Ereignisüberwachung

Ein Ereignis ist ein beliebiges signifikantes Vorkommnis im System oder in einer Anwendung. Manche kritischen Ereignisse werden als Meldungen auf dem Bildschirm ausgegeben. Ein Ereignis, das nicht ein sofortiges Eingreifen erfordert, wird in einem Ereignisprotokoll aufgezeichnet. Das Protokollieren von Ereignissen wird automatisch jedesmal gestartet, wenn Sie das Programm SunLink Server starten. Mit Hilfe eines Ereignisprotokolls, das Sie im SunLink Server Manager anzeigen, können Sie verschiedene Probleme beheben und Ereignisse im Zusammenhang mit den SunLink Server-Sicherheitsfunktionen überwachen.

SunLink Server zeichnet Ereignisse in den folgenden Protokolltypen auf:

• Systemprotokoll - Enthält Ereignisse, die von den Komponenten des SunLink Server-Systems notiert werden. Wird zum Beispiel während des Systemstarts ein Dienst nicht gestartet, so wird dies im Systemprotokoll festgehalten. Welche Arten von Ereignissen von den Systemkomponenten protokolliert werden, ist durch das Programm SunLink Server festgelegt.

• Sicherheitsprotokoll - Kann gültige und ungültige Anmeldeversuche sowie Ereignisse im Zusammenhang mit der Ressourcennutzung, also z. B. dem Erstellen, Öffnen oder Löschen von Dateien und anderen Objekten, enthalten.

• Anwendungsprotokoll - Erhält von Anwendungen protokollierte Ereignisse. Ein Datenbankprogramm würde z. B. einen Dateifehler im Anwendungsprotokoll vermerken. Welche Ereignisse überwacht werden, legt der Anwendungsentwickler fest.

System- und Anwendungsprotokolle können von allen Benutzern angezeigt werden. Sicherheitsprotokolle sind dagegen nur den Systemadministratoren zugänglich.

Interpretieren von Ereignissen

Ereignisprotokolle bestehen aus einem Vorspann, einer Beschreibung des Ereignisses (basierend auf dem Ereignistyp) und zusätzlichen Daten. Die meisten Sicherheitsprotokolleinträge bestehen aus dem Vorspann und einer Beschreibung.

In SunLink Server Manager werden die Ereignisse aus den einzelnen Protokollen getrennt angezeigt. Jede Zeile enthält Informationen zu einem Ereignis, einschließlich Datum, Uhrzeit, Quelle, Kategorie, Ereignis-ID, Benutzerkonto und Computername.

Ereignisvorspann

Ein Ereignisvorspann enthält die folgenden Informationen:

• Datum - Das Datum, an dem das Ereignis eingetreten ist.

• Uhrzeit - Die Uhrzeit, zu der das Ereignis eingetreten ist.

• Quelle - Das Softwaremodul, das das Ereignis protokolliert hat. Dabei kann es sich um einen Anwendungsnamen oder eine Komponente des Systems oder einer großen Anwendung, wie z. B. einen Dienstnamen, handeln.

• Kategorie - Eine Klassifizierung des Ereignisses nach Ereignisquelle. Diese Information wird in erster Linie im Sicherheitsprotokoll verwendet.

• Ereignis - Eine Nummer, die den jeweiligen Ereignistyp kennzeichnet. Die erste Zeile der Beschreibung enthält normalerweise den Namen des Ereignistyps. 6005 ist z. B. die ID des Ereignisses, das eintritt, wenn der Protokolldienst gestartet wird. Die erste Zeile der Beschreibung eines solchen Ereignisses lautet "The Event log service was started". Die Ereignis-ID und die Quelle können von den Mitarbeitern der Produktunterstützung zur Behebung von Systemproblemen verwendet werden.

• Benutzer - Der Benutzername des Benutzers, für den das Ereignis eingetreten ist. Wurde das Ereignis nicht von einem Benutzer protokolliert, wird die Sicherheits-ID der protokollierenden Instanz angezeigt.

• Computer - Der Name des Computers, auf dem das Ereignis eingetreten ist.

Ereignisbeschreibung

Das Format und der Inhalt der Ereignisbeschreibung hängt vom jeweiligen Ereignistyp ab. Die Beschreibung enthält häufig die nützlichsten Informationen, denn sie gibt an, was geschehen ist und wie bedeutsam das Ereignis ist.

Ereignistypen

SunLink Server Manager-Protokolle geben Aufschluß über den Ereignistyp:

• Fehler - Erhebliche Probleme, wie z. B. ein Datenverlust oder der Ausfall von Funktionen. So wird zum Beispiel ein Ereignis des Typs Fehler protokolliert, wenn ein Dienst beim Starten von SunLink Server nicht geladen wurde.

• Warnung - Ereignisse, die nicht unbedingt bedeutsam sind, aber auf mögliche Probleme in der Zukunft hinweisen. Ein Ereignis des Typs Warnung wird z. B. protokolliert, wenn wichtige Ressourcen des Servers fast ausgelastet sind.

• Information - Seltene bedeutsame Ereignisse, die die erfolgreiche Ausführung von Operationen wichtiger Server-Diensten beschreiben. Wenn ein Dienst erfolgreich gestartet wird, wird z. B. ein Ereignis des Typs Information protokolliert.

• Überwachung - Erfolg - Überwachte Zugriffsversuche, die erfolgreich waren. Der erfolgreiche Anmeldeversuch eines Benutzers am System wird zum Beispiel als ein Ereignis des Typs Überwachung - Erfolg protokolliert.

• Überwachung - Fehlschlag - Überwachte Zugriffsversuche, die fehlgeschlagen sind. Wenn ein Benutzer zum Beispiel ohne Erfolg versucht, auf ein Netzwerklaufwerk zuzugreifen, wird der Versuch als ein Ereignis des Typs Überwachung - Fehlschlag protokolliert.

Zusätzliche Daten

Das Datenfeld enthält Binärdaten, die Sie in Form von Bytes oder Wörtern anzeigen können. Diese Informationen werden von der Anwendung generiert, die Quelle des Ereignisses war. Da diese Daten im Hexadezimalformat vorliegen, lassen sie sich nur von jemandem interpretieren, der mit der Quellanwendung vertraut ist.

Anzeigen von Ereignissen in SunLink Server Manager

Zum Auswählen des gewünschten Protokolls wechseln Sie zwischen dem System-, Sicherheits- und Anwendungsprotokoll. Diese Protokolle finden Sie in der Gruppe "Ereignisse" in SunLink Server Manager.

• Auswählen eines Protokolls - Doppelklicken Sie auf das entsprechende Symbol, um die Ereignisse anzuzeigen. Beim ersten Starten von SunLink Server Manager erscheinen zwar die Protokolle für den lokalen Computer, Sie können aber die Protokolle für jeden SunLink Server-Computer anzeigen, nachdem Sie sich an dem jeweiligen Rechner angemeldet haben.

• Aktualisieren der Ansicht - Wenn Sie eine Protokolldatei zum ersten Mal öffnen, zeigt SunLink Server Manager die aktuellen Informationen zu diesem Protokoll an. Diese Informationen werden nicht automatisch aktualisiert. Wenn Sie die neuesten Ereignisse sehen und überschriebene Einträge löschen wollen, wählen Sie den Befehl "Aktualisieren" aus dem Menü "Ansicht" in der Menüleiste.

• Anzeigen von Detailinformationen zu Ereignissen - Für viele Ereignisse können Sie weitere Informationen anzeigen lassen, indem Sie auf das Ereignis doppelklicken. Im Dialogfeld "Ereignis-Details" werden eine Beschreibung des ausgewählten Ereignisses sowie eventuell verfügbare Binärdaten zu dem Ereignis angezeigt. Diese Informationen werden von der Anwendung generiert, die Quelle des Ereignisses war. Da diese Daten im Hexadezimalformat vorliegen, lassen sie sich nur von jemandem interpretieren, der mit der Quellanwendung vertraut ist. Solche Daten werden nicht für alle Ereignisse generiert.

  ---

  Hinweis -

  Um festzulegen, welche Typen von Ereignissen im Zusammenhang mit den Sicherheitsfunktionen überwacht werden, legen Sie mit Hilfe der Windows NT-Hilfsprogramme Richtlinien für die Überwachung fest. Da Sie zum Festlegen der Überwachungsrichtlinien nicht SunLink Server Manager verwenden, enthält dieses Handbuch auch keine entsprechenden Anweisungen.

  ---

Beheben von Problemen mit Hilfe von Ereignisprotokollen

Durch sorgfältiges Überwachen der Ereignisprotokolle lassen sich mögliche Quellen von Problemen im System vorhersagen und identifizieren. Protokolle geben darüber hinaus Aufschluß über Probleme mit Windows NT-Anwendungs-Software. Wenn eine Windows NT-Anwendung abstürzt, können Sie dem Anwendungsprotokoll die Aktivitäten entnehmen, die zu diesem Ereignis geführt haben.

Im folgenden sind einige Richtlinien zum Diagnostizieren von Problemen mit Hilfe von Ereignisprotokollen aufgeführt:

• Ermitteln Sie, wie häufig ein Fehler auftritt. Wenn ein bestimmtes Ereignis mit Systemproblemen zusammenzuhängen scheint, durchsuchen Sie das Ereignisprotokoll, um weitere Instanzen desselben Ereignisses zu finden oder um zu ermitteln, wie häufig ein Fehler auftritt.

• Notieren Sie die Ereignis-IDs. Zu diesen Nummern gibt es eine Beschreibung in einer Quellmeldungsdatei. Die Nummern geben den Mitarbeitern der Produktunterstützung Aufschluß darüber, was im System geschehen ist.

Überwachen der Ereignisse im Zusammenhang mit der SunLink Server-Sicherheitsfunktionen

Die Überwachung aktivieren Sie über das Dialogfeld "Überwachungsrichtlinien" im Windows NT Benutzer-Manager für Domänen. Mittels Überwachung können Sie Ereignisse im Zusammenhang mit den SunLink Server-Sicherheitsfunktionen verfolgen. Sie können festlegen, daß ein Überwachungseintrag in das Sicherheitsereignisprotokoll geschrieben wird, sobald bestimmte Aktionen durchgeführt werden oder auf Dateien zugegriffen wird.

Ein Überwachungseintrag zeigt die aufgetretenen Aktivitäten, den Benutzer, auf den diese zurückgehen, und das Datum und die Uhrzeit der Aktivitäten. Sie können sowohl erfolgreiche als auch fehlgeschlagene Versuche überwachen. Die Überwachungsliste zeigt auch, wer Aktionen im Netzwerk ausgeführt hat und wer versucht hat, unzulässige Aktionen auszuführen.

Ereignisse werden standardmäßig nicht überwacht. Wenn Sie über eine Administratorberechtigung verfügen, können Sie über den Windows NT Benutzer-Manager für Domänen festlegen, welche Typen von Systemereignissen überwacht werden sollen.

Die Überwachungsrichtlinien legen Umfang und Typ der Sicherheitsprotokollierung durch SunLink Server fest. Im Zusammenhang mit Datei- und Objektzugriffen können Sie festlegen, welche Dateien und Drucker und welche Arten des Datei- und Objektzugriffs überwacht werden sollen und für welche Benutzer oder Gruppen die Überwachung gelten soll. Ist zum Beispiel die Datei- und Objektzugriffsüberwachung aktiviert, können Sie über die Registerkarte "Sicherheit" im Eigenschaftendialogfeld einer Datei oder eines Ordners (aufzurufen über den Explorer) festlegen, welche Dateien und welche Arten des Dateizugriffs für diese Dateien überwacht werden.

So überwachen Sie Ereignisse

1. Melden Sie sich über SunLink Server Manager an dem SunLink Server-System an, dessen Ereignisprotokolle Sie anzeigen wollen, und öffnen Sie dann das System.

   Anweisungen finden Sie unter "So melden Sie sich über SunLink Server Manager an". Um Änderungen vorzunehmen, müssen Sie als Root angemeldet sein.

2. Doppelklicken Sie auf "Ereignisse".

   Der folgende Bildschirm wird angezeigt.

   

3. Doppelklicken Sie auf den Namen des Protokolls, das Sie anzeigen wollen.

4. Doppelklicken Sie auf eine beliebige Zeile in dem Protokoll, um weitere Details zu dem Ereignis anzuzeigen.

   Hintergrundinformationen über die Interpretation von Ereignissen finden Sie unter "Interpretieren von Ereignissen".

So überwachen Sie Ereignisse über die Befehlseingabeaufforderung

Mit dem SunLink Server-Befehl elfread können Sie System-, Sicherheits- und Anwendungsprotokolle anzeigen. Dieser Befehl ist besonders bei der Fehlerbehebung in einem SunLink Server-System nützlich, das sich nicht starten läßt. Ereignisse dieses Typs werden normalerweise im Systemprotokoll aufgezeichnet. Normalerweise verwenden Sie den Befehl elfread als Ausweichverfahren zu SunLink Server Manager. Dieses Programm ist das empfohlene Verfahren zum Anzeigen von Protokolldateien, solange der Server läuft.

1. An der SunLink Server-Befehlseingabeaufforderung geben Sie folgendes ein:

elfread [-od] Protokollname

Ersetzen Sie Protokollname durch einen der folgenden Protokolltypen: system, security bzw. application.

Wenn der Inhalt der Protokolldatei mit den ältesten Ereignissen zuerst angezeigt werden soll, verwenden Sie die Option -o. Wenn Sie detaillierte Informationen zu Ereignissen anzeigen wollen, verwenden Sie die Option -d.

Wenn Sie keine Option angeben, wird eine Übersicht über alle Ereignisse im angegebenen Protokoll in umgekehrt chronologischer Reihenfolge angezeigt.

So zeigen Sie SunLink Server-Informationen an

1. Melden Sie sich über SunLink Server Manager an dem SunLink Server-System an, zu dem Sie Informationen anzeigen wollen, und öffnen Sie dann das System.

   Anweisungen finden Sie unter "So melden Sie sich über SunLink Server Manager an". Um Änderungen vorzunehmen, müssen Sie als Root angemeldet sein.

2. Doppelklicken Sie auf "Informationen".

   Der folgende Bildschirm wird angezeigt.

   

   Die in der Informationsansicht angezeigten Daten sind aktuell, werden jedoch nicht automatisch aktualisiert. Um die Ansicht mit den neuesten Daten zu aktualisieren, klicken Sie auf "Aktualisieren" im Menü "Ansicht", oder klicken Sie im Navigationsfensterausschnitt erneut auf "Informationen".

Die folgenden Informationen werden angezeigt:

• Solaris-Benutzername der aktuellen SunLink Server Manager-Sitzung

• Solaris-Server-Name

• Solaris-Hardware-Typ

• Solaris-Version

• Name des SunLink Server-Systems

• Domänenname des SunLink Server-Systems

• Funktion des SunLink Server-Systems (wenn BDC, wird der Name des PDC ebenfalls angezeigt)

• Versionsnummer der SunLink Server-Software

• Status des Servers (Angehalten oder Läuft)

• Status der Datenbankwartung (Geplant oder Nicht geplant)

Im Informationsfenster werden nicht nur wichtige Informationen angezeigt, sondern es enthält auch drei Schaltflächen, über die Sie verschiedene Verwaltungsaufgaben aufrufen können:

• Eigenschaften - Klicken Sie auf diese Schaltfläche, um Änderungen an der Konfiguration des SunLink Server-Systems zu initiieren, einschließlich des Server-Namens, des Domänennamens und der Domänenfunktion. Weitere Erläuterungen dazu sowie entsprechende Anweisungen finden Sie im Abschnitt "Domänenkonfiguration und -verwaltung".

• Status - Je nachdem, ob das Programm SunLink Server läuft oder gestoppt wurde, können Sie mit dieser Schaltfläche das Programm stoppen bzw. starten. Näheres dazu sowie entsprechende Anweisungen finden Sie im Abschnitt "Starten und Stoppen von Diensten".

• Planung - Mit dieser Schaltfläche können Sie Datenbankverwaltungsaufgaben planen bzw. bearbeiten, die vom Programm SunLink Server automatisch ausgeführt werden sollen. Weiteres Einzelheiten hierzu sowie entsprechende Anweisungen finden Sie im Abschnitt "Datenbankwartungsaufgaben".