Windows EventLog mit GPO / Gruppenrichtlinie
Das Windows Event-Log speichert unzählige Informationen über das System und auch auftretende Fehler. Das Windows Eventlog ist wie eine große Datenbank zu sehen und kann in der Standard-Konfiguration zu Datenverlust führen. Denn von Microsoft ist eine Standard-Größe vorgegeben, welche aber mit Gruppenrichtlinien angepasst werden kann. Auch die EventLog Archivierung und der Speicher-Ort der Log-Dateien können mittels GPO geändert werden. Wir zeigen wie man das EventLog mit GPO steuert.
Welche Anpassungen des Windows Eventlogs sind mittels Gruppenrichtlinien (GPO) möglich?
In den Windows Event-Logs gibt es eine Art-Baum Struktur mit mehreren Unter-Verzeichnissen. Die Gruppenrichtlinie muss für jedes Protokoll einzeln gesetzt werden. Die wichtigsten sind folgende:
- Anwendung
- Sicherheit
- Installation
- System
Protokollgröße
Die Protokollgröße ist ein Punkt, welcher konfiguriert werden kann. Seit den 64-bit Systemen gibt es fast keine physikalischen Beschränkungen mehr. Trotzdem sollte die Größe mit Bedacht gewählt werden, denn werden die Protokoll-Dateien zu groß, so kann das Laden einige Zeit in Anspruch nehmen. Microsoft empfiehlt daher die Protokollgröße nicht höher als 4GB zu setzen. Außerdem sollte der Wert aller Logs sollte deswegen nicht 16GB überschreiten.
Protokolle archivieren oder überschreiben?
Ist ein Eventlog voll, so kann man einstellen, was passieren soll. Hier gibt es drei verschiedene Arten, welche definiert werden können:
- Ereignisse bei Bedarf überschreiben (älteste Ereignisse zuerst)
- Volles Protokoll archivieren, Ereignisse nicht überschrieben
- Ereignisse nicht überschrieben (Protokoll manuell löschen)
Ist ein Log tatsächlich auf 4 GB gesetzt, so kann es sehr lange dauern, bis eine Logdatei voll ist. Hat man allerdings ein sehr sensibles und wichtiges System, bei dem man Fehler sehr lange zurück verfolgen möchte, so ist es sinnvoll Protokolle archivieren zu lassen. Hier werden dann neue Protokoll-Dateien angelegt.
Speicherort
Lässt man Protokolle archivieren, wenn diese voll sind, so werden neue Protokoll-Dateien mit der Endung .evtx angelegt. Wenn man diese Logs zentral speichern möchte, so kann man den Protokollpfad ändern.
Eventlog mit GPO / Gruppenrichtlinien definieren
Wie oben schon genannt, lassen sich all diese Einstellungen des Eventlogs per Gruppenrichtlinie steuern. Doch wo findet man die GPO´s? Diese findet man unter der Computerkonfiguration:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Ereignisprotokolldienst
Ist man in diesem Pfad angelangt, son findet man für jede Log-Art (oben genannt) einen eigenen Ordner, welcher dann folgende Gruppenrichtlinien beinhaltet:
- Speicherort der Protokolldatei steuern
- Maximale Protokolldateigröße (KB) angeben
- Volles Protokoll automatisch sichern
- Protokollzugriff konfigurieren
- Verhalten des Ereignisprotokolls steuern, wenn die Protokolldatei ihre Maximalgröße erreicht.