Das Programmpaket "Report Event für Windows"
Dieses Programmpaket besteht aus 11 Modulen. Davon können Sie hier 7 Module als Sharewareversionen herunterladen, bei den anderen Modulen handelt es sich um spezielle Varianten des ansonsten als Freeware erhältlichen Programms EventSave sowie um MER, ein Programm zum Zusammenfügen von Einträgen aus verschiedenen Ereignisprotokolldateien in eine gemeinsame Datei.
Alle Programme sind sowohl in englischer als auch in deutscher Sprache verfügbar.
Sie können die Shareware 4 Wochen lang unentgeltlich testen. Sollten Sie danach ein oder mehrere Module weiter verwenden wollen, müssen Sie sich registrieren lassen. Sie erhalten dann die Vollversion des Programmpaketes, die wesentlich mehr Optionen in der Auswertung zuläßt als die Sharewarevarianten. Eine Registrierung einzelner Module ist nicht möglich. Sie können ein Angebot für Ihre Registrierung online anfordern und auch die aktuellen Preise einsehen.
Die meisten Module bieten umfangreiche Möglichkeiten der Auswertung von einem oder zwei spezifischen Ereignissen. Sie haben außerdem die Möglichkeit zu wählen, ob Sie einen Bericht als lesbaren Text oder als Folge von Datensätzen erzeugen möchten. Sie können Zusammenfassungen je Anwender oder ausführliche Berichte (eine Zeile je Ereignis) erzeugen. Die sechs Auswerteprogramme arbeiten nur mit gespeicherten Ereignisprotokolldateien zusammen. Sie erlauben nicht die Auwertung der gegenwärtig von Windows selbst verwendeten aktiven Protokolldateien. Mit dem Freeware-Programm EventSave können Sie aber jedes Ereignisprotokoll bequem sichern.
Sie können auch wählen, ob die Ausgabe im OEM- oder ANSI-Format erfolgen soll. Wie Sie wissen, ist OEM das Format des voreingestellten Zeichensatzes der Eingabeaufforderung. Er sollte daher benutzt werden, wenn ein Kommandozeilen-Programm am Bildschirm gestartet wird. ANSI ist der übliche Zeichensatz der grafischen Benutzeroberfläche. Er sollte benutzt werden, wenn die Ausgabe des Programms in eine Datei umgeleitet wird, welche später mit einem GUI Programm weiterverarbeitet oder gelesen wird.
Alle Programme wurden mit größter Sorgfalt entwickelt. Der Autor kann aber nicht dafür garantieren, daß sie unter jeder Version von Windows auf jedem Rechner fehlerfrei laufen. Aus diesem Grunde wird bei eventuell auftretenden Fehlern oder Schäden, gleich welcher Art, keine Haftung übernommen.
Bei Fragen sollten Sie sich zuerst die Antworten auf häufig gestellte Fragen zu den Programmen ansehen.
Kompatibilitätsübersicht der Tools von Report Event mit den einzelnen Windows-Versionen
Windows NT 4
Windows 2000
Windows XP professional
Windows 2003
Windows Vista (und spätere) als Client - möglich, aber nicht empfehlenswert
Windows Vista (und spätere) als Host - weder empfohlen noch unterstützt
Das Programm EventList
| Verfügbarkeit | Shareware, 4 Wochen frei für einen Benutzer mit eingeschränktem Funktionsumfang, siehe Hilfedatei |
| aktuelle Version | 5.4 |
| letzte Änderung | 24. Februar 2006 |
| Archivgröße | 66 KB |
| Beschreibung | EventList wertet alle oder einige Ereignisprotokoll-Dateien aus. Es erzeugt eine kurze Zusammenfassung mit der Anzahl der einzelnen in jeder Datei vorhandenen Ereignisse. |
Weitere Einzelheiten zum Programm finden Sie in der mitgelieferten Programmdokumentation.
Das Programm R20050
| Verfügbarkeit | Shareware, 4 Wochen frei für einen Benutzer mit eingeschränktem Funktionsumfang, siehe Hilfedatei |
| aktuelle Version | 5.0 |
| letzte Änderung | 14. März 2001 |
| Archivgröße | 60 KB |
| Beschreibung | R20050 wertet die RAS Ereignisse 20050 bzw. 20048 (Anrufe beim RAS-Server) im Systemprotokoll aus. Es sagt Ihnen , wie lange jeder Anwender über RAS (pro Anruf oder als Zusammenfassung über alle Anrufe) in Ihrem System eingeloggt war. |
Weitere Einzelheiten zum Programm finden Sie in der mitgelieferten Programmdokumentation.
Das Programm R528
| Verfügbarkeit | Shareware, 4 Wochen frei für einen Benutzer mit eingeschränktem Funktionsumfang, siehe Hilfedatei |
| aktuelle Version | 6.0 |
| letzte Änderung | 18. Dezember 2006 |
| Archivgröße | 65 KB |
| Beschreibung | R528 wertet die Ereignisse 528, 538, 540 und 551 des Sicherheitsprotokolls aus. Es sagt Ihnen, wie lang jede Anwendersitzung währte und wie oft jeder Anwender angemeldet war. |
Weitere Einzelheiten zum Programm finden Sie in der mitgelieferten Programmdokumentation.
Das Programm R529
| Verfügbarkeit | Shareware, 4 Wochen frei für einen Benutzer mit eingeschränktem Funktionsumfang, siehe Hilfedatei |
| aktuelle Version | 5.6 |
| letzte Änderung | 24. Februar 2006 |
| Archivgröße | 64 KB |
| Beschreibung | R529 wertet die Ereignisse 529 und 528 des Sicherheitsprotokolls aus. Das Programm sagt Ihnen, mit welchem Benutzernamen auf welchem Rechner wann was für erfolglose Anmeldeversuche unternommen wurden. Dabei wird zwischen den verschiedenen Anmeldetypen (z.B. lokal über die Tastatur, als Dienst, über das Netzwerk) unterschieden. Sie erfahren, wieviele Versuche während eines Angriffes unternommen wurden und wie lange dieser währte. Damit 2 Versuche dem gleichen Angriff zugeordnet werden, dürfen dazwischen nicht mehr als 5 Minuten vergehen. Das Programm sagt Ihnen, ob der Angriff erfolgreich war oder nicht. Ein Angriff wird dann als erfolgreich betrachtet, wenn innerhalb des Zeitfensters von 5 Minuten nach dem letzten fehlgeschlagenen Versuch eine Anmeldung vom gleichen Computer erfolgreich war. |
Weitere Einzelheiten zum Programm finden Sie in der mitgelieferten Programmdokumentation.
Das Programm R560
| Verfügbarkeit | Shareware, 4 Wochen frei für einen Benutzer mit eingeschränktem Funktionsumfang, siehe Hilfedatei |
| aktuelle Version | 2.0 |
| letzte Änderung | 7. Juni 2006 |
| Archivgröße | 62 KB |
| Beschreibung | R560 wertet das Ereignis 560 des Sicherheitsprotokolls von Rechnern mit Windows XP sowie Windows 2003 aus. Das Programm sagt Ihnen, welche erfolgreichen und erfolglosen Zugriffsversuche auf entsprechend überwachte Objekte eines Rechners erfolgt sind. In der Vollversion können Sie unter 3 verschiedenen Zusammenfassungen wählen, die Shareware-Version liefert Ihnen immer die Zusammenfassung nach Objekt und Benutzer. |
Weitere Einzelheiten zum Programm finden Sie in der mitgelieferten Programmdokumentation.
Das Programm R592
| Verfügbarkeit | Shareware, 4 Wochen frei für einen Benutzer mit eingeschränktem Funktionsumfang, siehe Hilfedatei |
| aktuelle Version | 5.0 |
| letzte Änderung | 14. März 2001 |
| Archivgröße | 62 KB |
| Beschreibung | R592 wertet die Ereignisse 592 und 593 des Sicherheitsprotokolls (Softwarenutzung) aus. Das Programm sagt Ihnen, mit welchem Benutzernamen von wann bis wann welche Programme benutzt wurden. Sie können Zusammenfassungen sortiert nach Benutzer (nur in der Vollversion) oder nach Programmnamen ausgeben lassen. |
Weitere Einzelheiten zum Programm finden Sie in der mitgelieferten Programmdokumentation.
Das Programm RP10
| Verfügbarkeit | Shareware, 4 Wochen frei für einen Benutzer mit eingeschränktem Funktionsumfang, siehe Hilfedatei |
| aktuelle Version | 6.0 |
| letzte Änderung | 07. Juni 2006 |
| Archivgröße | 62 KB |
| Beschreibung | RP10 wertet das Druck-Ereignis 10 (ausgeführte Druckaufträge) im Systemprotokoll aus. Es sagt Ihnen, wieviele Seiten jeder Anwender (je Auftrag oder in der Zusammenfassung je Drucker) druckte. Falls das Systemprotokoll keine Information über die Zahl der gedruckten Seiten enthält, ist die Anzahl der zum Drucker geschickten Bytes genannt. Sollten Sie dieses Programm benutzen wollen, empfehle ich unbedingt vorher ein Studium der zugehörigen Dokumentation, die auf die Schwachstellen des Protokollierens von Druckereignissen bei Windows eingeht! |
Weitere Einzelheiten zum Programm finden Sie in der mitgelieferten Programmdokumentation.
Das Programm EventSave+
| Verfügbarkeit | Nur in der registrierten Version von Report Event für Windows enthalten |
| aktuelle Version | 6.4 |
| letzte Änderung | 11. Dezember 2009 |
| Beschreibung | EventSave+ ist Version von EventSave, die lediglich die Ereignisse eines einzelnen Protokolls sichert, die anderen Protokolle aber unverändert läßt. EventSave+ arbeitet genau so wie EventSave, sichert aber nur die explizit angegebenen Protokolle.
Es gibt keine Demoversion von EventSave+ (abgesehen vom Freewareprogramm EventSave), das Programm ist nur als Teil der Vollversion von Report Event für Windows erhältlich. |
Weitere Einzelheiten zum Programm finden Sie in der mitgelieferten Programmdokumentation.
Das Programm EventCopy
| Verfügbarkeit | Nur in der registrierten Version von Report Event für Windows enthalten |
| aktuelle Version | 6.4 |
| letzte Änderung | 11. Dezember 2009 |
| Beschreibung | EventCopy ist eine Version von EventSave, die lediglich die Ereignisse aus den aktuellen Protokollen in andere Dateien kopiert, aber die Protokolle selbst nicht löscht. EventCopy arbeitet genau so wie EventSave+, bis auf zwei Unterschiede:
Keinesfalls sollten Sie für EventCopy das gleiche Zielverzeichnis verwenden wie für EventSave+ oder EventSave! Es gibt keine Demoversion von EventCopy (abgesehen vom Freewareprogramm EventSave), das Programm ist nur als Teil der Vollversion von Report Event für Windows erhältlich. |
Weitere Einzelheiten zum Programm finden Sie in der mitgelieferten Programmdokumentation.
Das Programm ECA
| Verfügbarkeit | Nur in der registrierten Version von Report Event für Windows enthalten |
| aktuelle Version | 6.4 |
| letzte Änderung | 11. Dezember 2009 |
| Beschreibung |
ECA steht für Event Copy & Append und ist eine Version von EventSave, die lediglich die Ereignisse aus den aktuellen Protokollen in andere Dateien kopiert, aber die Protokolle selbst nicht löscht. Dazu merkt sich das Programm den Zeitstempel des letzten gesicherten Ereignisses für jedes bearbeitete Protokoll. Bei einem erneuten Aufruf des Programms werden nur neu hinzugekommene Ereignisse an die bereits angelegten Backup-Dateien angehängt. ECA arbeitet bis auf diese Unterschiede genau so wie EventSave+.
Keinesfalls sollten Sie für ECA das gleiche Zielverzeichnis verwenden wie für EventSave+ oder EventSave!
Es gibt keine Demoversion von ECA (abgesehen vom Freewareprogramm EventSave), das Programm ist nur als Teil der Vollversion von Report Event für Windows erhältlich. |
Weitere Einzelheiten zum Programm finden Sie in der Programmdokumentation.
Das Programm MER (Merge Eventlog Records)
| Verfügbarkeit | Nur in der registrierten Version von Report Event für Windows enthalten |
| aktuelle Version | 4.0 |
| letzte Änderung | 14. Juli 2003 |
| Beschreibung | Der Zweck dieses Programms besteht im Zusammenführen mehrer Ereignisprotokolle in eine neue Datei. Dabei werden alle oder nur bestimmte Ereignisse aus den Ausgangsdateien in eine gemeinsame Zieldatei kopiert. Die Ereignisse werden zeitlich korrekt einsortiert, falls die Quelldateien zeitlich korrekt sortiert sind.
Beispiel: Dieser Befehl durchsucht die Sicherheitsprotokolle des Monats Mai 2001 aller Rechner im Verzeichnis C:\Events und kopiert alle Ereignissätze zu fehlgeschlagenen Anmeldeversuchen in die Datei 2001_05_Breakin_Security.evt im aktuellen Verzeichnis, wobei bereits vorhandene Ereignisse nicht nochmals kopiert werden, da der Parameter /N angegeben wurde. Es gibt keine Demoversion von MER, das Programm ist nur als Teil der Vollversion von Report Event für Windows erhältlich. |
Weitere Einzelheiten zum Programm finden Sie in der Programmdokumentation.
Copyright © 1998-2009 Frank Heyne
