Wie richte ich benutzerdefinierte Ansichten in der Windows Ereignisanzeige ein?
- Öffnen der Ereignisanzeige
- Erstellen einer neuen benutzerdefinierten Ansicht
- Filterkriterien definieren
- Erweiterte Filter verwenden
- Speichern und Anzeigen der benutzerdefinierten Ansicht
- Zusammenfassung
Die Windows Ereignisanzeige ist ein mächtiges Werkzeug zur Überwachung und Analyse von Systemereignissen, Anwendungen und Sicherheitsprotokollen. Oftmals möchte man bestimmte Ereignisse dauerhaft überwachen, ohne immer wieder manuell Filter setzen zu müssen. Hierfür bietet die Ereignisanzeige die Möglichkeit, sogenannte benutzerdefinierte Ansichten zu erstellen.
Öffnen der Ereignisanzeige
Um eine benutzerdefinierte Ansicht einzurichten, muss man zunächst die Ereignisanzeige öffnen. Dies funktioniert am schnellsten über die Suchfunktion im Startmenü, indem man eventvwr eingibt und die Ereignisanzeige öffnet. Alternativ kann man Windows-Taste + R drücken, eventvwr.msc eingeben und mit Enter bestätigen.
Erstellen einer neuen benutzerdefinierten Ansicht
Im linken Navigationsbereich der Ereignisanzeige befindet sich ein Bereich namens Benutzerdefinierte Ansichten. Mit einem Rechtsklick darauf öffnet sich ein Kontextmenü, in dem Sie die Option Benutzerdefinierte Ansicht erstellen... auswählen. Dies öffnet ein neues Fenster, in dem Sie verschiedene Filterkriterien definieren können, um die Ereignisse genau nach Ihren Wünschen einzuschränken.
Filterkriterien definieren
Im Fenster der benutzerdefinierten Ansicht können Sie zunächst den Zeitraum festlegen – das heißt, wie weit zurück die Ereignisse betrachtet werden sollen. Außerdem können Sie bestimmte Ereignislevel auswählen, beispielsweise Fehler, Warnungen oder Informationsmeldungen. Dies hilft dabei, nur relevante Ereignisse anzuzeigen und das Protokoll übersichtlich zu halten.
Weiterhin können Sie bestimmte Protokolle auswählen, zum Beispiel Windows-Protokolle wie System, Anwendung oder Sicherheit. Alternativ können Sie auch Anwendungs- und Dienstprotokolle auswählen, falls Sie nach Ereignissen spezifischer Anwendungen suchen möchten.
Darüber hinaus besteht die Möglichkeit, mit Hilfe von Schlüsselwörtern, Ereignis-IDs, Quellen oder Benutzerkonten gezielt nach bestimmten Kriterien zu filtern. Ereignis-IDs sind eindeutige Kennungen von Ereignissen, welche z.B. für Fehlermeldungen oder erfolgreiche Anmeldungen stehen. Wenn Sie beispielsweise nur Ereignisse eines bestimmten Programms sehen möchten, können Sie dessen Quelle angeben.
Erweiterte Filter verwenden
Im Reiter XML besteht die Möglichkeit, manuell komplexe Filter mit XPath-Abfragen zu erstellen. Dies ist besonders für erfahrene Anwender oder Administratoren interessant, die sehr spezifische Anforderungen an die Suche haben. Die Verwendung der XML-Ansicht erfordert grundlegende Kenntnisse der XML-Syntax und der Ereignisstruktur.
Speichern und Anzeigen der benutzerdefinierten Ansicht
Nachdem alle gewünschten Filterkriterien definiert sind, bestätigen Sie das Fenster mit OK. Die neue benutzerdefinierte Ansicht erscheint daraufhin im Bereich Benutzerdefinierte Ansichten im linken Bereich der Ereignisanzeige. Sie können diese Ansicht jederzeit auswählen, um die gefilterten Ereignisse schnell anzuzeigen, ohne erneut Filter setzen zu müssen.
Benutzerdefinierte Ansichten können auch exportiert und auf anderen Systemen importiert werden, was vor allem in größeren IT-Umgebungen oder bei standardisierten Überwachungsaufgaben nützlich ist.
Zusammenfassung
Das Einrichten benutzerdefinierter Ansichten in der Windows Ereignisanzeige ermöglicht eine einfache und schnelle Überwachung relevanter Ereignisse. Durch die Auswahl von Protokollen, Ereignisebenen, Ereignis-IDs und weiteren Filtern kann man die Ansicht seinen Bedürfnissen anpassen. So werden nur die für den Anwender wichtigen Informationen dargestellt, was die Analyse und Fehlersuche deutlich erleichtert.