Windows-Ereignisprotokolle werden mit einem Systemprogramm namens Ereignisanzeige angezeigt. Der einfachste Weg, um die Ereignisanzeige zu starten, besteht darin, die Suchfunktionen von Windows zu verwenden und nach „Ereignisanzeige“ zu suchen (ohne Anführungszeichen). Sobald das Programm gestartet ist, werden Sie vom Startbildschirm begrüßt. (Siehe Abbildung 1.)

image

Abbildung 1. Das Anfangsfenster der Ereignisanzeige.

Der Großteil des Bildschirms (die Informationen in der Mitte) enthält eine Zusammenfassung verschiedener Elemente der Ereignisprotokolle. Sie können einen Drilldown zu diesen durchführen, um weitere Informationen zu erhalten. Meistens möchten Sie jedoch wahrscheinlich direkt zu einem bestimmten Protokoll wechseln. In diesem Fall müssen Sie den Knoten „Windows-Protokolle“ oben links auf dem Bildschirm erweitern. Diese Erweiterung enthält fünf wichtige Ereignisprotokolle: Anwendung, Sicherheit, Setup, System und Weitergeleitete Ereignisse. Klicken Sie auf einen dieser Namen, um zu den Ereignissen selbst zu gelangen. Wenn ich beispielsweise auf das Anwendungsprotokoll klicke, werden alle in dieser Protokolldatei enthaltenen Ereignisse angezeigt. (Siehe Abbildung 2.)

image

Abbildung 2. Anzeigen des Anwendungsprotokolls

Beim Anzeigen eines Ereignisprotokolls ist der Bildschirm „Ereignisanzeige“ in vier Bereiche unterteilt. Der vertikale Bereich auf der linken Seite ist der Navigatorbereich, mit dem Sie die Bäume, in denen sich die verschiedenen Ereignisprotokolle befinden, erweitern und reduzieren können. Im oberen mittleren Bereich werden die Ereignisse für das ausgewählte Protokoll aufgelistet. (Standardmäßig werden die Ereignisse in umgekehrter chronologischer Reihenfolge aufgelistet, sodass die neuesten Ereignisse oben angezeigt werden.) Der untere mittlere Bereich ist der Vorschaufenster, der geschlossen werden kann, um mehr Platz für die Ereignisse selbst zu schaffen. Wenn es geöffnet ist, werden Details zu dem im oberen mittleren Bereich ausgewählten Ereignis angezeigt. Der vertikale Bereich rechts ist der Aktionsbereich, in dem Sie verschiedene Aktionen für das Ereignisprotokoll oder das ausgewählte Ereignis ausführen können.

Um weitere Informationen zu einem Ereignis anzuzeigen, klicken Sie im oberen mittleren Bereich auf das Ereignis. Die Details werden im Vorschaufenster angezeigt. Sie können auch einen Filter auf die angezeigten Ereignisse anwenden, um sich nur auf die Ereignisse zu konzentrieren, an denen Sie derzeit interessiert sind. Beispielsweise möchten Sie möglicherweise nur „Kritische“ oder „Fehler“ -Ereignisse oder nur bestimmte Ereignis-IDs anzeigen. Es gibt viele Filter, die Sie anwenden können. Klicken Sie einfach im Bereich Aktionen auf den Link „Aktuelles Protokoll filtern“ und erstellen Sie Ihren Filter.

Es ist auch möglich, einen Teil oder das gesamte Ereignisprotokoll aus historischen Gründen oder für den Fall, dass Sie es später überprüfen möchten, auf der Festplatte zu speichern. Klicken Sie dazu im Aktionsbereich auf den Link „Ereignisse speichern unter“, und Sie werden aufgefordert, einen Dateinamen einzugeben, in dem die Ereignisse gespeichert werden sollen. Sie können dieses Protokoll später genauso anzeigen wie die Echtzeitprotokolle.

Die Ereignisanzeige ist eine leistungsstarke Ressource, mit der ein Systemadministrator das System in gutem Zustand halten kann. Es kann sogar Programmierern helfen, die Informationen aus ihren Nicht-GUI-Programmen aufzeichnen müssen.

Die Zeit, um sich mit der Ereignisanzeige vertraut zu machen, ist gut investierte Zeit.

Dieser Tipp (11565) gilt für Windows 7, 8 und 10.