Ereignisanzeige spürt Systemfehler auf
Mit dem mächtigen Protokoll haben Sie ein Werkzeug an der Hand, das Sie bei der Analyse und Auflösung von Pc-problemen unterstützt
Was empfiehlt sich zu tun, wenn Windows schwerwiegende Probleme bereitet? Das Lösungsspektrum reicht vom Wiederherstellungspunkt bis zu den Windows-internen Reparaturmöglichkeiten. Und oft ist es bequemer, einfach einen früheren Systemzustand wiederherzustellen – als sich mit den Problemursachen zu beschäftigen. Wer aber keinen (aktuellen) Wiederherstellungspunkt und kein System-backup hat, kommt um die Fehlersuche nicht herum – genau dabei hilft Microsofts Ereignisanzeige. Das Systemtool ist aber auch interessant, um mehr über Fehler und deren Klassifizierung zu erfahren.
Ereignisanzeige protokolliert sämtliche Aktionen des Systems
Die Bezeichnung bringt es bereits zum Ausdruck: Im Ereignisprotokoll hält Windows so gut wie alles fest, was sich am Rechner ereignet: Start, Installation von Updates und Programmen, Systemzustand und und und. Im Laufe eines Tages summiert sich die Zahl neuer Protokolleinträge schnell auf über eintausend, die meisten davon zu alltäglichen Routinedingen.
Liegen aber Probleme vor, hilft das Logbuch durch die chronologische Auflistung bei der Ursachenanalyse, indem sie die Zuordnung eines Problems zu einem bestimmten Protokolleintrag erleichtert. Außerdem können Sie so nachvollziehen, in welcher Reihenfolge Schwierigkeiten auftreten.
Der Zugriff auf das Protokoll erfolgt über die Ereignisanzeige, die auf den ersten Blick ziemlich unübersichtlich erscheint. In Windows 10 öffnen Sie sie, indem Sie das Windows-icon mit der rechten Maustaste anklicken und die „Ereignisanzeige“aufrufen. Alternativ tippen Sie in die Suchzeile den Befehl eventvwr (für „Event Viewer“) ein und bestätigen mit Enter.
Aufbau, Inhalte und Bedeutung des Windows-ereignisprotokolls
Erschrecken Sie bitte beim ersten Anblick nicht! Grundsätzlich unterteilt sich das Tool in drei Bereiche: Über die Leiste links greifen Sie auf die einzelnen Protokollbereiche mit den Anwendungsereignissen, Sicherheitsaktivitäten und Systemmeldungen zu. Hier sind die Kategorien der „Windowsprotokolle“: „Anwendung“, Sicherheit“, „Installation“, „System“und „Weitergeleitete Ereignisse“am wichtigsten.
Unter „Anwendung“protokollieren das Betriebssystem und andere Programme wich
„Zielgerichtetes Vorgehen ist hier wichtig, sonst verliert man bei mehr als tausend Protokolleinträgen pro Tag den Überblick.“
tige Vorkommnisse. Die Rubrik „Sicherheit“beschränkt sich vor allem auf Überwachungsaufgaben und ist für die Fehleranalyse weniger relevant. Das gleiche gilt für „Installation“und „Weitergeleitete Ereignisse“. Von Bedeutung ist wieder die Kategorie „System“, sie listet alle im Zusammenhang mit den Systemkomponenten relevanten Aktivitäten auf. Auch die „Anwendungsund Dienstprotokolle“können bei einer Fehlersuche und Sicherheitsanalyse helfen. Darin protokolliert Windows Aktivitäten ohne systemweite Auswirkungen.
Der mittlere Fensterabschnitt zeigt zunächst eine Zusammenfassung. Sobald Sie jedoch links eine Kategorie anklicken, erscheint dort die Liste der protokollierten Vorkommnisse in der zeitlichen Abfolge, beginnend oben mit den neuesten. Wird ein Eintrag angeklickt, blendet das Tool darunter weitere Details ein.
Ganz rechts, also im dritten Bereich, sehen Sie kontextabhängig die jeweils verfügbaren Aktionen. Hier können Sie die Ansicht umstellen, ein Protokoll durchsuchen oder die Details in die Zwischenablage von Windows kopieren. Wir kommen auf einige dieser Funktionen noch zurück.
Klassifizierung der Einträge erleichtert die Fehlersuche
Den Großteil der Protokollinhalte stuft Windows als bloße „Informationen“(Symbol: blaues i) ein. Daneben kommen die Klassifizierungen „Warnung“(gelbes Ausrufezeichen), „Fehler“(Ausrufezeichen im roten Kreis) und „Kritisch“(Kreuz im roten Kreis) zum Einsatz. Läuft Windows rund, sehen Sie oben in der Liste nur Einträge der Ebenen „Informationen“oder „Warnung“. Selbst „Fehler“bügelt das Betriebssystem meist problemlos weg. Besondere Aufmerksamkeit erfordern die seltenen „kritischen“Einträge.
Um zu prüfen, ob solche bei Ihnen überhaupt existieren, markieren Sie links das
erste der Windows-protokolle, klicken dann rechts bei den Aktionen auf „Aktuelles Protokoll filtern“, aktivieren als Ereignisebene „Kritisch“und bestätigen mit „OK“. Bleibt
die Liste leer oder finden sich darin nur ältere Einträge, ist es im wahrsten Sinne „unkritisch“. Genauso prüfen Sie die übrigen Protokolle.
Relevant ist nun vor allem das, was Windows zum selben Zeitpunkt protokolliert, bei dem ein Problem auftaucht. Stürzt beispielsweise ein Programm ab oder unterbricht die Wlan-verbindung, schauen Sie in den (beiden wichtigsten) Protokollen nach und identifizieren über den Zeitstempel den betreffenden Eintrag. Mit einem Doppelklick darauf erscheinen die Details mit der wichtigen Information der auslösenden Windows- oder Softwarekomponente als „Quelle“. Außerdem enthält jeder Eintrag eine sogenannte Event-id. Aussagekräftig ist oft der Beschreibungstext, der mit Codes und teilweise ausführlicher Erklärung erläutert, was es mit dem Eintrag auf sich hat. Mit diesen Hinweisen und der Ereignis-id googeln Sie nach der Fehlerursache, indem Sie als Suchbegriff „Ereignis ID xxxx“oder „Event ID xxxx“in Anführungszeichen setzen und dabei den xxxx-platzhalter durch die betreffende ID ersetzen. Ergänzen Sie die Suche gegebenenfalls durch den Beschreibungstext. Weitere Hilfe bei der Fehleranalyse bietet der Kasten auf Seite 29.
Das Protokollmanagement: Sortieren, speichern und löschen
Mehrere 10.000 Einträge machen das Handling umfangreicher Protokolle mitunter mühsam. Die Filterfunktion kennen Sie ja bereits von den „kritischen“Ereignissen, Sie können jedoch auch nach den anderen Klassifizierungen suchen, sich auf einen bestimmten Zeitraum, auf einzelne Quellen und Benutzerkonten beschränken und manches mehr einstellen. Außerdem bietet die Aktionsspalte rechts eine klassische Suchfunktion.
Übersichtlicher wird es, wenn Sie nicht das komplette Protokoll mitschleppen. So ist kaum noch von Interesse, was Windows vor einem Monat notiert hat, wenn der Rechner da problemlos lief. Löschen Sie deshalb regelmäßig das Protokoll über die Aktion „Protokoll löschen –› Speichern und Leeren“. Wirklich gelöscht wird das Logbuch dabei übrigens erst nach dem vorherigen Abspeichern. So gehen die bisherigen Einträge nicht verloren und sind mit einem Doppelklick auf das Protokoll wieder da.
Wenn nichts mehr weiterhilft: Systemwiederherstellung & Image
Microsofts Betriebssystem bietet eine Reihe Möglichkeiten, das installierte System zu reparieren oder bei Bedarf neu zu installie
ren. Besonders komfortabel arbeitet die in Windows integrierte Systemwiederherstellung. Diese speichert den aktuellen Systemzustand manuell oder automatisch vor bestimmten Ereignissen in einem Wiederherstellungspunkt.
So geht’s: Drücken Sie die Tastenkombination Win-pause und klicken Sie im sich öffnenden Fenster links auf „Computerschutz“. Windows verwaltet die Funktion getrennt nach Laufwerken, besonders wichtig ist sie für die Systempartition „c:“. Kontrollieren
Sie deshalb, ob der Schutz dort auf „Ein“steht, und schalten Sie ihn anderenfalls über „Konfigurieren –› Computerschutz aktivieren“ein. Vor wichtigen Ereignissen wird automatisch ein Wiederherstellungspunkt angelegt, ein Klick auf „Erstellen“erledigt das gleiche jederzeit manuell. Zurückspielen lässt sich ein gespeicherter Zustand, indem Sie im gleichen Fenster auf „Systemwiederherstellung“klicken, einen der mit Zeitpunkt und eventuell Beschreibung versehenen Eintrag anklicken und
den Assistenten mit „Fertigstellen –› Ja“fortsetzen. Der Computer stellt den früheren Zustand daraufhin wieder her und bootet anschließend neu.
Eine Stufe tiefer setzt das Zurückspielen eines zuvor erstellten Systemimages an. Programme wie Aomei Backupper oder Macrium Reflect (beides auf Heft-heft-dvd) sichern die gesamte Systempartition mit allen Programmen, Treibern und Einstellungen. Funktioniert später etwas nicht mehr, schreibt man zum Beseitigen des Problems das fehlerfreie Image auf die Systempartition wieder zurück. Dabei werden jedoch nicht nur der Fehler eliminiert, sondern zugleich alle weiteren in der Zwischenzeit vorgenommen Änderungen auf dem Festplattenbereich überschrieben. Wichtig bei dieser Methode ist deshalb, persönliche Daten nicht auf der Systempartition, sondern auf einer zweiten Partition oder Festplatte zu speichern.
Zum Teil deutlich komplexer gestaltet sich die Reparatur mit den weiteren Windowsinternen Tools sowie dem Zweitsystem Windows PE (Preinstallation Environment). Microsoft dokumentiert die Funktionen ausführlich unter www.pcwelt.de/jy3l4p. Eine Zusammenfassung mit Anwendungsbeispielen finden Sie bei uns unter www. pcwelt.de/2058900.
Für eine einfachere Neuinstallation von Windows 10 wird das nächste große Funktions-update im Frühjahr sorgen. In der neuen Windows-version „20H1“können Sie den Rechner anders als bisher zusätzlich über ein Image aus der Cloud zurücksetzen. Die Methode soll weniger fehleranfällig und schneller sein als die bisherige.