EventCombMT
Ein sehr hilfreiches Tool von Microsoft ist "EventCombMT", welches sowohl in den "AltTools" als auch im Windows 2003 Resource Kit zu finden ist. Das Windowsprogramm tut nichts anderes, als entsprechende Einträge im Eventlog über mehrere Server hinweg zu suchen und anzuzeigen. Dies ist z.B.: hilfreich, wenn Sie viele gleichartige Server ohne Überwachung haben und z.B.: nach einem bestimmen Fehler suchen. Beispiele:
- -1018 Fehler
Sie haben viele Exchange Server und möchten alle Eventlogs aller Exchange Server nach einem -1018-Fehler durchsuchen. So geht es - Anmeldefehler
Ein Anwender meldet, dass er sich nicht anmelden kann. Dann ist es erforderlich, alle Sicherheitseventlogs der Domain Controller nach diesem Fehler zu durchsuchen. - WindowsUpdate und anderes
Auch im Eventlog wird z.B.: protokolliert, ob der Virenscanner ein Patternupdate erhalten hat oder - Serverneustart
Nicht einfacher als nach "Server wurde ungeplant heruntergefahren" im Eventlog zu suchen. - PublicFolderRechte
Exchange 2000/2003 muss die MAPI-Rechte von Exchange 5.x in Windows ACLs konvertieren. Und schlägt sich in einem 9551-Fehler (siehe 9551-Melder)im Anwendungseventlog nieder. Mit EventCombMT finden Sie diese Fehler sehr schnell.
Natürlich kann EventCombMT nicht nur Exchange Eventlogs auswerten. Sie können nach allen Arten von Events in einem Eventlog suchen.
EventCombMT GUI
EventCombMT hat eine relative einfache Eingabemaske. Nach Eingabe oder Auswahl der Domäne können Sie die Server auswählen, das Eventlog und den Typ und dann nach EventIDs und Texten filtern.
"Search" startet dann die Suche durch alle ausgewählten Server und Eventlogs.
Nachteile von EventCombMT
Allerdings bedeutet EventCombMT immer, dass das Programm sich mit allen Servern verbindet und das Eventlog durchsucht. Sie benötigen zwar keinen Agenten, aber die Performance und Netzwerkbelastung ist gerade bei WAN-Verbindungen schlecht und wenn ein Server nicht mehr online ist, dann sehen Sie natürlich auch nicht, was vorher war. Daher sollten Sie schon nach anderen Lösungen für das Management von Servern schauen. Um aber mal schnell einen Überblick zu erhalten ist EventCombMT gut geeignet.
Links
- EventCombMT finden Sich in den "ALTOOLS" (ca. 800kb)
- http://www.microsoft.com/downloads/details.aspx?FamilyID=7af2e69c-91f3-4e63-8629-b999adde0b9e&DisplayLang=en
-
Eventtriggers
http://technet.microsoft.com/en-us/library/bb490901.aspx
Windows Bordmittel um Programm abhängig von Events zu starten -
Wevtutil utility
http://technet2.microsoft.com/windowsserver2008/en/library/d4c791e0-7e59-45c5-aa55-0223b77a48221033.mspx -
Auditpol
http://technet2.microsoft.com/windowsserver2008/en/library/a02cfb9d-732f-4e77-aeba-f18265daa3af1033.mspx?mfr=true - 921469 How to use Group Policy to configure detailed security auditing settings für Windows Vista-based and Windows Server 2008-based computers in a Windows Server 2008 domain, in a Windows Server 2003 domain, or in a Windows 2000 domain
- 9551-Melder
- MSXFAQ - Skript Eventlog überwachen
- Quick Forensics of Windows Event Logs (DeepBlueCLI)
https://github.com/sans-blue-team/DeepBlueCLI - Chainsaw: Rapidly Search and Hunt through Windows Forensic Artefacts
https://github.com/WithSecureLabs/chainsaw - Quick Forensics of Windows Event Logs (DeepBlueCLI)
https://www.youtube.com/watch?v=G8XjSO_eshc