Zum Inhalt springen
sw
en

Tippe um zu suchen

IT-Support (Business)

Ereignisanzeige & Windows-Logs

Die Windows-Ereignisanzeige erklaert – von den wichtigsten Event-IDs ueber PowerShell-Abfragen bis zu konkreten Troubleshooting-Szenarien im KMU-Alltag.

9 Min Lesezeit Fortgeschritten Zuletzt aktualisiert:

Was ist die Ereignisanzeige und warum brauchst du sie?

Die Ereignisanzeige (englisch: Event Viewer) ist das zentrale Diagnose- und Protokollwerkzeug von Windows. Jedes Mal, wenn ein Dienst startet oder abstuerzt, ein Benutzer sich anmeldet, ein Treiber einen Fehler wirft oder Windows ein Update einspielt – all das wird in strukturierten Protokollen festgehalten. Als IT-Allrounder im KMU-Umfeld ist die Ereignisanzeige dein erster Anlaufpunkt, wenn Benutzer klagen: “Der PC haengt manchmal” oder “Outlook startet seit gestern nicht mehr.”

Das Tool existiert seit Windows NT und wurde mit Windows Vista grundlegend erneuert (neue ETW-basierte Log-Infrastruktur). Heute gibt es hunderte von Log-Kanaelen – die meisten davon interessieren dich nicht. Dieser Artikel zeigt dir genau die Stellen, die im IT-Alltag wirklich relevant sind.

Ereignisanzeige oeffnen

Es gibt mehrere Wege, je nach Situation:

eventvwr.msc

Oder ueber den Schnellstart-Context-Menue: Rechtsklick auf den Start-Button > Ereignisanzeige.

Alternativ per Tastatur: Win+R, dann eventvwr.msc eingeben und Enter.

Auf einem Remote-Rechner verbindest du dich direkt aus der Ereignisanzeige: Rechtsklick auf “Ereignisanzeige (Lokal)” > Verbindung mit einem anderen Computer herstellen, dann Hostname oder IP eingeben. Voraussetzung: Firewall gibt den Port 135/TCP (RPC) und WinRM frei, und du hast Admin-Rechte auf dem Zielsystem.

Die Struktur – welche Logs gibt es?

Die Ereignisanzeige gliedert sich in zwei Hauptbereiche:

Windows-Protokolle (die klassischen Logs)

LogInhaltWichtigkeit im Alltag
SystemHardware, Treiber, Dienste, OS-EreignisseSehr hoch – hier siehst du Abstuerze, Treiberfehler, unerwartete Neustarts
AnwendungFehler von installierten ProgrammenHoch – Abstuerze von Office, ERP-Software etc.
SicherheitAnmeldungen, Zugriffsversuche, RichtlinienbearbeitungHoch – Pflicht bei Sicherheitsvorfaellen
SetupWindows-Updates, RolleninstallationenMittel – bei Update-Problemen
Weitergeleitete EreignisseZentral gesammelte Logs von anderen MaschinenNur relevant wenn Event Forwarding konfiguriert ist

Anwendungs- und Dienstprotokolle

Hier landen Logs von spezifischen Windows-Komponenten und Drittanbieter-Software. Relevant im Alltag:

  • Microsoft > Windows > WindowsUpdateClient – bei Update-Problemen
  • Microsoft > Windows > Security-SPP – Lizenzierungsfehler
  • Microsoft > Windows > DNS-Client – DNS-Probleme auf Clients
  • Microsoft > Windows > GroupPolicy – GPO-Anwendungsfehler (wichtig bei AD-Umgebungen)
  • Microsoft > Windows > Kernel-Power – unerwartete Neustarts, Bluescreens

Ereignisstufen verstehen

Jedes Ereignis hat eine Stufe:

StufeSymbolBedeutung
KritischRotes X mit AusrufezeichenSchwerwiegender Fehler, System funktioniert moeglicherweise nicht korrekt
FehlerRotes XKomponente oder Dienst hatte einen Fehler
WarnungGelbes DreieckPotenzielles Problem, das noch kein Fehler ist
InformationenBlaues iNormales Ereignis (Dienst gestartet etc.)
Detaillierte InformationenGraues iDebug-Level, standardmaessig meist nicht aktiviert

Im Alltag konzentrierst du dich auf Kritisch und Fehler, schaust aber auch auf Warnungen wenn du einem wiederkehrenden Problem auf der Spur bist.

Wichtige Event-IDs – das Cheat-Sheet

System-Log

Event IDQuelleBedeutung
41Kernel-PowerSystem wurde unerwartet neugestartet (Bluescreen, Stromausfall, Haenger)
1074USER32Benutzer oder Anwendung hat Neustart/Herunterfahren initiiert
6005EventLogEreignisdienst wurde gestartet (System hochgefahren)
6006EventLogEreignisdienst wurde gestoppt (ordentliches Herunterfahren)
6008EventLogLetztes Herunterfahren war unerwartet
7034Service Control ManagerDienst ist unerwartet beendet worden
7045Service Control ManagerNeuer Dienst wurde installiert – Achtung Malware-Indikator

Sicherheits-Log

Event IDBedeutung
4624Erfolgreiche Anmeldung
4625Fehlgeschlagene Anmeldung
4634Abmeldung
4648Anmeldung mit expliziten Anmeldeinformationen (z.B. runas)
4720Benutzerkonto erstellt
4722Benutzerkonto aktiviert
4723Passwortaenderung versucht
4725Benutzerkonto deaktiviert
4740Benutzerkonto gesperrt
4756Mitglied zu globaler Gruppe hinzugefuegt
4771Kerberos-Vorauthentifizierung fehlgeschlagen
4776DC hat versucht, Anmeldedaten zu validieren

Anwendungs-Log

Event IDQuelleBedeutung
1000Application ErrorAnwendungsabsturz mit Fehlerdetails
1001Windows Error ReportingFolgeereignis nach Anwendungsabsturz
1002Application HangAnwendung haengt / nicht mehr reagiert

PowerShell – Logs effizient auswerten

Die GUI der Ereignisanzeige reicht fuer erste Analyse, aber sobald du schnell durch hunderte Eintraege musst oder Logs von mehreren Rechnern auswerten willst, greifst du zu PowerShell.

Es gibt zwei Cmdlets: Get-EventLog (aelter, simpler) und Get-WinEvent (moderner, leistungsfaehiger, empfohlen).

Grundlegende Abfragen

# Letzte 20 Systemfehler (klassisch, einfach)
Get-EventLog -LogName System -EntryType Error -Newest 20

# Letzte 20 Systemfehler (modern, schneller bei grossen Logs)
Get-WinEvent -FilterHashtable @{LogName='System'; Level=2} -MaxEvents 20

# Ereignisse der letzten 24 Stunden
Get-WinEvent -FilterHashtable @{
    LogName   = 'System'
    Level     = 2
    StartTime = (Get-Date).AddDays(-1)
}

Sicherheitslog auswerten

# Alle gesperrten Accounts der letzten 7 Tage finden
Get-WinEvent -FilterHashtable @{
    LogName   = 'Security'
    Id        = 4740
    StartTime = (Get-Date).AddDays(-7)
} | Select TimeCreated, @{N='User'; E={$_.Properties[0].Value}}, @{N='Source'; E={$_.Properties[1].Value}}

# Fehlgeschlagene Anmeldeversuche (Brute-Force-Check)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625} -MaxEvents 50 |
    Select TimeCreated, @{N='User'; E={$_.Properties[5].Value}}, @{N='IP'; E={$_.Properties[19].Value}}

# Erfolgreiche Remote-Anmeldungen (Logon Type 3 = Netzwerk)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} |
    Where-Object {$_.Properties[8].Value -eq 3} |
    Select TimeCreated, @{N='User'; E={$_.Properties[5].Value}} -First 20

System-Events gezielt abfragen

# Unerwartete Neustarts (Event 41 = Kernel-Power)
Get-WinEvent -FilterHashtable @{LogName='System'; Id=41} |
    Select TimeCreated, Message | Format-List

# Neue Dienste (moeglicher Malware-Indikator!)
Get-WinEvent -FilterHashtable @{LogName='System'; Id=7045} |
    Select TimeCreated, @{N='Service'; E={$_.Properties[0].Value}}

# Alle kritischen und schweren Fehler der letzten Stunde
Get-WinEvent -FilterHashtable @{
    LogName   = 'System', 'Application'
    Level     = 1, 2
    StartTime = (Get-Date).AddHours(-1)
} | Sort TimeCreated -Descending

Logs exportieren

# Als CSV exportieren (z.B. fuer Analyse in Excel)
Get-WinEvent -FilterHashtable @{LogName='Application'; Level=2} -MaxEvents 500 |
    Select TimeCreated, Id, LevelDisplayName, ProviderName, Message |
    Export-Csv C:\Temp\AppErrors.csv -NoTypeInformation -Encoding UTF8

# Log als .evtx-Datei sichern (z.B. vor dem Loeschen oder fuer Weitergabe)
wevtutil epl System C:\Backup\System.evtx

Logs auf Remote-Rechnern auswerten

# Ereignisse vom Remote-PC abfragen (braucht Admin-Rechte + WinRM aktiv)
Get-WinEvent -ComputerName PC-Muster -FilterHashtable @{LogName='System'; Level=2} -MaxEvents 10

# WinRM auf Zielrechner aktivieren (einmalig, als Admin)
Enable-PSRemoting -Force

# PowerShell-Session fuer mehrere Abfragen oeffnen
$sess = New-PSSession -ComputerName FileServer01
Invoke-Command -Session $sess {
    Get-WinEvent -FilterHashtable @{LogName='System'; Id=41} -MaxEvents 5
}

Typische Troubleshooting-Szenarien

Szenario 1: PC startet unregelmaessig neu

  1. Ereignisanzeige oeffnen, System-Log
  2. Nach Event ID 41 (Kernel-Power) suchen – zeigt Zeitpunkt des Absturzes
  3. Kurz davor: Event ID 109 (Kernel-Power) oder WHEA-Fehler (Hardware-Fehler)?
  4. Bei WHEA-Fehlern: RAM pruefen (MemTest86), Temperaturen kontrollieren
  5. Event ID 1001 (Windows Error Reporting) zeigt ggf. den Stop-Code eines Bluescreens

Szenario 2: Benutzer-Account wird immer wieder gesperrt

  1. Sicherheitslog nach Event ID 4740 filtern
  2. Im Event-Detail: Welche Maschine hat die Sperrung ausgeloest? (“Caller Computer Name”)
  3. Auf dieser Maschine nach Event ID 4625 suchen
  4. Haeufig: Altes Kennwort in gecachten Verbindungen, gemappten Laufwerken oder Scheduled Tasks
# Schnell herausfinden, von welcher Maschine die Sperrung kommt
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4740} -MaxEvents 5 |
    ForEach-Object {
        [PSCustomObject]@{
            Time    = $_.TimeCreated
            User    = $_.Properties[0].Value
            LockedBy = $_.Properties[1].Value
        }
    }

Szenario 3: Software stuerzt nach Update ab

  1. Anwendungs-Log, Event ID 1000 suchen
  2. “Faulting application name” zeigt welches Programm, “Faulting module” zeigt welche DLL/Komponente
  3. Zeitstempel vergleichen: Wann war das letzte Windows-Update? (Setup-Log)
  4. Ggf. letztes Update deinstallieren: wusa /uninstall /kb:KB-Nummer

Log-Groesse und Aufbewahrung konfigurieren

Die Standardgroesse der System- und Anwendungslogs reicht im KMU-Alltag oft nicht aus. Gerade der Sicherheitslog sollte groesser sein:

# Aktuelle Log-Groessen und Einstellungen anzeigen
Get-WinEvent -ListLog System, Application, Security | Select LogName, MaximumSizeInBytes, FileSize

# Log-Groesse erhoehen (hier: Sicherheitslog auf 256 MB)
wevtutil sl Security /ms:268435456

# Oder per PowerShell
Limit-EventLog -LogName Security -MaximumSize 256MB

Fuer eine zentralisierte Log-Sammlung in groesseren Umgebungen schau dir Monitoring-Grundlagen an – dort findest du Tools wie PRTG oder Zabbix, die auch Windows-Event-Logs aggregieren koennen.

Benutzerdefinierte Ansichten & Abonnements

Benutzerdefinierte Ansicht erstellen

  1. In der Ereignisanzeige: Linke Spalte > Benutzerdefinierte Ansichten > Rechtsklick > Benutzerdefinierte Ansicht erstellen
  2. Zeitraum, Ereignisstufen und Logs auswaehlen
  3. Mehrere Logs gleichzeitig moeglich (z.B. System + Application)
  4. Event-IDs kommasepariert eingeben, z.B. 41, 6008, 7034
  5. Ansicht benennen und speichern

Windows-Event-Forwarding (WEF)

In groesseren Umgebungen kannst du Events zentral sammeln, ohne einen dedizierten SIEM-Server:

# Auf dem Quell-Computer (sendet Events)
wecutil qc /quiet
netsh advfirewall firewall add rule name="WinRM" dir=in action=allow protocol=TCP localport=5985

# Auf dem Collector-Computer (empfaengt Events)
wecutil qc
# Danach Abonnement in der Ereignisanzeige erstellen:
# "Abonnements" > Rechtsklick > "Abonnement erstellen"

Fuer professionelle Zentralisierung und Alerting empfiehlt sich ein Tool aus dem Bereich Monitoring-Grundlagen.

Ergaenzende Tools

Fuer komplexere Log-Analysen gibt es spezialisierte Tools:

  • Windows Event Viewer (eingebaut) – fuer schnelle Ad-hoc-Analyse
  • Event Log Explorer (Freeware) – bessere Filterung und Ansicht als der eingebaute Viewer
  • Chainsaw / Hayabusa – Open-Source-Tools fuer Threat-Hunting in .evtx-Dateien
  • Microsoft Sentinel / Defender XDR – Enterprise-SIEM, sammelt und analysiert Windows-Logs zentral

Fuer Sicherheitsvorfaelle lohnt sich auch ein Blick auf IT-Security-Grundlagen KMU – dort findest du den groesseren Kontext fuer Incident-Response.

Verwandte Seiten im Wiki

Weiterlernen

Videos

YouTube
Tutorial Windows-Ereignisanzeige Fehlersuche win10/11
YouTube
Systemstoerungen mit der Ereignisanzeige analysieren und beseitigen

Kommentare

Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.

  • Lade Kommentare …
Kommentar schreiben