2486753

Ereignisanzeige: So spüren Sie Systemfehler auf

20.02.2020 | 10:02 Uhr |

Die Windows-Ereignisanzeige hält so ziemlich jede Aktion fest, die im System passiert. Mit diesem ausführlichen Protokoll haben Sie ein Werkzeug an der Hand, das Sie bei der Analyse und der Auflösung von PC-Problemen unterstützt. Unser Workshop erklärt, wie Sie das Ereignisprotokoll am besten nutzen.

Was empfiehlt sich zu tun, wenn Windows schwerwiegende Probleme bereitet? Das Lösungsspektrum reicht vom Wiederherstellungspunkt bis zu den Windows-internen Reparaturmöglichkeiten. Und oft ist es bequemer, einfach einen früheren Systemzustand wiederherzustellen – als sich mit den Problemursachen zu beschäftigen.

Wer aber keinen (aktuellen) Wiederherstellungspunkt und kein System-Backup hat, kommt um die Fehlersuche nicht herum – genau dabei hilft Microsofts Ereignisanzeige. Das Systemtool ist aber auch interessant, um mehr über Fehler und deren Klassifizierung zu erfahren.

Ereignisanzeige protokolliert sämtliche Aktionen des Systems

Zwei Wege zum Starten der Ereignisanzeige: entweder über das Kontextmenü des Windows-Symbols (links im Bild) oder über den Befehl eventvwr in der Windows-Suchleiste (unten in der Mitte).
Vergrößern Zwei Wege zum Starten der Ereignisanzeige: entweder über das Kontextmenü des Windows-Symbols (links im Bild) oder über den Befehl eventvwr in der Windows-Suchleiste (unten in der Mitte).

Die Bezeichnung bringt es bereits zum Ausdruck: Im Ereignisprotokoll hält Windows so gut wie alles fest, was sich am Rechner ereignet: Start, Installation von Updates und Programmen, Systemzustand und und und. Im Laufe eines Tages summiert sich die Zahl neuer Protokolleinträge schnell auf über eintausend, die meisten davon zu alltäglichen Routinedingen.

Liegen aber Probleme vor, hilft das Logbuch durch die chronologische Auflistung bei der Ursachenanalyse, indem sie die Zuordnung eines Problems zu einem bestimmten Protokolleintrag erleichtert. Außerdem können Sie so nachvollziehen, in welcher Reihenfolge Schwierigkeiten auftreten.

Der Zugriff auf das Protokoll erfolgt über die Ereignisanzeige, die auf den ersten Blick ziemlich unübersichtlich erscheint. In Windows 10 öffnen Sie sie, indem Sie das Windows-Icon mit der rechten Maustaste anklicken und die „Ereignisanzeige“ aufrufen. Alternativ tippen Sie in die Suchzeile den Befehl eventvwr (für „Event Viewer“) ein und bestätigen mit Enter.

Tipp: Windows-Bordmittel helfen bei der Systemdiagnose

Aufbau, Inhalte und Bedeutung des Windows-Ereignisprotokolls

Der dreigliedrige Aufbau der Windows-Ereignisanzeige: links die verschiedenen Protokollbereiche, in der Mitte die Liste mit den einzelnen Einträgen, rechts die jeweils verfügbaren ausführbaren Aktionen.
Vergrößern Der dreigliedrige Aufbau der Windows-Ereignisanzeige: links die verschiedenen Protokollbereiche, in der Mitte die Liste mit den einzelnen Einträgen, rechts die jeweils verfügbaren ausführbaren Aktionen.

Erschrecken Sie bitte beim ersten Anblick nicht! Grundsätzlich unterteilt sich das Tool in drei Bereiche: Über die Leiste links greifen Sie auf die einzelnen Protokollbereiche mit den Anwendungsereignissen, Sicherheitsaktivitäten und Systemmeldungen zu. Hier sind die Kategorien der „Windows- Protokolle“: „Anwendung“, Sicherheit“, „Installation“, „System“ und „Weitergeleitete Ereignisse“ am wichtigsten.

Unter „Anwendung“ protokollieren das Betriebssystem und andere Programme wichtige Vorkommnisse. Die Rubrik „Sicherheit“ beschränkt sich vor allem auf Überwachungsaufgaben und ist für die Fehleranalyse weniger relevant. Das gleiche gilt für „Installation“ und „Weitergeleitete Ereignisse“. Von Bedeutung ist wieder die Kategorie „System“, sie listet alle im Zusammenhang mit den Systemkomponenten relevanten Aktivitäten auf. Auch die „Anwendungsund Dienstprotokolle“ können bei einer Fehlersuche und Sicherheitsanalyse helfen. Darin protokolliert Windows Aktivitäten ohne systemweite Auswirkungen.

Der mittlere Fensterabschnitt zeigt zunächst eine Zusammenfassung. Sobald Sie jedoch links eine Kategorie anklicken, erscheint dort die Liste der protokollierten Vorkommnisse in der zeitlichen Abfolge, beginnend oben mit den neuesten. Wird ein Eintrag angeklickt, blendet das Tool darunter weitere Details ein.

Ganz rechts, also im dritten Bereich, sehen Sie kontextabhängig die jeweils verfügbaren Aktionen. Hier können Sie die Ansicht umstellen, ein Protokoll durchsuchen oder die Details in die Zwischenablage von Windows kopieren. Wir kommen auf einige dieser Funktionen noch zurück.

Klassifizierung der Einträge erleichtert die Fehlersuche

Über die „Aktionen“-leiste (rechts) lässt sich jede Ereignisliste mit zum Teil vielen tausend Einträgen für mehr Übersicht filtern, hier gezeigt am Beispiel der als „Kritisch“ klassifizierten Vorkommnisse.
Vergrößern Über die „Aktionen“-leiste (rechts) lässt sich jede Ereignisliste mit zum Teil vielen tausend Einträgen für mehr Übersicht filtern, hier gezeigt am Beispiel der als „Kritisch“ klassifizierten Vorkommnisse.

Den Großteil der Protokollinhalte stuft Windows als bloße „Informationen“ (Symbol: blaues i) ein. Daneben kommen die Klassifizierungen „Warnung“ (gelbes Ausrufezeichen), „Fehler“ (Ausrufezeichen im roten Kreis) und „Kritisch“ (Kreuz im roten Kreis) zum Einsatz. Läuft Windows rund, sehen Sie oben in der Liste nur Einträge der Ebenen „Informationen“ oder „Warnung“. Selbst „Fehler“ bügelt das Betriebssystem meist problemlos weg. Besondere Aufmerksamkeit erfordern die seltenen „kritischen“ Einträge.

Um zu prüfen, ob solche bei Ihnen überhaupt existieren, markieren Sie links das erste der Windows-Protokolle, klicken dann rechts bei den Aktionen auf „Aktuelles Protokoll filtern“, aktivieren als Ereignisebene „Kritisch“ und bestätigen mit „OK“. Bleibt die Liste leer oder finden sich darin nur ältere Einträge, ist es im wahrsten Sinne „unkritisch“. Genauso prüfen Sie die übrigen Protokolle.

Relevant ist nun vor allem das, was Windows zum selben Zeitpunkt protokolliert, bei dem ein Problem auftaucht. Stürzt beispielsweise ein Programm ab oder unterbricht die WLAN-Verbindung, schauen Sie in den (beiden wichtigsten) Protokollen nach und identifizieren über den Zeitstempel den betreffenden Eintrag. Mit einem Doppelklick darauf erscheinen die Details mit der wichtigen Information der auslösenden Windows- oder Softwarekomponente als „Quelle“. Außerdem enthält jeder Eintrag eine sogenannte Event-ID. Aussagekräftig ist oft der Beschreibungstext, der mit Codes und teilweise ausführlicher Erklärung erläutert, was es mit dem Eintrag auf sich hat.

Mit diesen Hinweisen und der Ereignis-ID googeln Sie nach der Fehlerursache, indem Sie als Suchbegriff „Ereignis ID xxxx“ oder „Event ID xxxx“ in Anführungszeichen setzen und dabei den xxxx-Platzhalter durch die betreffende ID ersetzen. Ergänzen Sie die Suche gegebenenfalls durch den Beschreibungstext.

Bluescreens analysieren

Früher waren die sogenannten Bluescreens, also die Systemabstürze mit einer Fehlermeldung vor blauem Hintergrund, regelrecht gefürchtet: Fast regelmäßig erschienen sie wie aus dem Nichts, es blieb nur der Neustart des PCs. Zwar sind die Bluescreens mit Windows 10 weitgehend verschwunden, im Falle eines Falles aber hilft Bluescreen View  bei der Fehleranalyse. Das Tool liest die bei solchen Abstürzen automatisch erzeugten Speicherabbilder in der Datei memory.dmp aus, die Windows im Verzeichnis „c:\Windows\minidump“ ablegt. Befindet sich die Memory-Datei eine Verzeichnisebene höher, legen Sie den Minidump-Unterordner an und kopieren die Datei hinein. Nach dem Start von Bluescreen View nutzen Sie die Angaben in den Spalten „Bug Check String“ sowie „Bug Check Code“  für die Onlinefehlersuche. 

Das Protokollmanagement: Sortieren, speichern und löschen

Mehrere 10.000 Einträge machen das Handling umfangreicher Protokolle mitunter mühsam. Die Filterfunktion kennen Sie ja bereits von den „kritischen“ Ereignissen, Sie können jedoch auch nach den anderen Klassifizierungen suchen, sich auf einen bestimmten Zeitraum, auf einzelne Quellen und Benutzerkonten beschränken und manches mehr einstellen. Außerdem bietet die Aktionsspalte rechts eine klassische Suchfunktion.

Übersichtlicher wird es, wenn Sie nicht das komplette Protokoll mitschleppen. So ist kaum noch von Interesse, was Windows vor einem Monat notiert hat, wenn der Rechner da problemlos lief. Löschen Sie deshalb regelmäßig das Protokoll über die Aktion „Protokoll löschen –› Speichern und Leeren“. Wirklich gelöscht wird das Logbuch dabei übrigens erst nach dem vorherigen Abspeichern. So gehen die bisherigen Einträge nicht verloren und sind mit einem Doppelklick auf das Protokoll wieder da.

Siehe auch: Windows 10 reparieren mit systemeigenen Tools und Freeware

Wenn nichts mehr weiterhilft: Systemwiederherstellung & Image

Microsofts Betriebssystem bietet eine Reihe Möglichkeiten, das installierte System zu reparieren oder bei Bedarf neu zu installieren. Besonders komfortabel arbeitet die in Windows integrierte Systemwiederherstellung. Diese speichert den aktuellen Systemzustand manuell oder automatisch vor bestimmten Ereignissen in einem Wiederherstellungspunkt.

So geht’s: Drücken Sie die Tastenkombination Win-Pause und klicken Sie im sich öffnenden Fenster links auf „Computerschutz“. Windows verwaltet die Funktion getrennt nach Laufwerken, besonders wichtig ist sie für die Systempartition „c:“. Kontrollieren Sie deshalb, ob der Schutz dort auf „Ein“ steht, und schalten Sie ihn anderenfalls über „Konfigurieren –› Computerschutz aktivieren“ ein. Vor wichtigen Ereignissen wird automatisch ein Wiederherstellungspunkt angelegt, ein Klick auf „Erstellen“ erledigt das gleiche jederzeit manuell.

Zurückspielen lässt sich ein gespeicherter Zustand, indem Sie im gleichen Fenster auf „Systemwiederherstellung“ klicken, einen der mit Zeitpunkt und eventuell Beschreibung versehenen Eintrag anklicken und den Assistenten mit „Fertigstellen –› Ja“ fortsetzen. Der Computer stellt den früheren Zustand daraufhin wieder her und bootet anschließend neu.

Eine Stufe tiefer setzt das Zurückspielen eines zuvor erstellten Systemimages an. Programme wie Aomei Backupper oder Macrium Reflect  sichern die gesamte Systempartition mit allen Programmen, Treibern und Einstellungen. Funktioniert später etwas nicht mehr, schreibt man zum Beseitigen des Problems das fehlerfreie Image auf die Systempartition wieder zurück. Dabei werden jedoch nicht nur der Fehler eliminiert, sondern zugleich alle weiteren in der Zwischenzeit vorgenommen Änderungen auf dem Festplattenbereich überschrieben. Wichtig bei dieser Methode ist deshalb, persönliche Daten nicht auf der Systempartition, sondern auf einer zweiten Partition oder Festplatte zu speichern.

Zum Teil deutlich komplexer gestaltet sich die Reparatur mit den weiteren Windowsinternen Tools sowie dem Zweitsystem Windows PE (Preinstallation Environment). Microsoft dokumentiert die Funktionen ausführlich hier . Eine Zusammenfassung mit Anwendungsbeispielen finden Sie bei uns .

Für eine einfachere Neuinstallation von Windows 10 wird das nächste große Funktions-Update im Frühjahr sorgen. In der neuen Windows-Version „20H1“ können Sie den Rechner anders als bisher zusätzlich über ein Image aus der Cloud zurücksetzen. Die Methode soll weniger fehleranfällig und schneller sein als die bisherige.

Onlinehilfe für die Ereignisanalyse

Den Link „Weitere Informationen: Onlinehilfe“ in den Details jedes Protokolleintrags hätte Microsoft sich getrost sparen können – denn der führt lediglich zum allgemeinen Hilfeportal. Nützlicher ist die Onlinedatenbank Event-ID , die nach Eingabe von Ereignis-ID und Quelle genauere Informationen zu über 12.000 Event-IDs und -Quellen bereithält. My Event Viewer und Event Log Explorer  stellen darüber hinaus alternative Software zur Windows-Ereignisanzeige dar. My Event Viewer ist äußerst schlicht, Event Log Explorer bietet viel mehr Funktionen, ist aber nach einer 30-Gratisphase kostenpflichtig. Event Log Inspector  überwacht die Windows-Systemereignisse und richtet sich in erster Linie an Administratoren.

Die Themen in Tech-up Weekly #176:

► Windows 10: Probleme mit der Suchleiste nach Update - hier der Workaround: www.pcwelt.de/news/Windows-10-Nutzer-klagen-ueber-Such-Probleme-die-Loesung-10749892.html

► Windows-10-Update lässt anscheinend Windows abstürzen
www.pcwelt.de/news/Windows-10-Update-laesst-anscheinend-Windows-abstuerzen-10748390.html

► Geforce Now startet und lässt Google Stadia alt aussehen: www.pcwelt.de/news/Geforce-Now-startet-und-laesst-Google-Stadia-alt-aussehen-10746765.html

► iPhone im Cybertruck-Design für 5.000 Dollar:
www.pcwelt.de/news/iPhone-in-limitiertem-Cybertruck-Design-Cool-aber-teuer-10746669.html

► Rolls-Royce entwickelt Bausatz für Atomreaktor:
www.pcwelt.de/news/Rolls-Royce-entwickelt-Bausatz-fuer-Atomreaktor-10749386.html

► Playstation 5: Sony stellt offizielle Website online:
www.pcwelt.de/ratgeber/Playstation-5-Sony-stellt-offizielle-Website-online-10647162.html

► TCL verlängert Lizenz nicht: Blackberry vor dem Aus:
www.pcwelt.de/international/TCL-verlaengert-Lizenz-nicht-Blackberry-vor-dem-Aus-10748714.html

► Falscher Stau: Berliner täuscht Google Maps mit 99 Handys:
www.pcwelt.de/news/Falscher-Stau-Berliner-taeuscht-Google-Maps-mit-99-Handys-10748664.html

Fail der Woche:

► Trump blamiert sich mit Super Bowl Post auf Twitter: www.pcwelt.de/news/Trump-blamiert-sich-mit-Super-Bowl-Post-auf-Twitter-10747754.html

► Zum PC-WELT T-Shirt-Shop:
www.pcwelt.de/fan

2486753