# Windows Event Logging: Analyse & Enterprise Monitoring

TL;DR / Management Summary Der Event Viewer (eventvwr.msc) ist das primäre Werkzeug zur Diagnose von Systemfehlern, Sicherheitsverletzungen und Applikations-Crashes. Ein Senior Admin wühlt sich nicht manuell durch tausende Einträge, sondern beherrscht Benutzerdefinierte Ansichten (Custom Views), das Filtern via XML und die zentrale Log-Aggregation mittels Windows Event Forwarding (WEF).

# 1. Einführung & Architektur

Die Struktur der Logs.

Windows speichert Ereignisse im .evtx Format. Es gibt drei Hauptebenen:

System: Hardware-Fehler, Treiber-Probleme, Windows-Update-Events.
Application: Crashes von Programmen (z.B. Outlook, Teams).
Security: Logins, Privilege Elevation, Firewall-Drops.

# Architektur-Übersicht (Mermaid)

graph TD
    KERNEL[Windows Kernel / Apps] -->|Raise Event| EVT_SVC[Event Log Service]
    EVT_SVC -->|Write| EVTX_FILES[C:\Windows\System32\winevt\Logs]
    EVTX_FILES -->|View| GUI[Event Viewer]
    EVTX_FILES -->|Query| PS[Get-WinEvent]
    EVT_SVC -->|Forward| COLLECTOR[SIEM / WEF Collector]

# 2. Event Analysis in der Praxis

Nadel im Heuhaufen finden.

# Filtern wie ein Profi

Nutzen Sie den Button “Aktuelles Protokoll filtern…”.

Ereignisquellen: Filtern Sie gezielt nach Disk, Ntfs oder Service Control Manager.
Ereignis-IDs: Jedes Problem hat eine ID (z.B. 1074 für System-Shutdown).

# PowerShell: Die CLI-Power

Vergessen Sie die langsame GUI bei großen Logfiles.

# Zeigt die letzten 10 Fehler aus dem System-Log an
Get-WinEvent -LogName System -MaxEvents 10 | Where-Object {$_.LevelDisplayName -eq "Error"}

# Suche nach einem spezifischen Keyword
Get-WinEvent -FilterHashtable @{LogName='System'; Keywords=0x8000000000000000}

# 3. Deep Dive: Windows Event Forwarding (WEF)

Zentrale Log-Aggregation.

In einer Enterprise-Umgebung wollen Sie nicht auf 100 Clients einzeln schauen.

Mechanismus: Der Client (“Source”) sendet seine Logs aktiv an einen zentralen Windows Server (“Collector”).
Vorteil: Keine Agent-Installation nötig, nutzt Kerberos-Verschlüsselung und HTTPS.
Security: Wenn ein Angreifer Logs auf dem Client löscht, sind sie am Collector bereits sicher gespeichert.

# 4. Day-2 Operations: Log-Hygiene

Wenn die Logs die Disk füllen.

Standardmäßig haben Logs ein Größenlimit (z.B. 20 MB). Wenn dieses erreicht ist, werden alte Einträge überschrieben.

Empfehlung: Erhöhen Sie das Limit für das Security Log via GPO auf mindestens 128 MB oder 256 MB für forensische Zwecke.

# 5. Troubleshooting & “War Stories”

Wenn die Suche ins Leere läuft.

# Top 3 Fehlerbilder

Symptom: “Ereignisprotokolldienst ist nicht verfügbar”.
- Lösung: Dienst EventLog prüfen. Wenn dieser nicht startet, ist oft die Dateisystem-Berechtigung auf C:\Windows\System32\winevt\Logs korrupt.
Symptom: Zu viele “Schrott-Events” (Noise).
- Ursache: Zu aggressives Auditing (z.B. Dateizugriffe auf Verzeichnisse mit vielen Kleinstdateien).
- Lösung: Audit-Policies via auditpol.exe anpassen.
Symptom: Logs lassen sich nicht via Netzwerk lesen.
- Lösung: Dienst “Remoteereignisprotokollverwaltung” und Firewall-Port (TCP 135 + dynamische RPC Ports) prüfen.

# “War Story”: Der schweigende Neustart

Ein Server startete sporadisch neu, aber dmesg (in der Proxmox Konsole) zeigte nichts. Die Lösung: Wir filterten das System-Log nach Event-ID 1074 (Shutdown) und 6008 (Unexpected Shutdown). Ergebnis: ID 1074 nannte den Prozess C:\Program Files\OldBackup\tool.exe als Initiator. Ein veralteter Backup-Agent versuchte ein Update und löschte dabei versehentlich den Kernel-Service, was den Reboot triggerte.

# 6. Monitoring & Alerting

Logs in Echtzeit auswerten.

# Integration in Prometheus / Grafana

Nutzen Sie den windows_exporter mit dem eventlog Collector.

Metric: windows_eventlog_record_count.
Alert: Wenn innerhalb von 5 Minuten mehr als 10 Disk Fehler (ID 7, 11, 55) auftreten -> Disk-Ausfall droht!

# 7. Fazit & Empfehlung

Logs sind das Logbuch Ihres Kapitäns.

Empfehlung: Meistern Sie die XML-Filterung im Event Viewer. Sie erlaubt es, komplexe Abfragen (z.B. “Zeige alle Logins von User X zwischen 2 und 4 Uhr morgens”) schnell auszuführen.
Tool-Tipp: Nutzen Sie den Microsoft Message Analyzer (Legacy) oder Azure Sentinel für die Cloud-Analyse Ihrer Logs.

# Anhang: Die wichtigsten Event-IDs für Admins

ID	Log	Bedeutung
4624	Security	Erfolgreicher Login
4625	Security	Fehlgeschlagener Login (Attacke?)
1074	System	Geplanter Shutdown/Reboot
6008	System	Unerwarteter Shutdown (Strom/BSOD)
7036	System	Dienst Status-Änderung
1000	Application	Applikations-Absturz (Crash)