Zum Hauptinhalt springen

Ereignisprotokoll-Monitor

Warnung, wenn bestimmte Windows-Event-IDs eine definierte Anzahl von Malen innerhalb eines festgelegten Zeitfensters angezeigt werden.

Heute aktualisiert

Überwachen Sie das Windows-Ereignisprotokoll auf spezifische Ereignis-IDs und erhalten Sie eine Warnung, wenn diese zu häufig angezeigt werden. Der Ereignisprotokoll-Monitor wird aktiviert, wenn ein übereinstimmendes Ereignis eine definierte Anzahl von Malen innerhalb Ihres gewählten Zeitfensters auftritt — nützlich zum Erkennen von Brute-Force-Anmeldeversuchen, Anwendungsabstürzen, Festplattenfehlern und anderen Mustern, die nur im Volumen wichtig sind.

ℹ️ HINWEIS: Der Ereignisprotokoll-Monitor unterstützt derzeit nur Windows. Die Unterstützung für macOS und Linux wird in einer zukünftigen Aktualisierung verfügbar sein.

Ereignisprotokoll-Monitor

Level überwacht das Windows-Ereignisprotokoll auf abgedeckten Geräten auf alle von Ihnen angegebenen Ereignis-IDs. Wenn sich die übereinstimmenden Ereignisse auf Ihre Vorkommen-Zahl innerhalb des Dauer-Fensters akkumulieren, wird eine Warnung ausgelöst.

Die Kombination von Vorkommen und Dauer macht dies nützlich. Die Ereignis-ID 4625 (fehlgeschlagene Anmeldung), die einmal angezeigt wird, ist nicht bemerkenswert. Zehn Mal in einer Minute zu erscheinen ist ein Brute-Force-Versuch, der sofort Maßnahmen verdient.

Konfiguration des Ereignisprotokoll-Monitors

Öffnen Sie die Zielmonitor-Richtlinie, dann fügen Sie einen Ereignisprotokoll-Monitor hinzu oder bearbeiten ihn. Das Bedienfeld Monitor bearbeiten wird auf der rechten Seite geöffnet.

Name und Typ

  1. Geben Sie einen Namen in das Feld Name ein. Beziehen Sie die Ereignis-ID und das, was sie darstellt, ein — « Fehlgeschlagene Anmeldeversuche (4625) » ist sofort in einer Warnliste lesbar.

  2. Stellen Sie Typ auf Ereignisprotokoll ein.

Schweregrad

Stellen Sie Schweregrad basierend darauf ein, was die Ereignis-IDs im Kontext darstellen:

  • Information

  • Warnung

  • Kritisch

  • Notfall

Ereignis-IDs

Geben Sie eine oder mehrere Windows-Ereignis-IDs ein, die überwacht werden sollen. Geben Sie eine ID ein und drücken Sie Tab oder fügen Sie ein Komma hinzu, um sie als Tag hinzuzufügen, und fahren Sie dann mit der Eingabe von mehr fort.

Ereignis-IDs

💡 TIPP: Sie können mehrere verwandte Ereignis-IDs in einem einzigen Monitor überwachen. Zum Beispiel, gruppieren Sie alle fehlgeschlagenen Authentifizierungs-Ereignis-IDs (4625, 4771, 4776) in einem Monitor, anstatt für jede separate Monitore zu erstellen.

Protokollname

Geben Sie den Namen des zu überwachenden Windows-Ereignisprotokolls ein. Bei dem Feld wird die Groß- und Kleinschreibung nicht beachtet. Häufige Werte:

  • Sicherheit — Sicherheits- und Anmeldeereignisse

  • System — Ereignisse auf Betriebssystemebene, Hardware, Treiber

  • Anwendung — von Anwendungen generierte Ereignisse

Protokollname

Quelle

Quelle ist optional. Geben Sie einen Quellennamen ein, um den Monitor auf Ereignisse von einer bestimmten Anwendung oder Komponente innerhalb des Protokolls zu beschränken. Lassen Sie leer, um die Ereignis-IDs über alle Quellen in diesem Protokoll hinweg zu vergleichen.

Quelle

Ebenen

Wählen Sie eine oder mehrere Ereignisprotokoll-Ebenen aus, die verglichen werden sollen. Nur Ereignisse auf den ausgewählten Ebenen werden auf Ihren Vorkommen-Schwellenwert angerechnet:

  • Information

  • Warnung

  • Fehler

  • Kritisch

  • Ausführlich

Klicken Sie auf die Dropdown-Liste, um Ebenen hinzuzufügen. Klicken Sie auf × neben einer Ebenen-Schaltfläche, um sie zu entfernen. Klicken Sie auf das × auf der rechten Seite des Feldes, um alle Auswahl zu löschen.

Ebenen

ℹ️ HINWEIS: Windows-Ereignisprotokoll-Ebenen und Level-Warnungsschweregrad sind getrennte Konzepte. Das Feld Ebenen filtert, welche Ereignisprotokolleinträge gezählt werden; Schweregrad setzt die Priorität der Warnung, die Level erstellt.

Vorkommen

Vorkommen bestimmt, wie viele übereinstimmende Ereignisse im Dauer-Fenster erkannt werden müssen, bevor eine Warnung ausgelöst wird. Verwenden Sie die Pfeile nach oben/unten, um den Wert einzustellen.

Vorkommen

Dauer

Dauer legt das Zeitfenster für das Zählen von Vorkommen fest. Mit dem Einheiten-Dropdown können Sie Minuten oder Stunden wählen; der Schieberegler und die Pfeile nach oben/unten legen den Wert innerhalb dieser Einheit fest.

Dauer

💡 TIPP: Passen Sie das Dauer-Fenster an das Bedrohungsmodell an. Fehlgeschlagene Anmeldungen werden am besten über ein kurzes Fenster überwacht (z.B. 10 Fehler in 30 Minuten), um aktive Angriffe zu erkennen. Anwendungsabstürze könnten ein breiteres Fenster verwenden (z.B. 5 Abstürze in 1 Stunde), um Warnungen bei isolierten Vorfällen zu vermeiden.

Automatische Auflösung

Warnung automatisch auflösen, falls nicht mehr anwendbar ist für Ereignisprotokoll-Monitore standardmäßig deaktiviert. Ereignisbasierte Warnungen repräsentieren etwas, das bereits passiert ist — sie haben keinen « aktuell breached »-Status, der automatisch gelöscht werden kann, daher bedeutet das Deaktivieren der automatischen Auflösung, dass Warnungen bestehen bleiben, bis ein Techniker sie überprüft und auflöst.

Automatische Auflösung

Abhilfe

Fügen Sie eine oder mehrere Automatisierungen an, die ausgeführt werden, wenn dieser Monitor ausgelöst wird — isolieren Sie ein Gerät, setzen Sie ein Benutzerkonto zurück, erstellen Sie ein Ticket oder benachrichtigen Sie Ihr Team.

  1. Klicken Sie auf das Feld Abhilfe und wählen Sie eine Automatisierung aus.

  2. Um mehr hinzuzufügen, klicken Sie auf + Weitere Abhilfe hinzufügen.

  3. Um eine zu entfernen, klicken Sie auf das × daneben.

ℹ️ HINWEIS: Abhilfen werden bei der Alarmauslösung ausgeführt, nicht bei ihrer Auflösung.

Benachrichtigungen

  • Benachrichtigungen bei Alarmauslösung senden — Empfänger der Richtlinie erhalten eine E-Mail, wenn der Alarm ausgelöst wird

  • Benachrichtigungen bei Alarmauflösung senden — Empfänger der Richtlinie erhalten eine E-Mail, wenn der Alarm aufgelöst wird

Empfänger werden auf Monitor-Richtlinien-Ebene in der Abteilung Empfänger verwaltet.

Benachrichtigungen

Speichern des Monitors

Klicken Sie auf Monitor aktualisieren, um Änderungen zu speichern, oder Monitor hinzufügen, wenn Sie einen neuen hinzufügen.

FAQ

  • Wer kann Monitore erstellen und bearbeiten? Techniker mit Zugriff auf die relevante Monitor-Richtlinie. Berechtigungseinstellungen werden unter Arbeitsbereich → Berechtigungen verwaltet.

  • Wo finde ich Ereignis-IDs für die Ereignisse, die ich überwachen möchte? Die Windows-Ereignisanzeige ist die schnellste Methode — finden Sie ein Ereignis, das Sie überwachen möchten, öffnen Sie seine Eigenschaften, und die Ereignis-ID wird dort aufgelistet. Die Dokumentation von Microsoft und Sicherheitsreferenzen wie die Windows-Sicherheitsprotokoll-Enzyklopädie sind auch für häufige Sicherheitsereignis-IDs hilfreich.

  • Kann ich die gleiche Ereignis-ID mit verschiedenen Vorkommen-Schwellenwerten überwachen? Ja — erstellen Sie separate Monitore für jeden Schwellenwert. Zum Beispiel ein Monitor für 3 fehlgeschlagene Anmeldungen in 1 Stunde (Warnung) und ein anderer für 10 in 1 Minute (Kritisch).

  • Funktioniert der Ereignisprotokoll-Monitor auf macOS oder Linux? Nein — das Windows-Ereignisprotokoll ist eine reine Windows-Funktion. Für protokollbasierte Überwachung auf macOS oder Linux verwenden Sie einen Script-Monitor, der Systemprotokolle direkt ausliest.

  • Was passiert mit offenen Ereignisprotokoll-Warnungen, wenn ich den Monitor lösche? Vorhandene Warnungen bleiben bestehen. Das Löschen eines Monitors schließt Warnungen, die er bereits erstellt hat, nicht — lösen Sie diese manuell.

Verwandte Artikel
Monitore überprüfen
Erste Schritte mit Monitoren
Festplattenspeicher-Monitor
Prozessmonitor
Service Monitor
Hat dies deine Frage beantwortet?