<p>In der Ereignisanzeige werden vom System und Anwendungen Informationen abgelegt, mit deren Hilfe sich Fehler leichter aufspⁿren lassen. Ggf. lassen sich auch Aktionen auf gewisse Ereignisse ausl÷sen.</p>
<p>Die Ereignisanzeige rufen Sie bei NT ⁿber <b>eventvwr.exe</b> und ab Windows 2000 ⁿber die MMC auf (<b>eventvwr.msc</b>).</p>
<p>Je nach installieren Anwendungen finden Sie in der Ereignisanzeige folgende Abschnitte:</p>
<p>Hier landen alle Informationen, die etwas mit der Sicherheit zu tun haben. Fⁿr die meisten EintrΣge muss vorher die Sicherheitsprotokollierung aktiviert werden.</p>
<p>Hier kann man Informationen ⁿber Probleme des Replikationsdienstes finden.</p>
</td>
</tr>
</table>
<p>Diese Liste kann von entsprechenden Anwendungen/Diensten erweitert werden. Fⁿr jeden Eintrag kann ⁿber die<u> rechte</u> Maustaste ein Kontextmenⁿ aufgerufen werden ("rechte Maustaste" -> "Eigenschaften").</p>
<p>Auf der ersten Seite sehen Sie unter "Protokollname" den Speicherort und den Namen der Datei, Sie k÷nnen hier die Datei jederzeit an einen anderen Speicherort Ort verlegen.</p>
<p>Weiterhin k÷nnen Sie unter Protokollgr÷▀e die max. Gr÷▀e der Datei festlegen und konfigurieren, wie das System verfahren soll, wenn diese Gr÷▀e erreicht wird.</p>
<p>Besondere Beachtung muss dabei auf die Einstellungen "<i style="font-weight: bold;">Ereignisse ⁿberschreiben, die Σlter als xx Tage sind</i>" und "<i style="font-weight: bold;">Ereignisse nie ⁿberschreiben</i>" gelegt werden.</p>
<p>Ist nΣmlich die max. Gr÷▀e erreicht und das System kann nichts mehr in die Logdatei schreiben (Protokoll ist voll gelaufen), hΣlt das System an. Hier muss man die Protokollgr÷▀e regelmΣ▀ig ⁿberprⁿfen.</p>
<p> </p>
<h2>Wo werden die Dateien abgelegt?</h2>
<p>StandardmΣ▀ig werden die Dateien unter "<b>%SYSTEMROOT%\system32\config</b>" abgelegt. Der aktuelle Speicherort kann unter Eigenschaften (siehe oben) oder auch in der Registry geΣndert werden:</p>
<p>Hier finden Sie fⁿr jedes Protokoll einen weiteren Schlⁿssel. Innerhalb dieses Schlⁿssels finden Sie den Wert "<b>File</b>", wo der Pfad zur Protokolldatei festgelegt wird.</p>
<p> </p>
<h2>Wo finde ich Informationen zu den Event-IDs?</h2>
<p>Im Internet gib es 2 wichtige Adressen, wo Sie weitere Informationen zu den EreigniseintrΣgen finden.</p>
<p>Beschreibung und Links zu MS Artikeln fⁿr die IDs: <a href="http://www.eventid.net/" target="_blank">http://www.eventid.NET/</a></p>
<p>Weiterhin finden Sie bei MS noch einige Informationen, hier k÷nnen Sie auch eine Excel-Datei mit vielen Event-IDs herunterladen:</p>
<p>Hier einmal eine kurze Auflistung einiger IDs und Ihrer Bedeutung:</p>
<table border="2" cellpadding="2">
<col style="width: 77px;" />
<col />
<tr>
<td bgcolor="#c0c0c0" align="LEFT">
<p class="htmlmen"><b>Event-ID</b>
</p>
</td>
<td width="1000" bgcolor="#c0c0c0">
<p class="htmlmen"><b>Beschreibung</b>
</p>
</td>
</tr>
<tr>
<td align="LEFT">
<p>1001</p>
</td>
<td width="1000">
<p>EnthΣlt Informationen, wenn ein Memory-Dump erstellt wurde</p>
</td>
</tr>
<tr>
<td align="LEFT">
<p>1074</p>
</td>
<td width="1000">
<p>Neu ab XP und .NET, enthΣlt den Grund fⁿr den Systemabschluss (wird von User abgefragt und eingeben)</p>
</td>
</tr>
<tr>
<td align="LEFT">
<p>6005</p>
</td>
<td width="1000">
<p>Kommt auch beim Systemstart und besagt, dass das Ereignisprotokoll gestartet wurde</p>
</td>
</tr>
<tr>
<td align="LEFT">
<p>6006</p>
</td>
<td width="1000">
<p>Wird bei einem Systemabschluss geschrieben, wenn das Ereignisprotokoll beendet wurde</p>
</td>
</tr>
<tr>
<td align="LEFT">
<p>6008</p>
</td>
<td width="1000">
<p>Wenn das System unerwartet gestartet wurde, wird hier anhand eines Zeitstempels der ungefΣhre Zeitpunkt des Absturzes eingetragen.</p>
</td>
</tr>
<tr>
<td align="LEFT">
<p>6009</p>
</td>
<td width="1000">
<p>Kommt beim Systemstart und enthΣlt unteren anderen Informationen ⁿber das Betriebssystem</p>
</td>
</tr>
</table>
<p> </p>
<h2>Wie kann ich auf Event-IDs automatisch reagieren?</h2>
<p>MS stellt dafⁿr ein <u>kostenpflichtiges</u> Tool "<b>Microsoft Operations Manager</b>" (MOM) zur Verfⁿgung. Mit diesem Tool k÷nnen Sie Reaktionen auf Ereignisse konfigurieren. MS hat hierfⁿr schon eine gewisse Anzahl an Filtern vorkonfiguriert. Weitere Informationen zum MOM finden Sie unter: <a href="http://www.microsoft.com/mom" target="_blank">http://www.microsoft.com/mom</a>.</p>
<p>Es gibt aber auch <u>kostenfreie</u> M÷glichkeiten:</p>
<p>Mit dem Tool "<b>Eventquery.vbs</b>" (ab .NET) wird Ihnen ein beispielsweise ein Visual Basic Script geliefert, mit welchen Sie Ereignisse abfragen k÷nnen.</p>
<p>Weit mehr M÷glichkeiten bietet das Tool "<b>Eventtriggers.exe</b>". Mit diesem Tool k÷nnen Sie Trigger konfigurieren, die bei einem bestimmten Ereignis einen Befehl ausfⁿhren (EXE, Batch). Sie k÷nnen mit dem Tool</p>
<ul style="list-style-type: circle;">
<li value="1">Trigger erstellen (create)</li>
<li value="2">Trigger wieder l÷schen (delete)</li>
<p>Weiterhin gibt es noch das Tool "<b>eventquery.pl</b>" (im Resource Kit 2000 Supplement 1)</p>
<p>Mit diesem Perl-Script, k÷nnen Sie Informationen aus der Ereignisprotokoll abfragen. Dafⁿr muss aber Perl auf Ihrem System installiert sein. Weitere Informationen dazu finden Sie <a href="http://support.microsoft.com/?kbid=317381" target="_blank">http://www.microsoft.com/mom</a></p>
<p> </p>
<h2>Wie kann ich eigene Ereignisse erzeugen?</h2>
<p>Mit dem Tool "<b>logevent.exe</b>" aus dem Resource Kit k÷nnen eigene Events im Anwendungsprotokoll erstellt werden.</p>
<p>Weiterhin gibt es ab .NET Server das Tool "<b>eventcreate.exe</b>". Sie haben auch hier die M÷glichkeit, Ereignisse ins System- oder Anwendungsprotokoll zu schreiben.</p>