DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 308427 - Geändert am: Dienstag, 29. April 2014 - Version: 6.0

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt die Verwendung der Ereignisanzeige zum Einsehen und Verwalten von Ereignisprotokollen in Microsoft Windows XP.

Weitere Informationen

Ereignisanzeige

In Windows XP ist ein Ereignis definiert als bedeutsames Vorkommnis im System oder in einem Programm, das eine Benachrichtigung des Benutzers oder das Hinzufügen eines Eintrags zu einem Protokoll erfordert. Der Ereignisprotokolldienst protokolliert Anwendungs-, Sicherheits- und Systemereignisse in der Ereignisanzeige. Mithilfe der Ereignisprotokolle in der Ereignisanzeige können Sie Informationen über Ihre Hardware, Software und Systemkomponenten einholen und Sicherheitsereignisse auf einem lokalen Computer oder einem Remotecomputer überwachen. Ereignisprotokolle können Ihnen dabei helfen, die Ursachen aktueller Systemprobleme zu identifizieren und zu diagnostizieren, oder aber mögliche Systemprobleme vorherzusehen.

Ereignisprotokolltypen

Ein Windows XP-Computer protokolliert Ereignisse in den folgenden drei Protokollen:
  • Anwendungsprotokoll

    Das Anwendungsprotokoll enthält Ereignisse, die von Programmen protokolliert wurden. So kann zum Beispiel ein Datenbankprogramm einen Dateifehler im Anwendungsprotokoll protokollieren. Welche Ereignisse in das Anwendungsprotokoll geschrieben werden, wird von den Entwicklern der jeweiligen Software festgelegt.
  • Sicherheitsprotokoll

    Das Sicherheitsprotokoll protokolliert Ereignisse wie gültige und ungültige Anmeldeversuche oder Ereignisse im Zusammenhang mit der Ressourcennutzung. Zum Beispiel das Erstellen, Öffnen oder Löschen von Dateien. Wenn beispielsweise die Anmeldeüberwachung aktiviert ist, wird immer dann ein Ereignis im Sicherheitsprotokoll festgehalten, wenn ein Benutzer versucht, sich bei dem Computer anzumelden. Sie müssen entweder als Administrator oder als Mitglied der Gruppe "Administratoren" angemeldet sein, um das Sicherheitsprotokoll zu deaktivieren bzw. zu aktivieren, oder um festlegen zu dürfen, welche Ereignisse dort protokolliert werden.
  • Systemprotokoll

    Das Systemprotokoll enthält Ereignisse, die von Windows XP-Systemkomponenten protokolliert wurden. Wenn zum Beispiel beim Start ein bestimmter Treiber nicht geladen wird, wird ein entsprechendes Ereignis im Systemprotokoll aufgezeichnet. Welche Ereignisse von Systemkomponenten protokolliert werden, ist in Windows XP vordefiniert.

Einsehen von Ereignisprotokollen

Gehen Sie folgendermaßen vor, um die Ereignisanzeige zu öffnen:
  1. Klicken Sie auf Start und anschließend auf Systemsteuerung. Klicken Sie auf Leistung und Wartung, klicken Sie auf Verwaltung, und klicken Sie anschließend doppelt auf Computerverwaltung. Oder öffnen Sie die MMC, in der Sie das Snap-In "Ereignisanzeige" finden.
  2. Klicken Sie in der Konsolenstruktur auf Ereignisanzeige.

    Die Anwendungs-, Sicherheits- und Systemprotokolle werden im Fenster der Ereignisanzeige angezeigt.

Einsehen von Ereignisdetails

Gehen Sie folgendermaßen vor, um sich die Details zu einem Ereignis anzeigen zu lassen:
  1. Klicken Sie auf Start und anschließend auf Systemsteuerung. Klicken Sie auf Leistung und Wartung, klicken Sie auf Verwaltung, und klicken Sie anschließend doppelt auf Computerverwaltung. Oder öffnen Sie die MMC, in der Sie das Snap-In "Ereignisanzeige" finden.
  2. Erweitern Sie die Option Ereignisanzeige in der Konsolenstruktur. Klicken Sie dann auf das Protokoll mit dem Ereignis, zu dem Sie sich die Details ansehen möchten.
  3. Doppelklicken Sie im Detailfenster auf das Ereignis, das Sie anzeigen möchten.

    Jetzt wird das Dialogfeld Ereigniseigenschaften mit Überschrifteninformationen und einer Beschreibung des Ereignisses angezeigt.

    Um die Details des Ereignisses zu kopieren, klicken Sie auf die Schaltfläche Kopieren, öffnen Sie ein neues Dokument in dem Programm, in das Sie das Ereignis einfügen möchten (zum Beispiel Microsoft Word), und klicken Sie dann im Menü Bearbeiten auf Einfügen.

    Um sich die Beschreibung des vorherigen oder nächsten Ereignisses anzusehen, klicken Sie auf den nach oben bzw. den nach unten weisenden Pfeil.

Interpretieren eines Ereignisses

Jeder Protokolleintrag ist mit einem bestimmten Typ klassifiziert und enthält Überschrifteninformationen sowie eine Beschreibung des Ereignisses.

Ereignisüberschrift

Die Ereignisüberschrift enthält die folgenden Informationen zum Ereignis:
  • Datum

    Das Datum, an dem das Ereignis eingetreten ist.
  • Uhrzeit

    Die Uhrzeit, zu der das Ereignis eingetreten ist.
  • Benutzer

    Der Benutzername des Benutzers, der angemeldet war, als das Ereignis eintrat.
  • Computer

    Der Name des Computers, auf dem das Ereignis eingetreten ist.
  • Ereignis

    Eine Ereignisnummer, die den Ereignistyp angibt. Die Ereigniskennung hilft den Mitarbeitern des Software Service, zu verstehen, was in dem jeweiligen System passiert ist.
  • Quelle

    Die Quelle des Ereignisses. Hierbei kann es sich um den Namen eines Programms, eine Systemkomponente oder eine einzelne Komponente eines umfangreichen Programms handeln.
  • Typ

    Art des Ereignisses. Es gibt fünf verschiedene Typen: Fehler, Warnung, Information, Erfolgsüberwachung und Fehlversuchüberwachung.
  • Kategorie

    Klassifizierung des Ereignisses durch die Quelle. Wird hauptsächlich im Sicherheitsprotokoll verwendet.

Ereignistypen

Die Beschreibung protokollierter Ereignisse ist vom Typ des jeweiligen Ereignisses abhängig. Jedes Ereignis in einem Protokoll kann einem der folgenden Typen zugeordnet werden:
  • Informationen

    Ein Ereignis, das die erfolgreiche Ausführung einer Aufgabe beschreibt, zum Beispiel einer Anwendung, eines Treibers oder eines Diensts. Ein Informationsereignis wird zum Beispiel protokolliert, wenn ein Netzwerktreiber erfolgreich geladen wurde.
  • Warnung

    Ein solches Ereignis muss nicht notwendigerweise von besonderer Wichtigkeit sein, es kann jedoch auf ein zukünftiges Problem hindeuten. So wird zum Beispiel eine Warnung protokolliert, wenn der Festplattenspeicher knapp zu werden beginnt.
  • Fehler

    Ein Ereignis, dass ein bedeutendes Problem beschreibt, z. B. das Fehlschlagen einer wichtigen Task. Fehlerereignisse können mit Daten- oder Funktionalitätsverlusten verbunden sein. Ein Fehlerereignis wird zum Beispiel protokolliert, wenn beim Start ein bestimmter Dienst nicht geladen wurde.
  • Erfolgsüberwachung (Sicherheitsprotokoll)

    Ein Ereignis, das den erfolgreichen Abschluss eines überwachten Sicherheitsereignisses beschreibt. Ein Erfolgsüberwachungsereignis wird zum Beispiel protokolliert, wenn ein Benutzer sich bei dem Computer anmeldet.
  • Fehlversuchüberwachung (Sicherheitsprotokoll)

    Ein Ereignis, das ein überwachtes Sicherheitsereignis beschreibt, das nicht erfolgreich abgeschlossen wurde. Ein Fehlversuchüberwachungsereignis kann zum Beispiel protokolliert werden, wenn ein Benutzer nicht auf ein Netzlaufwerk zugreifen konnte.

Finden von Ereignissen in einem Protokoll

In der Standardansicht für ein Ereignisprotokoll werden alle darin enthaltenen Einträge aufgelistet. Wenn Sie ein bestimmtes Ereignis finden oder einen Teilsatz von Ereignissen einsehen möchten, können Sie entweder das Protokoll durchsuchen oder einen Filter auf die Protokolldaten anwenden.

Suchen nach bestimmten Protokollereignissen

Gehen Sie folgendermaßen vor, um nach einem bestimmten Protokollereignis zu suchen:
  1. Klicken Sie auf Start und anschließend auf Systemsteuerung. Klicken Sie auf Leistung und Wartung, klicken Sie auf Verwaltung, und klicken Sie anschließend doppelt auf Computerverwaltung. Oder öffnen Sie die MMC, in der Sie das Snap-In "Ereignisanzeige" finden.
  2. Erweitern Sie in der Konsolenstruktur die Option Ereignisanzeige. Klicken Sie dann auf das Protokoll mit dem Ereignis, zu dem Sie sich die Details ansehen möchten.
  3. Klicken Sie im Menü Ansicht auf Suchen.
  4. Legen Sie im Dialogfeld Suchen die Optionen für das Ereignis fest, das Sie einsehen möchten, und klicken Sie dann auf Weitersuchen.
Im Detailfenster wird das Ereignis hervorgehoben, das Ihren Suchkriterien entspricht. Klicken Sie auf Weitersuchen, um das nächste Auftreten eines Ereignisses zu finden, das Ihren Suchkriterien entspricht.

Filtern von Protokollereignissen

Gehen Sie folgendermaßen vor, um Protokollereignisse zu filtern:
  1. Klicken Sie auf Start und anschließend auf Systemsteuerung. Klicken Sie auf Leistung und Wartung, klicken Sie auf Verwaltung, und klicken Sie anschließend doppelt auf Computerverwaltung. Oder öffnen Sie die MMC, in der Sie das Snap-In "Ereignisanzeige" finden.
  2. Erweitern Sie in der Konsolenstruktur die Option Ereignisanzeige. Klicken Sie dann auf das Protokoll mit dem Ereignis, zu dem Sie sich die Details ansehen möchten.
  3. Klicken Sie im Menü Ansicht auf Filtern.
  4. Klicken Sie auf die Registerkarte Filter, falls diese nicht bereits ausgewählt ist.
  5. Legen Sie die gewünschten Filterungsoptionen fest, und klicken Sie anschließend auf OK.
Im Detailfenster werden jetzt nur Ereignisse angezeigt, die Ihren Filterungskriterien entsprechen.

Um zu der Ansicht mit der Anzeige aller Protokolleinträge zurückzukehren, klicken Sie im Menü Ansicht auf Filter, und klicken Sie dann auf Wiederherstellen.

Verwalten von Protokollinhalten

Standardmäßig ist die maximale Größe eines Protokolls auf 512 KB festgelegt. Wird dieser Wert erreicht, werden ältere Ereignisse durch neue Ereignisse überschrieben. In Abhängigkeit von Ihren spezifischen Anforderungen können Sie diese Einstellungen ändern oder die Inhalte eines Protokolls löschen.

Festlegen von Protokollgröße und Überschreiboptionen

Gehen Sie folgendermaßen vor, um Protokollgröße und Überschreiboptionen festzulegen:
  1. Klicken Sie auf Start und anschließend auf Systemsteuerung. Klicken Sie auf Leistung und Wartung, klicken Sie auf Verwaltung, und klicken Sie anschließend doppelt auf Computerverwaltung. Oder öffnen Sie die MMC, in der Sie das Snap-In "Ereignisanzeige" finden.
  2. Expandieren Sie in der Konsolenstruktur die Option Ereignisanzeige. Klicken Sie dann mit der rechten Maustaste auf das Protokoll, in dem Sie Protokollgröße und Überschreiboptionen festlegen möchten.
  3. Unter Protokollgröße geben Sie die gewünschte Protokollgröße in das Feld Maximale Protokollgröße ein.
  4. Unter Wenn die maximale Protokollgröße erreicht ist klicken Sie auf die gewünschte Überschreiboption.
  5. Wenn Sie die Inhalte des Protokolls löschen möchten, klicken Sie auf Protokoll löschen.
  6. Klicken Sie auf OK.

Archivieren eines Protokolls

Falls Sie Ihre Protokolldaten speichern möchten, können Sie Ereignisprotokolle in den folgenden Formaten archivieren:
  • Protokolldateiformat (.evt)
  • Textdateiformat (.txt)
  • Textdatei (Komma getrennt) (.csv)
Gehen Sie folgendermaßen vor, um ein Protokoll zu archivieren:
  1. Klicken Sie auf Start und anschließend auf Systemsteuerung. Klicken Sie auf Leistung und Wartung, klicken Sie auf Verwaltung, und klicken Sie anschließend doppelt auf Computerverwaltung. Oder öffnen Sie die MMC, in der Sie das Snap-In "Ereignisanzeige" finden.
  2. Erweitern Sie in der Konsolenstruktur die Option Ereignisanzeige. Klicken Sie dann mit der rechten Maustaste auf das Protokoll, das Sie archivieren möchten, und klicken Sie dann auf Protokolldatei speichern unter.
  3. Geben Sie einen Dateinamen und den Speicherort für die Datei an. Wählen Sie im Feld Dateityp das gewünschte Format aus, und klicken Sie dann auf Speichern.
Die Protokolldatei wird in dem von Ihnen gewählten Format gespeichert.

Informationsquellen

Weitere Informationen zu bestimmte Ereignissen oder Fehlern finden Sie auf folgender Website von Microsoft:
http://technet.microsoft.com/de-de/library/cc754424(WS.10).aspx (http://technet.microsoft.com/de-de/library/cc754424(WS.10).aspx)
Weitere Informationen zum Verwenden der Ereignisanzeige finden Sie in der Hilfe der Ereignisanzeige. (Klicken Sie im Snap-In "Ereignisanzeige" oder im Fenster "Computerverwaltung" im Menü Vorgang auf Hilfe).

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
Keywords: 
kbhowtomaster kbhowto kbenv KB308427
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store
Folgen Sie uns: