Verwendung der Ereignisanzeige in Windows Server 2016

Eines der nützlichsten Tools für Administratoren oder Personen, die mit den Servern in unserer Domäne interagieren, ist die Ereignisanzeige. Dank der Ereignisanzeige haben wir alle Informationen zu den Ereignissen auf unseren Servern zur Hand .

Sie können auch die folgenden Lernprogramme lesen, die für einen Administrator hilfreich sind, der die Bedingungen steuert und überwacht:

Anzeigen von Benutzern, die sich bei Windows Server 2016 anmelden

Aufzeichnen und Überwachen von Änderungen, die in Active Directory vorgenommen wurden .

Was ist die Ereignisanzeige in Windows Server?

Die Ereignisanzeige ist eine Ergänzung zur Microsoft-Konsole, mit der wir jedes Ereignis, das im System in verschiedenen Bereichen wie Windows-Registern, Sicherheit usw. auftritt, zentral verwalten können. Deshalb ist es sehr nützlich, eine gewisse Kontrolle darüber zu haben, was in der Organisation passiert.

1. So öffnen Sie die Ereignisanzeige in Windows Server 2016

Um die Ereignisanzeige in Windows Server 2016 zu öffnen, haben wir zwei Möglichkeiten:

Option 1:

In dieser Option verwenden wir den Befehl Ausführen, um diesen Befehl zu öffnen, verwenden wir die Tastenkombination:

Bild gesendet + R

Und dort werden wir den Begriff eingeben:

 eventvwr

Und hier endet diese Option.

Option 2:

Hier verwenden wir den Server Administrator . Öffnen Sie das Menü Extras und wählen Sie die Option Ereignisanzeige .

Egal welcher Option wir folgen, wir werden am selben Ort ankommen.

2. Ereignisanzeigeumgebung in Windows Server 2016

Sobald wir die Ereignisanzeige öffnen, sehen wir das folgende Fenster:

In der Ereignisanzeige haben wir folgende Möglichkeiten:

Benutzerdefinierte Ansichten

Über diese Option können wir Ansichten gemäß unseren Anforderungen erstellen und können auch Ereignisse anzeigen, die bei Serverrollen wie DNS, Remotedesktop usw. auftreten.

Um die Ereignisse einer dieser Rollen anzuzeigen, doppelklicken Sie einfach und sehen Sie jedes der Rolle zugeordnete Ereignis.

Windows-Register

Dies ist möglicherweise die von uns allen am häufigsten verwendete Option, da bei dieser Option Ereignisse im Zusammenhang mit folgenden Themen auftreten: Sicherheit, Anwendung, System, Installation usw.

Im mittleren Bereich sehen wir die Art des Ereignisses, die Anzahl der darin enthaltenen Ereignisse und die Größe. Wie wir auf der Registerkarte Windows-Registrierung sehen können, sehen wir Ereignisse für verschiedene Kategorien:

Bewerbung

Enthält Ereignisse, die von Anwendungen oder Programmen generiert wurden.

Sicherheit

Diese Ereignisse stehen im Zusammenhang mit Faktoren wie Anmeldungen, Erstellen, Bearbeiten oder Löschen von Dateien und anderen Parametern.

Installation

Dieses Ereignis zeichnet alle Ereignisse im Zusammenhang mit der Anwendungsinstallation auf.

System

In diesem Feld können wir alle Ereignisse beobachten, die mit den Komponenten des Windows-Systems verbunden sind.

Weitergeleitete Ereignisse

In diesem Feld können Ereignisse gespeichert werden, die auf Remote-Computern aufgezeichnet wurden.

Um die Ereignisse in den Windows-Registern zu visualisieren, genügt ein Doppelklick auf den gewünschten Bereich und die entsprechenden Ereignisse werden dort angezeigt.

Anwendungs- und Serviceprotokolle

In diesem Feld finden Sie alle Ereignisse, die mit den Diensten der Domäne und den Anwendungen von Internet Explorer, Windows PowerShell DNS usw. in Zusammenhang stehen.

Um die Ereignisse anzuzeigen, doppelklicken Sie einfach auf das Ereignis, um es zu überprüfen.

Abonnements

In diesem Feld werden alle Ereignisse angezeigt, die mit den Abonnements verknüpft sind, die wir mit Microsoft verknüpft haben.

Wie wir gesehen haben, haben wir beim Anzeigen eines Ereignisses verschiedene Optionen. Jetzt werden wir uns ansehen, wie ein Ereignis zusammengesetzt ist.

3. Grundlegendes zu einem Ereignis in der Windows Server 2016-Ereignisanzeige

In diesem Fall sehen wir die Ereignisse in der Gruppe “Windows Logs” , wir nehmen ein Ereignis aus der Sicherheitsgruppe.

Bei der Auswahl eines Ereignisses sehen wir im unteren Teil eine detaillierte Beschreibung des Ereignisses, wir haben die folgenden:

Registrierungsname : Gibt die Gruppe an, zu der das Ereignis gehört.

Herkunft : Hier erfahren Sie, woher das Ereignis stammt.

Ereignis-ID : Gibt die Ereignis- ID an, die die Steuerung übernehmen soll.

Level : In dieser Option können wir sehen, um welche Art von Ereignis es sich handelt.

Benutzer : Wir können den Benutzer sehen, der das Ereignis generiert hat.

Registriert : Zeigt Datum und Uhrzeit der Veranstaltung an.

Aufgabenkategorie : Gibt die Aktion an, die im Ereignis ausgeführt wurde.

Team : Bezieht sich auf das Team, in dem das Ereignis präsentiert wurde.

4. Verwalten Sie Aufgaben mit Ereignissen

Da wir wissen, wie man eine Datei visualisiert, werden wir einige Aufgaben sehen, die wir ausführen können, um sie zu verwenden. Wir können auf der rechten Seite sehen, dass wir einige Alternativen haben, um das Management von Ereignissen zu verbessern. Schauen wir uns die Dateifilterung an .

Um einen Dateifilter zu erstellen, wählen Sie die Option Aktuellen Datensatz filtern. Es wird ein neues Fenster angezeigt. Hier können Sie die Bedingungen definieren, unter denen unsere Ereignisse gefiltert werden sollen. In diesem Fall suchen wir nach allen Ereignissen mit der ID 4634 in den letzten 12 Stunden.

Klicken Sie auf OK und wir werden die entsprechenden Ergebnisse sehen.

Wie wir sehen können, können wir die Ereignisse auch nach ihrer Ebene filtern oder angeben, welcher Benutzer das Ereignis war.

5. So erstellen Sie benutzerdefinierte Ansichten

Es ist möglich, dass wir irgendwann unsere eigenen Ansichten eines Ereignisses erstellen möchten. Dazu wählen wir die Option Benutzerdefinierte Ansicht erstellen und sehen, dass sich ein weiteres Fenster öffnet. Dort geben wir die Parameter ein, mit denen wir die Ansicht erstellen möchten, wir können Ereignis-IDs, Ereignisstufen usw. angeben. In diesem Fall wählen wir die Warn- und Informationsebenen.

Wir drücken OK und müssen unserer benutzerdefinierten Ansicht einen Namen zuweisen:

Jetzt können wir unsere neue Ansicht mit dem Namen TechnoWikis im benutzerdefinierten Ansichtsmenü mit den entsprechenden Ergebnissen sehen.

Die anderen Optionen, die wir in der Ereignisanzeige haben, sind:

Suche : Ermöglicht die Suche nach einem Ereignis oder einem Schlüsselwort.

Datensatz leeren : Ermöglicht das Löschen aller Ereignisse einer Gruppe.

Benutzerdefinierte Ansicht importieren: Wir können Dateien im HTML-Format importieren, um sie Abfragen hinzuzufügen.

Benutzerdefinierte Ansicht exportieren: Wir können die benutzerdefinierten Ansichtsdaten im XML-Format exportieren.

Eigenschaften : Hier können wir die Eigenschaften eines bestimmten Ereignisses anzeigen.

Wie wir in der Ereignisanzeige sehen, haben wir die Möglichkeit, alles, was passiert, jederzeit auf dem Server zu verwalten.

6. Verwenden Sie Windows PowerShell, um Ereignisse in Windows Server 2016 anzuzeigen

Bisher haben wir gesehen, wie die Ereignisanzeige im Grafikmodus mit ihren zahlreichen Optionen verwendet wird. Lassen Sie uns nun untersuchen, wie wir die Ereignisse mit Windows PowerShell anzeigen können . Mit Windows PowerShell haben wir mehrere Optionen zur Verfügung, um die Ereignisse in Windows Server 2016 zu visualisieren.

Rufen Sie die Liste der Ereignisse ab

Um die Liste der in Windows Server 2016 registrierten Ereignisse abzurufen, verwenden wir das Cmdlet :

 Get-EventLog-Liste

Und wir können die Liste der Ereignisse, die Größe, Ereignisstufe, Anzahl der Ereignisse usw. angibt, detailliert anzeigen.

Abrufen von Ereignissen aus einem bestimmten Ereignisprotokoll

Um die Ereignisse einer bestimmten Gruppe anzuzeigen, müssen Sie das folgende Cmdlet eingeben:

 Get-EventLog -list | Where-Object {$ _. Logdisplayname -eq "Group_Name"}

In diesem Beispiel werden die Ereignisse in der DNS-Servergruppe angezeigt. Geben Sie daher Folgendes ein:

 Get-EventLog -list | Where-Object {$ _. Logdisplayname -eq "DNS Server"}

Erhalten Sie die neuesten Ereignisse einer bestimmten Gruppe

Um die letzten Ereignisse zu erhalten, die in einer bestimmten Gruppe präsentiert wurden, verwenden wir die folgende Syntax:

 Get-EventLog Group_name -newest Number_of_events

In diesem Fall werden die letzten 5 Ereignisse in der Systemgruppe angezeigt. Geben Sie Folgendes ein:

 Get-EventLog-System -newest 5

Zeigen Sie die Ereignisse einer Gruppe an

Mit dem folgenden Cmdlet können Sie alle Ereignisse einer bestimmten Gruppe anzeigen und analysieren:

 Get-EventLog Group_Name

In diesem Fall sehen wir die Ereignisse, die sich in der Systemgruppe befinden, und geben Folgendes ein:

 Get-EventLog-System

So erhalten Sie spezifische Informationen zu den neuesten Ereignissen einer Gruppe

Mit dem Cmdlet:

 Get-EventLog Group_Name -newest Number_of_events | Format-Liste

Wir können detaillierte Informationen über die neuesten Ereignisse einer bestimmten Gruppe erhalten. Wir werden die Informationen der letzten 6 Ereignisse der Anwendungsgruppe sehen.

 Get-EventLog Application -newest 6 | Format-Liste

Zeigen Sie die Ereignisse einer bestimmten ID an

Wenn wir Ereignisse mit einer bestimmten ID in Windows PowerShell anzeigen möchten, müssen wir das folgende Cmdlet verwenden:

 Get-EventLog "Windows PowerShell" | Where-Object {$ _. EventID -eq EVENT_ID}

Hinweis

Das Feld “Windows PowerShell kann durch den erforderlichen Wert, DNS, Active Directory usw. geändert werden.

In diesem Beispiel werden alle Ereignisse mit der ID 403 visualisiert:

 Get-EventLog "Windows Powerhell" | Where-Object {$ _. EventID -eq 403}

Zusätzliche Parameter in Windows PowerShell

Zusätzlich zu dem, was wir gesehen haben, gibt es eine Option, die wir hinzufügen können, um Ereignisse zu visualisieren und zu verwalten. Dies ist der Out-GridView- Parameter. Wir können das folgende Beispiel verwenden:

 Get-EventLog-System | Out-GridView

Wir werden sehen, dass das folgende Fenster angezeigt wird, in dem wir die Kriterien für die Ereignisse bearbeiten können.

Wie wir sehen können, gibt es interessante Alternativen, die Windows PowerShell zum Anzeigen von Ereignissen in Windows Server 2016 verwenden.

7. Zu beachtende Ausweise

Einige der wichtigsten IDs, die wir für die Verwaltung unserer Server verwenden können, sind folgende:

4774 Ein Anmeldekonto wurde zugewiesen.
4775 Es konnte kein Anmeldekonto zugewiesen werden.
4776 Das Team hat versucht, die Anmeldeinformationen eines Kontos zu überprüfen.
4777 Fehler beim Überprüfen der Anmeldeinformationen für ein Konto auf dem Domänencontroller.
4783 Eine Gruppe von Basisanwendungen wurde erstellt.
4784 Eine Gruppe grundlegender Anwendungen wurde geändert.
4785 Ein Mitglied wurde zu einer Gruppe von Basisanwendungen hinzugefügt.
4786 Ein Mitglied einer Gruppe von Basisanwendungen wurde entfernt.
4787 Es wurde nicht zu einer Gruppe von Basisanwendungen hinzugefügt.
4788 Nicht-Mitglied einer Gruppe von Basisanwendungen entfernt.
4789 Eine Gruppe von Basisanwendungen wurde entfernt.
4790 Eine LDAP-Abfragegruppe wurde erstellt.
4791 Eine Gruppe grundlegender Anwendungen wurde geändert.
4792 Eine LDAP-Abfragegruppe wurde gelöscht.
4741 Ein Teamkonto wurde erstellt.
4742 Ein Teamkonto wurde geändert.
4743 Ein Teamkonto wurde gelöscht.
4744 Eine lokale Gruppe wurde mit deaktivierter Sicherheit erstellt.
4745 Eine lokale Gruppe wurde mit deaktivierter Sicherheit geändert.
4746 Ein Mitglied wurde zu einer lokalen Gruppe mit deaktivierter Sicherheit hinzugefügt.
4747 Ein Mitglied einer lokalen Gruppe mit deaktivierter Sicherheit wurde entfernt.
4748 Eine lokale Gruppe mit deaktivierter Sicherheit wurde entfernt.
4749 Eine globale Gruppe wurde mit deaktivierter Sicherheit erstellt.
4750 Eine globale Gruppe wurde mit deaktivierter Sicherheit geändert.
4751 Ein Mitglied wurde einer globalen Gruppe mit deaktivierter Sicherheit hinzugefügt.
4752 Ein Mitglied einer globalen Gruppe mit deaktivierter Sicherheit wurde entfernt.
4753 Eine globale Gruppe mit deaktivierter Sicherheit wurde entfernt.
4759 Es wurde eine universelle Gruppe mit deaktivierter Sicherheit erstellt.
4760 Eine universelle Gruppe wurde mit deaktivierter Sicherheit geändert.
4761 Ein Mitglied wurde zu einer universellen Gruppe mit deaktivierter Sicherheit hinzugefügt.
4762 Ein Mitglied einer universellen Gruppe mit deaktivierter Sicherheit wurde entfernt.
4720 Ein Benutzerkonto wurde erstellt.
4722 Ein Benutzerkonto wurde aktiviert.
4723 Es wurde versucht, das Kennwort für das Konto zu ändern.
4724 Es wurde versucht, das Kennwort für das Konto zurückzusetzen.
4725 Ein Benutzerkonto wurde deaktiviert.
4726 Ein Benutzerkonto wurde gelöscht.
4738 Ein Benutzerkonto wurde geändert.
4740 Ein Benutzerkonto wurde gesperrt
4689 Ein Prozess ist beendet.
4928 Es wurde ein Active Directory-Replikationsquellennamenskontext erstellt.
4929 Ein Kontext von Active Directory-Replikationsquellennamen wurde entfernt.
4930 Ein Active Directory-Replikationsquellennamenskontext wurde geändert.
4931 Ein Active Directory-Replikationszielnamenskontext wurde geändert.
4934 Attribute eines Active Directory-Objekts wurden repliziert.
4935 Replikationsfehler beginnt.
4936 Replikationsfehler endet.
4937 Ein beständiges Objekt wurde aus einem Replikat entfernt.

Bisher haben wir gesehen, wie wichtig es ist, mit der Windows- Ereignisanzeige umzugehen , da dies uns das Abrufen von Informationen und die Kontrolle innerhalb des Unternehmens erleichtert. Hier hinterlassen wir ein sehr vollständiges und nützliches Tutorial:

Windows Server überwachen