2251180

Windows-Fehlersuche per Ereignisanzeige - so geht's

10.06.2017 | 08:45 Uhr |

Windows verfügt mit der Ereignisanzeige über ein Systemprotokoll, in dem Fehleraktivitäten und weitere Infos festgehalten werden. Es unterstützt Sie im Falle eines Problems beim Aufspüren der Ursachen.

Sowohl Windows als auch die installierten Programme nutzen das Ereignisprotokoll, um bestimmte Vorkommnisse und Informationen über den Zustand des Systems festzuhalten. Der Zugriff auf das Protokoll erfolgt über die Ereignisanzeige. Darin verzeichnen Windows und Systemdienste beispielsweise, wann das Betriebssystem gestartet wurde, welche Geräte nicht richtig funktionieren und wo Netzwerk- und Software-Fehler aufgetreten sind. Auch allerhand Sicherheitswarnungen werden von diesem System-Tool erfasst. Anhand des Logbuchs können Sie also präzise nachverfolgen, was Ihr System wann gemacht hat. Vor allem im Rahmen von Fehleranalysen können diese Informationen hilfreich sein.

Mächtiges Systemprotokoll mit sperriger Handhabung

Die Ereignisanzeige geht auf Windows XP zurück und ist neben Windows 10 auch in Windows 7 und 8.1 enthalten. Durch die an die Server-Betriebssysteme angelehnte Aufmachung und Bedienung wirkt das Bordwerkzeug sperrig und wenig zugänglich. Dabei lohnt sich ein Blick in die vielen Datensätze der Ereignisanzeige nicht zur im Rahmen der Fehlerbehebung. Durch seine streng chronologische Darstellung mit Angabe von Datum und Uhrzeit zu jedem Eintrag können Sie rückwirkend nachvollziehen, in welcher Reihenfolge Probleme aufgetreten sind und welche Folgeprobleme dadurch verursacht wurden. Der Funktionsumfang der Ereignisanzeige ist von Windows XP über Vista und Windows 7 hin zu Windows 8/8.1 und Windows 10 stetig gewachsen. Wir beschreiben im Folgenden die Nutzung des Ereignisprotokolls in Windows 10, die identisch mit der Verwendung in Windows 8.1 ist.

Ereignisanzeige über das Windows-Kontextmenü öffnen

In Windows 10 öffnen Sie die Ereignisanzeige bequem mit einem Rechtsklick auf das Windows-Symbol links in der Bildschirmecke und den Befehl „Ereignisanzeige“. In Windows 7, 8.1 und 10 können Sie das Logbuch auch über die Eingabe von Ereignisanzeige in die Windows- oder Startmenü-Suchzeile und einen Klick auf „Ereignisanzeige“ starten. Im Startmenü finden Sie die Ereignisanzeige im Untermenü „Windows-Verwaltungsprogramme“. Alternativ lässt sich das Protokoll über den Ausführen-Dialog aufrufen: Drücken Sie hierfür die Tastenkombination Windows-R, tippen Sie in das Ausführen-Fenster den Befehl eventvwr.exe ein und bestätigen mit „OK“. Daraufhin öffnet sich die Ereignisanzeige in einem neuen Fenster.

Tipp: Häufige Hardware-Fehler und ihre Lösung

So klassifiziert Windows die Einträge im Systemprotokoll

Die Klassifikation der jeweiligen Protokolleinträge erfolgt in der ersten Spalte. Achten Sie hier vor allem auf Einträge mit der Kennzeichnung „Kritisch“ und „Fehler“ – sie sind meist für Windows-Probleme verantwortlich.
Vergrößern Die Klassifikation der jeweiligen Protokolleinträge erfolgt in der ersten Spalte. Achten Sie hier vor allem auf Einträge mit der Kennzeichnung „Kritisch“ und „Fehler“ – sie sind meist für Windows-Probleme verantwortlich.

Das wenig übersichtliche Fenster der Ereignisanzeige ist in drei grundlegende Bereiche unterteilt. Über die Leiste ganz links greifen Sie wie im Explorer auf die einzelnen Protokollbereiche mit den Anwendungsereignissen, Sicherheitsaktivitäten und Systemmeldungen zu. Am wichtigsten sind dabei die Kategorien im Bereich „Windows-Protokolle“, die Sie durch Ausklappen erreichen. In Windows 10 finden Sie hier die Unterpunkte „Anwendungen“, Sicherheit“, „Installation“, „System“ und „Weitergeleitete Ereignisse“, die Sie regelmäßig überprüfen sollten. Ein Klick auf eines dieser Protokolle bringt Sie zur Liste mit den gespeicherten Protokolleinträgen.

Unter „Anwendungen“ erfassen sowohl Windows als auch verschiedene Anwendungen mehr oder minder wichtige Vorkommnisse. Die Einträge im Protokollordner „Sicherheit“ beschränken sich normalerweise auf Angaben zum Vollzug von Überwachungsaufgaben und sind daher nicht allzu relevant. Auch unter „Installation“ und „Weitergeleitete Ereignisse“ findet sich in der Regel kaum Spannendes. Deutlich mehr Informationen lassen sich der Protokollkategorie „System“ entnehmen, die alle im Zusammenhang mit den Systemkomponenten relevanten Aktivitäten aufführt.

Auch die im Bereich „Anwendungs- und Dienstprotokolle“ aufgeführten Ereigniskategorien können im Rahmen der Fehlersuche oder beim Überprüfen der Systemsicherheit relevant sein. In diesen Kategorien protokolliert Windows Ereignisse, die keine systemweiten Auswirkungen haben, sondern einzelnen Anwendungen oder Komponenten zugeordnet sind. Ein Klick auf eine der Kategorien öffnet die korrespondierenden Protokolleinträge in der mittleren Spalte der Ereignisanzeige. Ganz oben erscheinen in der Voreinstellung die neuesten Ereignisse, ältere Protokolleinträge finden Sie weiter unten. Die rechte Spalte des Ereignisanzeige-Fensters führt die jeweils verfügbaren Aktionen auf. Hier können Sie beispielsweise eigene Protokollansichten definieren, zuvor gespeicherte Protokolldateien öffnen oder im Logbuch suchen.

Ein Klick auf einen der tabellarisch aufgeführten Protokolleinträge öffnet die Detailansicht im unteren Fensterbereich. Hier sehen Sie Informationen zur genauen Problemursache und erhalten Angaben, welche Systemkomponenten, Software oder Treiber den betreffenden Eintrag verursacht haben.

Ereignis-Protokoll sichern und aufräumen

Haben Sie sich einmal komplett durch die mitunter zahlreichen Einträge des Ereignisprotokolls gekämpft, bietet es sich aus Gründen der Übersicht an, das bisherige Logbuch zu löschen. So brauchen Sie beim nächsten Mal nicht durch die Flut bereits bekannter Meldungen zu navigieren und können sich stattdessen auf Neueinträge konzentrieren. Die Löschfunktion hat Microsoft in das Kontextmenü der Protokollkategorien integriert, das nach einem Rechtsklick auf „Anwendungen“, Sicherheit“, „Installation“ oder „System“ erscheint. Wählen Sie „Protokoll löschen“.

Das Löschen nicht mehr benötigter Einträge aus dem Protokoll hält die Ereignisübersicht schlank und übersichtlich.
Vergrößern Das Löschen nicht mehr benötigter Einträge aus dem Protokoll hält die Ereignisübersicht schlank und übersichtlich.

Windows bietet daraufhin in einem neuen Dialog an, das Protokoll zu löschen, indem Sie auf „Leeren“ klicken, oder das Protokoll zunächst zu speichern und dann zu löschen. Wenn Sie das bisherige Protokoll etwa zu Vergleichs- oder Dokumentationszwecken vor dem endgültigen Entfernen sichern möchten, gehen Sie auf „Speichern und Leeren“. Wählen Sie dann einen Speicherordner sowie einen Dateinamen. Es empfiehlt sich ein Dateiname, an dem Sie später leicht erkennen können, um welchen Protokolltyp es sich handelt. Sinnvoll ist es, als Dateiname die jeweilige Protokollkategorie gefolgt von einer kurzen Problembeschreibung und dem Datum zu verwenden, etwa „Büro-PC Anwendungen Netzwerkfehler 2017-Januar-13“. Die so gespeicherte Datei können Sie in der Ereignisanzeige jederzeit über den Befehl „Aktion -> Gespeicherte Protokolldatei öffnen“ laden und wie gewohnt betrachten.

So lesen Sie die Einträge im Windows-Logbuch richtig

Anhand des Beschreibungstextes lässt sich erahnen, dass das Deinstallationsmodul der Adobe Creative Suite einen Fehler und damit diesen Protokolleintrag verursacht hat.
Vergrößern Anhand des Beschreibungstextes lässt sich erahnen, dass das Deinstallationsmodul der Adobe Creative Suite einen Fehler und damit diesen Protokolleintrag verursacht hat.

Machen das Betriebssystem, eine Hardware-Komponente, ein Treiber oder eine systemnahe Anwendung Probleme, erscheint in der ersten Spalte der Ereignisliste eine Einstufung, die mit „Warnung“, „Fehler“ oder „Kritisch“ betitelt ist. Einträge mit der Klassifizierung „Information“ können Sie getrost überspringen. Sehen Sie die Liste nach Warnungen und Fehlern durch. Auch wenn viele Einträge erscheinen, ist das kein Grund zur Panik, denn „Fehler“ und „Warnung“ bedeuten anders als „Kritisch“ alleine noch nicht viel.

Welche Ereignisse relevant sind, hängt von verschiedenen Faktoren ab. Achten Sie auf die Spalte „Uhrzeit“. Wenn Ereigniseinträge zum selben Zeitpunkt wie offensichtliche Probleme (externes Gerät nicht ansprechbar, Absturz eines Programms, vorübergehend keine WLAN-Verbindung) auftreten, dann lohnen sich Recherchen anhand der Ereignisdetails, sofern die Probleme wie im Falle einer abgebrochenen WLAN-Verbindung nicht anderweitig einfach lösbar sind.

Aufbau eines Protokolleintrags

Über die Suchmaske des zu Microsofts Online- Dienst Technet gehörenden Fehler- und Ereignismeldungszentrums lassen sich Hintergrundinfos zu Event-IDs abfragen.
Vergrößern Über die Suchmaske des zu Microsofts Online- Dienst Technet gehörenden Fehler- und Ereignismeldungszentrums lassen sich Hintergrundinfos zu Event-IDs abfragen.

Windows kennzeichnet die einzelnen Einträge in den Protokollen unter „Anwendung“, „Sicherheit“ und „System“ je nach Art und Wichtigkeit zusätzlich mit verschiedene Symbolen. Einträge, die in der ersten Spalte als „Informationen“ gekennzeichnet sind, sind meist banaler Natur und mit einem grafischen „i“ für „Information“ markiert. So gibt es etwa bei jedem Windows-Start und beim Herunterfahren des PCs standardmäßig Einträge mit den Ereignisnummern 6005 und 6006, die lediglich festhalten, dass die Ereignisprotokollierung gestartet oder beendet wurde.

Warnungen mit einem gelben Dreiecksymbol und Fehler mit einem roten Kreis und weißem Ausrufezeichen sollten Sie genauer unter die Lupe nehmen. Sie sind unter Umständen Hinweise auf schwerwiegende Probleme bis hin zu Datenverlust, allerdings sind sie längst nicht immer gravierend.

25 Windows-10-Hacks: Mehr Speed, bessere Oberfläche

Mit einem Doppelklick auf eines der aufgeführten Protokollereignisse wechseln Sie zu den detaillierten Ereignisinformationen. Hier sind neben Datum und Zeit verschiedene Details festgehalten. Bei „Quelle“ steht der Name der Windows- oder Software-Komponente, die das betreffende Ereignis ausgelöst hat. Zudem enthält jeder Ereigniseintrag eine eigene Nummer – die so bezeichnete Event-ID –, die Sie hinter „Ereignis-ID“ ablesen können. Am aussagekräftigsten ist der Beschreibungstext, der normalerweise den meisten Platz beansprucht. Dort erläutert Windows je nach Ereignis mehr oder weniger ausführlich, was es mit dem Eintrag auf sich hat.

Ereignisanzeige auf Remote-PC öffnen

Mit der Ereignisanzeige können Sie nicht nur das Systemprotokoll Ihres eigenen Rechners einsehen, sondern auch einen Blick in die Warn- und Fehlermeldungen von anderen PCs im Heimnetzwerk werfen. Um die Ereignisanzeige auf einem Remote-Computer zu öffnen, starten Sie das System-Tool zunächst wie gewohnt, etwa in Windows 10 per Rechtsklick auf das Windows-Symbol gefolgt von einem Klick auf „Ereignisanzeige“.

Klicken Sie auf „Aktion -> Verbindung mit anderem Computer herstellen“, um über das Netzwerk Einblick ins Ereignisprotokoll eines Netzwerk-PCs zu nehmen.
Vergrößern Klicken Sie auf „Aktion -> Verbindung mit anderem Computer herstellen“, um über das Netzwerk Einblick ins Ereignisprotokoll eines Netzwerk-PCs zu nehmen.

Im Ereignisanzeige-Tool wählen Sie dann „Aktion > Verbindung mit anderem Computer herstellen“. Es öffnet sich ein neuer Dialog, in dem Sie entweder den Namen des Computers im Netzwerk ohne vorangestellte „\\“ eingeben und mit „OK“ bestätigen oder auf „Durchsuchen“ klicken, um ihn im Netzwerk zu suchen. Haben Sie sich für „Durchsuchen entschieden“, klicken Sie auf „Erweitert -> Jetzt suchen“ und warten, bis Windows unten im Fenster die im Netzwerk verfügbaren Computernamen anzeigt. Markieren Sie einen Computer und klicken Sie dann zwei Mal auf „OK“, um die Verbindung herzustellen und das Remote-Ereignisprotokoll anzuzeigen.

Die Fehlercodes einzelner Ereigniseinträge entschlüsseln

Konkrete Hinweise über die Fehlerquelle liefert die Ereignis-ID. Die ID 4321 besagt beispielsweise, dass die für Ihren Rechner vorgesehene IP-Adresse nicht registriert werden konnte, weil sie etwa bereits von einem anderen Gerät im Netzwerk belegt ist. Aus dem Eintrag mit der ID 7023 erfahren Sie, dass Windows den angegebenen Dienst nicht ordnungsgemäß starten konnte oder der betreffende Dienst unvorhergesehen beendet wurde.

Weil sich niemand alle Ereignis-IDs merken kann, hat Microsoft hinter „Weitere Informationen“ einen Online-Verknüpfung zur Microsoft-Website eingebaut, die jedoch nur selten brauchbare Informationen liefert. Ein paar mehr Hinweise bietet das „Fehler- und Ereignismeldungszentrum“, das Sie unter der Adresse www.microsoft.com/technet/support/ee/ee_basic.aspx im Browser öffnen. Es ist Bestandteil von Microsoft Technet und ermöglicht eine Überprüfung von Ereignis-IDs.

Öffnen Sie die Seite und tippen Sie bei „Suche nach“ die gewünschte ID ein. Das Feld „Microsoft- Produkt“ lassen Sie leer. Nach einem Klick auf „Suchen“ zeigt die Datenbank alle in Frage kommenden Treffer mit kurzen, teilweise englischsprachigen Erklärungen an.

Wenn es um die genaue Bedeutung und Interpretation eines Protokolleintrags geht, liefern die Online-Datenbanken www.eventid.net und www.ultimatewindowssecurity.com (unter „Security Log -> Encyclopedia“) meist aussagekräftigere Angaben. Diese Datenbanken enthalten neben passenden Fehlerbeschreibungen auch Tipps zur Problemlösung. Auch eine Websuche liefert in den meisten Fällen hilfreiche Ergebnisse. Suchen Sie beispielsweise bei Google mit den Stichworten „Ereignis ID xxxx“ oder „Event ID xxxx“, wobei Sie den Platzhalter xxxx durch die fragliche ID aus der Ereignisanzeige ersetzen. Verfeinern lässt sich die Suche, wenn Sie markante Teile der Beschreibung über die Zwischenablage mit dazu setzen. Öffnen Sie ein Eintrag in der Ereignisanzeige mit einem Doppelklick, markieren Sie mit der Maus einen Teil des Beschreibungstexts und drücken Sie Ctrl-C. Wechseln Sie zum Browser und fügen Sie den kopierten Text mit Ctrl-V ins Suchfeld ein.

Ereigniseinträge sortieren, eigene Ansicht erstellen

Die Einträge im Protokoll lassen sich über eine Filter zeitlich eingrenzen – das verbessert die Übersicht deutlich.
Vergrößern Die Einträge im Protokoll lassen sich über eine Filter zeitlich eingrenzen – das verbessert die Übersicht deutlich.

Haben Sie einen verdächtigen Eintrag gefunden, sollten Sie auch die zeitlich umliegenden Einträge in der Ereignisliste untersuchen. Oft wiederholt sich ein Fehler, etwa bei jedem Systemstart oder beim Zugriff auf ein bestimmtes Laufwerk. Um sich einen schnellen Überblick über alle kritischen Fehler oder die Warnungen im Protokoll zu verschaffen, können Sie die Liste sortieren. Klicken Sie dazu auf die Spaltenüberschrift „Ebene“. Windows zeigt die Einträge mit der Stufe „Warnung“ und „Fehler“ dann untereinander an.

Möchten Sie schnell einen Überblick über in der Datenflut verborgenen wichtigen Einträge erhalten, können Sie die Inhalte der Ereignisanzeige filtern oder eine benutzerdefinierte Ansicht erstellen. Beide Funktionen finden sich in der Aktionsleiste rechts im Ereignisanzeige-Tool. Klicken Sie auf „Aktuelles Protokoll filtern“, um die Ansicht beispielsweise auf Einträge der Kategorie „Kritisch“ oder „Fehler“ einzuschränken. Möchten Sie die Filterauswahl als eigene Ansicht speichern, die Sie künftig mit einem Doppelklick direkt aufrufen können, wählen Sie den Befehl „Benutzerdefinierte Ansicht erstellen“.

In beiden Fällen gibt Ihnen der Filterauswahldialog die Möglichkeit, die Ereignisse über das Ausklappfeld „Protokolliert“ zeitlich einzuschränken. Voreingestellt ist „Jederzeit“ für alle Einträge, Sie können stattdessen auch „Letzte Stunde“, „Letzte 12 Stunden“ oder „Letzte 7 Tage“ angeben. So können Sie gezielt den Zeitstempel von Fehlern und Warnungen mit dem Zeitpunkt eines PC-Absturzes oder einem fehlerhaften Gerätezugriff vergleichen und Rückschlüsse ziehen, was aus welchem Grund nicht geklappt hat.

Setzen Sie bei „Ereignisebene“ Häkchen vor die gewünschten Klassifizierungen und bestätigen Sie Ihre Wahl mit „OK“. Wenn Sie eine neue Ansicht erstellen, müssen Sie nun noch den Namen eingeben, unter dem Windows Ihren neuen Filter speichert.

Ereignisbenachrichtigung erstellen

Richten Sie eine automatische Benachrichtigung ein, dann weist Sie Windows auf kritische Ereigniseinträge explizit hin.
Vergrößern Richten Sie eine automatische Benachrichtigung ein, dann weist Sie Windows auf kritische Ereigniseinträge explizit hin.

Sollte Ihnen ein Eintrag in der Ereignisanzeige verdächtig erscheinen, etwa weil er auf einen defekten Treiber oder Zugriffsfehler auf ein bestimmtes Laufwerk hinweist, können Sie sich automatisch informieren lassen, falls das Problem erneut auftritt. Gehen Sie dazu in der Ereignisanzeige zur jeweiligen Protokollkategorie und klicken in der Tabelle den gewünschten Eintrag mit der rechten Maustaste an. Wählen Sie „Aufgabe an dieses Ereignis anfügen“. Im ersten Fenster des Assistenten ersetzen Sie die hinter „Name“ vorgeschlagene kryptische Bezeichnung durch einen aussagekräftigen Namen, zum Beispiel „Windows-Update geht nicht“. Klicken Sie auf „Weiter“ und überspringen Sie das nächste Fenster mit „Weiter“. Nun können Sie eine Benachrichtigungsaktion einstellen. Zur Auswahl steht unter anderem „Meldung anzeigen (veraltet“). Lassen Sie sich vom Zusatz „veraltet“ nicht irritieren: Für Ihre Zwecke ist diese Option bestens geeignet. Klicken Sie darauf, dann auf „Weiter“ und geben Sie den gewünschten Meldungstext ein. Mit „Weiter“ und „Fertig stellen“ speichern Sie die automatische Benachrichtigung, die danach aktiv ist.

Windows 10 bietet jede Menge neue Funktionen. Einige davon hat Microsoft allerdings ziemlich gut versteckt. Zum Beispiel bietet Windows 10 nun ein Tool zum Aufzeichnen des Bildschirms, man kann ganz einfach Offline-Karten herunterladen und auch die Eingabeaufforderung hat Microsoft aufpoliert. Mehr dazu erfahren Sie in diesem Video.

0 Kommentare zu diesem Artikel
2251180