Windows: Ereignisanzeige, Systemprotokoll und Sicherheitsprotokoll unter der Lupe
Windows komplett durchleuchtet
Die Ereignisanzeige, die Sie über Start/Systemsteuerung/ Computerverwaltung aufrufen (alternativ geht das auch über den Befehl Start/Ausführen/ compmgmt.msc), ist ein praktisches Werkzeug, das Administratoren und erfahrenen Anwendern bei der Ermittlung und der Diagnose von Systemfehlern hilft. Vereinfacht ausgedrückt handelt es sich bei der Ereignisanzeige um das System-Logbuch, das alle Aktionen unter XP mitprotokolliert. Im Anwendungsprotokoll (Windows\ system32\config\AppEvent.Evt) finden sich alle Einträge, die im Zusammenhang mit Anwendungen stehen, beispielsweise dem Office-Paket oder dem Security-Center. Treten Softwareprobleme auf ? etwa Programmabstürze ? listet das Anwendungsprotokoll diese fehlerhaften Ereignisse detailliert auf.
Einträge im Systemprotokoll (SysEvent.evt) drehen sich um Geräte, Dienste und Treiber, die aufgrund einer fehlerhaften Konfiguration nicht gestartet werden konnten. Kann beispielsweise beim Hochfahren des Systems ein bestimmter Treiber nicht geladen werden, oder schlägt der Zugriff auf das DVD-Laufwerk fehl, legt Windows XP einen entsprechenden Eintrag im Systemprotokoll an.
Das Sicherheitsprotokoll (SecEvent.evt) listet Ereignisse auf, die im Zusammenhang mit der Systemsicherheit stehen. Erlaubte und verweigerte Anmeldeversuche gehören ebenso dazu, wie Dateimanipulationen, etwa das Öffnen und Löschen von Dateien. Zu beachten ist, dass das Sicherheitsprotokoll ? imGegensatz zum Anwendungs- und Systemprotokoll ? in der Grundeinstellung deaktiviert ist. Zudem ist die Überwachung von Objektzugriffen ausschließlich unter der Professional-Variante von Windows XP möglich, daWin XP Home keine NTFS-Zugriffsberechtigungen unterstützt.
Schritt 1 Um die Sicherheitsprotokollierung zu aktivieren, melden Sie sich mit Administratorrechten am System an und wählen Start/Systemsteuerung/ Verwaltung/Lokale Sicherheitslinie.
Schritt 2 Öffnen Sie Lokale Richtlinien/Überwachungsrichtlinien und doppelklicken Sie auf den Eintrag Objektzugriffsversuche überwachen.
Schritt 3 Im folgenden Dialog stehen Ihnen die beiden Optionen Erfolgreich und Fehlgeschlagen zur Auswahl. In der täglichen Praxis ist es ratsam, beide Optionen auszuwählen.