Disk-Forensik/ Beweismittelquellen/ Logfiles

Aus Wikibooks

In Windows sind standardmäßig die Ereignisprotokolle vorhanden. Sie werden in erster Linie für die Fehlersuche und nicht für die forensische Spurensuche verwendet.

Das zentrale Protokollsystem speichert Aktivitäten des Betriebssystems und wird für die Protokollierung von Fehlern und Abläufen von Anwendungen verwendet. Sowohl auf der Workstation als auch am Server existieren immer 3 Protokolle: System, Sicherheit und Anwendung. Neben diesen gibt es, abhängig von den konfigurierten Diensten am Server noch Protokolle für den DNS Dienst, Protokolle für den Verzeichnisdienst und Protokolle für den Dateireplikationsdienst. Die auftretende Meldungen in den unterschiedlichen Protokollen lassen sich nach 3 Gefahrenstufe unterteilen: informelle Ereignisse, Warnungen und Fehlermeldungen.

Wenn man die Protokollierung in der Standardkonfiguration belässt, reicht dies nicht aus. Wichtige Informationen wie z. B. die Anmeldungsversuche bzw. die fehlgeschlagenen Versuche werden nur nach Aktivierung in den Sicherheitsprotokollen mitprotokolliert. Außerdem ist standardmäßig der Speicherplatz für die Meldungen begrenzt. Ist kein Platz mehr, so werden Meldungen entweder verworfen oder es werden alte überschrieben.

Die Konfiguration der Ereignisprotokolle befindet sich in der Registry in dem Schlüssel HKEY_LOCAL_MASCHINE\SYSTEM\CurrentControlSet\Services\Eventlog. Jedes einzelne Protokoll ist in einem eigenen Unterschlüssel platziert. Dort findet man den Speicherplatz der Protokolldaten, der normalerweise in %SystemRoot%\system32\config ist, und den Pfad zur Vorlage der Fehlerbeschreibungen.

Noch zu bemerken ist, dass das Format der Protokolle bis inkl. Windows XP gleich war. Um Protokolle auf dem neuen Vista Betriebssystem zu analysieren, müssen Tools umgeschrieben werden, weil ein XML Format verwendet wird.