und, speichere es als c:\report\rep.evt. Der anschließende Aufruf von R528 c:\report /A /DC bringt nichts.

Ooops, schauen Sie in die Dokumentation:
 Sie müssen zuerst EventCopy oder EventSave benutzen, um die Protokolle zu kopieren oder zu sichern, bevor Sie die anderen Programme aus "Report Event für Windows NT" anwenden können.

Das ist so, weil R528 versucht, nur Sicherheitsprotokolle auszuwerten. Es erwartet also Dateien mit der Zeichenkette "sec" in ihrem Namen, wie sie das Freeware-Programm EventSave automatisch vergibt. Diese Namenskonvention erlaubt es R528, Anwendungs- und Systemprotokolle zu überspringen.

Wenn Sie Ihre Datei rep.evt in security.evt umbenennen, wird R528 funktionieren!

D 7: Gibt es die Möglichkeit, eine sehr große Datei, die mit MER erzeugt wurde, wieder zu verkleinern? Ich benötige nur Ereignisse mit der ID 560 aus dieser Datei.

Sie können MER doch anweisen, nur Ereignisse mit speziellen IDs zu kopieren:
MER /ttarget.evt source.evt /e560
Dieser Befehl kopiert nur Ereignisse mit der ID 560 von source.evt nach target.evt

D 8: Von EventSave+ gibt es eine an Vista angepasste Version, wieso nicht von EventCopy und ECA?

Bei der Anwendung von EventSave(+) können Sie Informationen verlieren, weil die Ereignisse nach dem Wegsichern gelöscht werden und die nicht übernommenen Informationen damit unwiederbringlich verloren gehen. (Siehe dazu auch Antwort B13.)
Da aber weder EventCopy noch ECA die originalen Ereignisse nach dem Wegsichern löschen, gibt es mit diesen Tools auch nicht das Risiko, Informationen zu vernichten.