Im folgenden Tipp erfahren Sie alles zur Windows Ereignisanzeige und wie Sie sich diese zu nutze machen können.
Die Ereignisanzeige ist ein integriertes Tool in Windows 10, mit dem Sie Systemfehlern auf die Schliche kommen können. Im zugehörigen Protokoll hält das Betriebssystem alle Vorgänge fest, die auf Ihrem Computer vonstattengehen, und erfasst überdies verschiedenen Sicherheitswarnungen. Das macht die Ereignisanzeige zu einem mächtigen Fehleranalyse-Werkzeug, das Sie bei der Lösung von Hard- und Softwareproblemen unterstützt. In diesem Beitrag zeigen wir Ihnen, wie Sie auf das Systemereignisprotokoll zugreifen können und welche Rückschlüsse sich anhand der darin enthaltenen Informationen ziehen lassen.
- Die Ereignisanzeige wurde erstmalig unter Windows XP vorgestellt und ist neben Windows 10 auch in den Versionen 7 und 8.1. enthalten.
- Mit Zusatztools, wie beispielsweise dem Event Log Explorer können Sie die Einträge des Logs noch besser auswerten. Alternativ lässt sich das Protokoll aber auch mit Hilfe der PowerShell etwas detaillierter auslesen.
- Über die sogenannte „EventLog.WriteEntry“-Methode, die sie in der Regel aus einem Script heraus aufrufen, können Sie auch selbst Einträge in das Event-Log schreiben.
Inhalt
1. So öffnen Sie die Ereignisanzeige unter Windows 10
In Windows 10 lässt sich die Ereignisanzeige auf mehrere Arten öffnen. Am einfachsten geht es, wenn Sie mit rechts auf das Windows-Logo klicken und anschließend im Kontextmenü den Eintrag „Ereignisanzeige“ auswählen.
Alternativ können Sie das Tool aber auch über den Ausführen-Dialog starten. Drücken Sie dafür die Tastenkombination „Windows + R“ und geben Sie den Befehl
eventvwr.exe
in das Dialogfenster ein. Bestätigen Sie mit „OK“, um die Ereignisanzeige zu öffnen.
Gut zu wissen: In den Versionen ab Windows 7 können Sie das Ereignisprotokoll auch über die Startmenü-Suchzeile aufrufen. Geben Sie dazu den Begriff „Ereignisanzeige“ ein und klicken Sie auf den gleichnamigen Eintrag. Im Startmenü selbst befindet sich die Ereignisanzeige im Untermenü „Windows-Verwaltungsprogramme“.
2. Klassifizierung der Einträge: Die Ereignisanzeige verstehen
Die Aufzeichnung von Informationen erfolgt in der Ereignisanzeige anhand verschiedener Protokolle, auf die Sie über die linke Spalte zugreifen können.
- Unter Anwendung werden sämtliche Informationen zu Programmen und Anwendungen aufgezeichnet.
- Hier landen alle Einträge, die die Sicherheit betreffen. Beachten Sie, dass Sie dafür unter Umständen vorher die Sicherheitsprotokollierung aktivieren müssen.
- Installation enthält beispielsweise weiterführenden Informationen zu Computern, die als Domänen-Controller konfiguriert sind.
- System protokolliert Fehlermeldungen, Warnungen und Informationen des Betriebssystems und der Systemdienste.
- In Weitergeleitete Ereignisse finden Sie Ereignisse, die von anderen Computern an dieses Protokoll weitergeleitet werden.
Während das Betriebssystem in der Regel vor allem im Protokoll „System“ Einträge schreibt, werden Serveranwendungen (z.B. Exchange oder Microsoft SQL-Server) unter „Anwendung“ aufgelistet.
In der Mitte werden Ihnen alle zum Protokoll gehörenden Ereignisse angezeigt. Diese werden wiederum in drei Arten klassifiziert:
- Ein Fehler (roter Kreis mit Ausrufezeichen) steht immer für ein größeres Problem, wie beispielsweise einen Datenverlust.
- Eine Warnung (gelbes Dreieck) weist auf ein Ereignis hin, das nicht unmittelbar ein Problem darstellt, sich aber zukünftig zu einem entwickeln könnte.
- Informationen (blaues Ausrufezeichen) signalisieren die erfolgreiche Ausführung eines Dienstes, Treibers oder Programms.
Die rechte Spalte der Ereignisanzeige ist den Aktionen vorbehalten: Hier können Sie beispielsweise die betreffende Protokolle nach Schlüsselwörtern durchsuchen oder bei Bedarf auch gleich komplett löschen.
3. Systemfehler mit Hilfe der Ereignisanzeige identifizieren und beheben
Um die Detailansicht zu einem Protokolleintrag einzusehen, klicken Sie in der Liste darauf oder öffnen die Details per Doppelklick in einem neuen Fenster. Im oberen Bereich finden Sie den Beschreibungstext, der wesentliche Informationen zu der jeweiligen Meldung enthält.
Weitere wichtige Werte sind außerdem die Quelle und die Ereignis-ID. Sie geben Aufschluss über die betroffene Systemkomponente und die potenzielle Ursache für das Ereignis.
In der nachfolgende Tabelle haben wir einige IDs und Ihre Bedeutung aufgelistet:
Event-ID | Kategorie | Beschreibung |
1100 | Event Log | Das Ereignisprotokoll wurde gestoppt. |
4624 | Logon/Logoff | Ein Account wurde erfolgreich angemeldet. |
5025 | System | Der Windows-Firewall-Dienst wurde gestoppt. |
6008 | System | Enthält den Absturzzeitpunkt nach einem unerwarteten Systemneustart. |
6009 | System | Erscheint beim Start und enthält unter anderem Informationen über das Betriebssystem. |
Tipp: Auf der Internetseite eventid.net können Sie die Quelle und Ereignis-ID eingeben und erhalten im Anschluss Informationen, die bei der Fehlersuche hilfreich sind.
Welche der vielen Ereignis letztendlich tatsächlich relevant sind, hängt immer von verschiedenen Faktoren ab. Behalten Sie zudem auch immer die Spalte „Datum und Uhrzeit“ im Auge. Denn wenn Fehlermeldungen gleichzeitig mit dem Ausfall eines Programmes oder eines externen Gerätes (z.B. einem Router) einhergeht, kann das die Ermittlung der Ursache enorm beschleunigen.
Die erwähnten Schritte finden Sie noch einmal visuell dargestellt im folgenden Video:
4. Ereignisprotokoll sichern und bereinigen
Das Ereignisprotokoll wird im Laufe der Zeit immer umfangreicher und dadurch natürlich auch gleichzeitig unübersichtlicher. Aus diesem Grund schadet es nicht, wenn Sie es in regelmäßigen Abständen bereinigen. Das geht ganz einfach über den Link „Protokoll löschen“ in der rechten Spalte.
Damit Sie später trotzdem auf die älteren Einträge zurückgreifen können, empfehlen wir, dass Sie mittels der Option „Speichern und Leeren“ eine Sicherung anlegen. Diese wird als Ereignis-Datei im Format *.evtx auf der Festplatte abgelegt und kann bei Bedarf problemlos über „Aktionen -> Gespeicherte Protokolldateien öffnen“ in das Log zurück importiert werden.
Tipp: Wählen Sie für Ihre Sicherung möglichst einen Dateinamen, der auf den Protokoll-Typ oder die Kategorie hinweist, damit Sie sie später leichter zuordnen können.