Die Windows-Ereignisanzeige erfasst viele Informationen zu Ihrem System – so sehr, dass es manchmal schwierig ist, das Gesuchte zu finden. Deshalb ist die Möglichkeit, Protokolle zu filtern, so praktisch. Angenommen, Sie möchten die Zeiten anzeigen, zu denen der Computer heruntergefahren oder neu gestartet wurde. Beginnen Sie mit der Anzeige der Ereignisanzeige. (Der einfachste Weg, dies zu tun, besteht darin, die Suchfunktionen von Windows zu verwenden, um nach „Ereignisanzeige“ ohne Anführungszeichen zu suchen.) (Siehe Abbildung 1.)

image

Abbildung 1. Hauptbildschirm der Ereignisanzeige.

Da wir an Systemstarts und -stillständen interessiert sind, navigieren Sie im linken Bereich des Bildschirms zu Anwendungs- und Dienstprotokollen | Microsoft | Windows | Diagnoseleistung | Betriebsbereit. Nach diesem Drilldown sollte sich der Bildschirm der Ereignisanzeige erheblich von dem Bildschirm unterscheiden, den Sie zuvor gesehen haben. (Siehe Abbildung 2.)

image

Abbildung 2. Navigieren zu

Klicken Sie im rechten Bereich oben auf Aktuelles Protokoll filtern. Windows zeigt das Dialogfeld Aktuelles Protokoll filtern an. Die Registerkarte Filter sollte im Dialogfeld angezeigt werden. (Siehe Abbildung 3.)

image

Abbildung 3. Das Dialogfeld Aktuelles Protokoll filtern.

Hier können Sie einige Optionen angeben: die Zeit, zu der das Ereignis protokolliert wurde, welche Ereignisebene Sie interessiert, welches Protokoll und welche Quelle verwendet werden sollen, die einzuschließenden Ereignis-IDs, die zum Filtern des Protokolls zu verwendenden Schlüsselwörter, und der Benutzer und die Computer, die sich auf das Protokoll beziehen.

Da wir jederzeit und auf jeder Ereignisebene an Starts und Shutdowns interessiert sind und bereits zum richtigen Ereignisprotokoll navigiert sind, müssen wir hier nichts ändern. Ebenso kümmern wir uns nicht um die Ereignisquellen oder irgendetwas anderes auf dem Bildschirm, außer um die Ereignis-IDs. Wie sich herausstellt, wird ein Windows-Start mit der Ereignis-ID 100 und ein Windows-Herunterfahren mit der Ereignis-ID 200 gekennzeichnet. Wir müssen also nur die beiden durch Komma getrennten Zahlen in das Feld eingeben Textfeld mit der aktuellen Meldung „<Alle Ereignis-IDs>.

Geben Sie“ 100.200 „(ohne Anführungszeichen) in das Textfeld ein. Sobald Sie auf OK klicken, wird das Protokoll sofort angezeigt wird gefiltert, um nur die Ereignisse einzuschließen, deren ID entweder 100 oder 200 ist. Jetzt können Sie das Protokoll leicht durchblättern und die Details zu jedem Neustart anzeigen.

Dieser Tipp (12829) gilt für Windows 7, 8 und 10.