Aktivér samling af installations- og starthændelser

  • 6 minutter

Du kan bruge Installation og Start hændelsessamling til at gennemse start- og installationshændelser fra en række kildecomputere på en udpeget indsamlingscomputer. Når data er indsamlet, kan du analysere dem ved hjælp af Logbog, Wevutil.exeeller Windows PowerShell.

Hvad kan du overvåge?

Du kan overvåge følgende hændelser:

  • Indlæsning af kernemoduler og drivere

  • Optælling af enheder og initialisering af deres drivere

  • Kontrol og montering af filsystemer

  • Start af eksekverbare filer

  • Start og fuldførelse af systemopdateringer

  • De punkter, hvor systemet:

    • Bliver tilgængelig til logon
    • Opretter forbindelse til en domænecontroller
    • Fuldførelse af tjenesten starter
    • Tilgængelighed af netværksshares

Installér indsamlingstjenesten

Du kan installere indsamlingstjenesten ved hjælp af følgende kommando ved en kommandoprompt med administratorrettigheder: dism /online /enable-feature /featurename:SetupAndBootEventCollection.

Kontrollér korrekt installation ved at køre følgende Windows PowerShell-kommando ved en prompt med administratorrettigheder: get-service -displayname *boot*.

Tjenesten Boot Event Collector skal vises som Running som vist på følgende skærmbillede.

Skærmbilledet viser en PowerShell-session, der kører i et kommandovindue. Tjenesten Boot Event Collector viser statussen Running.

Konfigurer indsamlingstjenesten

Når du har installeret indsamleren, skal du konfigurere den. Dette omfatter to trin:

  • På destinationscomputerne (dem, du indsamler hændelser fra), skal du aktivere KDNET/EVENT-NET transport og aktivere videresendelse af hændelser.
  • På indsamlingscomputeren skal du angive, hvilke computere du accepterer hændelser fra, og definere en lagringsplacering for disse hændelser.

Følg vejledningen i dette dokument for at få flere oplysninger: Indsaml hændelser med Installation og Start hændelsessamling.

Når du har fuldført konfigurationen, skal du genstarte destinationscomputeren eller -computerne. Når målene er genstartet, opretter de forbindelse til indsamleren, og hændelser indsamles.

Gennemse logge

Når hændelserne er begyndt at blive indsamlet, kan du gennemse dem. Du kan finde logfilen for selve indsamlingstjenesten under: Microsoft-Windows-BootEvent-Collector/Admin.

Du kan bruge Logbog til en grafisk grænseflade til hændelserne. Benyt følgende fremgangsmåde:

  1. Opret en ny visning.
  2. Udvid programmer og tjenester Logge, udvid derefter Microsoft, og derefter Windows.
  3. Find BootEvent-Collector, udvid det , og find Admin.

Du kan også gennemse ved hjælp af Windows PowerShell: Get-WinEvent -LogName Microsoft-Windows-BootEvent-Collector/Admin.

Og fra en kommandoprompt: wevtutil qe Microsoft-Windows-BootEvent-Collector/Admin.