Protokoly událostí nástroje BitLocker

  • Článek

Platí pro: Configuration Manager (Current Branch)

Agent pro správu Nástroje BitLocker a webové služby používají protokoly událostí Systému Windows k záznamu zpráv. V Prohlížeč událostí přejděte na Protokoly aplikací a služeb, Microsoft, Windows. Kanál protokolu (uzel) se liší v závislosti na počítači a komponentě:

  • MBAM: Agent pro správu Nástroje BitLocker na klientském počítači
  • MBAM-Web:
    • Recovery Service v bodě správy
    • Samoobslužný portál
    • Web pro správu a monitorování

Další informace o konkrétních zprávách v těchto protokolech najdete v následujících článcích:

V každém uzlu uvidíte ve výchozím nastavení dva kanály protokolů: Správa a Provozní. Podrobnější informace o řešení potíží můžete také zobrazit analytické a ladicí protokoly.

Vlastnosti protokolu

Ve Windows Prohlížeč událostí vyberte konkrétní protokol. Například Správa. Přejděte do nabídky Akce a vyberte Vlastnosti. Nakonfigurujte následující nastavení:

  • Maximální velikost protokolu (KB): Ve výchozím nastavení je 1028 toto nastavení (1 MB) pro všechny protokoly.
  • Při dosažení maximální velikosti protokolu událostí: ve výchozím nastavení jsou Správa a provozní protokoly nastavené na Přepsat události podle potřeby (nejstarší události nejprve).

Analytické a ladicí protokoly

Pro účely řešení potíží můžete povolit podrobnější protokoly. V Prohlížeč událostí přejděte do nabídky Zobrazit a vyberte Zobrazit analytické a ladicí protokoly. Když teď přejdete na kanál protokolu, uvidíte dva další protokoly: Analytické a Ladicí.

Tip

Ve výchozím nastavení mají tyto protokoly následující vlastnosti:

  • Maximální velikost protokolu (kB):1028 (1 MB)
  • Nepřepisovat události (vymazat protokoly ručně)

Export protokolů do textu

Zejména u analytických a ladicích protokolů může být jednodušší zkontrolovat záznamy protokolů v jednom textovém souboru. K exportu položek protokolu událostí do textových souborů použijte následující příkazy PowerShellu:

# Out-String with a larger -Width does a better job compared to using Out-File with -Width. -Oldest is only required with debug/analytic logs.

# Debug log
Get-WinEvent -LogName Microsoft-Windows-MBAM/Debug -Oldest | Format-Table -AutoSize | Out-String -Width 4096 | Out-File C:\Temp\MBAM_Log_Debug.txt

# Analytic log
Get-WinEvent -LogName Microsoft-Windows-MBAM/Analytic -Oldest | Format-Table -AutoSize | Out-String -Width 4096 | Out-File C:\Temp\MBAM_Log_Analytic.txt

# Admin log
# The above command truncates the output from the admin log, this sample reformats the strings
Get-WinEvent -LogName Microsoft-Windows-MBAM/Admin |
    Select TimeCreated, LevelDisplayName, TaskDisplayName, @{n='Message';e={$_.Message.trim()}} |
    Format-Table -AutoSize -Wrap | Out-String -Width 4096 |
    Out-File -FilePath C:\Temp\MBAM_Log_Admin.txt