Schlagwort-Archive: Event Log

Windows Event Log kann nach Archivieren nicht gelöscht werden

Event-Log löschen

Mit dem Programm Eventsave von Frank Heyne Software ist es sehr einfach möglich in regelmäßigen Zeitabständen das Event Log eines Windows Rechners zu archivieren. Damit der Zugriff auf das Windows Event Log funktioniert lassen sich auf dem zu archivierenden Rechner entsprechende Berechtigungen vergeben, die einen Zugriff auf das Event Log einschränken oder sogar ganz verbieten.

Für die Zugriffsberechtigung wird ein passender SID String in der Registry benötigt, der im Format der Microsoft SDDL (security descriptor definition language) sein muss. In der Microsoft Knowlegde Base findet sich unter http://support.microsoft.com/kb/323076 eine Anleitung wo der Eintrag in der Registry zu finden ist. Leider fehlt dort aber eine brauchbare Beschreibung welche Teile der Berechtigung angepasst werden müssen, damit die archivierten Event Logs auch gelöscht werden können. Die Berechtigungen werden wie hier zu sehen ist gespeichert:

O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0005;;;SY)(A;;0x3;;;BA)(A;;0x3;;;DA)

In blau sind hier die Berechtigungen dargestellt. In rot sind hier die Benutzer Gruppen angegeben, für die die jeweilige Berechtigung gilt.

Berechtigungen

Die Berechtigungen werden addiert als hexadezimale Zahl dargestellt:

1 = Lesen
2 = Schreiben
4 = Löschen

Eine 5 wäre also Lesen + Löschen, eine 3 wäre Lesen + Schreiben.

Die Benutzer Gruppen werden im Microsoft MSDN im Artikel http://msdn.microsoft.com/en-us/library/windows/desktop/aa379602%28v=vs.85%29.aspx ausführlich beschrieben. Folgende Gruppen werden hier im Beispiel benutzt:

AN = Anonymous logon
BG = Built-in guests
SY = Local system
BA = Built-in administrators
DA = Domain administrators

Für den Zugriff von einem entfernten System auf das Event Log muss also die Berechtigung für die Gruppe „DA“ angepasst werden, von Lesen + Schreiben (3) auf Lesen + Schreiben + Löschen (7). Der geänderte Eintrag unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD sieht nach der Änderung etwas so aus:

O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0005;;;SY)(A;;0x3;;;BA)(A;;0x7;;;DA)

Leider gibt es in Windows nicht die Möglichkeit den Eintrag per Script gezielt um ein Recht zu erweitern. Die einzige Möglichkeit ist den Eintrag vollständig neu zu schreiben. Deswegen sollte man sich auch vorher den Eintrag auslesen da die Berechtigungen je nach Art der Installation und der installierten Dienste noch weitere Einträge beinhalten kann. Wenn der Eintrag „A;;0x7;;;DA“ in dem SID String nicht vorhanden ist, dann gibt es dafür auch keine Zugriffsbeschränkungen. Das Löschen des Eintrags sollte jedoch wohl überlegt sein.