# Systemevents

Die Systemevents-Übersicht bietet dir die Möglichkeit, sicherheitsrelevante Ereignisse aus den Event-Logs deiner Hosts in einer zentralen Ansicht anzuzeigen. Die Aufzeichnung der Ereignisse erfolgt dabei durch den auf einem Host installierten Pulsar.

{% hint style="danger" %}
**Bitte beachte**: Damit hier Werte angezeigt werden können, müssen folgende Voraussetzungen erfüllt sein:

* Das Logging von Systemereignissen muss in den [Einstellungen der einzelnen Hosts](/docs/manual/bedienung-der-plattform/host-detailansichten/einstellungen.md) oder unter **Hosts** → **Policies** mit einer [entsprechenden Richtlinie aktiviert sein](/docs/manual/bedienung-der-plattform/hosts/management/policy-manager/policy-hinzufugen.md#erweiterte-einstellungen).
* Das Logging von Systemereignissen muss auf dem jeweiligen Betriebssystem eines überwachten Hosts aktiviert sein. Unter Linux können auch die Systemereignisse des **auditd**-Dienstes abgerufen werden.
  {% endhint %}

{% hint style="success" icon="lightbulb" %}
Mehr Informationen, welche Systemereignisse in Enginsight überwacht werden, findest du in unserer Knowledge Base: [Welche Systemereignisse werden von Enginsight mitgeschnitten?](https://docs.enginsight.com/docs/knowledge-base/logging/welche-systemereignisse-werden-von-enginsight-mitgeschnitten)
{% endhint %}

{% hint style="info" %}
Systemereignisse werden für Enginsight SaaS-Instanzen standardmäßig 14 Tage gespeichert, wobei die Länger der Speicherzeit nicht verändert werden kann. Für On-Premises-Instanzen beträgt die Speicherzeit standardmäßig drei Tage. Du kannst diesen Zeitraum über die Konfigurationsdatei anpassen.
{% endhint %}

{% hint style="success" icon="lightbulb" %}
Mehr Informationen, wie du die Speicherzeiten deiner Enginsight Logs anpassen kannst, findest du in unserer Knowledge Base: [Wie kann ich die Speicherzeiten meiner Enginsight Logs anpassen?](https://docs.enginsight.com/docs/knowledge-base/logging/wie-kann-ich-die-speicherzeiten-meiner-enginsight-logs-anpassen)
{% endhint %}

***

<i class="fa-compass">:compass:</i> Navigiere zu **Hosts** → **Systemevents**, um eine Zeitleiste sowie eine Auflistung aller geloggten Systemereignisse anzuzeigen. Wenn noch keine Systemevents erfasst wurden, ist diese Ansicht leer.

<figure><img src="/files/qiEJc6aPFoNfA0AXnVnK" alt=""><figcaption></figcaption></figure>

Du kannst der [Systemevents-Übersicht](#systemevents-ubersicht) unter anderem entnehmen:

* welches Systemereignis genau stattgefunden hat und ob es erfolgreich war oder nicht.
* auf welchem Host das Systemereignis stattgefunden hat und welcher Benutzer und welche IP-Adresse beteiligt waren.&#x20;
* wann genau das Systemereignis stattgefunden hat.

Des Weiteren hast du hier die Möglichkeit, [Start- und Endzeitpunkt](#start-und-endzeitpunkt-festlegen) für die Betrachtung festzulegen und die gesamte [Liste zu exportieren](#liste-exportieren).

***

## Navigation

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <i class="fa-magnifying-glass">:magnifying-glass:</i> **Freitextsuche** oberhalb der Liste und gib einen frei gewählten Suchbegriff ein, um bestimmte Listenelemente zu finden.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Aktualisieren**-Symbol <i class="fa-arrows-rotate-reverse">:arrows-rotate-reverse:</i> oberhalb der Liste, um alle Listenelemente zu aktualisieren.

<i class="fa-computer-mouse-scrollwheel">:computer-mouse-scrollwheel:</i> Scrolle in der Liste nach unten oder passe die Ergebnisanzeige pro Seite an: ![](/files/2OyJnQuiS9EayPZHDbB3) um weitere Einträge in der Liste zu sehen.\
Nutze die Seitennavigation: ![](/files/IWrRD7h50XDr2neLTKmC) um zwischen mehreren Seiten zu wechseln.&#x20;

### Start- und Endzeitpunkt festlegen

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <i class="fa-calendar-days">:calendar-days:</i> **Startzeitpunkt** bzw. <i class="fa-calendar-days">:calendar-days:</i> **Endzeitpunkt** in der rechten oberen Ecke, um einen Startzeitpunkt bzw. Endzeitpunkt für die Betrachtung zu definieren. Es öffnet sich die Datumsauswahl.

{% tabs %}
{% tab title="Relativer Zeitraum" %}
Stelle manuell einen **relativen Zeitraum** ein. Du kannst auch einen relativen Zeitraum aus einer der **Vorlagen** auswählen.

<div align="left"><figure><img src="/files/r57QiEZwtvSqh1GG7vRE" alt="" width="236"><figcaption></figcaption></figure></div>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld mit der standardmäßigen Einstellung **Tage zuvor**, um eine Liste aller verfügbaren Zeiträume auszuklappen. Wähle einen Zeitraum aus.

Gib im Zahlenfeld die Anzahl der Sekunden, Minuten, Stunden, Tage oder Wochen ein, die du anzeigen möchtest. Standardmäßig ist hier der Wert **1** eingestellt.

Bestätige deine Angaben mit Klick auf **Übernehmen**.
{% endtab %}

{% tab title="Absoluter Zeitraum" %}
Wähle ein Datum aus der Kalenderansicht aus.

<div align="left"><figure><img src="/files/HzeQylEhWTQpSlSm7nNz" alt="" width="164"><figcaption></figcaption></figure></div>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke optional auf <i class="fa-clock">:clock:</i> **Uhrzeit**, um mithilfe der Wählscheibe eine genaue Uhrzeit im 24-Stunden-Format festzulegen. Wähle zunächst eine Stunde aus. Die Wählscheibe springt daraufhin auf die Minutenanzeige. Wähle hier entsprechend die Minuten aus.&#x20;

Bestätige deine Angaben mit Klick auf **Übernehmen**.
{% endtab %}
{% endtabs %}

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <i class="fa-arrow-rotate-left">:arrow-rotate-left:</i> **Zurücksetzen** in der rechten oberen Ecke, um die vorgenommenen Einstellungen für den betrachteten Zeitraum zurückzusetzen.

### Liste filtern

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Filtern**-Symbol <i class="fa-filter">:filter:</i> oberhalb der Liste, um die Liste nach vordefinierten Parametern zu filtern.

<details>

<summary>Verfügbare Filter</summary>

<table><thead><tr><th width="206.60546875">Parameter</th><th width="116.515625">Art</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Anwendung</td><td>String</td><td>Filtere nach einer bestimmten, vom Systemevent betroffenen Softwareanwendung oder schließe diese aus den Ergebnissen aus. Es werden alle verfügbaren Dateipfade, unter denen betroffene Softwareanwendungen zu finden sind, angezeigt.</td></tr><tr><td>Eventname</td><td>String</td><td>Filtere nach einem bestimmten Systemevent oder schließe dieses aus den Ergebnissen aus. Es werden alle verfügbaren Systemevents angezeigt.</td></tr><tr><td>Host</td><td>String</td><td>Filtere nach einem bestimmten Hostnamen oder schließe diesen aus den Ergebnissen aus. Es werden alle verfügbaren Hostnamen angezeigt.</td></tr><tr><td>Kategorie</td><td>String</td><td>Filtere nach einer bestimmten Systemevent-Kategorie oder schließe diese aus den Ergebnissen aus. Es werden alle verfügbaren Kategorien angezeigt.</td></tr><tr><td>Status</td><td>String</td><td>Filtere danach, ob ein Systemevent erfolgreich war oder fehlgeschlagen ist.</td></tr><tr><td>Unterkategorie</td><td>String</td><td>Filtere nach einer bestimmten Systemevent-Unterkategorie oder schließe diese aus den Ergebnissen aus. Es werden alle verfügbaren Unterkategorien angezeigt.</td></tr></tbody></table>

</details>

### Listenelemente sortieren

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke im Tabellenkopf auf das **Sortieren**-Symbol <i class="fa-sort">:sort:</i> neben einem Spaltennamen, um nach der jeweiligen Spalte in aufsteigender Reihenfolge <i class="fa-angle-up">:angle-up:</i> oder in absteigender Reihenfolge <i class="fa-chevron-down">:chevron-down:</i> zu sortieren.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Sortieren**-Symbol <i class="fa-bars-sort">:bars-sort:</i> oberhalb der Liste, um die Priorität der vorgenommenen Sortierung anzupassen. Es öffnet sich ein Menü, in dem alle Spalten angezeigt werden, nach denen die Liste sortiert ist. Verschiebe die angezeigten Elemente per Drag-and-Drop, um die Sortierpriorität zu ändern.

***

## Systemevents: Zeitleiste

<figure><img src="/files/TweRNPLoImfXDwSdxkP7" alt=""><figcaption></figcaption></figure>

Die Systemevents-Zeitleiste zeigt ein Säulendiagramm mit der jeweiligen Anzahl aller Systemereignisse über den gewählten Zeitraum hinweg.

{% hint style="info" %}
Jede Säule deckt einen Zeitraum von 5 Minuten ab.
{% endhint %}

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf die Werte **Erfolgreich** oder **Fehlgeschlagen**, um die entsprechend kategorisierten Systemereignisse aus- oder einzublenden.

<i class="fa-arrow-pointer">:arrow-pointer:</i> Fahre mit dem Mauszeiger über eine Säule im Diagramm, um die aggregierte Anzahl der entsprechend kategorisierten Systemereignisse zum gewählten Zeitpunkt anzuzeigen.&#x20;

***

## Systemevents: Übersicht

<figure><img src="/files/CxtUw60c7vKCPhoCQjCD" alt=""><figcaption></figcaption></figure>

Die Systemevents-Übersicht ist als tabellarische Liste aufgebaut. Du kannst der Liste folgende Informationen entnehmen:

<table><thead><tr><th width="200.14453125">Spalte</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Status</td><td><p>Zeigt den Status des entsprechenden Systemereignisses.<br><br>Folgende Status können angezeigt werden:</p><ul><li><strong>Erfolgreich</strong>: Die durch das Systemereignis beschriebene Aktion war erfolgreich.</li><li><strong>Fehlgeschlagen</strong>: Die durch das Systemereignis beschriebene Aktion war nicht erfolgreich.</li></ul></td></tr><tr><td>Name</td><td><p>Zeigt den Namen des entsprechenden Systemereignisses sowie weitere Informationen wie die IP-Adresse des Benutzers, den Namen des Benutzers sowie die Quelle des Systemereignisses.</p><div data-gb-custom-block data-tag="hint" data-style="success" data-icon="lightbulb" class="hint hint-success"><p>Mehr Informationen, welche Systemereignisse in Enginsight überwacht werden, findest du in unserer Knowledge Base: <a href="https://docs.enginsight.com/docs/knowledge-base/logging/welche-systemereignisse-werden-von-enginsight-mitgeschnitten?q=Wie+kann+ich+die+Speicherzeiten+meiner+Enginsight+Logs+anpassen?">Welche Systemereignisse werden von Enginsight mitgeschnitten?</a></p></div></td></tr><tr><td>Kategorie</td><td>Zeigt die Art des Systemereignisses sowie den genauen Grund, der dazu geführt hat, dass das Ereignis erfolgreich war oder fehlgeschlagen ist.</td></tr><tr><td>Details</td><td><p>Zeigt die kategorische Einordnung des Systemereignisses.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Diese Option steht nur für Windows-Systemereignisse zur Verfügung. </p></div></td></tr><tr><td>Host</td><td>Zeigt den Namen des Hosts, auf dem das Systemereignis stattgefunden hat.<br><br><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf den Namen eines Hosts, um zur jeweiligen <a href="/pages/2A0M45TxgQaeD6tpDIkK">Host-Detailansicht</a> zu navigieren.</td></tr><tr><td>Beobachtet am</td><td>Zeigt das genaue Datum und die genaue Uhrzeit, wann das Systemereignis stattgefunden hat.</td></tr><tr><td>Details</td><td><p>Erhalte detailliertere Informationen zu einem Systemereignis.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Diese Option steht nur für Windows-Systemereignisse zur Verfügung. </p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <strong>Details</strong>, um den Eintrag des Event Logs, aus dem das Systemereignis stammt, anzuzeigen.</p></td></tr></tbody></table>

***

## Liste exportieren

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <i class="fa-down-to-line">:down-to-line:</i> **Alles exportieren** in der rechten oberen Ecke, um die gesamte Übersicht für den gewählten Zeitraum unabhängig von gesetzten Filtern herunterzuladen. Der Export der Datei erfolgt im CSV-Format.

{% hint style="info" %}
Die exportierte Datei findest du im standardmäßig von deinem Browser genutzten Speicherort.
{% endhint %}

***

## Weitere Ressourcen

**Knowledge Base**

* [Welche Systemereignisse werden von Enginsight mitgeschnitten?](https://docs.enginsight.com/docs/knowledge-base/logging/welche-systemereignisse-werden-von-enginsight-mitgeschnitten)
* [Wie kann ich die Speicherzeiten meiner Enginsight Logs anpassen?](https://docs.enginsight.com/docs/knowledge-base/logging/wie-kann-ich-die-speicherzeiten-meiner-enginsight-logs-anpassen?q=Welche+Systemereignisse+werden+von+Enginsight+mitgeschnitten?)
* [Wie kann ich mit Enginsight Objektzugriffe auf Windows-Systemen überwachen?](https://docs.enginsight.com/docs/knowledge-base/wie-kann-ich-mit-enginsight-objektzugriffe-auf-windows-systemen-uberwachen)


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.enginsight.com/docs/manual/bedienung-der-plattform/hosts/management/systemevents.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.