Seite 1 von 2 1 2 LetzteLetzte
Ergebnis 1 bis 15 von 19
Danke Übersicht11Danke
Thema: Windows-Protokoll Liebes Board, ich würde mich freuen, wenn Ihr Euch kurz einem Problem bzgl. des Windows-Protokolls widmet: Mir ist das Thema ...
  1. #1
    MaxMuc
    Herzlich willkommen

    Windows-Protokoll

    Liebes Board,

    ich würde mich freuen, wenn Ihr Euch kurz einem Problem bzgl. des Windows-Protokolls widmet:

    Mir ist das Thema Sicherheit ziemlich wichtig. Im Windows-Protokoll habe ich gestern Nacht um 4 Uhr einige Einträge gefunden, die ich nicht deuten kann. "Winlogon 7001" und 10 Minuten später "Winlogon 7002". Dazwischen gab es Dinge wie "Distributed com" und "service control".

    Sind das Updates von Windows oder des Systems? Und kann dieses ohne Benutzeranmeldung einfach so auf das ausgeschaltete Notebook zugreifen?

    Vielen Dank für Euren Support! Max

  2. #2
    areiland
    Computer Legastheniker Avatar von areiland

    AW: Windows-Protokoll

    Ohne genaue Angaben zu den geloggten Ereignissen ist Deine Frage sinnlos!
    Ari45 bedankt sich.

  3. #3
    Ari45
    gehört zum Inventar Avatar von Ari45

    AW: Windows-Protokoll

    Hallo @MaxMuc! Willkommen im Forum!
    Ich nehme an, du meinst Ereignisanzeige/ Windows-Protokolle/Anwendung
    Markiere so ein Ereignis und kopiere im unteren Fensterteil den Beschreibungstext. Diesen kannst du hier in deine nächste Antwort in einen Spoiler kopieren.
    Windows-Protokoll-ereignisanzeige_fehler.jpg

    Bei mehreren Ereignissen kommt man meist besser, wenn man das gesamte Log kopiert.
    Windows-Protokoll-ereignisanzeige_zweig_kopieren.jpg
    Der Dateityp, der dabei gespeichert wird, kann nicht hochgeladen werden. Deshalb muss die Datei als RAR- oder ZIP-Archiv hoch geladen werden.

  4. #4
    MaxMuc
    Herzlich willkommen

    AW: Windows-Protokoll

    Moin Ari,

    danke für Dein herzliches Willkommen. Ich bin leider kein Fachmann und meine Frage mag Euch Fachleuten obsolet oder banal vorkommen. Ich versuche mal, es weiter zu spezifizieren. Besonders wundert mich der letzte Abschnitt. Das sieht für mich als Laie so aus, als hätte ich (also der Benutzer) sich an- und abgemeldet. Als erster Eintrag wird angezeigt:

    verborgener Text:
    Die lokale Gruppenmitgliedschaft eines Benutzers wurde aufgezählt. Ereignis ID: 4798; Aufgabenkategorie: Benutzerkontenverwaltung
    Kontodomäne: Workgroup; SicherheitsID: W7P

    Danach kommt 10 Sekunden später: Ereignis ID: 4624; Aufgabenkategorie: Anmelden; Anmeldetyp 5; Virtuelles Konto: Nein

    Danach: "Einer neuen Anmeldung wurden Rechte zugewiesen": Ereignis ID: 4672; Aufgabenkategorie: Spezielle Anmeldung; Sicherheits ID: System

    Dann: Ereignis-ID: 4797
    Aufgabenkategorie:Benutzerkontenverwaltung
    Ebene: Informationen
    Schlüsselwörter:Überwachung erfolgreich
    Beschreibung:
    Es wurde versucht, das Vorhandensein eines leeren Kennworts für ein Konto zu prüfen.

    Betreff:
    Sicherheits-ID: W7P-PC\W7P
    Kontoname: W7P
    Kontodomäne: W7P-PC

    Zusätzliche Informationen:
    Arbeitsstation des Aufrufers: W7P-PC
    Name des Zielkontos: Administrator
    Domäne des Zielkontos: W7P-PC

    Dann: Protokollname: Security
    Quelle: Microsoft-Windows-Security-Auditing
    Datum: 05.07.2017 04:38:01
    Ereignis-ID: 4624
    Aufgabenkategorie:Anmelden
    Ebene: Informationen
    Schlüsselwörter:Überwachung erfolgreich
    Benutzer: Nicht zutreffend
    Computer: W7P-PC
    Beschreibung:
    Ein Konto wurde erfolgreich angemeldet.

    Antragsteller:
    Sicherheits-ID: SYSTEM
    Kontoname: W7P-PC$
    Kontodomäne: WORKGROUP

    Anmeldeinformationen:
    Anmeldetyp: 2
    Eingeschränkter Administratormodus: -
    Virtuelles Konto: Ja
    Token mit erhöhten Rechten: Nein

    Identitätswechselebene: Identitätswechsel
    Neue Anmeldung: Kontodomäne: Window Manager

    Und am Ende kommt eine Abmeldung des WindowsManager und dann dieser Eintrag:

    Protokollname: Security
    Quelle: Microsoft-Windows-Security-Auditing
    Datum: 05.07.2017 04:38:04
    Ereignis-ID: 4647
    Aufgabenkategorie:Abmelden
    Ebene: Informationen
    Schlüsselwörter:Überwachung erfolgreich
    Benutzer: Nicht zutreffend
    Computer: W7P-PC
    Beschreibung:
    Benutzerinitiierte Abmeldung:

    Antragsteller:
    Sicherheits-ID: W7P-PC\W7P
    Kontoname: W7P
    Kontodomäne: W7P-PC

    Dieses Ereignis wird generiert, wenn eine Abmeldung initiiert wird. Es kann keine weitere benutzerinitiierte Aktivität erfolgen. Dieses Ereignis kann als Abmeldeereignis interpretiert werden.
    Geändert von Wolko (05.07.2017 um 16:40 Uhr)

  5. #5
    Ponderosa
    Gast

    AW: Windows-Protokoll

    Willkommen bei DrWindows @ MaxMuc
    Bitte stelle längere Texte in Spoiler.
    verborgener Text:
    Dann: Ereignis-ID: 4797
    Aufgabenkategorie:Benutzerkontenverwaltung
    Ebene: Informationen
    Schlüsselwörter:Überwachung erfolgreich
    Beschreibung:
    Es wurde versucht, das Vorhandensein eines leeren Kennworts für ein Konto zu prüfen.

    Betreff:
    Sicherheits-ID: W7P-PC\W7P
    Kontoname: W7P
    Kontodomäne: W7P-PC

    Klicke dazu unten Erweitert, dann den Text markieren, und die Maske anklicken. Danke
    Windows-Protokoll-spoiler.png
    MaxMuc und Ari45 bedanken sich.

  6. #6
    MaxMuc
    Herzlich willkommen

    AW: Windows-Protokoll

    Sytem-Protokoll:
    verborgener Text:

    Protokollname: System
    Quelle: Microsoft-Windows-Winlogon
    Datum: 05.07.2017 04:29:47
    Ereignis-ID: 7001
    Aufgabenkategorie1101)
    Ebene: Informationen
    Schlüsselwörter:
    Benutzer: SYSTEM
    Computer: W7P-PC
    Beschreibung:
    Benutzeranmeldebenachrichtigung für Programm zur Verbesserung der Benutzerfreundlichkeit

    Protokollname: System
    Quelle: Service Control Manager
    Datum: 05.07.2017 04:31:32
    Ereignis-ID: 7040
    Aufgabenkategorie:Keine
    Ebene: Informationen
    Schlüsselwörter:Klassisch
    Benutzer: SYSTEM
    Computer: W7P-PC
    Beschreibung:
    Der Starttyp des Diensts "Intelligenter Hintergrundübertragungsdienst" wurde von Manuell starten in Automatisch

    Protokollname: System
    Quelle: Microsoft-Windows-Winlogon
    Datum: 05.07.2017 04:38:04
    Ereignis-ID: 7002
    Aufgabenkategorie1102)
    Ebene: Informationen
    Schlüsselwörter:
    Benutzer: SYSTEM
    Computer: W7P-PC
    Beschreibung:
    Benutzerabmeldebenachrichtigung für Programm zur Verbesserung der Benutzerfreundlichkeit
    Geändert von Wolko (05.07.2017 um 16:47 Uhr)

  7. #7
    Ponderosa
    Gast

    AW: Windows-Protokoll

    Genau so. Du kannst übrigens deinen Beitrag #4 oben auch nachträglich bearbeiten.

  8. #8
    MaxMuc
    Herzlich willkommen

    AW: Windows-Protokoll

    Bei Euch werde ich ja noch zum IT-Experten, wenn das so weitergeht
    Ponderosa und Ari45 bedanken sich.

  9. #9
    frankyLE
    gehört zum Inventar Avatar von frankyLE

    AW: Windows-Protokoll

    Ja @MaxMuc - das ist eines der Ziele unserer Community. Willkommen
    Ponderosa und Ari45 bedanken sich.

  10. #10
    MaxMuc
    Herzlich willkommen

    AW: Windows-Protokoll

    Danke Franky-----bisher bin ich schon zufrieden, wenn ich meine Sky-Box unfallfrei hochfahren kann....

    Im Ernst: Mich würde brennend interessieren, ob es sich bei den genannten Vorgängen um "normale" Updates handelt oder jemand sich angemeldet hat / Zugriff auf Passwörter hat. Mit meinem (beschränkten) IT-Verständnis kann ein System doch kein Update starten, wenn das Notebook ausgeschaltet ist......

    Danke für Eure Hilfe!

  11. #11
    frankyLE
    gehört zum Inventar Avatar von frankyLE

    AW: Windows-Protokoll

    Zu den einzelnen Fehler ID habe ich zu wenig Kenntnisse. Du könntest dich hier kundig machen:

    Troubleshooting Microsoft Windows Event Logs

  12. #12
    MaxMuc
    Herzlich willkommen

    AW: Windows-Protokoll

    Man kann also nicht sehen, wer sich wann auf einem PC / Notebook eingeloggt hat? Ob das jemand mit einem Passwort gemacht hat oder das System auf Dinge zugegriffen hat?

  13. #13
    sneaker
    gehört zum Inventar

    AW: Windows-Protokoll

    Hallo Max,
    Wenn das Notebook im ausgeschalteten Zustand Logs schreibt, das wäre in der Tat erstaunlich!

    Sonst siehst du, dass der Account "Local System", den jedes Windows System lokal besitzt, zwei Dienste gestartet und gestoppt hat. Hier, um Daten mit MS auszutauschen.
    Das Event ist auch nur eine Information, keine Warnung oder Fehler.

    "Local System" ist genau dafür gemacht, damit das Betriebssystem notwendige Funktionen selbstständig ausführen kann. Diese Dienste müssen und sollen ja nicht permanent laufen.
    Öffne mal Services.msc in der commandline und sortiere das Fenster dann nach der rechten Spalte. Dort siehst du die verschiedenen Service Accounts (Local Service, Network Service, Local System), die übrigens alle kein Passwort haben.

    Also, alles im grünen Bereich! Oder besser, aus diesen Events lässt sich nichts Auffälliges ableiten!

    lg sneaker
    MaxMuc bedankt sich.

  14. #14
    Ari45
    gehört zum Inventar Avatar von Ari45

    AW: Windows-Protokoll

    Ich möchte noch mal auf die ursprüngliche Frage eingehen:
    Winlogon ID 7001 = User Logon Notification for Customer Experience Improvement Program
    deutsch: Benutzeranmeldung für das Programm zur Verbesserung der Benutzerfreundlichkeit

    Winlogon ID 7002 = User Logoff Notification for Customer Experience Improvement Program
    deutsch: Benutzerabmeldung für das Programm zur Verbesserung der Benutzerfreundlichkeit

    Also erst wird dein Benutzername am CEIP angemeldet und dann wieder abgemeldet, wahrscheinlich weil CEIP seine Arbeit erledigt hat.
    Die Events dazwischen haben mit dem Winlogon-Event nichts zu tun.
    MaxMuc bedankt sich.

  15. #15
    MaxMuc
    Herzlich willkommen

    AW: Windows-Protokoll

    verborgener Text:
    Danke Euch allen, das hat sehr geholfen! Eine Frage noch: Die untem angeführten Infos klingen so, als hätte sich ein Benutzer angemeldet, oder? Klingt für mich IT-Tiefflieger nicht nach "Systemupdate" etc. Wozu stünde da sonst "Benutzeranmeldebenachrichtigung"? Könnt Ihr dazu einen kurzen Input geben, dann bin ich zufrieden und lasse Euch die Zeit, damit Ihr Euch den wichtigen Themen widmen könnt

    Protokollname: System
    Quelle: Microsoft-Windows-Winlogon
    Datum: 05.07.2017 04:29:47
    Ereignis-ID: 7001
    Aufgabenkategorie1101)
    Ebene: Informationen
    Schlüsselwörter:
    Benutzer: SYSTEM
    Computer: W7P-PC
    Beschreibung: Benutzeranmeldebenachrichtigung für Programm zur Verbesserung der Benutzerfreundlichkeit

Seite 1 von 2 1 2 LetzteLetzte

Lesezeichen


  • An Google übertragen Google
  • -->

    Berechtigungen

    • Neue Themen erstellen: Nein
    • Themen beantworten: Nein
    • Anhänge hochladen: Nein
    • Beiträge bearbeiten: Nein
    •  

    1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163