Zusammenfassung der Technologie für das Lesen und Verwalten von Ereignisprotokollen

Artikel
12/17/2007

Anwendungen protokollieren Ereignisse in Ereignisprotokollen, um Informationen, Warnungen und Fehlermeldungen aufzuzeichnen, damit Systemadministratoren, Kundendienstmitarbeiter, Tools und Endbenutzer den Zustand und Aktionen der Anwendung überwachen können. Unter Verwendung der Klassen im System.Diagnostics.Eventing.Reader-Namespace können Sie Informationen aus Ereignissen, Ereignisprotokollen und Anwendungen, die Ereignisse protokollieren (Ereignisanbieter), abrufen und ebenfalls Ereignisprotokolleigenschaften konfigurieren. Diese Klassen können nur auf Computern verwendet werden, auf denen eins der Betriebssysteme Windows Vista oder Windows Server 2008 ausgeführt wird. Eine Liste der Szenarien, in denen die Ereignisprotokollklassen verwendet werden, finden Sie unter Ereignisprotokollszenarien. Weitere Informationen zum Zugriff auf Ereignisprotokollinformationen unter Windows Server 2003, Windows XP oder Windows 2000 finden Sie unter https://go.microsoft.com/fwlink/?LinkId=99047.

Ereignisse

Jedes Ereignis enthält eine Informations-, Warn- oder Fehlermeldung. Ereignisse enthalten außerdem Eigenschaften wie die Stufe (Schweregrad) des Ereignisses, den Namen des Ereignisanbieters, von dem das Ereignis protokolliert wurde, und die Uhrzeit der Ereignisprotokollierung. Ereignisse werden durch EventLogRecord-Objekte dargestellt. Um also eine vollständige Liste von Ereigniseigenschaften zu erhalten, zeigen Sie die Member der EventLogRecord-Klasse an.

Jedes Ereignis kann mit XML-Code dargestellt werden, wobei die Ereigniseigenschaften und die Ereignismeldung in XML-Elementen definiert werden. Verwenden Sie zum Abrufen des Ereignis-XML-Codes die ToXml-Methode. Weitere Informationen zu Ereignissen und Ereignis-XML-Code finden Sie unter https://go.microsoft.com/fwlink/?LinkID=94642 und Ereignisabfragen und Ereignis-XML-Code.

Verwenden Sie zum Abrufen einer Ereignismeldung die FormatDescription-Methode. Weitere Informationen und ein Codebeispiel finden Sie unter Verfahrensweise: Abfragen von Ereignissen.

Es gibt vier verschiedene Typen von Ereignissen, die durch die EventLogType-Enumeration definiert werden. Jeder Ereignistyp richtet sich an einen anderen Kreis von Anwendern. Die gängigsten Ereignistypen sind "Operational" und "Administrative".

Ereignisprotokolle

Ein Ereignisprotokoll enthält verwandte Ereignisse, wobei jedes Protokoll nur einen Typ von Ereignissen enthalten kann. Ereignisprotokolle können in EVTX-Dateien gespeichert (archiviert) werden. Diese können dann später gelesen und programmgesteuert oder über die Ereignisanzeige abgefragt werden. Die Windows-Protokolle sind für die Speicherung von Ereignissen aus Legacyanwendungen (für Windows XP, Windows Server 2003 oder Windows 2000 entwickelte Anwendungen) sowie für Ereignisse, die sich auf das gesamte System beziehen, gedacht.

Windows-Protokoll	Beschreibung
Anwendung	Das Anwendungsprotokoll enthält von Anwendungen und Programmen protokollierte Ereignisse. So kann beispielsweise ein Datenbankprogramm einen Dateifehler im Anwendungsprotokoll aufzeichnen. Welche Ereignisse protokolliert werden, wird vom Programmentwickler entschieden.
Sicherheit	Das Sicherheitsprotokoll enthält Ereignisse, wie z. B. gültige und ungültige Anmeldeversuche, sowie Ereignisse im Zusammenhang mit der Ressourcenverwendung, wie z. B. das Erstellen, Öffnen oder Löschen von Dateien oder anderen Objekten. Administratoren können angeben, welche Ereignisse im Sicherheitsprotokoll aufgezeichnet werden. Wenn beispielsweise die Anmeldungsüberwachung aktiviert ist, werden Anmeldeversuche beim System im Sicherheitsprotokoll aufgezeichnet.
System	Das Systemprotokoll enthält von Windows-Systemkomponenten protokollierte Ereignisse. So wird beispielsweise ein Fehler beim Laden eines Treibers oder einer anderen Systemkomponente während des Starts im Systemprotokoll aufgezeichnet. Die von Systemkomponenten protokollierten Ereignistypen sind durch Windows vorbestimmt.
Setup	Das Setupprotokoll enthält Ereignisse im Zusammenhang mit dem Einrichten von Anwendungen.
Weitergeleitete Ereignisse	Das Protokoll für weitergeleitete Ereignisse wird zum Speichern von Ereignissen verwendet, die von Remotecomputern erfasst werden.

Anwendungs- und Dienstprotokolle sind eine andere Kategorie von Ereignisprotokollen als die Windows-Protokolle. In den Anwendungs- und Dienstprotokollen werden eher Ereignisse aus einer einzelnen Anwendung oder Komponente als Ereignisse mit möglicherweise systemweiten Auswirkungen protokolliert. Diese Protokolle können verschiedene Namen haben, die vom jeweiligen Ereignisanbieter definiert werden. Viele Ereignisprotokolle fallen in diese Kategorie. Zum Durchsuchen der verfügbaren Ereignisprotokolle verwenden Sie die im Abschnitt "Tools" genannten Tools.

Die Ereignisprotokolle der Kategorie "Anwendungs- oder Dienstprotokoll" sind gemäß der Definition durch die EventLogType-Enumeration in vier Typen unterteilt: "Administrative", "Operational", "Analytic" und "Debug". Ereignisse in Protokollen vom Typ "Administrative" sind besonders für IT-Experten interessant, die Probleme mithilfe der Ereignisanzeige behandeln. Ereignisse in Protokollen vom Typ "Administrative" liefern Informationen darüber, wie auf die Ereignisse zu reagieren ist. Ereignisse in Protokollen vom Typ "Operational" sind ebenfalls hilfreich für IT-Experten, müssen aber in der Regel stärker interpretiert werden.

Protokolle vom Typ "Analytic" und "Debug" sind nicht vergleichbar benutzerfreundlich. Protokolle vom Typ "Analytic" speichern Ereignisse, die ein Problem verfolgen, wobei häufig große Mengen von Ereignissen protokolliert werden. Protokolle vom Typ "Debug" werden von Entwicklern zum Debuggen von Anwendungen verwendet. Protokolle vom Typ "Analytic" und "Debug" sind standardmäßig ausgeblendet und deaktiviert.

Verwenden Sie zum Sammeln von Informationen über ein Ereignisprotokoll die EventLogInformation-Klasse. Verwenden Sie zum Konfigurieren von Ereignisprotokolleigenschaften die EventLogConfiguration-Klasse. Jedes Ereignisprotokoll enthält eine SecurityDescriptor-Eigenschaft, die bestimmt, welche Benutzer das Protokoll lesen und darauf zugreifen dürfen. Jedes Protokoll verfügt außerdem über eine Eigenschaft, die maximale Größe des Protokolls steuert (die MaximumSizeInBytes-Eigenschaft). Jedes Protokoll verfügt über eine weitere Eigenschaft, die steuert, wie Ereignisse behandelt werden, wenn das Ereignisprotokoll voll ist (die LogMode-Eigenschaft). Weitere Informationen zum Konfigurieren von Ereignisprotokollen finden Sie unter Verfahrensweise: Konfigurieren und Lesen von Ereignisprotokolleigenschaften.

Ereignisanbieter

Eine Anwendung, die ein Ereignis protokolliert, wird als Ereignisanbieter bezeichnet. Ein Ereignisanbieter identifiziert die Ereignisprotokolle, in denen er Ereignisse veröffentlichen kann, und definiert darüber hinaus die Ereignisse, die er veröffentlichen kann. Jeder Ereignisanbieter ist durch einen Namen und eine GUID (Globally Unique Identifier) eindeutig identifiziert. Informationen über einen Ereignisanbieter können Sie mithilfe der ProviderMetadata-Klasse sammeln. Die Events-Eigenschaft dieser Klasse ruft eine Sammlung aller Ereignisse ab, die vom Anbieter veröffentlicht werden können. Diese Ereignisobjekte sind durch die EventMetadata-Klasse definiert. Weitere Informationen zum Zugreifen auf Ereignisanbieterdaten finden Sie unter Verfahrensweise: Abrufen von Informationen über Ereignisanbieter.

Mithilfe der Klassen im System.Diagnostics.Eventing.Reader-Namespace kann kein Ereignisanbieter erstellt werden. Weitere Informationen zum Erstellen eines Ereignisanbieters finden Sie unter Developing Event Publishers.

Tools

Um von der Befehlszeile aus auf Ereignisprotokollinformationen zuzugreifen, verwenden Sie das Tool WevtUtil.exe. Dieses Tool befindet sich im Verzeichnis %SystemRoot%\System32. Hilfe zum Tool WevtUtil.exe erhalten Sie mit dem Befehl wevtutil /?.

Um über eine grafische Benutzeroberfläche auf Ereignisprotokollinformationen zuzugreifen, verwenden Sie die Ereignisanzeige. Die Ereignisanzeige ist ein MMC-Snap-In (Microsoft Management Console), mit dem Benutzer Ereignisprotokolle durchsuchen und verwalten können. Mit der Ereignisanzeige können auch Anwendungen getestet werden, die Ereignisprotokollfunktionen verwenden. Weitere Informationen zum Verwenden und Starten der Ereignisanzeige finden Sie unter Event Viewer Overview.