Wie kann ich diesen Sensor nutzen, um einen Systemneustart herauszufinden?
Lösung:
Windows schreibt zwar den eigentlichen Systemstart nicht in die Ereignisanzeige aber dennoch werden beim Systemstart einige Dienste mit gestartet und dort protokolliert - so auch der Dienst der Ereignisanzeige. Hier eine kurze Erklärung, wie du den Start im Sensor "Ereignisanzeige Abfrage" überwachen kannst:
- Starte die Windows Ereignisanzeige (beispielsweise über den Befehl eventvwr)
- Wähle in der linken Baumstruktur "Ereignisanzeige (Lokal) -> Windows-Protokolle -> System"
- Klicke nun ganz rechts auf "Aktuelles Protokoll filtern..."
- In der Regel werden bei einem Systemstart die Ereignisse mit der ID 6009 und 6005 nacheinander geschrieben. Diese nutzen wir nun für das Erstellen einer Abfrage. Stelle außerdem einen zu überwachenden Zeitraum ein, beispielsweise 24 Stunden.
- Wechsel nun auf das Tab "XML", markiere den gesamten Inhalt des Textfensters und kopiere diesen mit Strg + C.
- Füge den kopierten Inhalt im "Ereignisanzeige Abfrage"-Sensor in das Feld "Abfrage" und setze "Protokoll-Namen" auf System.
- Jetzt noch auf "Speichern" klicken und der Sensor ist fertig konfiguriert.
Ein weiteres Anwendungsszenario, wie sich beispielsweise eine Backup-Software einbinden lässt, die in das Eventlog schreibt, findest du im Server-Eye-Blog unter www.server-eye.de/blog