Windows Event Viewer: Die wichtigsten Event IDs und was sie bedeuten
Der Event Viewer (Ereignisanzeige) von Windows ist ein wichtige Hilfe bei der Analyse von IT-Ereignissen. Doch die Auswertung ist angesichts der enormen Datenmenge nicht gerade einfach: Nicht nur Windows-Dienste sondern auch normale Anwendungen schreiben in das Event Log. Bei der Suche nach bestimmten Events hilft die jeweilige Event ID, ein vier- bis fünfstelliger Code der Eventtypen eindeutig identifiziert. In dieser Übersicht finden Sie die wichtigsten und häufigsten Event IDs zusammengefasst.
Windows Event ID Liste
Die Ereignisanzeige von Windows unterscheidet zwischen hunderten unterschiedlichen Events. Die Bandbreite reicht hier von der Anlage neuer Benutzerkonten über die Anpassung von Firewall-Regeln bis hin zu erfolgreichen Benutzeranmeldungen oder dem Herunterfahren von Geräten.
Nicht jede Event ID weist also auf ein sicherheitsrelevantes Ereignis hin. Im Gegenteil: Auch im Normalbetrieb füllen Windows-Umgebungen das Event Log mit einer Vielzahl an Ereignissen. Bei der Auswertung des Event Viewers stehen Admins daher häufig vor der Aufgabe, die sprichwörtliche Nadel im Heuhaufen zu finden.
Um die Suche nach relevanten Events in ihrem Active Directory zu erleichtern, finden Sie hier eine Auswahl und Erklärung der wichtigsten Event IDs in der Windows Ereignisanzeige.
Windows Event Viewer: Anmelde-Events
| Event ID | Erklärung |
|---|---|
| 4624 | Erfolgreiche Anmeldung eines Kontos. |
| 4625 | Fehler beim Anmelden eines Kontos. |
| 4634 | Ein Konto wurde erfolgreich abgemeldet. |
| 4647 | Ein User hat die Abmeldung initiiert. |
| 4648 | Anmeldeversuch mit expliziten Anmeldeinformationen. |
| 4672 | Einer neuen Anmeldung wurden besondere Rechte* zugewiesen. |
| 4723 | Es wurde versucht, das Kennwort eines Kontos zu ändern. |
| 4724 | Es wurde versucht, das Kennwort eines Kontos zurückzusetzen. |
| 4740 | Ein Benutzerkonto wurde gesperrt (zu viele fehlgeschlagene Anmeldungen). |
| 4767 | Ein Benutzerkonto wurde entsperrt. |
| 4779 | Eine Sitzung wurde von einer Windows-Workstation getrennt (Remote Desktop). |
| 4964 | Einer neuen Anmeldung wurden besondere Gruppen* zugewiesen. |
| 5378 | Die angeforderte Delegierung von Anmeldeinformationen wurde von einer Richtline nicht zugelassen. |
Windows Event Viewer: Was sind besondere Rechte/Gruppen?
Die Event IDs 4672 bzw. 4964 weisen darauf hin, dass einem neu angemeldeten Benutzer besondere Rechte oder Gruppen zugewiesen wurden. Diese Events weisen also auf die Anmeldung eines privilegierten Users hin.
Welche Gruppen als besondere Gruppen zählen kann die Organisation selbst festlegen, indem die entsprechenden Security Identifier eingetragen werden (z.B. von Administratorgruppen). Als besondere Rechte zählen hingegen eine bestimmte Menge an Privilegien abseits der höchsten Berechtigungsstufen, mit denen dennoch großer Schaden angerichtet werden kann.
Zu den besonderen Berechtigungen (Event ID 4672) zählen:
SeTcbPrivilege: Kann als Teil des Betriebssystems agieren.
SeBackupPrivilege: Kann ein Backup des gesamten Systems anlegen.
SeCreateTokenPrivilege: Kann ein Access Token anlegen.
SeDebugPrivilege: Kann Programme debuggen.
SeEnableDelegationPrivilege: Kann festlegen, welchen Konten bei Delegierung vertraut wird.
SeAuditPrivilege: Kann Sicherheitsprüfungen generieren.
SeImpersonatePrivilege: Kann nach Authentifizierung die Identität eines Clients übernehmen.
SeLoadDriverPrivilege: Kann Treiber laden oder entladen.
SeSecurityPrivilege: Kann Prüf- und Sicherheitsprotokolle verwalten.
SeSystemEnvironmentPrivilege: Kann Firmware-Einstellungen bearbeiten.
SeAssignPrimaryTokenPrivilege: Kann das Access Token von Unterprozessen austauschen.
SeRestorePrivilege: Kann Dateien und Ordner wiederherstellen.
SeTakeOwnershipPrivilege: Kann den Besitz von Ordnern und Dateien übernehmen.
Um besondere Gruppen und Rechte in ihrem Event Auditing zu erfassen, muss die Einstellung Audit Special Logon aktiviert werden.
Windows Event Viewer: Welche Logon-Typen gibt es?
Als zusätzliche Information bei Event 4624 (Erfolgreiche Anmeldung) listet die Ereignisanzeige auch den Logon Type, also die Art der Anmeldung, die stattgefunden hat. Die entsprechenden Zahlencodes finden Sie hier erklärt:
#2 – Interaktiv: Ein Benutzer hat sich auf einem Computer angemeldet (Windows Login-Maske)
#3 – Network: Ein Benutzer oder Computer hat sich über das Netzwerk auf einem Computer angemeldet (z.B. bei Zugriff auf Netzwerk-Ressourcen).
#4 – Batch: Ein Batch-Server oder Prozess meldet einen Benutzer ohne dessen Zutun an.
#5 – Service: Ein Dienst wurde durch den Service Control Manager gestartet.
#7 – Unlock: Ein Computer wurde entsperrt.
#8 – NetworkCleartext: Ein Benutzer hat sich über das Netzwerk angemeldet, das Kennwort wurde jedoch im Klartext übermittelt. Dieser Logon Type sollte nicht auftreten.
#9 – NewCredentials: Tritt auf wenn der Befehl RunAs in Verbindung mit /netonly verwendet wird. Dabei wird das Programm selbst von dem lokal angemeldeten Konto gestartet, bei der Verbindung zum Netzwerk werden jedoch neue Anmeldedaten verwendet.
#10 – RemoteInteractive: Ein Benutzer hat sich über das Remote Desktop Protokoll auf einem Computer angemeldet. Dient der Unterscheidung zu Logon Type #2 bei Remote-Zugriff.
#11 – CachedInteractive: Tritt auf, wenn ein Benutzer sich auf einem Computer anmeldet, der Domain Controller jedoch nicht zur Bestätigung erreichbar ist (z.B. Arbeitslaptop im Home Office). In diesem Fall vergleicht Windows den gespeicherten Hash der letzten Anmeldungen auf dem Gerät, um den Benutzer zu authentifizieren.
Im Blog des IT-Experten Andreas Schreiner finden Sie Details zu allen Logon Types.
Windows Event Viewer: Konten- und Gruppen-Events
| Event ID | Erklärung |
|---|---|
| 4720 | Ein Benutzerkonto wurde angelegt. |
| 4722 | Ein Benutzerkonto wurde aktiviert. |
| 4725 | Ein Benutzerkonto wurde deaktiviert. |
| 4726 | Ein Benutzerkonto wurde gelöscht. |
| 4727 | Eine sicherheitsaktivierte globale Gruppe wurde angelegt. |
| 4728 | Ein Mitglied einer sicherheitsaktivierten globalen Gruppe wurde hinzugefügt. |
| 4729 | Ein Mitglied einer sicherheitsaktivierten globalen Gruppe wurde entfernt. |
| 4730 | Eine sicherheitsaktivierte globale Gruppe wurde gelöscht. |
| 4731 | Eine sicherheitsaktivierte lokale Gruppe wurde angelegt. |
| 4732 | Ein Mitglied einer sicherheitsaktivierten lokalen Gruppe wurde hinzugefügt. |
| 4733 | Ein Mitglied einer sicherheitsaktivierten lokalen Gruppe wurde entfernt. |
| 4734 | Eine sicherheitsaktivierte lokale Gruppe wurde gelöscht. |
| 4735 | Eine sicherheitsaktivierte lokale Gruppe wurde geändert. |
| 4737 | Eine sicherheitsaktivierte globale Gruppe wurde geändert. |
| 4738 | Ein Benutzerkonto wurde geändert. |
| 4739 | Die Domänenrichtlinie wurde geändert. |
| 4741 | Ein Computerkonto wurde angelegt. |
| 4742 | Ein Computerkonto wurde geändert. |
| 4743 | Ein Computerkonto wurde gelöscht. |
| 4744 | Eine sicherheitsdeaktivierte lokale Gruppe wurde erstellt. |
| 4745 | Eine sicherheitsdeaktivierte lokale Gruppe wurde geändert. |
| 4746 | Ein Mitglied einer sicherheitsdeaktivierten lokalen Gruppe wurde hinzugefügt. |
| 4747 | Ein Mitglied einer sicherheitsdeaktivierten lokalen Gruppe wurde entfernt. |
| 4748 | Eine sicherheitsdeaktivierte lokale Gruppe wurde gelöscht. |
| 4749 | Eine sicherheitsdeaktivierte globale Gruppe wurde erstellt. |
| 4750 | Eine sicherheitsdeaktivierte globale Gruppe wurde geändert. |
| 4751 | Ein Mitglied einer sicherheitsdeaktivierten globalen Gruppe wurde hinzugefügt. |
| 4752 | Ein Mitglied einer sicherheitsdeaktivierten globalen Gruppe wurde entfernt. |
| 4753 | Eine sicherheitsdeaktivierte globale Gruppe wurde gelöscht. |
| 4754 | Eine sicherheitsaktivierte universelle Gruppe wurde erstellt. |
| 4755 | Eine sicherheitsaktivierte universelle Gruppe wurde geändert. |
| 4756 | Ein Mitglied einer sicherheitsaktivierten universellen Gruppe wurde hinzugefügt. |
| 4757 | Ein Mitglied einer sicherheitsaktivierten universellen Gruppe wurde entfernt. |
| 4758 | Eine sicherheitsaktivierte universelle Gruppe wurde gelöscht. |
| 4759 | Eine sicherheitsdeaktivierte universelle Gruppe wurde erstellt. |
| 4760 | Eine sicherheitsdeaktivierte universelle Gruppe wurde geändert. |
| 4761 | Ein Mitglied einer sicherheitsdeaktivierten universellen Gruppe wurde hinzugefügt. |
| 4762 | Ein Mitglied einer sicherheitsdeaktivierten universellen Gruppe wurde entfernt. |
| 4763 | Eine sicherheitsdeaktivierte universelle Gruppe wurde gelöscht. |
| 4764 | Ein Gruppentyp wurde geändert. |
| 5136 | Ein Verzeichnisdienstobjekt wurde geändert. |
| 5137 | Ein Verzeichnisdienstobjekt wurde erstellt. |
| 5138 | Ein Verzeichnisdienstobjekt wurde wiederhergestellt. |
| 5139 | Ein Verzeichnisdienstobjekt wurde verschoben. |
Access Governance: Best Pratices für Microsoft-Umgebungen
Ein umfassender Leitfaden zur Umsetzung bewährter Best Practices für die Zugriffsverwaltung in Microsoft-Umgebungen.
Windows Event Viewer: Zugriffs-Events
| Event ID | Erklärung |
|---|---|
| 4656 | Ein Handle zu einem Objekt wurde angefordert. |
| 4657 | Ein Registry-Wert wurde geändert. |
| 4658 | Ein Handle zu einem Objekt wurde geschlossen. |
| 4660 | Ein Objekt wurde gelöscht. |
| 4663 | Es wurde versucht, auf ein Objekt zuzugreifen. |
| 4670 | Die Berechtigungen für ein Objekt wurden geändert. |
| 5140 | Es wurde auf ein Netzwerkfreigabeobjekt zugegriffen. |
| 5142 | Ein Netzwerkfreigabeobjekt wurde hinzugefügt. |
| 5143 | Ein Netzwerkfreigabeobjekt wurde geändert. |
| 5144 | Ein Netzwerkfreigabeobjekt wurde gelöscht. |
Nähere Informationen zur Verwaltung von Fileserver-Berechtigungen und Netzwerkfreigaben finden Sie in unserem Blogpost zu NTFS Best Practices.
Windows Event Viewer: Auditing-Events
| Event ID | Erklärung |
|---|---|
| 1100 | Der Ereignisprotokolldienst wurde heruntergefahren. |
| 1101 | Audit-Ereignisse beim Transport verworfen. |
| 1102 | Das Überwachungsprotokoll wurde gelöscht. |
| 1104 | Das Sicherheitsprotokoll ist voll. |
| 1108 | Der Ereignisprotokolldienst hat einen Fehler beim Verarbeiten eines eingehenden Events erkannt. |
| 4612 | Die für die Überwachung reservierten Ressourcen sind ausgelastet. |
| 4719 | Die Systemüberwachungsrichtlinie wurde geändert. |
| 4907 | Die Überwachungseinstellungen für ein Objekt wurden geändert. |
Wo werden Event-Daten in Windows gespeichert?
Das Event Log ist in Windows-Systemen unter dem Pfad C:\Windows\System32\winevt\Logs zu finden. Event-Daten der Directory Services, die die gesamte Domäne betreffen, sind dabei nur auf den jeweiligen Domain Controllern zu finden. Jedes Windows-Gerät im Netzwerk schreibt zudem ein eigenes Event Log, das zum Beispiel beim Troubleshooting von Abstürzen oder Hardware-Fehlern helfen kann.
Achtung: Anders als die meisten AD-Daten werden Event Logs nicht zwischen Domain Controllern repliziert. In Umgebungen mit mehreren Domain Controllern kann das die Suche nach dem richtigen Log erschweren.
Wie lange werden Event-Daten in Windows aufbewahrt?
Für das Event Logging in Windows Server lässt sich kein fester Aufbewahrungszeitraum, sondern nur eine maximale Dateigröße festlegen. Hat das Event Log die maximale Größe erreicht, werden die ältesten Einträge überschrieben.
Wie lange Events gespeichert werden, hängt also davon ab, wie groß die Logdatei ist und wie schnell neue Events in das Log geschrieben werden. Microsoft empfiehlt eine maximale Größe von 4 GB, um Performanceprobleme zu vermeiden.
In sehr großen IT-Umgebungen entspricht eine Größe von 4 GB oft einem Aufbewahrungszeitraum von nur wenigen Stunden. Bei einem Peak an Aktivität kann sich dieser Zeitraum nochmals verkürzen, etwa weil während einer Störung oder einem Sicherheitsvorfall besonders viele Events geschrieben werden.
Als möglichen Workaround für eine längere Speicherung können Event-Daten z.B. über Skripts regelmäßig exportiert werden. Auch hier stellt sich jedoch die Frage der Performance und des verfügbaren Speicherplatzes.
Windows Event Viewer: Stärken & Schwächen
Mit der Ereignisanzeige bietet Windows ein umfangreiches Werkzeug zur Analyse und Auswertung von IT-Events. In der Praxis gestaltet sich die Nutzung des Event Viewers aus verschiedenen Gründen leider oft anstrengend und umständlich – ohne zum gewünschten Ergebnis zu führen.
Von der Datenaufbewahrung bis hin zur Konsolidierung von Events: Das sind die wichtigsten Probleme, die Sie bei der Verwendung der Ereignisanzeige zur Event-Überwachung beachten müssen.
Problem #1: Event-Daten sind quer über das Netzwerk verstreut
Eine der wichtigsten Aufgaben, die Domain Controller innerhalb einer Active Directory Umgebung erfüllen, ist die Replikation von Daten, um die Ausfallsicherheit des Verzeichnisdienstes zu gewährleisten.
Doch das gilt nicht für Event-Daten: Anders als Konten, Gruppen und Richtlinien werden Ereignislogs nicht synchronisiert. Ereignisse im Active Directory werden also nur auf einem Domain Controller gespeichert – nämlich dem, der sie verarbeitet hat. Das erschwert die spätere Analyse deutlich.
Um alle Event-Daten an einem Ort zusammenzuführen, müssen Admins entweder eigene Workarounds und Datenexporte basteln oder die Ereignisweiterleitung (Windows Event Forwarding) einrichten.
Das Problem? In beiden Fällen kann es bei der Weitergabe der Event-Daten leicht zu Fehlern kommen, durch die Ereignisse verloren gehen. Ohne eine entsprechende Benachrichtigung fällt so oft gar nicht auf, dass Daten fehlen, bis es zu spät ist.
Problem #2: Zusammenhänge werden nicht angezeigt
Schon eine einzelne Aktion kann im Event Log von Windows eine Vielzahl an Einträgen generieren. Nehmen wir als Beispiel das Zurücksetzen eines Passworts durch einen Admin. Der Passwort-Reset selbst hat die Event ID 4724. Dazu kommen aber auch das Event 4738 (Benutzerkonto wurde geändert) und Event 5136 (Verzeichnisobjekt wurde geändert).
Oder sehen wir uns die Event-Abfolge beim Anlegen eines Gruppenrichtlinienobjekts an:
5137: Verzeichnisdienstobjekt wurde erstellt.
5136: Verzeichnisdienstobjekt wurde geändert.
4662: Zugriff auf ein Verzeichnisdienstobjekt.
Die Ereignisanzeige selbst setzt zusammenhängende Events nicht in Relation zueinander. Stattdessen bleibt es Admins selbst überlassen, diese Zusammenhänge herzustellen. Das erfordert zum Teil akribische Detektivarbeit: Worauf bezieht sich diese Änderung? Zu welcher Person gehört diese Session-ID?
Problem #3: Eingeschränkte Filtermöglichkeiten
Wenn es um das Filtern und Auswerten von Event-Daten geht, bietet die Ereignisanzeige nur sehr rudimentäre Möglichkeiten. Zwar lässt sich die Anzeige auf bestimmte Quellen und Event IDs einschränken, das Erstellen eigener Ansichten ist jedoch langsam und umständlich – insbesondere, wenn es um gespeicherte historische Logs geht.
Wichtige Features wie eine Freitextsuche für Event-Details fehlen vollständig. Die Analyse gestaltet sich entsprechend umständlich, weswegen viele Admins bevorzugt auf Third-Party Tools zurückgreifen.
Problem #4: Langzeitaufbewahrung
In großen IT-Umgebungen reicht selbst die maximale Log-Größe von 4GB oft nur wenige Stunden zurück. Wer Event-Daten länger aufbewahren möchte, muss dazu selbst einen entsprechenden Export aufsetzen.
Aber welche Events? Aus welchen Systemen? Aus Speicherplatz- und Performancegründen ist es nicht möglich, alles aufzubewahren. Also muss eine entsprechende Vorauswahl getroffen werden. Nur wer richtet den Export ein? Und wer kontrolliert laufend, das die Speicherung der Logs funktioniert?
Der Aufwand, der sich allein durch die Kontrolle der Log-Exporte selbst ergibt, ist ein weiterer Grund, weshalb Organisationen auf professionelle Lösungen für die Konsolidierung und Archivierung von Event Logs setzen.
tenfold: Event Auditing für Ihr Active Directory
Sie möchten Event-Daten aus Ihrer IT-Umgebung speichern und auswerten, ohne sich Sorgen um verstreute Logs, fehlende Filter und komplexe Konfigurationen zu machen? Sie wollen eine einfache, komfortable Lösung für die Aufbewahrung und Analyse von Event Logs?
Mit dem Event Auditing von tenfold haben Sie IT-Ereignisse jederzeit im Blick und verpassen nie wieder eine kritische Änderung in Ihrem Netzwerk. Event-Daten werden von tenfold automatisch ausgelesen und in seiner eigenen Datenbank gespeichert. Das hat folgende Vorteile für Sie:
Alle Events sind zentral in einem Log erfasst.
Zusammenhängende Events werden automatisch zu einem Eintrag konsolidiert.
tenfold schlüsselt Gruppen-, Nutzer- und Session-IDs automatisch auf.
Umfangreiche Filter und Suchoptionen helfen Ihnen bei der Auswertung.
Event-Kategorien und Aufbewahrungszeiträume lassen sich flexibel festlegen.
Nicht nur das: Das Event Auditing von tenfold wird laufend weiterentwickelt und wird in kommenden Releases nicht nur um Microsoft 365 Events sondern auch um Funktionen für automatisierte Alerts erweitert. Das macht unsere Plattform für Identity Governance und Administration ab sofort zur All-In-One-Lösung für Ihre IT-Verwaltung. Informieren Sie sich jetzt bei einem kostenlosen Test oder einer persönlichen tenfold Demo.