Registros de eventos de BitLocker
Se aplica a: Configuration Manager (rama actual)
El agente de administración de BitLocker y los servicios web usan registros de eventos de Windows para registrar mensajes. En el Visor de eventos, vaya a Registros de aplicaciones y servicios, Microsoft, Windows. El canal de registro (nodo) varía según el equipo y el componente:
- MBAM: agente de administración de BitLocker en un equipo cliente
-
MBAM-Web:
- Servicio de recuperación en el punto de administración
- Portal de autoservicio
- Sitio web de administración y supervisión
Para obtener más información sobre mensajes específicos en estos registros, consulte los artículos siguientes:
En cada nodo, de forma predeterminada verá dos canales de registro: Administración y Operativo. Para obtener información más detallada sobre la solución de problemas, también puede mostrar los registros de análisis y depuración.
Propiedades de registro
En Windows Visor de eventos, seleccione un registro específico. Por ejemplo, Administración. Vaya al menú Acción y seleccione Propiedades. Configure las siguientes opciones:
-
Tamaño máximo de registro (KB): de forma predeterminada, esta configuración es
1028
(1 MB) para todos los registros. - Cuando se alcanza el tamaño máximo del registro de eventos: de forma predeterminada, el Administración y los registros operativos se establecen en Sobrescribir eventos según sea necesario (primero los eventos más antiguos).
Registros de análisis y depuración
Puede habilitar registros más detallados para solucionar problemas. En Visor de eventos, vaya al menú Ver y seleccione Mostrar registros analíticos y de depuración. Ahora, cuando vaya al canal de registro, verá dos registros adicionales: Análisis y Depuración.
Sugerencia
De forma predeterminada, estos registros tienen las siguientes propiedades:
-
Tamaño máximo del registro (KB):
1028
(1 MB) - No sobrescribir eventos (borrar registros manualmente)
Exportación de registros a texto
Especialmente con los registros analíticos y de depuración, es posible que le resulte más fácil revisar las entradas de registros en un único archivo de texto. Use los siguientes comandos de PowerShell para exportar las entradas del registro de eventos a archivos de texto:
# Out-String with a larger -Width does a better job compared to using Out-File with -Width. -Oldest is only required with debug/analytic logs.
# Debug log
Get-WinEvent -LogName Microsoft-Windows-MBAM/Debug -Oldest | Format-Table -AutoSize | Out-String -Width 4096 | Out-File C:\Temp\MBAM_Log_Debug.txt
# Analytic log
Get-WinEvent -LogName Microsoft-Windows-MBAM/Analytic -Oldest | Format-Table -AutoSize | Out-String -Width 4096 | Out-File C:\Temp\MBAM_Log_Analytic.txt
# Admin log
# The above command truncates the output from the admin log, this sample reformats the strings
Get-WinEvent -LogName Microsoft-Windows-MBAM/Admin |
Select TimeCreated, LevelDisplayName, TaskDisplayName, @{n='Message';e={$_.Message.trim()}} |
Format-Table -AutoSize -Wrap | Out-String -Width 4096 |
Out-File -FilePath C:\Temp\MBAM_Log_Admin.txt