Hallo,

zuerst einmal möchte ich bemerken, dass ich normalerweise nahezu gar nichts
mit Windows zu tun habe und mich insbesondere mit der Administration dort
gar nicht auskenne.

Aus dem Bekanntenkreis bin ich aber um Hilfe bei der Aufklärung eines Ereignisses
gebeten worden, wo WinXP eine gewisse Rolle spielt.

Meine Frage: wo speichert Windows LogInformationen, insbesondere
-welcher Benutzer hat sich wann am System angemeldet
-welche Netzwerkverbindungen bestanden
-welche Dateien wurden geöffnet

Gibts in Windows ein ähnliches Verzeichnis wie /var/log?



Danke,
Torsten

Torsten Blessing schrieb:

> zuerst einmal möchte ich bemerken, dass ich normalerweise nahezu gar nichts
> mit Windows zu tun habe und mich insbesondere mit der Administration dort
> gar nicht auskenne.
>
> Aus dem Bekanntenkreis bin ich aber um Hilfe bei der Aufklärung eines Ereignisses
> gebeten worden, wo WinXP eine gewisse Rolle spielt.

XP Home oder XP Profesional? Das macht nämlich an vielen Stellen einen
Unterschied.

> Meine Frage: wo speichert Windows LogInformationen, insbesondere
> -welcher Benutzer hat sich wann am System angemeldet

AFAIK wird das standardmäßig gar nicht gespeichert, man kann es bei XP pro
über eine Gruppenrichtlinie aktivieren (Start -> Asuführen -> gpedit.msc)

> -welche Netzwerkverbindungen bestanden

"Bestanden" - also in der Vergangenheit existierten? So etwas wird nicht
gespeichert.

> -welche Dateien wurden geöffnet

Das geht über die "Verfolgung von Objektzugriffen". Standardmäßig ist das
aber deaktiviert, muss aktiviert werden über die Gruppenrichtlinie.
Live-Zugriffe hingegen kann man sehr schön mit dem ProcessMonitor von
MS/Sysinternals verfolgen.

> Gibts in Windows ein ähnliches Verzeichnis wie /var/log?

Windows speichert solche Daten nicht in einfachen Textdateien, sondern im
Eventlog, einer Art Datenbank. Das Eventlog ist z.B. erreichbar über Start
-> Ausführen -> eventvwr.msc

Robert