Wissen für Reseller

Das zeichnet Windows (XP/Vista) alles auf

02.12.2010
Windows zeichnet alle Systemereignisse, beispielsweise den Start bestimmter Dienste oder den Absturz einer bestimmten Anwendung, im Ereignis-Protokoll auf. Wir stellen das Ereignis-Protokoll von Windows detailliert vor.

In Windows NT erstmals eingebaut, steht das Ereignis-Protokoll auch unter Windows 2000 und Windows XP sowie unter Vista mit vielen praktischen Optionen zur Verfügung. Weil Windows während der Arbeit mehr oder weniger ausführlich über seine Erlebnisse Buch führt, haben Sie als Händler eine zusätzliche Möglichkeit, Ursachen für PC-Probleme, die ein Kunde beispilesweise hat, zu erkennen. Der rechtzeitige Blick ins Ereignis-Protokoll kann sogar seine Daten vor dem vorzeitigen Ende bewahren.

Sinn und Zweck des Ereignis-Protokolls
Sowohl das Betriebssystem Windows als auch die darauf installierten Programme nutzen das Ereignisprotokoll, um bestimmte Vorkommnisse und Informationen über den Zustand des Systems für den Anwender festzuhalten. Diese Einträge helfen beim Aufspüren und Beheben von Fehlern. Ein paar Beispiele, bei denen das Protokoll hilfreich sein kann: Es ist auch möglich, dass Netzwerkdruckaufträge verschwinden. Und nicht zuletzt sind da die Windows-Abstürze in Form von Bluescreens oder automatischen PC-Neustarts.

All das sind Fälle, in denen sich ein Blick ins Ereignisprotokoll lohnt. Wenn Sie Einträge finden, die Windows genau zum Zeitpunkt des Fehlers erstellt hat, stehen Ihre Chancen gut, im Internet auf eine Lösung zu stoßen, wenn Sie nach Quelle, ID-Nummer oder Text eines Eintrags suchen.

Protokollanzeige öffnen

Die Ereignisanzeige mit den Protokollen „Anwendung“, „Sicherheit“ und „System“

Klicken Sie auf dem Desktop oder im Startmenü mit der rechten Maustaste auf ARBEITSPLATZ und wählen Sie im Kontextmenü VERWALTEN. Öffnen Sie allenfalls den Zweig namens „System“ durch einen Klick aufs vorangestellte Pluszeichen. Zuoberst befindet sich die EREIGNISANZEIGE, die Sie auf dieselbe Weise öffnen. Dort angekommen, finden Sie mindestens drei Kategorien.

Unter ANWENDUNG notieren sowohl Windows als auch verschiedene Anwendungen mehr oder minder wichtige Vorkommnisse. Einträge im Protokollordner SICHERHEIT suchen Sie unter Windows 2000 meist vergeblich; auch unter Windows XP enthält der Ordner standardmäßig nicht allzu viel Spannendes. Profis können diesen Umstand aber ändern.

Das Protokoll SYSTEM nimmt Fehlermeldungen, Informationen und sonstige Ereignisse von Systemkomponenten entgegen.

Banale Info: Ereignisprotokollierung wurde gestartet

Aufbau eines Protokolleintrags
Doppelklicken Sie auf eines der aufgelisteten Ereignisse, um es zu öffnen. Abgesehen von Datum und Zeit sind in den Protokolleinträgen verschiedene Fakten festgehalten. Bei „Quelle“ A, steht der Name der Komponente, die das Ereignis ausgelöst hat. Zudem enthält jedes Ereignis eine eigene Nummer, die Sie bei „Ereignis-ID“ B finden (manchmal auch Event-ID genannt). Am interessantesten ist der Text unter „Beschreibung“ C. Dort erklärt Windows je nach Ereignis mehr oder weniger ausführlich, was es mit dem Eintrag auf sich hat.

Verschiedene Icons weisen auf Art und Schwere des Ereignisses hin

In den aufgelisteten Protokollen unter „Anwendung“, „Sicherheit“ und „System“ tragen die einzelnen Einträge je nach Art und Wichtigkeit verschiedene Symbole. Was unter „Typ“ als „Informationen“ gekennzeichnet ist, dürfen Sie für gewöhnlich ignorieren, diese Einträge sind meist banaler Natur: So gibt es etwa bei jedem Aufstarten und Herunterfahren des PCs standardmäßig Einträge mit den Ereignisnummern 6005 und 6006, die nur festhalten, dass die Ereignisprotokollierung gestartet bzw. beendet wurde.

Die „Warnungen“ (gelbes Dreiecksymbol) und „Fehler“ (roter Kreis mit weißem X) sollten Sie genauer unter die Lupe nehmen, sie sind unter Umständen Hinweise auf üble Probleme – allerdings sind sie nicht immer gravierend.

Ereignisse kopieren

Mit A blättern Sie im Ereignis, mit B kopieren Sie es

Probleme mit Hard- oder Software erzeugen im Ereignisprotokoll manchmal Einträge, die der gewöhnliche Benutzer nur schlecht deuten kann. Einem Supporter beim Hersteller des jeweiligen Produktes liefern die Protokolle jedoch überaus wichtige Hinweise zu einem Fehler. Werden Sie vom Supporter nach dem Ereignisprotokoll gefragt, doppelklicken Sie das Ereignis, um es anzuzeigen. Blättern Sie mit den Pfeilen A, von einem „Event“ zum nächsten.

Möchten Sie den Inhalt eines bestimmten Ereignisses kopieren, klicken Sie einfach aufs Kopiersymbol B. Der Text des Ereignisses wird damit in den Windows-Zwischenspeicher übernommen. Nun öffnen Sie Ihr Mailprogramm oder eine Textverarbeitung, setzen den Cursor mit einem Klick hinein und drücken die Tastenkombination Ctrl+V, um das Kopierte einzufügen.

Die Anzeige der Ereignisse lässt sich mit einem Filter einstellen

Ereignisse filtern
Interessiert es Sie, wie oft beziehungsweise in welchen zeitlichen Abständen ein bestimmtes Ereignis auftritt? In diesem Fall setzen Sie einen Filter: Gehen Sie zu ANSICHT und wählen Sie FILTER. Tippen Sie am besten die entsprechende Ereignis-ID im Feld „Ereigniskennung“ ein. So können Sie sich auf die Einträge konzentrieren, für die Sie sich wirklich interessieren. Den Filter schalten Sie mit wenigen Klicks wieder aus: ANSICHT/FILTER und ein Klick auf die Schaltfläche WIEDERHERSTELLEN (Windows XP).

Ereignis-Protokoll von Windows konfigurieren

Benutzer und Systemadministratoren erleben ihr blaues Wunder, wenn sich das Ereignisprotokoll überfressen hat. Windows neigt nämlich dazu, sich komplett aufzuhängen, sobald keine Einträge mehr getätigt werden können. Dabei beklagt es sich immerhin mit deutlichen Fehlermeldungen über ein volles oder defektes Ereignisprotokoll. Windows wird erst wieder anständig funktionieren, wenn die Protokolle geleert wurden, um Platz für neue Einträge zu schaffen. Klicken Sie mit Rechts auf den Zweig des gewünschten Protokolls, also auf ANWENDUNG, SICHERHEIT oder SYSTEM, und wählen Sie EIGENSCHAFTEN.

Hinter „Größe“ sehen Sie, wie groß das gewählte Protokoll im Moment ist. Stellen Sie via „Maximale Protokollgröße“ einen vernünftigen Wert ein, zum Beispiel 512 Kilobytes, und aktivieren Sie die Option „Ereignisse nach Bedarf überschreiben“. So stellen Sie sicher, dass Ihr PC nie wegen eines übervollen Protokolls abschmiert. Diese Einstellung müssen Sie für jedes der drei Protokolle separat vornehmen.

Leeren und sichern
Leeren Sie im Bedarfsfall die Protokolle von Hand, indem Sie nach einem Rechtsklick ALLE EREIGNISSE LÖSCHEN wählen. Nun folgt die Frage, ob Sie diese vor dem Löschen sichern möchten. Klicken Sie auf JA und wählen Sie einen Speicherort sowie einen Dateinamen. Sie sollten auch später am Dateinamen erkennen können, um welchen Protokolltyp (Anwendung, System oder Sicherheit) es sich handelt, also z.B. „MaxliPC_Anwendung_20041111.evt“. Die so gespeicherte Datei können Sie in der Ereignisanzeige jederzeit öffnen und durchsuchen; beim Öffnen müssen Sie stets den Protokolltyp angeben.

Um ein Protokoll wieder zu schließen, das Sie aus einer solchen Sicherung geöffnet haben, klicken Sie entweder mit Rechts darauf und wählen LÖSCHEN oder schließen Sie einfach die Computerverwaltung.

Leeres Protokoll „Sicherheit“?

Die Protokollierung unter „Sicherheit“ liefert unter Windows XP Meldungen der Erfolgs- und Fehlerüberwachung. Diese resultieren meist aus der Windows-Willkommensseite. Lesen Sie hierzu auch den Microsoft-Artikel unter http://support.microsoft.com/kb/305822/de.

Profis, die genau wissen, was sie tun und wo sie zusätzliche Informationen und Hilfe erhalten, können festlegen, welche Ereignisse unter „Sicherheit“ aufgezeichnet werden sollen. Hierfür müssen Sie der Ereignisanzeige zuerst ein zusätzliches so genanntes „Snap-In“ hinzufügen.

Dies ist eine Aufgabe für die Management-Console (mmc.exe), die nach dem Klick auf START/AUSFÜHREN und der Eingabe von mmc /a aufstartet. Unter Windows XP gehen Sie zu DATEI, gefolgt von SNAP-IN HINZUFÜGEN/ENTFERNEN. Über die Schaltfläche HINZUFÜGEN können Sie eine GRUPPENRICHTLINIE für „Lokaler Computer“ hinzufügen.

Was im Sicherheitsprotokoll stehen soll, können Profis selbst festlegen

Danach lässt sich diese Richtlinie in der Konsole bearbeiten: Wählen Sie „Richtlinien für Lokaler Computer“ und folgen Sie diesem Pfad: RICHTLINIEN FÜR LOKALER COMPUTER/COMPUTERKONFIGURATION/
WINDOWS-EINSTELLUNGEN/ SICHERHEITSEINSTELLUNGEN/LOKALE RICHTLINIE/
ÜBERWACHUNGSRICHTLINIE. In der rechten Fensterhälfte
legen Sie nun fest, welche der angebotenen Ereignisse überwacht bzw. im Sicherheitsprotokoll notiert werden sollen, zum Beispiel das erfolgreiche oder versuchte Anmelden an diesem PC.

Entlarvt: Benutzer (A) hat von PC (B) aus versucht, sich mit unserem PC (C) zu verbinden

Ab sofort (ohne PC-Neustart) wird jeder Anmeldeversuch im Ereignisprotokoll unter „Sicherheit“ festgehalten. Ein Doppelklick zeigt Ihnen, unter welchem Benutzernamen und von welchem PC aus die versuchte Anmeldung stattgefunden hat. Ob es sich nur um den harmlosen Versuch handelte, auf legalem Weg freigegebene Ordner zu finden, oder ob der Benutzer beabsichtigt hat, Ihr Passwort zu erraten, sollten Sie mit ihm dann bei einer klärenden Tasse Kaffee besprechen.

Seien Sie aber unbedingt zurückhaltend mit diesen Einträgen. Erstens verlangsamt die Protokollierung von zu vielen Ereignissen den PC. Zweitens ist die Größe der Protokolldatei begrenzt. Wenn Sie sich nicht eingehend mit dem Thema befasst haben, könnten Sie durchs Festlegen von Gruppenrichtlinien in Ihrem System so einiges durcheinander bringen, z.B. Zugriffsverbot für alle Benutzer inklusive Systemadministrator.

Komplett leeres Protokoll?
Es kommt vor, dass die Ereignisanzeige anscheinend komplett leer ist. Falls nicht ein eingeschalteter Filter schuld ist, liegt das meist an einem Defekt im Protokoll oder es hat eine gefährliche Größe erreicht. Sie können in diesen Fällen quasi „blind“ ins Protokoll doppelklicken und trotzdem durch die einzelnen Einträge blättern, obwohl Sie diese nicht aufgelistet sehen. Speichern Sie von jedem Protokoll eine Sicherheitskopie und leeren Sie alle.

Die Interpretation der Einträge im Windows-Ereignis-Protokoll

Für die Deutung von Ereignissen gibt es kein Allgemeinrezept, aber es bieten sich verschiedene Strategien an.

Manchmal redet sogar Windows Klartext

Der Protokolleintrag selbst
Manchmal enthält der Eintrag Angaben, die weiterhelfen. So steht zum Beispiel beim Ereignis aus der Quelle „NetBT“ mit der Ereigniskennung 4319 unter anderem deutlich: „Ein doppelter Name wurde im TCP-Netzwerk entdeckt“. Mit „Name“ ist jener des PCs gemeint. Taufen Sie ihn um.

Die direkte Abfrage von Microsofts Ereignisdatenbank

Suchen im Web
Meist sind die Aussagen der Fehlereinträge eher verwirrend als hilfreich. Unter Windows XP sind Ereigniseinträge mit einem Link zu einer Microsoft-Seite versehen. Klicken Sie darauf, müssen Sie erlauben, dass Windows die relevanten Informationen an Microsoft übermittelt. Akzeptieren Sie mit JA, öffnet sich das Hilfe- und Support-Center, das nach zusätzlichen Informationen zur betreffenden Ereignisnummer sucht.

Andere Quellen
Falls weiterhin unklar ist, was den eingetragenen Fehler verursacht, suchen Sie mit Hilfe einer Suchmaschine (z.B. Google) im Web und in den Usenet-Newsgroups. Verwenden Sie als Suchbegriffe die „Quelle“ des Ereignisses, ein Wort wie „Ereignisanzeige“ oder „Event-ID“ sowie die Ereignisnummer. Vergleichen Sie die hoffentlich gefundenen Lösungsmöglichkeiten und wägen Sie ab, welche davon auf Ihren PC zutreffen könnten.

Suchen bei Microsoft
Eine wichtige Informationsquelle für Windows-Ereignisse aller Art ist diese Webseite von Microsoft:
www.microsoft.com/technet/support/eventserrors.mspx. Wählen Sie die zu Ihrem Betriebssystem passende Datenbank, gelangen Sie auf eine Abfrageseite. Tippen Sie hier ein, was Ihr Ereignis als „Quelle“ oder „Ereignisquelle“ preisgibt und geben Sie bei „ID“ die Ereignis-ID ein.

Die Event-ID-Datenbank meint zu ID 1704 „No user action is required“, also ist kein Einschreiten nötig

Nach einem Klick auf Suchen listet die Microsoft-Seite alle Ereignisse auf, die Ihrer Suche entsprechen. Klicken Sie ein Resultat an, um Details zu erfahren.

Hersteller-Support
Was Sie durch Ihre Webrecherchen herausfinden, wird nicht immer verständlich sein. Womöglich bekommen Sie aber einen Hinweis, der Ihnen weiterhilft. Wenn Sie auf Grund eines Ereigniseintrags z.B. annehmen müssen, dass der Fehler mit Ihrem Drucker zu tun hat, suchen Sie mal bei Ihrem Druckerhersteller nach der betreffenden Event-ID.