Windows-Ereignisprotokolle enthalten detaillierte Informationen über das Verhalten Ihrer Endgeräte: Von Sicherheitsvorfällen bis hin zu fehlgeschlagenen Updates müssen IT-Administratoren und MSPs Einblick in den Inhalt dieser Protokolle haben.
Die Überwachung des Windows-Ereignisprotokolls ist eine wichtige Voraussetzung für die Überwachung und Sicherung von Netzwerken sowohl in kleinen Unternehmen als auch in Großbetrieben; manuelle Überprüfungen stellen jedoch aufgrund der großen Anzahl der aufgezeichneten, oft belanglosen Ereignisse eine Herausforderung für die Skalierbarkeit dar. In diesem Handbuch wird erläutert, wie Sie die Überwachung des Windows-Ereignisprotokolls über mehrere Clients hinweg automatisieren können, so dass bemerkenswerte Vorfälle gemeldet werden und alle Protokolle von mehreren Geräten an einem zentralen Ort verfügbar sind.
Voraussetzungen für die Überwachung/Weiterleitung des Windows-Ereignisprotokolls
Das Hauptziel Ihrer Lösung zur Überwachung des Windows-Ereignisprotokolls sollte darin bestehen, sicherzustellen, dass keine Sicherheitssignale übersehen werden. Weitere Ziele sind die Erkennung und Benachrichtigung bei wichtigen Ereignissen oder verdächtigem Verhalten, die zentrale Speicherung von wichtigen Protokollen und die Möglichkeit, bekannte Probleme per Skript zu beheben.
Um Windows-Ereignisprotokolle unter Windows 10, Windows 11 und Windows Server 2016+ zu überwachen und weiterzuleiten, benötigen Sie Folgendes:
- Administrativer Zugriff auf alle Maschinen
- Zugang zu PowerShell
- Eine Active Directory-Domäne, wenn Sie Gruppenrichtlinienobjekte einsetzen
Beachten Sie, dass einige der untenstehenden Beispiele zwar das Versenden von Benachrichtigungs-E-Mails per Skript demonstrieren, es jedoch unter Umständen vorzuziehen ist, stattdessen eine Drittanbieter-Lösung zu verwenden – entweder um Benachrichtigungen zu versenden oder die relevanten Protokolleinträge an eine zentrale Plattform weiterzuleiten (z. B. über eine Client-Anwendung oder per REST-API) Wie bei allen kritischen IT- und MSP-Funktionen sollten Sie sich vergewissern, dass alle implementierten Lösungen Ihren Anforderungen entsprechen und in Ihrer spezifischen Umgebung funktionieren.
Methode 1: Verwendung der Ereignisanzeige und des Task-Planers für die GUI-basierte Automatisierung
Die Windows-Ereignisanzeige kann verwendet werden, um die Weiterleitung von Ereignisprotokolleinträgen mit Hilfe des Windows-Taskplaners zu automatisieren. Gehen Sie wie folgt vor:
- Öffnen Sie die Windows-Ereignisanzeige über das Startmenü oder durch Ausführen von eventvwr.msc über das Dialogfeld Ausführen
- Suchen Sie das gewünschte Ereignis im Protokoll (z. B. Windows > System > Ereignis-ID 1001 für Absturzberichte)
- Klicken Sie mit der rechten Maustaste auf das Ereignis und wählen Sie Aufgabe an dieses Ereignis anhängen… und geben Sie der Aufgabe einen Namen
- Wenn Sie aufgefordert werden, eine Aktion auszuführen, wählen Sie Starten Sie ein Programm (Sie können stattdessen auch eine E-Mail senden oder eine Nachricht anzeigen, diese Aktionen sind jedoch veraltet)
- Geben Sie den Pfad zum Programm oder Skript sowie alle Argumente ein
- Bestätigen Sie die Angaben und klicken Sie auf Fertigstellen
Diese Aufgabe wird dann jedes Mal, wenn das Ereignis eintritt, mit den Details des Ereignisses ausgeführt. Bei dem Programm oder Skript, das Sie als Aktion verwenden, kann es sich um einen Client eines Drittanbieters handeln, der Benachrichtigungen sendet, oder um ein Skript, das Diagnosen durchführt und dann Dienste neu startet, bevor es eine Benachrichtigung sendet oder die Diagnosedaten an einen anderen Dienst weiterleitet.
Methode 2: Verwendung von PowerShell für zentralisierte Überwachung und Reaktion
Sie können alternativ ein PowerShell-Skript verwenden, um nach bestimmten Ereignissen zu suchen und Warnungen zu senden, wie im folgenden Beispielskript gezeigt:
$Events = Get-WinEvent -FilterHashtable @{LogName=’Security‘; ID=4625; StartTime=(Get-Date).AddMinutes(-5)}
foreach ($e in $Events) {
$Nachricht = $e.Nachricht
# Benutzerdefinierte Aktion: E-Mail senden, Ablauf auslösen oder in externes Protokoll schreiben
Send-MailMessage -To ‚[email protected]‘ -From ‚[email protected]‘ -Subject ‚Failed Login Attempt‘ -Body $message -SmtpServer ’smtp.example.com‘
}
Hier wird das Cmdlet Get-WinEvent verwendet, um nach Ereignissen mit der angegebenen ID (in diesem Fall 4625 für eine fehlgeschlagene Anmeldung) aus den letzten 5 Minuten zu suchen. Beachten Sie nochmals, dass Send-MailMessage veraltet ist und Sie sich stattdessen auf Ihre RMM-Benachrichtigung oder APIs für Slack oder andere Benachrichtigungsdienste in der Produktion verlassen sollten.
Sie können entweder den Taskplaner oder das Cmdlet Register-ScheduledTask verwenden, um die Ausführung dieses Vorgangs zu automatisieren (indem Sie festlegen, dass er in dem im Skript festgelegten Intervall ausgeführt wird). Sie können das Skript auch über eine RMM-Lösung wie NinjaOne oder über Gruppenrichtlinien bereitstellen.
Methode 3: Verwendung der Eingabeaufforderung für die manuelle Abfrage oder das Auslösen eines Skripts
Sie können die Erstellung neuer Protokolleinträge auch mit wevtutil in der Windows-Eingabeaufforderung oder mit einer Batch-Datei erkennen.
Der folgende Befehl verwendet wevtutil, um nach Ereignissen mit der ID 4625 zu suchen, und gibt den letzten passenden Eintrag zurück:
wevtutil qe Sicherheit „/q:*[System[(EventID=4625)]]“ /c:1 /f:text
Dieser Befehl kann vom Taskplaner oder von einem Batch- oder PowerShell-Skript ausgelöst werden. Er ermöglicht es Ihnen, den letzten übereinstimmenden Protokolleintrag für eine Ereignis-ID auf verschiedene Bedingungen zu prüfen und bei Bedarf weitere Maßnahmen auszulösen.
Methode 4: Verwendung von Gruppenrichtlinien für richtlinienbasierte Protokollweiterleitung und Auditing
Gruppenrichtlinien in Active Directory können verwendet werden, um die Weiterleitung von Ereignisprotokollen auf Computern, die einer Windows-Domäne angehören, zu aktivieren und zu konfigurieren. Gehen Sie wie folgt vor:
- Öffnen Sie die Verwaltungskonsole für Gruppenrichtlinien
- Navigieren Sie zu Computerkonfiguration > Verwaltungsvorlagen > Windows-Komponenten > Ereignisweiterleitung
- Konfigurieren Sie den Konfigurieren Sie den Ziel-Abonnementmanager (definieren Sie die Collector-URI), Aktivieren Sie die Ereignisweiterleitung und Verwenden Sie WinRM für sichere Kommunikation Einstellungen
Die Durchsetzung von Überprüfungsrichtlinien kann konfiguriert werden, indem Sie zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überprüfungsrichtlinienkonfiguration > Systemüberprüfungsrichtlinien navigieren und Überprüfungsrichtlinien für Ereignisse wie Anmeldeereignisse und Objektzugriff aktivieren. Protokollgröße, Aufbewahrungs- und Überschreibungsrichtlinien können optional auch über Gruppenrichtlinien konfiguriert werden.
Verwenden der Windows-Registrierung zum Festlegen von Größe, Aufbewahrung und Verhalten des Ereignisprotokolls
Sie können die Protokollgröße und -aufbewahrung mit dem Windows-Registrierungseditor steuern, indem Sie die Registrierungswerte imSchlüssel EventLog unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\<LogName>
- MaxSize (DWORD): Maximale Protokollgröße in Bytes
- Aufbewahrung (DWORD): 1 = Überschreiben nach Bedarf, 0 = nicht überschreiben
- AutoBackupLogFiles (DWORD): 1 = aktiviert, 0 = deaktiviert
Sie können PowerShell verwenden, um diese Registrierungswerte festzulegen und Ihr Skript über Gruppenrichtlinien oder Ihre Endpunktverwaltungsplattform bereitzustellen:
Set-ItemProperty -Path „HKLM:\SYSTEM\CurrentControlSet\Services\Eventlog\Security“ -Name MaxSize -Value 104857600
Zusätzliche Überlegungen und Fehlerbehebung
Bei der Implementierung Ihrer Windows-Ereignisprotokoll-Weiterleitung oder Überwachungslösung sollten Sie je nach Szenario und Anforderungen auch einige der folgenden Faktoren berücksichtigen:
- Einschränkungen bei der Weiterleitung von Protokollen: Native Weiterleitung ist Pull-basiert und nicht in Echtzeit, daher ist es am besten, Skripting oder SIEM zu verwenden, wenn Live-Warnungen erforderlich sind
- Protokollgröße: Überwachen Sie die Protokollgröße und -aufbewahrung, um das Überschreiben relevanter Daten zu vermeiden
- Sicherheitsprotokolle: Diese wichtigen Protokolle sollten gesichert und/oder zur Analyse in ein SIEM aufgenommen werden
- Automatisierungshäufigkeit: Verwenden Sie einen ausgewogenen Zeitplan (z. B. 5-minütige Abfrageintervalle), um die Auswirkungen auf die Leistung zu minimieren
Wenn Sie feststellen, dass sich Ihre Lösung zur Ereignisüberwachung nicht wie erwartet verhält, sollten Sie dies überprüfen:
- Ereignisweiterleitung funktioniert nicht: WinRM-Status und Firewall-Regeln überprüfen
- Skripte lösen nicht aus: Überprüfen Sie, ob die Ereignis-ID übereinstimmt und ob das Benutzerkonto über die richtigen Berechtigungen verfügt
- Fehlende oder unvollständige Protokolle: Überprüfen Sie die Aufbewahrungsrichtlinien und stellen Sie sicher, dass die Protokolle nicht überschrieben werden
- Skriptberechtigungen: Stellen Sie sicher, dass die PowerShell-Skriptausführungsrichtlinie die Ausführung unsignierter Skripts zulässt
Zentralisierte Überwachung des Windows-Ereignisprotokolls ohne komplexe Skripte
Für interne IT-Teams und MSPs ist es von entscheidender Bedeutung, die Windows-Ereignisprotokolle für alle Endgeräte zu überwachen, um einen Einblick in den Betrieb, die Sicherheit und die Einhaltung von Vorschriften zu gewährleisten. Endpoint Management von NinjaOne vereinfacht diese Aufgabe durch Echtzeit-Überwachung und Alarmierung (mit Unterstützung von SMS-, E-Mail- und Push-Benachrichtigungen), so dass Techniker im Falle eines Fehlers sofort Maßnahmen zur Lösung des Problems ergreifen können.
Darüber hinaus können Sie Ihre eigene Ereignisprotokollüberwachung mit Skriptbereitstellung, konfigurierbaren Warnungen auf der Grundlage von Ereignis-IDs und automatischen Abhilfeskripten auf der Grundlage bestimmter Ereignisprotokollauslöser anpassen. Alles ist in einem einheitlichen Web-Dashboard gut sichtbar, was die Diagnose vereinfacht und Ihr IT-Gerät proaktiv macht, um Bedrohungen der Cybersicherheit, Probleme der Endbenutzer und Fehlfunktionen zu erkennen und zu lösen.
