Wenn Sie ein System verwalten, das von mehreren Personen mit jeweils eigener Anmeldung am System verwendet wird, ist es möglicherweise hilfreich zu wissen, welcher dieser Benutzer ein Programm oder eine App installiert hat. Beispielsweise hat ein Benutzer möglicherweise ein Programm heruntergeladen und installiert, das Probleme verursacht, und Sie müssen mit dem Benutzer sprechen, der die Installation tatsächlich durchgeführt hat. Ebenso müssen Sie möglicherweise wissen, wer ein bestimmtes Programm vom System deinstalliert hat.

Vorausgesetzt, das Programm wurde mit dem in MS integrierten normalen MSI-Installationsprogramm installiert oder entfernt, können Sie die benötigten Informationen anhand der von Windows verwalteten Ereignisprotokolle ermitteln. Fahren Sie fort und starten Sie die Ereignisanzeige. Am einfachsten ist es, die Suchfunktionen von Windows zu verwenden und nach „Ereignisanzeige“ ohne Anführungszeichen zu suchen. Sobald das Programm gestartet ist – das Laden kann einige Momente dauern -, werden Sie vom Startbildschirm begrüßt. (Siehe Abbildung 1.)

image

Abbildung 1. Das Anfangsfenster der Ereignisanzeige.

Klicken Sie im rechten Bereich oben auf die Option Benutzerdefinierte Ansicht erstellen.

Windows zeigt das Dialogfeld Benutzerdefinierte Ansicht erstellen an. Die Registerkarte Filter sollte im Dialogfeld angezeigt werden. (Siehe Abbildung 2.)

image

Abbildung 2. Filtern eines Ereignisprotokolls

Wählen Sie in der Dropdown-Liste Ereignisquellen (klicken Sie auf das Optionsfeld rechts neben Nach Quelle, um Ereignisquellen zu aktivieren) die Option MsiInstaller und klicken Sie auf die Schaltfläche OK. Windows zeigt das Dialogfeld Filter in benutzerdefinierter Ansicht speichern an. (Siehe Abbildung 3.)

image

Abbildung 3. Das Dialogfeld Filter in benutzerdefinierter Ansicht speichern.

Benennen Sie die benutzerdefinierte Ansicht wie gewünscht und wählen Sie aus, wo die benutzerdefinierte Ansicht gespeichert werden soll, und klicken Sie auf OK. Dadurch wird die Ereignisanzeige angewiesen, nur vom Installationsprogramm generierte Ereignisse anzuzeigen. Dies ist genau der Fall, wenn Sie auf die Schaltfläche OK klicken.

Suchen Sie in der resultierenden Gruppe gefilterter Ereignisse nach einem Ereignis, das zu dem Zeitpunkt protokolliert wurde, zu dem Sie die Installation oder Entfernung vorgenommen haben. Wenn Sie eine finden, die vielversprechend aussieht, können Sie sie auswählen und ihre Details im Viewer anzeigen. Zu diesen Details gehört der Name des Benutzerkontos, das zum Zeitpunkt der Installation oder Entfernung aktiv war.

Sie sollten beachten, dass dieser Ansatz nur funktioniert, wenn die Systembenutzer nur ihre eigenen Konten verwenden. Mit anderen Worten, Benutzer melden sich ab und wieder an, wie sie es auf dem System tun sollten. Wenn alle Benutzer ein gemeinsames Login haben, sind die Benutzerinformationen im Ereignisprotokoll von geringem Wert. (Es zeigt an, dass das Ereignis aufgetreten ist, Sie haben jedoch keinen Hinweis darauf, wer das Ereignis durchgeführt hat.)

Wenn das installierte oder entfernte Programm MsiInstaller nicht verwendet hat oder eine Methode verwendet hat, die die Ereignisprotokolle nicht verwendet, können Sie die Ereignisse nicht finden, indem Sie die folgenden Schritte ausführen.

Dieser Tipp (13465) gilt für Windows 7, 8 und 10.