In dieser Anleitung zeigen wir, wie Sie mit der Windows-Ereignisanzeige die Windows-Protokolle anzeigen und nach verschiedenen Kriterien filtern können.
Voraussetzungen:
Um die in diesem Handbuch gezeigten Schritte auszuführen, benötigen Sie die folgenden Komponenten:
- Ein ordnungsgemäß konfiguriertes Windows 10/11-System. Sehen Sie sich zum Testen an, wie Sie mit VirtualBox eine Windows-VM einrichten.
- Admin-Zugriff
Ereignisanzeige unter Windows
Standardmäßig senden verschiedene Apps (und Teile des Betriebssystems) bei bestimmten Aktivitäten wie Treiberfehlern, Sicherheitsupdates, Hardwarefehlern und mehr eine Benachrichtigung an das Betriebssystem. Event Viewer ist eine spezielle App, die diese Benachrichtigungen aggregiert und als Zentrale für die Protokollierung fungiert.
Mit Administratorrechten kann die Ereignisanzeige jedes wichtige Ereignis anzeigen, das im System auftritt. Es kann für Debugging-Zwecke unglaublich nützlich sein.
Die Ereignisanzeige verfügt außerdem über leistungsstarke Filterfunktionen, die die Systemaktivität zu einem bestimmten Zeitpunkt, ausgelöst durch ein bestimmtes Programm, den Schweregrad des Auslösers und mehr anzeigen können.
Starten der Ereignisanzeige
Geben Sie im Startmenü „Ereignisanzeige“ ein.
Alternativ können Sie das folgende Schlüsselwort im Fenster „Ausführen“ ausführen:
$ eventvwr
Im Hauptfenster erhalten Sie eine Zusammenfassung aller Systemaktivitäten.
Die Benutzeroberfläche der Ereignisanzeige
Im linken Bereich sind die Protokolle in verschiedene Kategorien sortiert.
Wählen Sie beispielsweise die Unterkategorie „Windows-Protokolle“, um eine Zusammenfassung der Protokolle nach Windows und Windows-Apps anzuzeigen.
Um die von allen Microsoft-Produkten generierten Protokolle anzuzeigen, gehen Sie zu „Anwendungs- und Dienstprotokolle“ >> „Microsoft“.
Anzeigen der Protokolle
Im folgenden Beispiel betrachten wir die Protokolle, die von Windows PowerShell generiert werden. Gehen Sie im linken Bereich zu „Anwendungs- und Dienstprotokolle“ >> „Windows PowerShell“.
Hier sehen wir alle Ereignisse, die von PowerShell ausgelöst werden. In unserem Fall hat der Event Viewer etwa 10.000 PowerShell-Ereignisse protokolliert. Jedes Protokoll stellt ein Ereignis dar.
Sie können die Protokolldetails sehen, wenn Sie ein Protokoll auswählen.
Ausführlichere Informationen finden Sie auf der Registerkarte „Details“.
Filtern der Ereignisprotokolle
Anstatt ziellos die Protokolle zu durchsuchen, können wir mithilfe der Ereignisanzeige bestimmte Filter anwenden, um ein genaueres Bild zu erhalten. Es kann unglaublich nützlich sein, wenn Sie versuchen, ein Problem zu beheben, sei es ein Hardwareproblem, ein Treiberproblem oder ein Softwarefehler.
Um einen neuen Filter zu erstellen, wählen Sie im rechten Bereich „Benutzerdefinierte Ansicht erstellen“.
Wir können verschiedene Filter auf das neue Fenster anwenden.
Hier:
- Geloggt : Die Ereignisanzeige hostet Protokolle seit der Installation des Betriebssystems. In den meisten Situationen ist es nicht optimal, sie alle zu durchsuchen. Mit diesem Filter können wir den Suchumfang zeitlich einschränken.
- Ereignisebene : Immer wenn ein Ereignis registriert wird, wird ihm ein Schweregrad zugewiesen. Es gibt fünf Arten von Ereignissen: Kritisch, Fehler, Warnung, Information und Ausführlich.
- Nach Protokoll : Beschränken Sie den Suchumfang nach Baum.
- Nach Quelle : Begrenzen Sie den Suchumfang nach der Quelle des Ereignisauslösers. Die Ereignisauslöser können verschiedene Geräte des Betriebssystems oder jedes installierte Programm sein.
Um beispielsweise alle von PowerShell ausgelösten Ereignisse aufzulisten, sieht das benutzerdefinierte Ansichtsformular wie folgt aus:
Standardmäßig bietet die Ereignisanzeige an, den neu erstellten Filter als benutzerdefinierte Ansicht zu speichern.
Das Ergebnis sollte so aussehen:
Sichern der Protokolle
Die Ereignisanzeige kann die Ereignisprotokolle auch exportieren. Dies kann zum Debuggen oder zum Sichern wichtiger Protokolle für später nützlich sein.
In diesem Beispiel erstellen wir eine Sicherung der „Windows PowerShell“-Protokolle.
Wählen Sie im linken Bereich „Windows PowerShell“ aus, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Alle Ereignisse speichern unter“.
Sie werden aufgefordert, den Speicherort für die Sicherungsdatei auszuwählen.
Abschließend werden Sie von der Ereignisanzeige gefragt, ob Sie die zusätzlichen Anzeigeinformationen mit der Datei speichern möchten. Es wird empfohlen, diese einzubinden, damit die Protokolle auf jedem anderen Computer bearbeitet werden können. Allerdings möchten Sie dies möglicherweise nur zu Sicherungszwecken vermeiden, um die Dateigröße zu reduzieren.
Wenn Sie sich dafür entscheiden, die zusätzlichen Anzeigedaten einzubeziehen, erstellt die Ereignisanzeige ein zusätzliches „LocaleMetaData“-Verzeichnis.
Importieren der Protokolle
Wir haben nun gelernt, wie man die Ereignisprotokolle erfolgreich sichert. Jetzt müssen wir lernen, wie wir sie bei Bedarf importieren.
Um die Protokolle aus einer Sicherungsdatei der Ereignisanzeige zu importieren, gehen Sie im Hauptfenster zu Aktion >> Gespeichertes Protokoll öffnen.
Suchen Sie nun nach der Sicherungsdatei.
Sie können den Namen des Protokollspeicherauszugs und den Speicherort festlegen. Standardmäßig werden sie in der Ereignisanzeige unter „Gespeicherte Protokolle“ abgelegt.
Die importierten Protokolle sollten unter „Gespeicherte Protokolle“ verfügbar sein.
Löschen der Protokolle
Die Ereignisanzeige sammelt seit der Installation des Betriebssystems Protokolle. Wenn genügend Zeit zur Verfügung steht, wird sich eine große Anzahl von Protokollen ansammeln. Die Ereignisanzeige ermöglicht auch das Löschen aller derzeit gesammelten Protokolle. Für diese Aktion sind jedoch möglicherweise Administratorrechte erforderlich.
Um die Protokolle zu löschen, wählen Sie im linken Bereich eine Unterkategorie und dann „Protokoll löschen“ aus.
Die Ereignisanzeige gibt eine Warnung aus, bevor sie entscheidet, die Protokolle zu löschen.
Das Ergebnis sollte so aussehen:
Abschluss
In dieser Anleitung haben wir gezeigt, wie Sie mit der Ereignisanzeige die Windows-Ereignisprotokolle durchsuchen. Wir haben auch gelernt, wie man durch die Protokolle navigiert, die benutzerdefinierten Filter anwendet, die Protokolle sichert und importiert usw.
Viel Spaß beim Rechnen!