Die Ereignisanzeige
Gültig für: Windows NT | Windows 2000 | Windows XP | Server 2003 | Windows Vista | Server 2008 | Windows 7 | Windows 8 | Windows 10
In der Ereignisanzeige werden vom System und Anwendungen Informationen abgelegt, mit deren Hilfe sich Fehler leichter aufspüren lassen. Ggf. lassen sich auch Aktionen auf gewisse Ereignisse auslösen.
Die Ereignisanzeige rufen Sie bei NT über eventvwr.exe und ab Windows 2000 über die MMC auf (eventvwr.msc).
Je nach installieren Anwendungen finden Sie in der Ereignisanzeige folgende Abschnitte:
|
Anwendungen |
Hier werden die Informationen von Anwendungen protokolliert. |
|
Sicherheit |
Hier landen alle Informationen, die etwas mit der Sicherheit zu tun haben. Für die meisten Einträge muss vorher die Sicherheitsprotokollierung aktiviert werden. |
|
System |
Alle Informationen, die das System betreffen, werden hier abgelegt. |
|
Directory Service |
Hier werden die Informationen vom ADS abgelegt. Dabei kann hier gut der Status der Replikation überprüft werden. |
|
DNS Server |
Hier werden die Informationen vom DNS-Server abgelegt. |
|
Dateireplikationsdienst |
Hier kann man Informationen über Probleme des Replikationsdienstes finden. |
Diese Liste kann von entsprechenden Anwendungen/Diensten erweitert werden. Für jeden Eintrag kann über die rechte Maustaste ein Kontextmenü aufgerufen werden ("rechte Maustaste" -> "Eigenschaften").
Auf der ersten Seite sehen Sie unter "Protokollname" den Speicherort und den Namen der Datei, Sie können hier die Datei jederzeit an einen anderen Speicherort Ort verlegen.
Weiterhin können Sie unter Protokollgröße die max. Größe der Datei festlegen und konfigurieren, wie das System verfahren soll, wenn diese Größe erreicht wird.
Besondere Beachtung muss dabei auf die Einstellungen "Ereignisse überschreiben, die älter als xx Tage sind" und "Ereignisse nie überschreiben" gelegt werden.
Ist nämlich die max. Größe erreicht und das System kann nichts mehr in die Logdatei schreiben (Protokoll ist voll gelaufen), hält das System an. Hier muss man die Protokollgröße regelmäßig überprüfen.
Wo werden die Dateien abgelegt?
Standardmäßig werden die Dateien unter "%SYSTEMROOT%\system32\config" abgelegt. Der aktuelle Speicherort kann unter Eigenschaften (siehe oben) oder auch in der Registry geändert werden:
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Eventlog
Hier finden Sie für jedes Protokoll einen weiteren Schlüssel. Innerhalb dieses Schlüssels finden Sie den Wert "File", wo der Pfad zur Protokolldatei festgelegt wird.
Wo finde ich Informationen zu den Event-IDs?
Im Internet gib es 2 wichtige Adressen, wo Sie weitere Informationen zu den Ereigniseinträgen finden.
Beschreibung und Links zu MS Artikeln für die IDs: http://www.eventid.NET/
Weiterhin finden Sie bei MS noch einige Informationen, hier können Sie auch eine Excel-Datei mit vielen Event-IDs herunterladen:
http://www.microsoft.com/windows2000/techinfo/reskit/ErrorandEventMessages/default.asp
Hier einmal eine kurze Auflistung einiger IDs und Ihrer Bedeutung:
|
Event-ID |
Beschreibung |
|
1001 |
Enthält Informationen, wenn ein Memory-Dump erstellt wurde |
|
1074 |
Neu ab XP und .NET, enthält den Grund für den Systemabschluss (wird von User abgefragt und eingeben) |
|
6005 |
Kommt auch beim Systemstart und besagt, dass das Ereignisprotokoll gestartet wurde |
|
6006 |
Wird bei einem Systemabschluss geschrieben, wenn das Ereignisprotokoll beendet wurde |
|
6008 |
Wenn das System unerwartet gestartet wurde, wird hier anhand eines Zeitstempels der ungefähre Zeitpunkt des Absturzes eingetragen. |
|
6009 |
Kommt beim Systemstart und enthält unteren anderen Informationen über das Betriebssystem |
Wie kann ich auf Event-IDs automatisch reagieren?
MS stellt dafür ein kostenpflichtiges Tool "Microsoft Operations Manager" (MOM) zur Verfügung. Mit diesem Tool können Sie Reaktionen auf Ereignisse konfigurieren. MS hat hierfür schon eine gewisse Anzahl an Filtern vorkonfiguriert. Weitere Informationen zum MOM finden Sie unter: http://www.microsoft.com/mom.
Es gibt aber auch kostenfreie Möglichkeiten:
Mit dem Tool "Eventquery.vbs" (ab .NET) wird Ihnen ein beispielsweise ein Visual Basic Script geliefert, mit welchen Sie Ereignisse abfragen können.
Weit mehr Möglichkeiten bietet das Tool "Eventtriggers.exe". Mit diesem Tool können Sie Trigger konfigurieren, die bei einem bestimmten Ereignis einen Befehl ausführen (EXE, Batch). Sie können mit dem Tool
- Trigger erstellen (create)
- Trigger wieder löschen (delete)
- aktuelle Trigger anzeigen lassen (query).
Weiterhin gibt es noch das Tool "eventquery.pl" (im Resource Kit 2000 Supplement 1)
Mit diesem Perl-Script, können Sie Informationen aus der Ereignisprotokoll abfragen. Dafür muss aber Perl auf Ihrem System installiert sein. Weitere Informationen dazu finden Sie http://www.microsoft.com/mom
Wie kann ich eigene Ereignisse erzeugen?
Mit dem Tool "logevent.exe" aus dem Resource Kit können eigene Events im Anwendungsprotokoll erstellt werden.
Weiterhin gibt es ab .NET Server das Tool "eventcreate.exe". Sie haben auch hier die Möglichkeit, Ereignisse ins System- oder Anwendungsprotokoll zu schreiben.
WinFAQ: Startseite | WinFAQ: HTMLMenü | WinFAQ: Java Version
Der Tipp enthält einen Fehler oder Sie haben noch eine Ergänzung dafür? Schreiben Sie uns über die Feedback-Seite an: Feedback-Formular
URL: http://www.winfaq.de/faq_html/Content/tip1500/onlinefaq.php?h=tip1644.htm
WinFAQ ® Version 9.01 Copyright © 1996/2016 by Frank Ullrich