Ereignisanzeige & Windows-Logs
Die Windows-Ereignisanzeige erklaert – von den wichtigsten Event-IDs ueber PowerShell-Abfragen bis zu konkreten Troubleshooting-Szenarien im KMU-Alltag.
Was ist die Ereignisanzeige und warum brauchst du sie?
Die Ereignisanzeige (englisch: Event Viewer) ist das zentrale Diagnose- und Protokollwerkzeug von Windows. Jedes Mal, wenn ein Dienst startet oder abstuerzt, ein Benutzer sich anmeldet, ein Treiber einen Fehler wirft oder Windows ein Update einspielt – all das wird in strukturierten Protokollen festgehalten. Als IT-Allrounder im KMU-Umfeld ist die Ereignisanzeige dein erster Anlaufpunkt, wenn Benutzer klagen: “Der PC haengt manchmal” oder “Outlook startet seit gestern nicht mehr.”
Das Tool existiert seit Windows NT und wurde mit Windows Vista grundlegend erneuert (neue ETW-basierte Log-Infrastruktur). Heute gibt es hunderte von Log-Kanaelen – die meisten davon interessieren dich nicht. Dieser Artikel zeigt dir genau die Stellen, die im IT-Alltag wirklich relevant sind.
Ereignisanzeige oeffnen
Es gibt mehrere Wege, je nach Situation:
eventvwr.msc
Oder ueber den Schnellstart-Context-Menue: Rechtsklick auf den Start-Button > Ereignisanzeige.
Alternativ per Tastatur: Win+R, dann eventvwr.msc eingeben und Enter.
Auf einem Remote-Rechner verbindest du dich direkt aus der Ereignisanzeige: Rechtsklick auf “Ereignisanzeige (Lokal)” > Verbindung mit einem anderen Computer herstellen, dann Hostname oder IP eingeben. Voraussetzung: Firewall gibt den Port 135/TCP (RPC) und WinRM frei, und du hast Admin-Rechte auf dem Zielsystem.
Die Struktur – welche Logs gibt es?
Die Ereignisanzeige gliedert sich in zwei Hauptbereiche:
Windows-Protokolle (die klassischen Logs)
| Log | Inhalt | Wichtigkeit im Alltag |
|---|---|---|
| System | Hardware, Treiber, Dienste, OS-Ereignisse | Sehr hoch – hier siehst du Abstuerze, Treiberfehler, unerwartete Neustarts |
| Anwendung | Fehler von installierten Programmen | Hoch – Abstuerze von Office, ERP-Software etc. |
| Sicherheit | Anmeldungen, Zugriffsversuche, Richtlinienbearbeitung | Hoch – Pflicht bei Sicherheitsvorfaellen |
| Setup | Windows-Updates, Rolleninstallationen | Mittel – bei Update-Problemen |
| Weitergeleitete Ereignisse | Zentral gesammelte Logs von anderen Maschinen | Nur relevant wenn Event Forwarding konfiguriert ist |
Anwendungs- und Dienstprotokolle
Hier landen Logs von spezifischen Windows-Komponenten und Drittanbieter-Software. Relevant im Alltag:
Microsoft > Windows > WindowsUpdateClient– bei Update-ProblemenMicrosoft > Windows > Security-SPP– LizenzierungsfehlerMicrosoft > Windows > DNS-Client– DNS-Probleme auf ClientsMicrosoft > Windows > GroupPolicy– GPO-Anwendungsfehler (wichtig bei AD-Umgebungen)Microsoft > Windows > Kernel-Power– unerwartete Neustarts, Bluescreens
Ereignisstufen verstehen
Jedes Ereignis hat eine Stufe:
| Stufe | Symbol | Bedeutung |
|---|---|---|
| Kritisch | Rotes X mit Ausrufezeichen | Schwerwiegender Fehler, System funktioniert moeglicherweise nicht korrekt |
| Fehler | Rotes X | Komponente oder Dienst hatte einen Fehler |
| Warnung | Gelbes Dreieck | Potenzielles Problem, das noch kein Fehler ist |
| Informationen | Blaues i | Normales Ereignis (Dienst gestartet etc.) |
| Detaillierte Informationen | Graues i | Debug-Level, standardmaessig meist nicht aktiviert |
Im Alltag konzentrierst du dich auf Kritisch und Fehler, schaust aber auch auf Warnungen wenn du einem wiederkehrenden Problem auf der Spur bist.
Wichtige Event-IDs – das Cheat-Sheet
System-Log
| Event ID | Quelle | Bedeutung |
|---|---|---|
| 41 | Kernel-Power | System wurde unerwartet neugestartet (Bluescreen, Stromausfall, Haenger) |
| 1074 | USER32 | Benutzer oder Anwendung hat Neustart/Herunterfahren initiiert |
| 6005 | EventLog | Ereignisdienst wurde gestartet (System hochgefahren) |
| 6006 | EventLog | Ereignisdienst wurde gestoppt (ordentliches Herunterfahren) |
| 6008 | EventLog | Letztes Herunterfahren war unerwartet |
| 7034 | Service Control Manager | Dienst ist unerwartet beendet worden |
| 7045 | Service Control Manager | Neuer Dienst wurde installiert – Achtung Malware-Indikator |
Sicherheits-Log
| Event ID | Bedeutung |
|---|---|
| 4624 | Erfolgreiche Anmeldung |
| 4625 | Fehlgeschlagene Anmeldung |
| 4634 | Abmeldung |
| 4648 | Anmeldung mit expliziten Anmeldeinformationen (z.B. runas) |
| 4720 | Benutzerkonto erstellt |
| 4722 | Benutzerkonto aktiviert |
| 4723 | Passwortaenderung versucht |
| 4725 | Benutzerkonto deaktiviert |
| 4740 | Benutzerkonto gesperrt |
| 4756 | Mitglied zu globaler Gruppe hinzugefuegt |
| 4771 | Kerberos-Vorauthentifizierung fehlgeschlagen |
| 4776 | DC hat versucht, Anmeldedaten zu validieren |
Anwendungs-Log
| Event ID | Quelle | Bedeutung |
|---|---|---|
| 1000 | Application Error | Anwendungsabsturz mit Fehlerdetails |
| 1001 | Windows Error Reporting | Folgeereignis nach Anwendungsabsturz |
| 1002 | Application Hang | Anwendung haengt / nicht mehr reagiert |
PowerShell – Logs effizient auswerten
Die GUI der Ereignisanzeige reicht fuer erste Analyse, aber sobald du schnell durch hunderte Eintraege musst oder Logs von mehreren Rechnern auswerten willst, greifst du zu PowerShell.
Es gibt zwei Cmdlets: Get-EventLog (aelter, simpler) und Get-WinEvent (moderner, leistungsfaehiger, empfohlen).
Grundlegende Abfragen
# Letzte 20 Systemfehler (klassisch, einfach)
Get-EventLog -LogName System -EntryType Error -Newest 20
# Letzte 20 Systemfehler (modern, schneller bei grossen Logs)
Get-WinEvent -FilterHashtable @{LogName='System'; Level=2} -MaxEvents 20
# Ereignisse der letzten 24 Stunden
Get-WinEvent -FilterHashtable @{
LogName = 'System'
Level = 2
StartTime = (Get-Date).AddDays(-1)
}
Sicherheitslog auswerten
# Alle gesperrten Accounts der letzten 7 Tage finden
Get-WinEvent -FilterHashtable @{
LogName = 'Security'
Id = 4740
StartTime = (Get-Date).AddDays(-7)
} | Select TimeCreated, @{N='User'; E={$_.Properties[0].Value}}, @{N='Source'; E={$_.Properties[1].Value}}
# Fehlgeschlagene Anmeldeversuche (Brute-Force-Check)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625} -MaxEvents 50 |
Select TimeCreated, @{N='User'; E={$_.Properties[5].Value}}, @{N='IP'; E={$_.Properties[19].Value}}
# Erfolgreiche Remote-Anmeldungen (Logon Type 3 = Netzwerk)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} |
Where-Object {$_.Properties[8].Value -eq 3} |
Select TimeCreated, @{N='User'; E={$_.Properties[5].Value}} -First 20
System-Events gezielt abfragen
# Unerwartete Neustarts (Event 41 = Kernel-Power)
Get-WinEvent -FilterHashtable @{LogName='System'; Id=41} |
Select TimeCreated, Message | Format-List
# Neue Dienste (moeglicher Malware-Indikator!)
Get-WinEvent -FilterHashtable @{LogName='System'; Id=7045} |
Select TimeCreated, @{N='Service'; E={$_.Properties[0].Value}}
# Alle kritischen und schweren Fehler der letzten Stunde
Get-WinEvent -FilterHashtable @{
LogName = 'System', 'Application'
Level = 1, 2
StartTime = (Get-Date).AddHours(-1)
} | Sort TimeCreated -Descending
Logs exportieren
# Als CSV exportieren (z.B. fuer Analyse in Excel)
Get-WinEvent -FilterHashtable @{LogName='Application'; Level=2} -MaxEvents 500 |
Select TimeCreated, Id, LevelDisplayName, ProviderName, Message |
Export-Csv C:\Temp\AppErrors.csv -NoTypeInformation -Encoding UTF8
# Log als .evtx-Datei sichern (z.B. vor dem Loeschen oder fuer Weitergabe)
wevtutil epl System C:\Backup\System.evtx
Logs auf Remote-Rechnern auswerten
# Ereignisse vom Remote-PC abfragen (braucht Admin-Rechte + WinRM aktiv)
Get-WinEvent -ComputerName PC-Muster -FilterHashtable @{LogName='System'; Level=2} -MaxEvents 10
# WinRM auf Zielrechner aktivieren (einmalig, als Admin)
Enable-PSRemoting -Force
# PowerShell-Session fuer mehrere Abfragen oeffnen
$sess = New-PSSession -ComputerName FileServer01
Invoke-Command -Session $sess {
Get-WinEvent -FilterHashtable @{LogName='System'; Id=41} -MaxEvents 5
}
Typische Troubleshooting-Szenarien
Szenario 1: PC startet unregelmaessig neu
- Ereignisanzeige oeffnen, System-Log
- Nach Event ID 41 (Kernel-Power) suchen – zeigt Zeitpunkt des Absturzes
- Kurz davor: Event ID 109 (Kernel-Power) oder WHEA-Fehler (Hardware-Fehler)?
- Bei WHEA-Fehlern: RAM pruefen (MemTest86), Temperaturen kontrollieren
- Event ID 1001 (Windows Error Reporting) zeigt ggf. den Stop-Code eines Bluescreens
Szenario 2: Benutzer-Account wird immer wieder gesperrt
- Sicherheitslog nach Event ID 4740 filtern
- Im Event-Detail: Welche Maschine hat die Sperrung ausgeloest? (“Caller Computer Name”)
- Auf dieser Maschine nach Event ID 4625 suchen
- Haeufig: Altes Kennwort in gecachten Verbindungen, gemappten Laufwerken oder Scheduled Tasks
# Schnell herausfinden, von welcher Maschine die Sperrung kommt
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4740} -MaxEvents 5 |
ForEach-Object {
[PSCustomObject]@{
Time = $_.TimeCreated
User = $_.Properties[0].Value
LockedBy = $_.Properties[1].Value
}
}
Szenario 3: Software stuerzt nach Update ab
- Anwendungs-Log, Event ID 1000 suchen
- “Faulting application name” zeigt welches Programm, “Faulting module” zeigt welche DLL/Komponente
- Zeitstempel vergleichen: Wann war das letzte Windows-Update? (Setup-Log)
- Ggf. letztes Update deinstallieren:
wusa /uninstall /kb:KB-Nummer
Log-Groesse und Aufbewahrung konfigurieren
Die Standardgroesse der System- und Anwendungslogs reicht im KMU-Alltag oft nicht aus. Gerade der Sicherheitslog sollte groesser sein:
# Aktuelle Log-Groessen und Einstellungen anzeigen
Get-WinEvent -ListLog System, Application, Security | Select LogName, MaximumSizeInBytes, FileSize
# Log-Groesse erhoehen (hier: Sicherheitslog auf 256 MB)
wevtutil sl Security /ms:268435456
# Oder per PowerShell
Limit-EventLog -LogName Security -MaximumSize 256MB
Fuer eine zentralisierte Log-Sammlung in groesseren Umgebungen schau dir Monitoring-Grundlagen an – dort findest du Tools wie PRTG oder Zabbix, die auch Windows-Event-Logs aggregieren koennen.
Benutzerdefinierte Ansichten & Abonnements
Benutzerdefinierte Ansicht erstellen
- In der Ereignisanzeige: Linke Spalte > Benutzerdefinierte Ansichten > Rechtsklick > Benutzerdefinierte Ansicht erstellen
- Zeitraum, Ereignisstufen und Logs auswaehlen
- Mehrere Logs gleichzeitig moeglich (z.B. System + Application)
- Event-IDs kommasepariert eingeben, z.B.
41, 6008, 7034 - Ansicht benennen und speichern
Windows-Event-Forwarding (WEF)
In groesseren Umgebungen kannst du Events zentral sammeln, ohne einen dedizierten SIEM-Server:
# Auf dem Quell-Computer (sendet Events)
wecutil qc /quiet
netsh advfirewall firewall add rule name="WinRM" dir=in action=allow protocol=TCP localport=5985
# Auf dem Collector-Computer (empfaengt Events)
wecutil qc
# Danach Abonnement in der Ereignisanzeige erstellen:
# "Abonnements" > Rechtsklick > "Abonnement erstellen"
Fuer professionelle Zentralisierung und Alerting empfiehlt sich ein Tool aus dem Bereich Monitoring-Grundlagen.
Ergaenzende Tools
Fuer komplexere Log-Analysen gibt es spezialisierte Tools:
- Windows Event Viewer (eingebaut) – fuer schnelle Ad-hoc-Analyse
- Event Log Explorer (Freeware) – bessere Filterung und Ansicht als der eingebaute Viewer
- Chainsaw / Hayabusa – Open-Source-Tools fuer Threat-Hunting in .evtx-Dateien
- Microsoft Sentinel / Defender XDR – Enterprise-SIEM, sammelt und analysiert Windows-Logs zentral
Fuer Sicherheitsvorfaelle lohnt sich auch ein Blick auf IT-Security-Grundlagen KMU – dort findest du den groesseren Kontext fuer Incident-Response.
Verwandte Seiten im Wiki
- Troubleshooting-Methodik – strukturierte Herangehensweise an Probleme
- PowerShell im IT-Alltag – mehr PowerShell-Befehle fuer den IT-Support
- GPO-Grundlagen – Audit-Richtlinien per GPO verteilen
- Monitoring-Grundlagen – proaktives Monitoring statt reaktiver Log-Analyse
Weiterlernen
- Get-WinEvent – offizielle Microsoft-Dokumentation (Englisch)
- Windows-Ereignisprotokoll – Win32-API-Referenz
- Windows-Sicherheitsereignisse – vollstaendige Event-ID-Liste (Englisch)
- Heise: Windows 10 Fehlersuche mit dem Ereignisprotokoll
- Windows-FAQ: Windows Ereignisanzeige erklaert
- Ultimate Windows Security – Event ID Encyclopedia (Englisch)
Videos
Kommentare
Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.
- Lade Kommentare …