Gibt es eine vollständige Liste der Windows-Protokolle, die protokolliert werden können?

21

Ich weiß, dass es das Ereignisprotokoll gibt, aber dort hört es nicht auf. Es gibt Protokolle für ausführbare MSI-Dateien, Geräteprotokolle, Setup und Installation, Leistungsprotokolle usw. Es ist wahrscheinlich eine ziemlich lange Liste; Wo finde ich jedoch eine so umfassende Liste der Windows-Protokolle?

Normalerweise ist es praktisch, eine Liste zu haben, die über die Standardeinstellungen hinausgeht. um zu wissen, was jeder Logger macht, welche nicht standardmäßig aktiviert sind, welche nicht deaktiviert werden können, ...

Kennen Sie eine solche Liste? Hat jemand Lust, eine solche Liste zu erstellen?

windows logging tracking events minidumps Tamara Wijsman
quelle
1
Zusätzlich zu jeder Antwort kann man mit Powershell eigene Ereignisse in das Ereignisprotokoll schreiben, sodass jedes erstellte Skript oder jede interne Windows-Anwendung in das Ereignisprotokoll schreiben kann. Es ist wichtig, sich daran zu erinnern, dass Windows in den meisten Fällen nicht protokolliert, es jedoch Sache der einzelnen Anwendung ist, eigene Ereignisse zu protokollieren.
MDMoore313

Antworten:

19

Zentralisierte Protokollspeicherorte

  • %WINDIR%\System32\configoder %WINDIR%\System32\winevt\Logs
    Enthält die meisten Ereignisprotokolle, auf die über die Ereignisanzeige zugegriffen werden kann.

  • %WINDIR%\Logs
    Enthält viele Textprotokolldateien.

Microsoft Security Essentials

  • %PROGRAMDATA%\Microsoft\Microsoft Antimalware\Support
    Laufzeitprotokolle

  • %PROGRAMDATA%\Microsoft\Microsoft Security Client\Support
    Installationsprotokolle

Temporäre Installation und Windows Defender-Protokolle

  • %WINDIR\Temp\*.log
    Enthält Informationen zu MSI-Installationen sowie zum Starten / Scannen von Windows Defender.

  • %AppData%\Local\Temp\*.log
    Enthält Informationen zu MSI-Installationen, die im Kontext des aktuellen Benutzers ausgeführt wurden.

Windows-Installationsprotokolle

  • %AppData%\Local\Microsoft\Websetup(Windows 8)
    Enthält Details zur Web-Setup-Phase von Windows 8.

  • %AppData%\setupapi.log(Windows XP und früher)
    Enthält Informationen zu Geräte- und Treiberänderungen sowie wichtigen Systemänderungen, z. B. zur Installation von Service Packs und Hotfixes.

  • %SYSTEMROOT%\$Windows.~BT\Sources\Panther\*.log,xml
    Enthält Informationen zu Setup-Aktionen, Fehlern, Struktur, SIDs und frühen Setup-Geräten. Beim Rollback der Installation enthalten diese Dateien Rollback-Informationen.

  • %WINDIR%\PANTHER\*.log,xml
    Enthält Informationen zu Setup-Aktionen, Fehlern, Struktur, SIDs und späteren Setup-Geräten.

  • %WINDIR%\INF\setupapi.dev.log
    Enthält Informationen zu Plug & Play-Geräten und Treiberinstallationen.

  • %WINDIR%\INF\setupapi.app.log
    Enthält Informationen zur Installation von Anwendungen.

  • %WINDIR%\Performance\Winsat\winsat.log
    Enthält Leistungstestergebnisse.

Windows-Zeitdienst

  • So aktivieren Sie die Protokollierung des Windows-Zeitdienstes:

    w32tm /debug /enable /file:"C:\time-service.log" /entries:1000 /size:10485760

  • So deaktivieren Sie die Protokollierung des Windows-Zeitdiensts:

    w32tm /debug /disable

Windows Update

  • %WINDIR%\WindowsUpdate.log
    Enthält alle Ereignisse im Zusammenhang mit Windows Update

  • %WINDIR%\SoftwareDistribution\ReportingEvents.log
    Enthält Ereignisse im Zusammenhang mit Softwareupdate-Statusberichten.

Deployment Image Service und Management Tool (DISM)

  • %WINDIR%\Logs\DISM\dism.log
    Enthält Informationen zu Ereignissen, die bei der Interaktion mit dem Windows-Abbild auftreten.

Komponentenbasierte Wartung (CBS)

  • %WINDIR%\Logs\CBS\CBS.log
    Enthält Informationen zu Ereignissen, die bei der Interaktion mit Windows-Komponenten und -Funktionen auftreten.
Oliver Salzburg
quelle
1
+1 Wir könnten eine solche Liste aufbauen, weil ich bezweifle, dass es eine gibt.
Tamara Wijsman
-1

Ich denke du fragst nach dem Unmöglichen. Das Windows-Ereignisprotokoll enthält zahlreiche Protokollabschnitte, auf die Windows- und Nicht-Windows-Anwendungen und -Dienste zugreifen. Sie unterscheiden sich von einer Windows-Version zur nächsten. Darüber hinaus gibt es zahlreiche andere Protokollierungsoptionen, einschließlich Textdateien (z. B. .log) und in der internen Windows-Datenbank .

Die Liste ist umfangreich und vielfältig und hängt vom jeweiligen Betriebssystem und der Konfiguration ab.

CJM
quelle
1
@TomWijsman - Ersetzen Sie "Unwahrscheinlich, schwer verständlich" durch "unmöglich". Und Windows Server gehört zur Windows-Familie, die Sie in Ihre Tags aufgenommen haben.
CJM,
Einverstanden, obwohl das Zusammenstellen einer einfachen Liste bereits ein guter Anfang sein sollte, um die einfachsten Protokolle zu betrachten. Wenn Sie etwas sehr Spezielles verwenden, wie z. B. Windows Server, müssen Sie höchstwahrscheinlich das Ereignisprotokoll oder spezifischere Protokolle anzeigen. was höchstwahrscheinlich in der Dokumentation erwähnt wird.
Tamara Wijsman
-2

Lauf 

wevtutil el

an der Eingabeaufforderung.

C:\Users\rvlan500\Desktop>wevtutil el /?
List the names of all logs.

Usage:

wevtutil { el | enum-logs }

Example:

The following example lists the names of all logs.

wevtutil el

C:\Users\rvlan500\Desktop>
Richard Lando
quelle
2
Herzlich willkommen! Wie wäre es mit einer Erweiterung Ihrer Antwort? Wie hilft dies bei der Beantwortung der Frage? Warum sollte es jemand ausführen? Wie ist das nicht nur das Standard-Ereignisprotokoll?
ƬᴇcƬᴇιᴇ007