SO WIRD'S GEMACHT: Einsehen und Verwalten von Ereignisprotokollen in der Ereignisanzeige in Windows XP

Dieser Artikel beschreibt die Verwendung der Ereignisanzeige zum Einsehen und Verwalten von Ereignisprotokollen in Microsoft Windows XP.

Ereignisanzeige

In Windows XP ist ein Ereignis definiert als bedeutsames Vorkommnis im System oder in einem Programm, das eine Benachrichtigung des Benutzers oder das Hinzufügen eines Eintrags zu einem Protokoll erfordert. Der Ereignisprotokolldienst protokolliert Anwendungs-, Sicherheits- und Systemereignisse in der Ereignisanzeige. Mithilfe der Ereignisprotokolle in der Ereignisanzeige können Sie Informationen über Ihre Hardware, Software und Systemkomponenten einholen und Sicherheitsereignisse auf einem lokalen Computer oder einem Remotecomputer überwachen. Ereignisprotokolle können Ihnen dabei helfen, die Ursachen aktueller Systemprobleme zu identifizieren und zu diagnostizieren, oder aber mögliche Systemprobleme vorherzusehen.

Ereignisprotokolltypen

Ein Windows XP-Computer protokolliert Ereignisse in den folgenden drei Protokollen:

• Anwendungsprotokoll
  
  Das Anwendungsprotokoll enthält Ereignisse, die von Programmen protokolliert wurden. So kann zum Beispiel ein Datenbankprogramm einen Dateifehler im Anwendungsprotokoll protokollieren. Welche Ereignisse in das Anwendungsprotokoll geschrieben werden, wird von den Entwicklern der jeweiligen Software festgelegt.
• Sicherheitsprotokoll
  
  Das Sicherheitsprotokoll protokolliert Ereignisse wie gültige und ungültige Anmeldeversuche oder Ereignisse im Zusammenhang mit der Ressourcennutzung. Zum Beispiel das Erstellen, Öffnen oder Löschen von Dateien. Wenn beispielsweise die Anmeldeüberwachung aktiviert ist, wird immer dann ein Ereignis im Sicherheitsprotokoll festgehalten, wenn ein Benutzer versucht, sich bei dem Computer anzumelden. Sie müssen entweder als Administrator oder als Mitglied der Gruppe "Administratoren" angemeldet sein, um das Sicherheitsprotokoll zu deaktivieren bzw zu aktivieren, oder um festlegen zu dürfen, welche Ereignisse dort protokolliert werden.
• Systemprotokoll
  
  Das Systemprotokoll enthält Ereignisse, die von Windows XP-Systemkomponenten protokolliert wurden. Wenn zum Beispiel beim Start ein bestimmter Treiber nicht geladen wird, wird ein entsprechendes Ereignis im Systemprotokoll aufgezeichnet. Welche Ereignisse von Systemkomponenten protokolliert werden, ist in Windows XP vordefiniert.

Einsehen von Ereignisprotokollen

Gehen Sie folgendermaßen vor, um die Ereignisanzeige zu öffnen:

1. Klicken Sie auf Start und anschließend auf Systemsteuerung. Klicken Sie auf Leistung und Wartung, klicken Sie auf Verwaltung, und klicken Sie anschließend doppelt auf Computerverwaltung. Oder öffnen Sie die MMC, in der Sie das Snap-In "Ereignisanzeige" finden.
2. Klicken Sie in der Konsolenstruktur auf Ereignisanzeige.
   
   Die Anwendungs-, Sicherheits- und Systemprotokolle werden im Fenster der Ereignisanzeige angezeigt.

Einsehen von Ereignisdetails

Gehen Sie folgendermaßen vor, um sich die Details zu einem Ereignis anzeigen zu lassen:

1. Klicken Sie auf Start und anschließend auf Systemsteuerung. Klicken Sie auf Leistung und Wartung, klicken Sie auf Verwaltung, und klicken Sie anschließend doppelt auf Computerverwaltung. Oder öffnen Sie die MMC, in der Sie das Snap-In "Ereignisanzeige" finden.
2. Erweitern Sie die Option Ereignisanzeige in der Konsolenstruktur. Klicken Sie dann auf das Protokoll mit dem Ereignis, zu dem Sie sich die Details ansehen möchten.
3. Doppelklicken Sie im Detailfenster auf das Ereignis, das Sie anzeigen möchten.
   
   Jetzt wird das Dialogfeld Ereigniseigenschaften mit Überschrifteninformationen und einer Beschreibung des Ereignisses angezeigt.
   
   Um die Details des Ereignisses zu kopieren, klicken Sie auf die Schaltfläche Kopieren, öffnen Sie ein neues Dokument in dem Programm, in das Sie das Ereignis einfügen möchten (zum Beispiel Microsoft Word), und klicken Sie dann im Menü Bearbeiten auf Einfügen.
   
   Um sich die Beschreibung des vorherigen oder nächsten Ereignisses anzusehen, klicken Sie auf den nach oben bzw. den nach unten weisenden Pfeil.

Interpretieren eines Ereignisses

Jeder Protokolleintrag ist mit einem bestimmten Typ klassifiziert und enthält Überschrifteninformationen sowie eine Beschreibung des Ereignisses.

Ereignisüberschrift

Die Ereignisüberschrift enthält die folgenden Informationen zu dem Ereignis:

• Datum
  
  Das Datum, an dem das Ereignis eingetreten ist.
• Uhrzeit
  
  Die Uhrzeit, zu der das Ereignis eingetreten ist.
• Benutzer
  
  Der Benutzername des Benutzers, der angemeldet war, als das Ereignis eintrat.
• Computer
  
  Der Name des Computers, auf dem das Ereignis eingetreten ist.
• Ereignis
  
  Eine Ereignisnummer, die den Ereignistyp angibt. Die Ereigniskennung hilft den Mitarbeitern des Software Service, zu verstehen, was in dem jeweiligen System passiert ist.
• Quelle
  
  Die Quelle des Ereignisses. Hierbei kann es sich um den Namen eines Programms, eine Systemkomponente oder eine einzelne Komponente eines umfangreichen Programms handeln.
• Typ
  
  Art des Ereignisses. Es gibt fünf verschiedene Typen: Fehler, Warnung, Information, Erfolgsüberwachung und Fehlversuchüberwachung.
• Kategorie
  
  Klassifizierung des Ereignisses durch die Quelle. Wird hauptsächlich im Sicherheitsprotokoll verwendet.

Ereignistypen

Die Beschreibung protokollierter Ereignisse ist vom Typ des jeweiligen Ereignisses abhängig. Jedes Ereignis in einem Protokoll kann einem der folgenden Typen zugeordnet werden:

• Informationen
  
  Ein Ereignis, das die erfolgreiche Ausführung einer Aufgabe beschreibt, zum Beispiel einer Anwendung, eines Treibers oder eines Diensts. Ein Informationsereignis wird zum Beispiel protokolliert, wenn ein Netzwerktreiber erfolgreich geladen wurde.
• Warnung
  
  Ein solches Ereignis muss nicht notwendigerweise von besonderer Wichtigkeit sein, es kann jedoch auf ein zukünftiges Problem hindeuten. So wird zum Beispiel eine Warnung protokolliert, wenn der Festplattenspeicher knapp zu werden beginnt.
• Fehler
  
  Ein Ereignis, dass ein bedeutendes Problem beschreibt, z. B. das Fehlschlagen einer wichtigen Task. Fehlerereignisse können mit Daten- oder Funktionalitätsverlusten verbunden sein. Ein Fehlerereignis wird zum Beispiel protokolliert, wenn beim Start ein bestimmter Dienst nicht geladen wurde.
• Erfolgsüberwachung (Sicherheitsprotokoll)
  
  Ein Ereignis, das den erfolgreichen Abschluss eines überwachten Sicherheitsereignisses beschreibt. Ein Erfolgsüberwachungsereignis wird zum Beispiel protokolliert, wenn ein Benutzer sich bei dem Computer anmeldet.
• Fehlversuchüberwachung (Sicherheitsprotokoll)
  
  Ein Ereignis, das ein überwachtes Sicherheitsereignis beschreibt, das nicht erfolgreich abgeschlossen wurde. Ein Fehlversuchereignis kann zum Beispiel protokolliert werden, wenn ein Benutzer nicht auf ein Netzlaufwerk zugreifen konnte.

Finden von Ereignissen in einem Protokoll

In der Standardansicht für ein Ereignisprotokoll werden alle darin enthaltenen Einträge aufgelistet. Wenn Sie ein bestimmtes Ereignis finden oder einen Teilsatz von Ereignissen einsehen möchten, können Sie entweder das Protokoll durchsuchen oder einen Filter auf die Protokolldaten anwenden.

Suchen nach bestimmten Protokollereignissen

Gehen Sie folgendermaßen vor, um nach einem bestimmten Protokollereignis zu suchen:

1. Klicken Sie auf Start und anschließend auf Systemsteuerung. Klicken Sie auf Leistung und Wartung, klicken Sie auf Verwaltung, und klicken Sie anschließend doppelt auf Computerverwaltung. Oder öffnen Sie die MMC, in der Sie das Snap-In "Ereignisanzeige" finden.
2. Erweitern Sie in der Konsolenstruktur die Option Ereignisanzeige. Klicken Sie dann auf das Protokoll mit dem Ereignis, zu dem Sie sich die Details ansehen möchten.
3. Klicken Sie im Menü Ansicht auf Suchen.
4. Legen Sie im Dialogfeld Suchen die Optionen für das Ereignis fest, das Sie einsehen möchten, und klicken Sie dann auf Weitersuchen.

Im Detailfenster wird das Ereignis hervorgehoben, das Ihren Suchkriterien entspricht. Klicken Sie auf Weitersuchen, um das nächste Auftreten eines Ereignisses zu finden, das Ihren Suchkriterien entspricht.

Filtern von Protokollereignissen

Gehen Sie folgendermaßen vor, um Protokollereignisse zu filtern:

1. Klicken Sie auf Start und anschließend auf Systemsteuerung. Klicken Sie auf Leistung und Wartung, klicken Sie auf Verwaltung, und klicken Sie anschließend doppelt auf Computerverwaltung. Oder öffnen Sie die MMC, in der Sie das Snap-In "Ereignisanzeige" finden.
2. Erweitern Sie in der Konsolenstruktur die Option Ereignisanzeige. Klicken Sie dann auf das Protokoll mit dem Ereignis, zu dem Sie sich die Details ansehen möchten.
3. Klicken Sie im Menü Ansicht auf Filtern.
4. Klicken Sie auf die Registerkarte Filter, falls diese nicht bereits ausgewählt ist.
5. Legen Sie die gewünschten Filterungsoptionen fest, und klicken Sie anschließend auf OK.

Im Detailfenster werden jetzt nur Ereignisse angezeigt, die Ihren Filterungskriterien entsprechen.

Um zu der Ansicht mit der Anzeige aller Protokolleinträge zurückzukehren, klicken Sie im Menü Ansicht auf Filter, und klicken Sie dann auf Wiederherstellen.

Verwalten von Protokollinhalten

Standardmäßig ist die maximale Größe eines Protokolls auf 512 KB festgelegt. Wird dieser Wert erreicht, werden ältere Ereignisse durch neue Ereignisse überschrieben. In Abhängigkeit von Ihren spezifischen Anforderungen können Sie diese Einstellungen ändern oder die Inhalte eines Protokolls löschen.

Festlegen von Protokollgröße und Überschreiboptionen

Gehen Sie folgendermaßen vor, um Protokollgröße und Überschreiboptionen festzulegen:

1. Klicken Sie auf Start und anschließend auf Systemsteuerung. Klicken Sie auf Leistung und Wartung, klicken Sie auf Verwaltung, und klicken Sie anschließend doppelt auf Computerverwaltung. Oder öffnen Sie die MMC, in der Sie das Snap-In "Ereignisanzeige" finden.
2. Expandieren Sie in der Konsolenstruktur die Option Ereignisanzeige. Klicken Sie dann mit der rechten Maustaste auf das Protokoll, in dem Sie Protokollgröße und Überschreiboptionen festlegen möchten.
3. Unter Protokollgröße geben Sie die gewünschte Protokollgröße in das Feld Maximale Protokollgröße ein.
4. Unter Wenn die maximale Protokollgröße erreicht ist klicken Sie auf die gewünschte Überschreiboption.
5. Wenn Sie die Inhalte des Protokolls löschen möchten, klicken Sie auf Protokoll löschen.
6. Klicken Sie auf OK.

Archivieren eines Protokolls

Falls Sie Ihre Protokolldaten speichern möchten, können Sie Ereignisprotokolle in den folgenden Formaten archivieren:

• Protokolldateiformat (.evt)
• Textdateiformat (.txt)
• Textdatei (Komma getrennt) (.csv)

Gehen Sie folgendermaßen vor, um ein Protokoll zu archivieren:

1. Klicken Sie auf Start und anschließend auf Systemsteuerung. Klicken Sie auf Leistung und Wartung, klicken Sie auf Verwaltung, und klicken Sie anschließend doppelt auf Computerverwaltung. Oder öffnen Sie die MMC, in der Sie das Snap-In "Ereignisanzeige" finden.
2. Erweitern Sie in der Konsolenstruktur die Option Ereignisanzeige. Klicken Sie dann mit der rechten Maustaste auf das Protokoll, das Sie archivieren möchten, und klicken Sie dann auf Protokolldatei speichern unter.
3. Geben Sie einen Dateinamen und den Speicherort für die Datei an. Wählen Sie im Feld Dateityp das gewünschte Format aus, und klicken Sie dann auf Speichern.

Die Protokolldatei wird in dem von Ihnen gewählten Format gespeichert.

Weitere Informationen zu bestimmte Ereignissen oder Fehlern finden Sie auf folgender Website von Microsoft: Weitere Informationen zum Verwenden der Ereignisanzeige finden Sie in der Hilfe der Ereignisanzeige. (Klicken Sie im Snap-In "Ereignisanzeige" oder im Fenster "Computerverwaltung" im Menü Vorgang auf Hilfe).