In der folgenden Tabelle werden die häufigsten Ereigniseigenschaften aufgelistet. Weitere Informationen über Ereigniseigenschaften und das zugrunde liegende XML-Schema finden Sie online unter dem Thema Ereignisdarstellung für Ereignisverbraucher (möglicherweise in englischer Sprache) des Windows Event Log Software Development Kit (SDK).

Eigenschaftenname Beschreibung

Quelle

Die Software, die das Ereignis protokolliert hat. Dies kann ein Programmname wie "SQL Server" oder eine Komponente eines Systems oder eines großen Programms (z. B. ein Treibername) sein. "Elnkii" kennzeichnet z.B. einen EtherLink II-Treiber.

Ereignis-ID

Eine Zahl, die den jeweiligen Ereignistyp angibt. Die erste Zeile der Beschreibung enthält normalerweise den Namen des Ereignistyps. 6005 ist beispielsweise die ID des Ereignisses, das auftritt, wenn der Ereignisprotokolldienst gestartet wird. Die erste Zeile der Beschreibung dieses Ereignisses lautet "Der Ereignisprotokolldienst wurde gestartet". Die Ereigniskennung und die Quelle dienen Kundendienstmitarbeitern zum Beheben von Systemfehlern.

Ebene

Eine Klassifikation des Ereignisschweregrads. Die folgenden Ereignisschweregrad-Ebenen können in den System- und Anwendungsprotokollen auftreten:

  • Informationen Gibt an, dass eine Änderung an einer Anwendung oder Komponente aufgetreten ist, beispielsweise wenn ein Vorgang erfolgreich abgeschlossen, eine Ressource erstellt oder ein Dienst gestartet wurde.

  • Warnung Gibt an, dass ein Problem aufgetreten ist, durch das möglicherweise der Dienst beeinträchtigt oder ein schwerer wiegendes Problem verursacht wird, wenn keine Maßnahmen ergriffen werden.

  • Fehler Gibt an, dass ein Problem aufgetreten ist, durch das möglicherweise die Funktionalität beeinträchtigt wird, die außerhalb der Anwendung oder Komponente verwendet wird, durch die das Ereignis ausgelöst wurde.

  • Kritisch Gibt an, dass ein Fehler aufgetreten ist, der von der Anwendung oder Komponente, von der das Ereignis ausgelöst wurde, nicht automatisch behoben werden kann.

Die folgenden Ereignisschweregrad-Ebenen können im Sicherheitsprotokoll auftreten:

  • Erfolgsüberwachung. Gibt an, dass die Anwendung eines Benutzerrechts erfolgreich war.

  • Fehlerüberwachung Gibt an, dass bei der Anwendung eines Benutzerrechts Fehler aufgetreten sind.

In der Ereignisanzeige werden diese Angaben in der Normalansicht (d. h. in Listenform) durch ein Symbol dargestellt.

Benutzer

Der Name des Benutzers, in dessen Namen das Ereignis aufgetreten ist. Bei diesem Namen handelt es sich um die Client-ID, wenn das Ereignis von einem Serverprozess verursacht wurde, oder um die primäre ID, wenn kein Identitätswechsel stattfindet. In den Fällen, wo dies möglich ist, enthält ein Eintrag im Sicherheitsprotokoll sowohl die primären Kennungen als auch die Identitätswechselkennungen. Ein Identitätswechsel tritt auf, wenn der Server zulässt, dass ein Prozess die Sicherheitsattribute eines anderen übernimmt.

Vorgangscode

Enthält einen numerischen Wert zur Bezeichnung der Aktivität oder des Abschnitts in der Aktivität, der beim Auslösen des Ereignisses von der Anwendung durchgeführt wurde, beispielsweise Initialisierung oder Schließen.

Protokoll

Der Name des Protokolls, in dem das Ereignis aufgezeichnet wurde.

Aufgabenkategorie

Dient zur Darstellung einer Teilkomponente oder Aktivität des Ereignisherausgebers.

Schlüsselwörter

Eine Gruppe von Kategorien oder Tags, mit denen nach Ereignissen gefiltert oder gesucht werden kann. Zu den Beispielen gehören "Netzwerk", "Sicherheit" oder "Die Ressource wurde nicht gefunden".

Computer

Der Name des Computers, auf dem das Ereignis eingetreten ist. Bei dem Computernamen handelt es sich normalerweise um den Namen des lokalen Computers. Es kann sich aber auch um den Namen eines Computers handeln, der das Ereignis weitergeleitet hat, oder es handelt sich um den Namen des lokalen Computers, bevor dessen Name geändert wurde.

Datum und Uhrzeit

Das Datum und die Uhrzeit des Zeitpunkts, an dem das Ereignis protokolliert wurde.

In der folgenden Tabelle werden die Eigenschaften aufgelistet, die angezeigt werden können, indem der Ereignisanzeige Spalten hinzugefügt werden. Weitere Informationen dazu, wie Sie der Anzeige Spalten hinzufügen, finden Sie unter Ein- und Ausblenden von Ereigniseigenschaften.

Eigenschaftenname Beschreibung

Prozess-ID

Die Identifikationsnummer für den Prozess, der das Ereignis generiert hat.

Thread-ID

Die Identifikationsnummer für den Thread, der das Ereignis generiert hat.

Prozessor-ID

Die Identifikationsnummer für den Prozessor, der das Ereignis verarbeitet hat.

Sitzungs-ID

Die Identifikationsnummer für die Terminalserversitzung, in der das Ereignis aufgetreten ist.

Kernelzeit

Die verstrichene Ausführungszeit für Anweisungen im Kernelmodus in CPU-Zeiteinheiten.

Benutzerzeit

Die verstrichene Ausführungszeit für Anweisungen im Benutzermodus in CPU-Zeiteinheiten.

Prozessorzeit

Die verstrichene Ausführungszeit für Anweisungen im Benutzermodus in CPU-Zeiteinheiten.

Korrelations-ID

Identifiziert die Aktivität im Prozess, an dem das Ereignis beteiligt ist. Dieser Bezeichner wird verwendet, um einfache Beziehungen zwischen Ereignissen anzugeben.

Relative Korrelations-ID

Identifiziert eine verwandte Aktivität in einem Prozess, an der das Ereignis beteiligt ist.

Inhaltsverzeichnis