Die Ereignisanzeige – das Gedächtnis von Windows
Die Windows Ereignisanzeige (Event Viewer, eventvwr.msc) ist eines der wichtigsten Diagnose-Werkzeuge für Windows-Administratoren. Sie protokolliert alle bedeutenden Ereignisse:
- Systemstarts und -abstürze
- Anmeldefehler und Sicherheitsereignisse
- Anwendungsfehler und Abstürze
- Hardwarefehler
- Dienstausfälle
Wer gelernt hat, Ereignisprotokolle zu lesen, kann die meisten Windows-Probleme ohne externe Tools diagnostizieren.
Aufbau der Ereignisanzeige
Öffnen
eventvwr.mscin der Suche oder Ausführen-Dialog- Rechtsklick auf Startmenü → Ereignisanzeige
- Oder: PowerShell →
eventvwr
Protokollstruktur
Windows-Protokolle:
- Anwendung – Protokolle von Anwendungen (Office, Backup-Software, etc.)
- Sicherheit – Anmeldeereignisse, Berechtigungen, Audit-Protokoll
- System – Betriebssystem-Ereignisse (Treiber, Dienste, Hardware)
- Weitergeleitete Ereignisse – Ereignisse von anderen Computern (zentrales Logging)
Anwendungs- und Dienstprotokolle:
- Microsoft → Windows → (sehr detaillierte Protokolle nach Funktion)
Ereignistypen
| Symbol | Typ | Bedeutung |
|---|---|---|
| Roter Kreis mit X | Fehler | Kritisches Problem, Dienst ausgefallen |
| Gelbes Dreieck | Warnung | Potenzielles Problem, Schwellwert erreicht |
| Blaues i | Information | Normales Ereignis (Start, Stop) |
| Schlüssel | Erfolgsüberwachung | Sicherheitsereignis erfolgreich |
| Schloss | Fehlerüberwachung | Sicherheitsereignis fehlgeschlagen |
Die wichtigsten Event-IDs
System-Protokoll
| Event ID | Quelle | Bedeutung |
|---|---|---|
| 41 | Kernel-Power | Kritischer Neustart ohne sauberes Herunterfahren (Stromausfall, BSOD) |
| 6006 | EventLog | Sauberes Herunterfahren |
| 6008 | EventLog | Ungeplanter Neustart (Stromausfall oder Absturz) |
| 7034 | Service Control | Dienst unerwartet beendet |
| 7040 | Service Control | Starttyp eines Dienstes geändert |
| 1001 | BugCheck | Blue Screen of Death (BSOD) Diagnose |
| 55 | NTFS | Dateisystemfehler auf Festplatte |
| 7 | Disk | Schreibfehler auf Festplatte (Festplatte defekt?) |
Sicherheits-Protokoll
| Event ID | Bedeutung |
|---|---|
| 4624 | Erfolgreiche Anmeldung |
| 4625 | Fehlgeschlagene Anmeldung |
| 4634 | Abmeldung |
| 4648 | Anmeldung mit expliziten Anmeldedaten |
| 4720 | Benutzerkonto erstellt |
| 4722 | Benutzerkonto aktiviert |
| 4725 | Benutzerkonto deaktiviert |
| 4740 | Konto gesperrt (zu viele fehlgeschlagene Anmeldungen) |
| 4756 | Mitglied zu globaler Gruppe hinzugefügt |
| 4768 | Kerberos-Ticket angefordert |
| 4776 | Domänenauthentifizierung |
Anwendungs-Protokoll
| Event ID | Quelle | Bedeutung |
|---|---|---|
| 1000 | Application Error | Anwendungsabsturz |
| 1001 | Windows Error Reporting | Dr.-Watson-Fehler |
| 1026 | .NET Runtime | .NET-Anwendungsfehler |
Ereignisse filtern
Die Standardansicht ist oft überwältigend. Nutzen Sie Filter:
- Rechtsklick auf ein Protokoll → Aktuelles Protokoll filtern
- Filteroptionen:
- Protokolliert: Letzte 24 Stunden / 7 Tage / benutzerdefiniert
- Ereignisebene: Nur Fehler und Kritisch
- Event-IDs: Kommasepariert (z. B. "41, 6008")
- Quelle: Bestimmter Dienst oder Treiber
Benutzerdefinierte Ansicht erstellen
Für häufig verwendete Filter: Benutzerdefinierte Ansicht erstellen → Filter speichern → Name vergeben. Nützlich für:
- Alle Abstürze der letzten Woche
- Alle Sicherheitsfehler (4625)
- Alle Festplattenfehler (7, 55)
Ereignisanzeige mit PowerShell
Letzte Fehler auflesen
Get-EventLog -LogName System -EntryType Error -Newest 20
Nach Event-ID suchen
Get-WinEvent -FilterHashtable @{LogName='System'; Id=41} -MaxEvents 10
BSOD-Ereignisse der letzten 7 Tage
Get-WinEvent -FilterHashtable @{LogName='System'; Id=1001; StartTime=(Get-Date).AddDays(-7)}
Anmeldefehler suchen (ID 4625)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625; StartTime=(Get-Date).AddDays(-1)} | Select-Object TimeCreated, @{n='Benutzer';e={$_.Properties[5].Value}}, @{n='IP';e={$_.Properties[19].Value}} | Format-Table
Ereignisse in CSV exportieren
Get-WinEvent -FilterHashtable @{LogName='System'; Level=2} -MaxEvents 100 | Export-Csv C:\Reports\Events.csv -NoTypeInformation -Encoding UTF8
Typische Problemdiagnosen
PC startet plötzlich neu – Ursache finden
- Öffnen Sie System-Protokoll
- Filtern Sie nach Event-ID 41 (Kernel-Power) und 6008
- Schauen Sie auf den Zeitstempel kurz VOR dem Neustart
- Event-ID 1001 (BugCheck) zeigt den Fehlercode des BSOD
Festplattenfehler erkennen
- System-Protokoll → Filtern nach Quelle disk und Ntfs
- Event-IDs 7, 55, 153 deuten auf Festplattenprobleme hin
- Bei mehreren Ereignissen: Festplatte sofort prüfen mit CrystalDiskInfo
Gesperrte Benutzerkonten analysieren
- Sicherheits-Protokoll → Event-ID 4740
- Klick auf das Ereignis → Details zeigen von welchem PC der Sperrversuch kam
- Event-ID 4625 zeigt fehlgeschlagene Anmeldungen
Zentrales Event-Logging (Windows Event Forwarding)
In größeren Netzwerken sammeln Sie Ereignisse aller Server zentral:
- Auf dem Sammel-PC: Aktivieren Sie Windows Remote Management
winrm quickconfig - Abonnement erstellen: Ereignisanzeige → Abonnements → Erstellen
- Quellencomputer hinzufügen
- Filter konfigurieren (nur Fehler und Warnungen)
FAQ
Wie lange werden Ereignisse gespeichert?
Standardmäßig bis das Protokoll voll ist (System: 20 MB, Sicherheit: 128 MB). Unter Protokoll-Eigenschaften können Sie Größe und Verhalten bei Vollspeicher konfigurieren.
Kann ich gelöschte Ereignisse wiederherstellen?
Nein, Ereignisprotokolle lassen sich nicht wiederhergestellt werden. Richten Sie frühzeitig Weiterleitungen oder zentrale Logging-Lösungen ein.
Was ist der Unterschied zwischen Ereignisanzeige und SIEM?
Die Ereignisanzeige ist ein einfaches lokales Protokoll. SIEM-Systeme (wie Splunk oder Microsoft Sentinel) sammeln Ereignisse zentral, korrelieren sie und erkennen Angriffsmuster automatisch.
Fazit
Die Windows Ereignisanzeige ist das erste Werkzeug bei der Fehlerdiagnose. Mit den richtigen Event-IDs und PowerShell-Abfragen finden Sie Ursachen schnell.
Als IT-Dienstleister in Heidelberg bieten wir proaktives Systemmonitoring für Unternehmen in Mannheim, Ludwigshafen und der Rhein-Neckar-Region. Jetzt IT-Monitoring anfragen.