Wanneer een Windows-apparaat crasht, niet kan worden bijgewerkt of zich onverwacht begint te gedragen, zijn Windows Event Logs vaak een van de eerste plekken waar IT-teams naar aanwijzingen zoeken.
Op Windows-computers biedt het Windows Event Log essentiële informatie voor het diagnosticeren van crashes, updateproblemen, servicefouten en ander onverwacht apparaatgedrag. In externe omgevingen kan het onderzoeken van die problemen echter een uitdaging zijn.
IT-teams hebben manieren nodig om Windows Event Logs op afstand te bekijken, toegang te krijgen tot het externe apparaat en problemen te onderzoeken, zelfs als ze ver weg werken. Dus, hoe kunnen IT-teams Windows Event Logs op afstand beheren? Laten we ontdekken.
Wat zijn Windows-gebeurtenislogboeken?
Windows Event Logs zijn registraties van activiteiten op Windows-apparaten, waaronder applicaties, services, beveiligingsgebeurtenissen, installatieprocessen en systeemcomponenten. Deze logboeken helpen IT-teams te begrijpen wat er is gebeurd, niet alleen tijdens een probleem maar ook ervoor en erna, en geven zo meer context.
Als bijvoorbeeld een applicatie crasht, kunnen Windows Event Logs gerelateerde foutgebeurtenissen, tijdstempels, bronnen en systeemactiviteit tonen die IT-teams helpen de waarschijnlijke oorzaak te achterhalen. Dit geeft teams bruikbare informatie om mee te werken bij het oplossen van problemen en het ondersteunen van apparaten.
Welke Windows-gebeurtenislogboeken moet je controleren?
Windows-gebeurtenislogboeken kunnen echter veel verschillende vormen aannemen. Afhankelijk van het probleem moet je verschillende logboeken controleren. Deze omvatten:
1. Applicatielogs
Applicatielogboeken bieden informatie over specifieke apps en programma's. Deze logboeken worden gebruikt om softwarecrashes, mislukte starts, toepassingswaarschuwingen, installatieprogrammafouten en andere programmaspecifieke problemen vast te leggen.
2. Systeemlogboeken
Systeemlogboeken richten zich op het apparaat zelf en niet op specifieke programma's. Deze logboeken worden gebruikt voor servicestoringen, driverproblemen, hardwarewaarschuwingen, opstartproblemen, afsluitingen, herstartgebeurtenissen en andere soortgelijke problemen.
3. Beveiligingslogboeken
Beveiligingslogboeken bieden informatie over cybersecurityproblemen en waarschuwingen, zoals verdachte inlogactiviteit, mislukte toegangspogingen, accountactiviteit, gebruik van bevoegdheden en authenticatiegerelateerde gebeurtenissen. Toegang tot deze logboeken is doorgaans beperkter dan tot andere, waardoor het voor onbevoegde gebruikers moeilijker is om er toegang toe te krijgen.
4. Installatielogs
Setuplogboeken bieden informatie over problemen bij het toevoegen of aanpassen van software, zoals installatieactiviteiten, Windows-installatiegebeurtenissen, systeemwijzigingen en probleemoplossing voor updates. Als een nieuw programma moeilijk te installeren is, bevatten deze logs informatie over waarom.
5. Logboeken van applicaties en services
Wanneer IT-teams meer diepgaande informatie nodig hebben, bieden Application and Service Logs uitkomst. Dit zijn uitgebreidere logboeken die worden gebruikt voor Windows-componenten, Microsoft-services en applicaties van derden wanneer toepassings- of systeemlogboeken niet genoeg detail bieden.
Native manieren om Windows Event Logs op afstand te bekijken
Gezien de informatie die Windows Event Logs bevatten, is het voor IT-teams belangrijk om deze te kunnen openen en bekijken. Toch kan het lastig zijn om er op afstand toegang toe te krijgen zonder de juiste tools. Gelukkig zijn er een paar ingebouwde manieren om Event Logs op afstand te bekijken, waaronder:
1. Externe verbinding met Logboeken
Met Event Viewer kunnen IT-teams verbinding maken met andere computers en logboeken op afstand bekijken. Dit maakt het handig voor eenmalige controles op bereikbare apparaten, al voegt het enige complexiteit toe, omdat IT-teams machtigingen, firewallregels, externe services enzovoort moeten beheren.
2. PowerShell met Get-WinEvent
PowerShell-gebruikers kunnen externe Windows-gebeurtenislogboeken opvragen met de opdracht Get-WinEvent. Dit kan worden gefilterd op lognaam, gebeurtenis-ID, gebeurtenisniveau, provider, bron of tijdsbereik, waardoor het handig is voor gerichte zoekopdrachten en herhaalbare adminworkflows. Dit vereist echter ook dat IT-teams WinRM (of gerelateerde tools) configureren, machtigingen en externe connectiviteit instellen en natuurlijk over de opdrachtregelkennis beschikken die nodig is om PowerShell effectief te gebruiken.
3. Windows Event Collector
Windows Event Collector kan ook eventlogs verzamelen en geselecteerde gebeurtenissen doorsturen naar een centrale collector. Dit werkt goed voor gecentraliseerde gebeurtenisverzameling in werkomgevingen waar de meeste (zo niet alle) medewerkers Windows-computers gebruiken, al zijn er ook abonnementen, configuratie en doorlopend onderhoud nodig om het effectief te gebruiken.
4. SIEM of monitoringplatforms
Met SIEM- of monitoringtools kunnen IT-teams gebeurtenisgegevens uit meerdere bronnen verzamelen en beheren. Dit kan helpen bij beveiligingsmonitoring, het bewaren van registraties en auditondersteuning, waardoor het een veelgebruikte keuze is voor grotere IT- of beveiligingsafdelingen. Deze tools vereisen echter nog steeds aparte workflows om toegang te krijgen tot en beheer uit te voeren op de externe endpoints, waardoor ze doorgaans onvoldoende zijn voor teams die meer nodig hebben dan alleen monitoring.
Waarom het beheren van externe eventlogs lastig wordt
In theorie klinkt extern beheer van eventlogs eenvoudig: de logs registreren gegevens wanneer er iets misgaat, en vervolgens analyseren IT-teams die. Er zijn echter verschillende variabelen die logbeheer kunnen compliceren, dus IT-teams moeten zich daarvan bewust zijn.
Veelvoorkomende workflowproblemen zijn onder meer:
Apparaten buiten het netwerk zijn mogelijk niet bereikbaar via systeemeigen tools.
Firewall- of service-instellingen kunnen toegang op afstand tot de Event Viewer blokkeren.
Voor PowerShell-toegang zijn mogelijk complexe configuraties nodig.
Beveiligingslogboeken kunnen beperkt zijn tot bepaalde rollen, waardoor ze moeilijker toegankelijk zijn.
Logs handmatig doornemen op veel apparaten is repetitief en kost veel tijd.
Ingebouwde tools kunnen gebeurtenissen weergeven zonder voldoende endpointcontext te bieden, waardoor troubleshooting lastiger wordt.
Het vinden van de gebeurtenis lost het onderliggende probleem niet automatisch op; IT-teams hebben nog steeds de tools nodig om de oorzaak te onderzoeken en aan te pakken.
Problemen oplossen vereist vaak schakelen tussen meerdere applicaties, zoals logtools, remote-accesssoftware, opdrachtregeltools en ticketsystemen.
Dus, wat is de oplossing? Alles begint met de workflow. Met een goede workflow kunnen IT-teams gebeurtenissen effectiever beoordelen, problemen monitoren, endpoints onderzoeken en apparaten op afstand troubleshooten met behulp van Windows Event Log-gegevens.
Hoe Splashtop helpt Windows-gebeurtenislogboeken op afstand te beheren
Hoewel het beheren van Windows-gebeurtenislogboeken op afstand op zichzelf lastig kan zijn, zijn er oplossingen die kunnen helpen het proces te stroomlijnen en te ondersteunen. Met de tools voor remote support en endpointbeheer van Splashtop kunnen IT-teams op afstand toegang krijgen tot apparaten van gebruikers, eventlogs bekijken, vanaf elke locatie problemen oplossen en meer, waardoor het eenvoudig is om eventlogs te beheren en gebruikers te ondersteunen terwijl je op afstand werkt.
1. Bekijk Windows Event Logs vanuit de webconsole
Met Splashtop kunnen IT-technici Windows Event Logs bekijken voor beheerde online computers vanuit de Splashtop-webconsole. Dit helpt teams gebeurtenissen op externe Windows-apparaten te beoordelen zonder fysiek toegang te krijgen tot het endpoint of een volledige externe sessie te starten.
Technici kunnen gebeurtenissen filteren op gebeurtenisniveau, gebeurtenistype, datumbereik en gebeurtenis-ID, zodat ze het onderzoek kunnen verfijnen en zich kunnen richten op de gebeurtenissen die het meest relevant zijn voor het probleem.
2. Controleren op belangrijke Windows-gebeurtenissen
Splashtop helpt IT-teams ook bij het monitoren van Windows Event Log-activiteit met configureerbare waarschuwingen. Technici kunnen waarschuwingen aanmaken op basis van criteria uit Windows Event Log, zoals gebeurtenisniveau en gebeurtenis-ID, zodat belangrijke gebeurtenissen meldingen kunnen activeren zonder dat handmatige controles op elk apparaat nodig zijn.
Dit helpt teams om verder te gaan dan reactieve logbeoordeling en belangrijke of terugkerende Windows-gebeurtenissen consistenter te identificeren op beheerde apparaten.
3. Onderzoek zonder de gebruiker te onderbreken
Na het beoordelen van een gebeurtenis moeten technici vaak controleren wat er op het apparaat gebeurt. Met Splashtop Background Actions kunnen IT-teams bepaalde problemen onderzoeken zonder een volledige sessie op afstand te starten of de gebruiker te storen.
Technici kunnen tools zoals Remote Task Manager, Remote Service Manager, Remote Device Manager en Remote Registry Editor gebruiken vanuit de webconsole om processen, services, apparaten en systeeminstellingen te bekijken.
4. Onderneem actie na het beoordelen van de gebeurtenis
Zodra technici de gebeurtenislogboeken hebben bekeken en het probleem hebben ingeperkt, hebben ze nog steeds een manier nodig om actie te ondernemen op het endpoint. Met Splashtop kunnen ze de workflow blijven voortzetten via remote support, achtergrondacties, scripts en taken, herstarts, updates en praktische probleemoplossing wanneer dat nodig is.
Dit helpt IT-teams om van gebeurtenisbeoordeling naar onderzoek en vervolgens naar oplossing te gaan, zonder voor elke stap afhankelijk te zijn van losse tools.
5. Voeg bredere endpointzichtbaarheid toe met Splashtop AEM
Splashtop AEM voegt endpoint-zichtbaarheid en beheerfuncties toe die het probleemoplossingsproces ondersteunen. IT-teams kunnen de patchstatus, inventaris, meldingen en apparaatcontext bekijken om beter te begrijpen wat mogelijk bijdraagt aan een probleem.
Als een gebeurtenis wijst op een mislukte update, verouderde software, een terugkerend serviceprobleem of een breder endpointgezondheidsprobleem, helpt Splashtop AEM technici te bepalen wat ze vervolgens moeten doen en actie te ondernemen op beheerde apparaten.
Een praktische workflow voor het op afstand beheren van Windows Event Logs
Als je Windows Event Logs op afstand moet beheren, zijn er verschillende belangrijke stappen die je moet onthouden. Om je daarbij te helpen, hebben we deze handige workflow gemaakt met elke stap die je wilt nemen bij het op afstand beheren van eventlogs:
Identificeer de getroffen computer: De eerste stap is het apparaat in kwestie te identificeren. Hoewel dit misschien vanzelfsprekend lijkt, is het essentieel om informatie over het apparaat te verzamelen, inclusief de melding, eventuele gekoppelde supporttickets, gebruikersmeldingen of bekende problemen met het endpoint. Dit biedt een goede basis om mee te werken.
Bekijk het juiste gebeurtenislogboek: Natuurlijk is de volgende stap om het logboek te bekijken. Afhankelijk van het probleem kan het gaan om een Application-, System-, Security-, Setup-, Applications- of Service-logboek, dus het is belangrijk om in het juiste logboek te kijken voor de informatie die je nodig hebt.
Filter de gebeurtenisgegevens: Niet alle gegevens zijn relevant. Je wilt filteren op de informatie die je nodig hebt, zoals tijdsbereik, gebeurtenisniveau, gebeurtenistype, bron of provider.
Controleer op terugkerende problemen: Is deze gebeurtenis een eenmalig incident of een terugkerend probleem? Door waarschuwingen in te stellen kun je terugkerende problemen herkennen zonder apparaten handmatig te hoeven controleren, zodat ze efficiënter kunnen worden aangepakt.
Vergelijk de gebeurtenis met endpointcontext: Context is belangrijk. Controleer zeker de details die met het incident verband houden, zoals de patchstatus, geïnstalleerde software, actieve services, de status van het apparaat, recente updates, enzovoort. Deze contextuele details kunnen belangrijke informatie over de gebeurtenis bieden.
Doe indien nodig onderzoek op de achtergrond: Soms is een beetje extra onderzoek nodig. Controleer zeker de processen, services of andere details van het apparaat, maar het helpt om dit op de achtergrond te onderzoeken, zodat je de gebruiker niet stoort terwijl die probeert te werken.
Neem de juiste actie op afstand: Verschillende gebeurtenissen vragen om verschillende herstelmaatregelen. Dit kan vereisen dat er, afhankelijk van het probleem, een update wordt toegepast, het apparaat of een service opnieuw wordt opgestart, een script wordt uitgevoerd of dat er wordt opgeschaald voor verdere probleemoplossing.
Documenteer de bevinding en uitkomst: Het is essentieel om documentatie up-to-date te houden om bij te houden welk werk is gedaan en gegevens vast te leggen voor toekomstige problemen. Zorg ervoor dat je de gebeurtenis, de oorzaak, de ondernomen actie en het resultaat vastlegt, zodat andere medewerkers indien nodig toegang hebben tot de informatie.
Best practices voor extern beheer van Windows-gebeurtenislogboeken
Het beheren van Windows Event Log kan ingewikkeld zijn, maar dat hoeft niet. Door deze best practices te volgen, kun je logs gemakkelijker sorteren en beheren, zodat je er duidelijke en bruikbare informatie uit haalt.
Best practices zijn onder meer:
Standaardiseer logs en gebeurtenis-ID's zodat je team effectiever kan controleren op veelvoorkomende problemen.
Gebruik filters bij het opslaan en doorzoeken van logs, zodat je de logs die je nodig hebt kunt vinden zonder de volledige logs handmatig te hoeven doorzoeken.
Maak waarschuwingen aan voor belangrijke of terugkerende Windows-gebeurtenissen.
Controleer de logbestanden zo dicht mogelijk bij het moment van het probleem.
Beperk de toegang tot gevoelige logbestanden met rolgebaseerde toegangscontroles.
Combineer evaluaties van gebeurtenislogboeken met endpointcontext, zoals patchstatus, services, inventaris en recente wijzigingen.
Gebruik achtergrondtools om problemen op te lossen zonder gebruikers te storen.
Gebruik tools voor remote support om endpoints direct te beheren wanneer het probleem praktisch onderzoek vereist.
Gebruik automatiseringstools voor repetitieve controles of routinematige herstelstappen.
Documenteer bevindingen zodat vergelijkbare problemen in de toekomst sneller kunnen worden opgelost.
Beheer Windows-gebeurtenislogboeken op afstand, van controle tot oplossing
Met Windows Event Logs kunnen IT-teams problemen onderzoeken en de context eromheen begrijpen, maar de logs alleen bieden slechts zoveel. Beheer van externe logbestanden werkt het best wanneer teams gebeurtenissen kunnen monitoren, endpoints kunnen onderzoeken en kunnen handelen op basis van de verstrekte informatie om de oorzaak aan te pakken en toekomstige problemen te voorkomen.
Hoewel de ingebouwde Windows-tools handig kunnen zijn voor eenmalige controles, gescripte query's en gecentraliseerde verzameling, vereist probleemoplossing op afstand vaak meer dan alleen toegang tot logbestanden. Met Splashtop kunnen IT-teams Windows Event Logs bekijken vanuit de webconsole, belangrijke gebeurtenissen monitoren, onderzoek doen met achtergrondacties en gebruikers op afstand ondersteunen wanneer praktische probleemoplossing nodig is.
Wil je een betere manier om remote Windows-problemen op te lossen te beheren, van het bekijken van gebeurtenissen tot de oplossing? Ga vandaag nog aan de slag met een gratis proefperiode van Splashtop.
