Troubleshooting in Windows

Mit der Ereignisanzeige auf Fehlersuche

| Autor / Redakteur: Thomas Joos / Andreas Donner

Die Protokolle der Ereignisanzeige sind ein mächtiges Instrument zur Fehlererkennung und -behebung in Windows.
Die Protokolle der Ereignisanzeige sind ein mächtiges Instrument zur Fehlererkennung und -behebung in Windows. (Bild: VIT)

Um Fehler auf Windows-Servern oder -Arbeitsstationen zu finden und zu beheben sind nicht immer Zusatztools notwendig. In der Ereignisanzeige listet Windows alle Aktionen des Betriebssystems auf, auch die Fehler. Hier lassen sich Probleme daher schnell eingrenzen und finden.

Die Ereignisanzeige wird nicht nur von Windows genutzt, sondern auch von den installierten Programmen. Hier lassen sich also nicht nur Fehler des Betriebssystems finden, sondern auch Fehler von Serverdiensten und Anwendungen. Das Werkzeug steht auf Arbeitsstationen und Windows-Servern aller Windows-Versionen zur Verfügung. Es lohnt sich für Administratoren, sich etwas gründlicher mit dem Werkzeug zu befassen.

Ereignisanzeige in der Praxis

Rufen Administratoren die Ereignisanzeige auf der Startseite oder über das Startmenü mit "eventvwr.msc" auf, lassen sich hier effizient Fehler suchen und Problemlösungen finden. Über den Bereich "Windows-Protokolle" sind die wichtigen Protokolle "Anwendung" und "System" zu finden (siehe Abbildung 1). Das Betriebssystem protokolliert vor allem im Protokoll System, während Serveranwendungen wie Exchange oder Microsoft SQL-Server im Anwendungs-Protokoll Einträge erstellen.

Vorteil der Ereignisanzeige ist die Möglichkeit die Ereignisse zu filtern. Um einen Filter hinzuzufügen, wird das Protokoll mit der rechten Maustaste angeklickt und die Option "Aktuelles Protokoll filtern" ausgewählt. Um Fehler zu finden, müssen die Optionen "Kritisch" und "Fehler" aktiviert sein. Anschließend sind in der Ereignisanzeige nur noch Fehler-Meldungen zu sehen. Parallel sollte auch in anderen Protokollen überprüft werden, ob Fehler zum gleichen Zeitpunkt erscheinen. Dadurch sind oft Zusammenhänge zu erkennen und Fehler schneller zu finden.

Unter dem Knoten "Benutzerdefinierte Ansichten" werden administrative Ereignisse angezeigt. Hier finden sich alle Fehler und Warnungen aus den verschiedenen Protokolldateien, die für Administratoren von Interesse sind (siehe Abbildung 2). Als wichtigstes Suchkriterium im Internet dient die Ereignis-ID, zusammen mit der Quelle des Fehlers. Auf der Internetseite www.eventid.net sind Lösungsvorschläge anderer Administratoren mit dem gleichen Fehler zu finden. Diese helfen oft, Fehler schneller zu finden und zu beheben.

Nicht nur die Standard-Protokolle helfen bei der Problemlösung

Reichen die Standardprotokolle unter "Windows-Protokolle" oder die gefilterten Meldungen der Serverrollen im Bereich "Benutzerdefinierte Ansichten" nicht aus, lassen sich über "Anwendungs- und Dienstprotokolle/Microsoft" gefilterte Listen einzelner Dienste anzeigen. Das ist nicht nur für große Server interessant, sondern auch für kleine Unternehmen.

Für Microsoft SBS 2011 ist hier zum Beispiel das Protokoll" Anwendungs- und Dienstprotokolle/Windows Small Business Server 2011 Standard/Essentials" interessant. Die Windows-Datensicherung meldet ihren Status wiederum über "Anwendungs- und Dienstprotokolle/Microsoft/Windows/Backup". Hier kann für Server überprüft werden, ob die Sicherung funktioniert. Ähnlich funktioniert das auch für andere Serverdienste und Windows-Funktionen.

Wer Hyper-V im Netzwerk betreibt, findet in der Ereignisanzeige ebenfalls eine Hilfe, wenn Probleme auftreten. Werden die virtuellen Server gestartet, protokolliert Hyper-V Meldungen in der Ereignisanzeige. Hier können Administratoren im Ereignisprotokoll des Zielservers über "Anwendungs- und Dienstprotokolle/Microsoft/Windows/Hyper-V-Verwaltungsdienst für virtuelle Computer/Admin" überprüfen, ob Fehler protokolliert wurden.

Optimale Fehlerbehebung mit der Ereignisanzeige

Treten Fehler auf, sollte in der Ereignisanzeige auch in den anderen Protokollen überprüft werden, ob hier Fehler angezeigt werden, die mit dem Problem in Zusammenhang stehen können. Hier sollte auch getestet werden, ob parallel zu diesem Fehler in anderen Protokollen der Ereignisanzeige Fehler auftreten. Vor allem zeitlich eng zusammenliegende Meldungen und Informationen können hier weiterführende Informationen geben. Generell ist es auch wichtig festzustellen, wann ein Fehler in der Ereignisanzeige das erste Mal aufgetreten ist. Außerdem sollte (ebenfalls mithilfe der Ereignisprotokolle) genau überlegt werden, ob zu diesem Zeitpunkt irgendetwas verändert wurde.

In anderen Protokollen der Ereignisanzeige lässt sich ermitteln, ob der Fehler mit anderen Ursachen zusammenhängt. Ein Fehler tritt selten ohne vorherige Änderung von Einstellungen auf. Auch aufgrund defekter Hardware oder der Installation von Applikationen und Tools können Fehler auftreten, die in der Ereignisanzeige zu finden sind. Durch die Filtermöglichkeiten der Ereignisanzeige können Fehler oft sehr genau eingegrenzt werden.

Über das Kontextmenü von Ereignissen lassen sich ausführlichere Informationen der Ereignisse anzeigen. Außerdem besteht die Möglichkeit, eine geplante Windows-Aufgabe an ein Ereignis anzuhängen (siehe Abbildung 3). Hier lassen sich Ereignisse auch speichern, um diese zum Beispiel weiterzusenden. So können auch andere IT-Spezialisten die Meldung zur Fehlerbehebung nutzen.

Sicherheitsrelevante Ereignisse

Viele Fehler, die in Windows auftreten können, haben mit der Sicherheit zu tun. Oft sind Probleme mit Berechtigungen oder Anmeldungen im Netzwerk das Problem. Solche Fehler lassen sich mit der Ereignisanzeige ebenfalls sehr schnell finden. Zentraler Einstiegspunkt ist hier das Sicherheits-Protokoll in der Ereignisanzeige. Dieses zeigt fehlerhafte Anmeldungen der Benutzer oder von Systemdiensten an, und hilft dabei, Fehler genauer einzugrenzen. Hier sind auch erfolgreiche Anmeldungen und mit Erfolg durchgeführte Änderungen protokolliert. Auch diese können Fehler an anderer Stelle verursachen.

Ereignisanzeige in der PowerShell

Neben der grafischen Oberfläche kann auch die PowerShell dazu verwendet werden, die Ereignisanzeige auszulesen. Das geht oft schneller als über die grafische Oberfläche, zum Beispiel für eine schnelle Abfrage nach bestimmten Fehlern. Um zum Beispiel die x neuesten Fehlermeldungen in der Ereignisanzeige "System" zu betrachten, wird der folgende Befehl verwendet:

Get-EventLog System -Newest 100 | Where {$_.entryType -Match "Error"}

Erweiterte Protokolle nutzen

Um Fehler und Informationen auszulesen helfen die Protokolle des Bereichs "Anwendungs- und Dienstprotokolle". Hier sind spezielle Einträge der installierten Serverdienste zu finden; so zum Beispiel die Einträge von Applocker über "Anwendungs- und Dienstprotokolle/Microsoft/AppLocker". Weitere Protokolle für jeden installierten Serverdienst sind ebenfalls hier zu finden.

Wenn auf dem Server auch Serverdienste wie Exchange installiert sind, können auch hier Meldungen in der Ereignisanzeige gefiltert werden. Über "Anwendungs- und Dienstprotokolle\Microsoft\MSExchange Management" sind im rechten Bereich alle von Administratoren in der Exchange-Umgebung durchgeführten Änderungen zu sehen – allerdings nicht, wer die Änderung durchgeführt hat.

Interessant sind hier auch die Active Directory-Verbunddienste. Diese zeigen ebenfalls die Möglichkeiten der Fehlerbehebung über die Ereignisanzeige. Beim Filtern des ADFS-Ereignisprotokolls lassen sich alle Ereignisse einer bestimmten Transaktion anzeigen. Hier besteht zum Beispiel die Möglichkeit, einen Filter basierend auf der ActivityID zu erstellen:

  • 1. Zunächst muss dazu die Ereignisanzeige geöffnet werden.
  • 2. Anschließend wird "Anwendungs- und Dienstprotokolle" und dann der Admin-Bereich beim ADFS-Protokoll geöffnet.
  • 3. Im Menü "Aktion" steht die Option "Aktuelles Protokoll filtern" zur Verfügung.
  • 4. Durch einen Klick auf die Registerkarte "XML", ist die Option "Manuell bearbeiten" zu erreichen. Hier lassen sich eigene Abfragen erstellen. Eine Beispielabfrage für ADFS sieht folgendermaßen aus:

<QueryList>
<query Id="0" Path="AD FS 2.0 Eventing/Admin">
<Select Path=" AD FS 2.0/Admin "> * [System [ Correlation [@ ActivityID = ' { 77269359 - 0b7d - 45cb - 9760 - e3a4009883d9 }' ]]] </ select >
< / Query >
</ Querylist >

Mit einer benutzerdefinierten Abfrage lassen sich also Fehlermeldungen und Informationen in ADFS effektiver auslesen. Das gilt natürlich auch für andere Serverdienste. Auch hier können eigene Abfragen erstellen werden. Administratoren können Ereignisse aber auch in der PowerShell anzeigen und filtern lassen:

Get-WinEvent -FilterHashtTable @{LogName=‘AD FS Admin‘; Level=2; StartTime=(Get-Date) -Computername <Servername>

Hier bestehen selbstverständlich noch viel mehr Möglichkeiten. Diese zeigt Microsoft in der TechNet.

Die Installation und der Betrieb der Remotedesktopdienste können ebenfalls in der Ereignisanzeige überwacht werden. Hier spielt vor allem der Bereich "Anwendungs- und Dienstprotokolle\Microsoft\Windows\TerminalServices-SesseionBroker\Operational" eine wichtige Rolle. Aber auch für die anderen Dienste der Remotedesktopdienste finden sich an dieser Stelle wichtige Informationen (siehe Abbildung 4).

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44074903 / Tipps & Tricks)