Es sollte wieder ein sehr heißer Sommertag werden – der 5. in Folge – daher genoss er die noch frische Morgenluft und war ein wenig früher als gewöhnlich an seinem Schreibtisch angekommen. Trotzdem wartete bereits ein neuer Fall auf ihn.
Die Kolleg*innen der Nachtschicht hatten einen anonymen Fehlerreport aufgenommen. Er warf einen kurzen Blick darauf und seufzte. Datum, Uhrzeit, Ort und ein vieldeutiges „Allgemeiner Fehler“. Er würde einmal mehr die Wichtigkeit aussagekräftiger Reports für eine erfolgreiche Ermittlungstätigkeit thematisieren müssen. Zumindest gab es keinen Dringlichkeitsvermerk, er beschloss daher sich noch ein Häferl Kaffee zu holen, bevor er loslegte.
Vielleicht gab es bereits ähnliche Fälle, die aufgrund der frühen Stunde noch nicht berichtet worden waren, also begann er seine Recherchen beim Monitoring. Ein kurzer Blick, sein Puls beschleunigte sich und er nahm einen großen Schluck Kaffee. Der Report auf seinem Tisch bliebe sicher kein Einzelfall, wenn er jetzt nicht rasch reagierte. Aber das war leichter gesagt als getan, bei den spärlichen Informationen, die ihm vorlagen.
Ihm blieb wohl nichts über, als seine üblichen Informanten zu befragen – zuerst das Windows-Event-Log. Dort wollte allerdings trotz ausgiebiger Befragung niemand etwas gehört oder gesehen haben.
Nächste Anlaufstelle war das Applikations-Log. Dieses war ein deutlich vielversprechender Tippgeber, bekam er dort doch den Hinweis, dass ein benötigter Port schon in Verwendung war und das Service daher nicht wie gewohnt starten konnte. Auch wenn er sich das noch nicht zu erklären vermochte, war dies zumindest ein erster konkreter Ermittlungsansatz, damit konnte er arbeiten.
Eine folgende forensische net-stat-Analyse offenbarte die Belegung des fraglichen Ports durch eine Prozess-ID des Betriebssystems – allerdings ohne Hinweis auf einen namentlich zu nennenden Prozess.
An diesem Punkt wurde es Zeit, seinen treuen Assistenten Dr. Google zu Rate zu ziehen, der nie um eine Antwort verlegen war. So brachte dieser auch hier einmal wieder den letztlich entscheidenden Tipp, der diesen Fall lösen sollte. Das Configuration-Manager-Service war dringend tatverdächtig und tatsächlich, nachdem dieses gestoppt und in Gewahrsam genommen worden war, konnte der Port befreit und an das Applikationsservice zurückgegeben werden. Ein abschließender Blick auf die nun wieder grüne Ampel im Monitoring und er konnte die Akte schließen.
Er atmete tief durch und beglückwünschte sich selbst zu dieser meisterlichen Detektivarbeit. Blieb nur noch zu klären, was er zu Mittag essen sollte, aber dies ist eine andere Geschichte…
Über mich
Mit bald 20 Jahren IT-Berufserfahrung darf ich derzeit in der twinformatics ein Team von Applikations- und System Administratoren leiten. In dieser Zeit haben sich meine Tätigkeit und die technischen Rahmenbedingungen so wenig geändert, dass ich immer noch mit Begeisterung dabei bin, gleichzeitig aber auch so viel, dass es nie langweilig war/wird.
Zum Ausgleich reise ich sehr gerne - insbesondere Afrika habe ich in den letzten Jahren für mich entdeckt. Als leidenschaftlicher Läufer bin ich viel und oft an der frischen Luft unterwegs.