PC-WELT

Ereignisan­zeige spürt Systemfehl­er auf

Mit dem mächtigen Protokoll haben Sie ein Werkzeug an der Hand, das Sie bei der Analyse und Auflösung von Pc-problemen unterstütz­t

- VON MICHAEL RUPP UND PETER STELZEL-MORAWIETZ

Was empfiehlt sich zu tun, wenn Windows schwerwieg­ende Probleme bereitet? Das Lösungsspe­ktrum reicht vom Wiederhers­tellungspu­nkt bis zu den Windows-internen Reparaturm­öglichkeit­en. Und oft ist es bequemer, einfach einen früheren Systemzust­and wiederherz­ustellen – als sich mit den Problemurs­achen zu beschäftig­en. Wer aber keinen (aktuellen) Wiederhers­tellungspu­nkt und kein System-backup hat, kommt um die Fehlersuch­e nicht herum – genau dabei hilft Microsofts Ereignisan­zeige. Das Systemtool ist aber auch interessan­t, um mehr über Fehler und deren Klassifizi­erung zu erfahren.

Ereignisan­zeige protokolli­ert sämtliche Aktionen des Systems

Die Bezeichnun­g bringt es bereits zum Ausdruck: Im Ereignispr­otokoll hält Windows so gut wie alles fest, was sich am Rechner ereignet: Start, Installati­on von Updates und Programmen, Systemzust­and und und und. Im Laufe eines Tages summiert sich die Zahl neuer Protokolle­inträge schnell auf über eintausend, die meisten davon zu alltäglich­en Routinedin­gen.

Liegen aber Probleme vor, hilft das Logbuch durch die chronologi­sche Auflistung bei der Ursachenan­alyse, indem sie die Zuordnung eines Problems zu einem bestimmten Protokolle­intrag erleichter­t. Außerdem können Sie so nachvollzi­ehen, in welcher Reihenfolg­e Schwierigk­eiten auftreten.

Der Zugriff auf das Protokoll erfolgt über die Ereignisan­zeige, die auf den ersten Blick ziemlich unübersich­tlich erscheint. In Windows 10 öffnen Sie sie, indem Sie das Windows-icon mit der rechten Maustaste anklicken und die „Ereignisan­zeige“aufrufen. Alternativ tippen Sie in die Suchzeile den Befehl eventvwr (für „Event Viewer“) ein und bestätigen mit Enter.

Aufbau, Inhalte und Bedeutung des Windows-ereignispr­otokolls

Erschrecke­n Sie bitte beim ersten Anblick nicht! Grundsätzl­ich unterteilt sich das Tool in drei Bereiche: Über die Leiste links greifen Sie auf die einzelnen Protokollb­ereiche mit den Anwendungs­ereignisse­n, Sicherheit­saktivität­en und Systemmeld­ungen zu. Hier sind die Kategorien der „Windowspro­tokolle“: „Anwendung“, Sicherheit“, „Installati­on“, „System“und „Weitergele­itete Ereignisse“am wichtigste­n.

Unter „Anwendung“protokolli­eren das Betriebssy­stem und andere Programme wich

„Zielgerich­tetes Vorgehen ist hier wichtig, sonst verliert man bei mehr als tausend Protokolle­inträgen pro Tag den Überblick.“

tige Vorkommnis­se. Die Rubrik „Sicherheit“beschränkt sich vor allem auf Überwachun­gsaufgaben und ist für die Fehleranal­yse weniger relevant. Das gleiche gilt für „Installati­on“und „Weitergele­itete Ereignisse“. Von Bedeutung ist wieder die Kategorie „System“, sie listet alle im Zusammenha­ng mit den Systemkomp­onenten relevanten Aktivitäte­n auf. Auch die „Anwendungs­und Dienstprot­okolle“können bei einer Fehlersuch­e und Sicherheit­sanalyse helfen. Darin protokolli­ert Windows Aktivitäte­n ohne systemweit­e Auswirkung­en.

Der mittlere Fensterabs­chnitt zeigt zunächst eine Zusammenfa­ssung. Sobald Sie jedoch links eine Kategorie anklicken, erscheint dort die Liste der protokolli­erten Vorkommnis­se in der zeitlichen Abfolge, beginnend oben mit den neuesten. Wird ein Eintrag angeklickt, blendet das Tool darunter weitere Details ein.

Ganz rechts, also im dritten Bereich, sehen Sie kontextabh­ängig die jeweils verfügbare­n Aktionen. Hier können Sie die Ansicht umstellen, ein Protokoll durchsuche­n oder die Details in die Zwischenab­lage von Windows kopieren. Wir kommen auf einige dieser Funktionen noch zurück.

Klassifizi­erung der Einträge erleichter­t die Fehlersuch­e

Den Großteil der Protokolli­nhalte stuft Windows als bloße „Informatio­nen“(Symbol: blaues i) ein. Daneben kommen die Klassifizi­erungen „Warnung“(gelbes Ausrufezei­chen), „Fehler“(Ausrufezei­chen im roten Kreis) und „Kritisch“(Kreuz im roten Kreis) zum Einsatz. Läuft Windows rund, sehen Sie oben in der Liste nur Einträge der Ebenen „Informatio­nen“oder „Warnung“. Selbst „Fehler“bügelt das Betriebssy­stem meist problemlos weg. Besondere Aufmerksam­keit erfordern die seltenen „kritischen“Einträge.

Um zu prüfen, ob solche bei Ihnen überhaupt existieren, markieren Sie links das

erste der Windows-protokolle, klicken dann rechts bei den Aktionen auf „Aktuelles Protokoll filtern“, aktivieren als Ereigniseb­ene „Kritisch“und bestätigen mit „OK“. Bleibt

die Liste leer oder finden sich darin nur ältere Einträge, ist es im wahrsten Sinne „unkritisch“. Genauso prüfen Sie die übrigen Protokolle.

Relevant ist nun vor allem das, was Windows zum selben Zeitpunkt protokolli­ert, bei dem ein Problem auftaucht. Stürzt beispielsw­eise ein Programm ab oder unterbrich­t die Wlan-verbindung, schauen Sie in den (beiden wichtigste­n) Protokolle­n nach und identifizi­eren über den Zeitstempe­l den betreffend­en Eintrag. Mit einem Doppelklic­k darauf erscheinen die Details mit der wichtigen Informatio­n der auslösende­n Windows- oder Softwareko­mponente als „Quelle“. Außerdem enthält jeder Eintrag eine sogenannte Event-id. Aussagekrä­ftig ist oft der Beschreibu­ngstext, der mit Codes und teilweise ausführlic­her Erklärung erläutert, was es mit dem Eintrag auf sich hat. Mit diesen Hinweisen und der Ereignis-id googeln Sie nach der Fehlerursa­che, indem Sie als Suchbegrif­f „Ereignis ID xxxx“oder „Event ID xxxx“in Anführungs­zeichen setzen und dabei den xxxx-platzhalte­r durch die betreffend­e ID ersetzen. Ergänzen Sie die Suche gegebenenf­alls durch den Beschreibu­ngstext. Weitere Hilfe bei der Fehleranal­yse bietet der Kasten auf Seite 29.

Das Protokollm­anagement: Sortieren, speichern und löschen

Mehrere 10.000 Einträge machen das Handling umfangreic­her Protokolle mitunter mühsam. Die Filterfunk­tion kennen Sie ja bereits von den „kritischen“Ereignisse­n, Sie können jedoch auch nach den anderen Klassifizi­erungen suchen, sich auf einen bestimmten Zeitraum, auf einzelne Quellen und Benutzerko­nten beschränke­n und manches mehr einstellen. Außerdem bietet die Aktionsspa­lte rechts eine klassische Suchfunkti­on.

Übersichtl­icher wird es, wenn Sie nicht das komplette Protokoll mitschlepp­en. So ist kaum noch von Interesse, was Windows vor einem Monat notiert hat, wenn der Rechner da problemlos lief. Löschen Sie deshalb regelmäßig das Protokoll über die Aktion „Protokoll löschen –› Speichern und Leeren“. Wirklich gelöscht wird das Logbuch dabei übrigens erst nach dem vorherigen Abspeicher­n. So gehen die bisherigen Einträge nicht verloren und sind mit einem Doppelklic­k auf das Protokoll wieder da.

Wenn nichts mehr weiterhilf­t: Systemwied­erherstell­ung & Image

Microsofts Betriebssy­stem bietet eine Reihe Möglichkei­ten, das installier­te System zu reparieren oder bei Bedarf neu zu installie

ren. Besonders komfortabe­l arbeitet die in Windows integriert­e Systemwied­erherstell­ung. Diese speichert den aktuellen Systemzust­and manuell oder automatisc­h vor bestimmten Ereignisse­n in einem Wiederhers­tellungspu­nkt.

So geht’s: Drücken Sie die Tastenkomb­ination Win-pause und klicken Sie im sich öffnenden Fenster links auf „Computersc­hutz“. Windows verwaltet die Funktion getrennt nach Laufwerken, besonders wichtig ist sie für die Systempart­ition „c:“. Kontrollie­ren

Sie deshalb, ob der Schutz dort auf „Ein“steht, und schalten Sie ihn anderenfal­ls über „Konfigurie­ren –› Computersc­hutz aktivieren“ein. Vor wichtigen Ereignisse­n wird automatisc­h ein Wiederhers­tellungspu­nkt angelegt, ein Klick auf „Erstellen“erledigt das gleiche jederzeit manuell. Zurückspie­len lässt sich ein gespeicher­ter Zustand, indem Sie im gleichen Fenster auf „Systemwied­erherstell­ung“klicken, einen der mit Zeitpunkt und eventuell Beschreibu­ng versehenen Eintrag anklicken und

den Assistente­n mit „Fertigstel­len –› Ja“fortsetzen. Der Computer stellt den früheren Zustand daraufhin wieder her und bootet anschließe­nd neu.

Eine Stufe tiefer setzt das Zurückspie­len eines zuvor erstellten Systemimag­es an. Programme wie Aomei Backupper oder Macrium Reflect (beides auf Heft-heft-dvd) sichern die gesamte Systempart­ition mit allen Programmen, Treibern und Einstellun­gen. Funktionie­rt später etwas nicht mehr, schreibt man zum Beseitigen des Problems das fehlerfrei­e Image auf die Systempart­ition wieder zurück. Dabei werden jedoch nicht nur der Fehler eliminiert, sondern zugleich alle weiteren in der Zwischenze­it vorgenomme­n Änderungen auf dem Festplatte­nbereich überschrie­ben. Wichtig bei dieser Methode ist deshalb, persönlich­e Daten nicht auf der Systempart­ition, sondern auf einer zweiten Partition oder Festplatte zu speichern.

Zum Teil deutlich komplexer gestaltet sich die Reparatur mit den weiteren Windowsint­ernen Tools sowie dem Zweitsyste­m Windows PE (Preinstall­ation Environmen­t). Microsoft dokumentie­rt die Funktionen ausführlic­h unter www.pcwelt.de/jy3l4p. Eine Zusammenfa­ssung mit Anwendungs­beispielen finden Sie bei uns unter www. pcwelt.de/2058900.

Für eine einfachere Neuinstall­ation von Windows 10 wird das nächste große Funktions-update im Frühjahr sorgen. In der neuen Windows-version „20H1“können Sie den Rechner anders als bisher zusätzlich über ein Image aus der Cloud zurücksetz­en. Die Methode soll weniger fehleranfä­llig und schneller sein als die bisherige.

?? ??
?? ?? Zwei Wege zum Starten der Ereignisan­zeige: entweder über das Kontextmen­ü des Windows-symbols (links im Bild) oder über den Befehl eventvwr in der Windows-suchleiste (unten in der Mitte).
Zwei Wege zum Starten der Ereignisan­zeige: entweder über das Kontextmen­ü des Windows-symbols (links im Bild) oder über den Befehl eventvwr in der Windows-suchleiste (unten in der Mitte).
?? ?? Der dreigliedr­ige Aufbau der Windows-ereignisan­zeige: links die verschiede­nen Protokollb­ereiche, in der Mitte die Liste mit den einzelnen Einträgen, rechts die jeweils verfügbare­n ausführbar­en Aktionen.
Der dreigliedr­ige Aufbau der Windows-ereignisan­zeige: links die verschiede­nen Protokollb­ereiche, in der Mitte die Liste mit den einzelnen Einträgen, rechts die jeweils verfügbare­n ausführbar­en Aktionen.
?? ?? Über die „Aktionen“-leiste (rechts) lässt sich jede Ereignisli­ste mit zum Teil vielen tausend Einträgen für mehr Übersicht filtern, hier gezeigt am Beispiel der als „Kritisch“klassifizi­erten Vorkommnis­se.
Über die „Aktionen“-leiste (rechts) lässt sich jede Ereignisli­ste mit zum Teil vielen tausend Einträgen für mehr Übersicht filtern, hier gezeigt am Beispiel der als „Kritisch“klassifizi­erten Vorkommnis­se.
?? ?? Kommt erst mit dem Funktionsu­pdate „20H1“im Frühjahr: Nutzer von Windows 10 können ihren PC künftig schneller und zuverlässi­ger über die Cloud neu aufsetzen.
Kommt erst mit dem Funktionsu­pdate „20H1“im Frühjahr: Nutzer von Windows 10 können ihren PC künftig schneller und zuverlässi­ger über die Cloud neu aufsetzen.
?? ?? Mit „Speichern und Leeren“löschen Sie das Ereignispr­otokoll und halten es so übersichtl­icher, ohne dass die darin abgespeich­erten Einträge ganz verloren gehen.
Mit „Speichern und Leeren“löschen Sie das Ereignispr­otokoll und halten es so übersichtl­icher, ohne dass die darin abgespeich­erten Einträge ganz verloren gehen.

Newspapers in German

Newspapers from Germany