Voraussetzungen f\u00fcr die \u00dcberwachung\/Weiterleitung des Windows-Ereignisprotokolls<\/h2>\n
Das Hauptziel Ihrer L\u00f6sung zur \u00dcberwachung des Windows-Ereignisprotokolls sollte darin bestehen, sicherzustellen, dass keine Sicherheitssignale \u00fcbersehen werden. Weitere Ziele sind die Erkennung und Benachrichtigung bei wichtigen Ereignissen oder verd\u00e4chtigem Verhalten, die zentrale Speicherung von wichtigen Protokollen und die M\u00f6glichkeit, bekannte Probleme per Skript zu beheben.<\/p>\n
Um Windows-Ereignisprotokolle unter Windows 10, Windows 11 und Windows Server 2016+ zu \u00fcberwachen und weiterzuleiten, ben\u00f6tigen Sie Folgendes:<\/p>\n
- \n
- Administrativer Zugriff auf alle Maschinen<\/li>\n
- Zugang zu PowerShell<\/li>\n
- Eine Active Directory-Dom\u00e4ne, wenn Sie Gruppenrichtlinienobjekte einsetzen<\/li>\n<\/ul>\n
Beachten Sie, dass einige der untenstehenden Beispiele zwar das Versenden von Benachrichtigungs-E-Mails per Skript demonstrieren, es jedoch unter Umst\u00e4nden vorzuziehen ist, stattdessen eine Drittanbieter-L\u00f6sung zu verwenden \u2013 entweder um Benachrichtigungen zu versenden oder die relevanten Protokolleintr\u00e4ge an eine \u00a0zentrale Plattform weiterzuleiten <\/a>\u00a0(z. B. \u00fcber eine Client-Anwendung oder per REST-API) Wie bei allen kritischen IT- und MSP-Funktionen sollten Sie sich vergewissern, dass alle implementierten L\u00f6sungen Ihren Anforderungen entsprechen und in Ihrer spezifischen Umgebung funktionieren.<\/p>\n
Methode 1: Verwendung der Ereignisanzeige und des Task-Planers f\u00fcr die GUI-basierte Automatisierung<\/h2>\n
Die Windows-Ereignisanzeige kann verwendet werden, um die Weiterleitung von Ereignisprotokolleintr\u00e4gen mit Hilfe des Windows-Taskplaners zu automatisieren. Gehen Sie wie folgt vor:<\/p>\n
- \n
- \u00d6ffnen Sie die Windows-Ereignisanzeige \u00fcber das Startmen\u00fc oder durch Ausf\u00fchren von\u00a0eventvwr.msc<\/strong>\u00a0\u00fcber das Dialogfeld Ausf\u00fchren<\/li>\n
- Suchen Sie das gew\u00fcnschte Ereignis im Protokoll (z. B.\u00a0Windows > System > Ereignis-ID 1001<\/strong>\u00a0f\u00fcr Absturzberichte)<\/li>\n
- Klicken Sie mit der rechten Maustaste<\/strong>\u00a0auf das Ereignis und w\u00e4hlen Sie\u00a0Aufgabe an dieses Ereignis anh\u00e4ngen…<\/strong>\u00a0und geben Sie der Aufgabe einen\u00a0Namen<\/strong><\/li>\n<\/ul>\n
![\"Taskleiste](\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2025\/09\/image4.png\")
<\/h2>\n![\"Erstellen](\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2025\/09\/image6.png\")
<\/p>\n- \n
- Wenn Sie aufgefordert werden, eine\u00a0Aktion<\/strong>\u00a0auszuf\u00fchren, w\u00e4hlen Sie\u00a0Starten Sie ein Programm<\/strong>\u00a0(Sie k\u00f6nnen stattdessen auch eine E-Mail senden oder eine Nachricht anzeigen, diese Aktionen sind jedoch veraltet)<\/li>\n<\/ul>\n
![\"Option](\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2025\/09\/image5.png\")
<\/h2>\n- \n
- Geben Sie den Pfad zum Programm oder Skript sowie alle Argumente ein<\/li>\n<\/ul>\n
![\"Ein](\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2025\/09\/image8.png\")
<\/h2>\n![\"Finish-Option\"](\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2025\/09\/image7.png\")
<\/h2>\n- \n
- Best\u00e4tigen Sie die Angaben und klicken Sie auf\u00a0Fertigstellen<\/strong><\/li>\n<\/ul>\n
Diese Aufgabe wird dann jedes Mal, wenn das Ereignis eintritt, mit den Details des Ereignisses ausgef\u00fchrt. Bei dem Programm oder Skript, das Sie als Aktion verwenden, kann es sich um einen Client eines Drittanbieters handeln, der Benachrichtigungen sendet, oder um ein Skript, das Diagnosen durchf\u00fchrt und dann Dienste neu startet, bevor es eine Benachrichtigung sendet oder die Diagnosedaten an einen anderen Dienst weiterleitet.<\/p>\n
Methode 2: Verwendung von PowerShell f\u00fcr zentralisierte \u00dcberwachung und Reaktion<\/h2>\n
Sie k\u00f6nnen alternativ ein PowerShell-Skript verwenden, um nach bestimmten Ereignissen zu suchen und Warnungen zu senden, wie im folgenden Beispielskript gezeigt:<\/p>\n
$Events = Get-WinEvent -FilterHashtable @{LogName=’Security‘; ID=4625; StartTime=(Get-Date).AddMinutes(-5)}<\/strong><\/p>\n
foreach ($e in $Events) {<\/strong><\/p>\n
$Nachricht = $e.Nachricht<\/strong><\/p>\n
# Benutzerdefinierte Aktion: E-Mail senden, Ablauf ausl\u00f6sen oder in externes Protokoll schreiben<\/strong><\/p>\n
Send-MailMessage -To ‚admin@example.com‘ -From ‚alerts@example.com‘ -Subject ‚Failed Login Attempt‘ -Body $message -SmtpServer ’smtp.example.com‘<\/strong><\/p>\n
}<\/strong><\/p>\n
Hier wird das Cmdlet\u00a0Get-WinEvent<\/a>\u00a0verwendet, um nach Ereignissen mit der angegebenen ID (in diesem Fall\u00a04625<\/strong>\u00a0f\u00fcr eine fehlgeschlagene Anmeldung) aus den letzten 5 Minuten zu suchen. Beachten Sie nochmals, dass Send-MailMessage veraltet ist und Sie sich stattdessen auf Ihre RMM-Benachrichtigung oder APIs f\u00fcr Slack oder andere Benachrichtigungsdienste in der Produktion verlassen sollten.<\/p>\n
Sie k\u00f6nnen entweder den Taskplaner oder das Cmdlet\u00a0Register-ScheduledTask<\/a>\u00a0verwenden, um die Ausf\u00fchrung dieses Vorgangs zu automatisieren (indem Sie festlegen, dass er in dem im Skript festgelegten Intervall ausgef\u00fchrt wird). Sie k\u00f6nnen das Skript auch \u00fcber eine RMM-L\u00f6sung wie NinjaOne oder \u00fcber Gruppenrichtlinien bereitstellen.<\/p>\n
Methode 3: Verwendung der Eingabeaufforderung f\u00fcr die manuelle Abfrage oder das Ausl\u00f6sen eines Skripts<\/h2>\n
Sie k\u00f6nnen die Erstellung neuer Protokolleintr\u00e4ge auch mit\u00a0wevtutil<\/a>\u00a0in der Windows-Eingabeaufforderung oder mit einer Batch-Datei erkennen.<\/p>\n
Der folgende Befehl verwendet wevtutil, um nach Ereignissen mit der ID\u00a04625<\/strong>\u00a0zu suchen, und gibt den letzten passenden Eintrag zur\u00fcck:<\/p>\n
wevtutil qe Sicherheit „\/q:*[System[(EventID=4625)]]“ \/c:1 \/f:text<\/strong><\/p>\n
Dieser Befehl kann vom Taskplaner oder von einem Batch- oder PowerShell-Skript ausgel\u00f6st werden. Er erm\u00f6glicht es Ihnen, den letzten \u00fcbereinstimmenden Protokolleintrag f\u00fcr eine Ereignis-ID auf verschiedene Bedingungen zu pr\u00fcfen und bei Bedarf weitere Ma\u00dfnahmen auszul\u00f6sen.<\/p>\n
Methode 4: Verwendung von Gruppenrichtlinien f\u00fcr richtlinienbasierte Protokollweiterleitung und Auditing<\/h2>\n
Gruppenrichtlinien in Active Directory<\/a>\u00a0k\u00f6nnen verwendet werden, um die Weiterleitung von Ereignisprotokollen auf Computern, die einer Windows-Dom\u00e4ne angeh\u00f6ren, zu aktivieren und zu konfigurieren. Gehen Sie wie folgt vor:<\/p>\n
- \n
- \u00d6ffnen Sie die Verwaltungskonsole f\u00fcr Gruppenrichtlinien<\/li>\n
- Navigieren Sie zu\u00a0Computerkonfiguration > Verwaltungsvorlagen > Windows-Komponenten > Ereignisweiterleitung<\/strong><\/li>\n
- Konfigurieren Sie den\u00a0Konfigurieren Sie den Ziel-Abonnementmanager (definieren Sie die Collector-URI)<\/strong>,\u00a0Aktivieren Sie die Ereignisweiterleitung<\/strong>\u00a0und\u00a0Verwenden Sie\u00a0<\/strong>WinRM<\/strong><\/a>\u00a0f\u00fcr sichere Kommunikation<\/strong>\u00a0Einstellungen<\/li>\n<\/ul>\n
![\"Konfigurieren](\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2025\/09\/image2.png\")
<\/h2>\nDie Durchsetzung von \u00dcberpr\u00fcfungsrichtlinien kann konfiguriert werden, indem Sie zu\u00a0Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte \u00dcberpr\u00fcfungsrichtlinienkonfiguration > System\u00fcberpr\u00fcfungsrichtlinien<\/strong>\u00a0navigieren und \u00dcberpr\u00fcfungsrichtlinien f\u00fcr Ereignisse wie Anmeldeereignisse und Objektzugriff aktivieren. Protokollgr\u00f6\u00dfe, Aufbewahrungs- und \u00dcberschreibungsrichtlinien k\u00f6nnen optional auch \u00fcber Gruppenrichtlinien konfiguriert werden.<\/p>\n
![\"Editor](\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2025\/09\/image1-5.png\")
<\/p>\nVerwenden der Windows-Registrierung zum Festlegen von Gr\u00f6\u00dfe, Aufbewahrung und Verhalten des Ereignisprotokolls<\/h2>\n
Sie k\u00f6nnen die Protokollgr\u00f6\u00dfe und -aufbewahrung mit dem Windows-Registrierungseditor steuern, indem Sie die Registrierungswerte imSchl\u00fcssel<\/a>\u00a0EventLog<\/a>\u00a0unter\u00a0HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Eventlog\\<LogName><\/strong><\/p>\n
- \n
- MaxSize (DWORD):<\/strong>\u00a0Maximale Protokollgr\u00f6\u00dfe in Bytes<\/li>\n
- Aufbewahrung (DWORD):<\/strong>\u00a01\u00a0= \u00dcberschreiben nach Bedarf,\u00a00\u00a0= nicht \u00fcberschreiben<\/li>\n
- AutoBackupLogFiles (DWORD):<\/strong>\u00a01\u00a0= aktiviert,\u00a00\u00a0= deaktiviert<\/li>\n<\/ul>\n
![\"Registry](\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2025\/09\/image3.png\")
<\/h2>\nSie k\u00f6nnen PowerShell verwenden, um diese Registrierungswerte festzulegen und Ihr Skript \u00fcber Gruppenrichtlinien oder Ihre Endpunktverwaltungsplattform bereitzustellen:<\/p>\n
Set-ItemProperty -Path „HKLM:\\SYSTEM\\CurrentControlSet\\Services\\Eventlog\\Security“ -Name MaxSize -Value 104857600<\/strong><\/p>\n
Zus\u00e4tzliche \u00dcberlegungen und Fehlerbehebung<\/h2>\n
Bei der Implementierung Ihrer Windows-Ereignisprotokoll-Weiterleitung oder \u00dcberwachungsl\u00f6sung sollten Sie je nach Szenario und Anforderungen auch einige der folgenden Faktoren ber\u00fccksichtigen:<\/p>\n
- \n
- Einschr\u00e4nkungen bei der Weiterleitung von Protokollen:<\/strong>\u00a0Native Weiterleitung ist Pull-basiert und nicht in Echtzeit, daher ist es am besten, Skripting oder SIEM zu verwenden, wenn Live-Warnungen erforderlich sind<\/li>\n
- Protokollgr\u00f6\u00dfe:<\/strong>\u00a0\u00dcberwachen Sie die Protokollgr\u00f6\u00dfe und -aufbewahrung, um das \u00dcberschreiben relevanter Daten zu vermeiden<\/li>\n
- Sicherheitsprotokolle:<\/strong>\u00a0Diese wichtigen Protokolle sollten gesichert und\/oder zur Analyse in ein SIEM aufgenommen werden<\/li>\n
- Automatisierungsh\u00e4ufigkeit:<\/strong>\u00a0Verwenden Sie einen ausgewogenen Zeitplan (z. B. 5-min\u00fctige Abfrageintervalle), um die Auswirkungen auf die Leistung zu minimieren<\/li>\n<\/ul>\n
Wenn Sie feststellen, dass sich Ihre L\u00f6sung zur Ereignis\u00fcberwachung nicht wie erwartet verh\u00e4lt, sollten Sie dies \u00fcberpr\u00fcfen:<\/p>\n
- \n
- Ereignisweiterleitung funktioniert nicht:<\/strong>\u00a0WinRM-Status und Firewall-Regeln \u00fcberpr\u00fcfen<\/li>\n
- Skripte l\u00f6sen nicht aus:<\/strong>\u00a0\u00dcberpr\u00fcfen Sie, ob die Ereignis-ID \u00fcbereinstimmt und ob das Benutzerkonto \u00fcber die richtigen Berechtigungen verf\u00fcgt<\/li>\n
- Fehlende oder unvollst\u00e4ndige Protokolle:<\/strong>\u00a0\u00dcberpr\u00fcfen Sie die Aufbewahrungsrichtlinien und stellen Sie sicher, dass die Protokolle nicht \u00fcberschrieben werden<\/li>\n
- Skriptberechtigungen:<\/strong>\u00a0Stellen Sie sicher, dass die PowerShell-Skriptausf\u00fchrungsrichtlinie die Ausf\u00fchrung unsignierter Skripts zul\u00e4sst<\/li>\n<\/ul>\n
Zentralisierte \u00dcberwachung des Windows-Ereignisprotokolls ohne komplexe Skripte<\/h2>\n
- Skripte l\u00f6sen nicht aus:<\/strong>\u00a0\u00dcberpr\u00fcfen Sie, ob die Ereignis-ID \u00fcbereinstimmt und ob das Benutzerkonto \u00fcber die richtigen Berechtigungen verf\u00fcgt<\/li>\n
- Protokollgr\u00f6\u00dfe:<\/strong>\u00a0\u00dcberwachen Sie die Protokollgr\u00f6\u00dfe und -aufbewahrung, um das \u00dcberschreiben relevanter Daten zu vermeiden<\/li>\n
- Aufbewahrung (DWORD):<\/strong>\u00a01\u00a0= \u00dcberschreiben nach Bedarf,\u00a00\u00a0= nicht \u00fcberschreiben<\/li>\n
- Konfigurieren Sie den\u00a0Konfigurieren Sie den Ziel-Abonnementmanager (definieren Sie die Collector-URI)<\/strong>,\u00a0Aktivieren Sie die Ereignisweiterleitung<\/strong>\u00a0und\u00a0Verwenden Sie\u00a0<\/strong>WinRM<\/strong><\/a>\u00a0f\u00fcr sichere Kommunikation<\/strong>\u00a0Einstellungen<\/li>\n<\/ul>\n
- Best\u00e4tigen Sie die Angaben und klicken Sie auf\u00a0Fertigstellen<\/strong><\/li>\n<\/ul>\n
- Geben Sie den Pfad zum Programm oder Skript sowie alle Argumente ein<\/li>\n<\/ul>\n
- Suchen Sie das gew\u00fcnschte Ereignis im Protokoll (z. B.\u00a0Windows > System > Ereignis-ID 1001<\/strong>\u00a0f\u00fcr Absturzberichte)<\/li>\n
- \u00d6ffnen Sie die Windows-Ereignisanzeige \u00fcber das Startmen\u00fc oder durch Ausf\u00fchren von\u00a0eventvwr.msc<\/strong>\u00a0\u00fcber das Dialogfeld Ausf\u00fchren<\/li>\n