Teilen über

BitLocker-Ereignisprotokolle

  • Artikel

Gilt für: Configuration Manager (Current Branch)

Der BitLocker-Verwaltungs-Agent und die Webdienste verwenden Windows-Ereignisprotokolle, um Nachrichten aufzuzeichnen. Wechseln Sie im Ereignisanzeige zu Anwendungs- und Dienstprotokolle, Microsoft, Windows. Der Protokollkanal (Knoten) variiert je nach Computer und Komponente:

  • MBAM: BitLocker-Verwaltungs-Agent auf einem Clientcomputer
  • MBAM-Web:
    • Wiederherstellungsdienst auf dem Verwaltungspunkt
    • Self-Service-Portal
    • Verwaltungs- und -Überwachungswebsite

Weitere Informationen zu bestimmten Nachrichten in diesen Protokollen finden Sie in den folgenden Artikeln:

In jedem Knoten werden standardmäßig zwei Protokollkanäle angezeigt: Admin und Betriebsbereit. Für ausführlichere Informationen zur Problembehandlung können Sie auch Analyse- und Debugprotokolle anzeigen.

Protokolleigenschaften

Wählen Sie in Windows Ereignisanzeige ein bestimmtes Protokoll aus. Beispiel: Admin. Wechseln Sie zum Menü Aktion, und wählen Sie Eigenschaften aus. Konfigurieren Sie die folgenden Einstellungen:

  • Maximale Protokollgröße (KB): Diese Einstellung ist 1028 standardmäßig (1 MB) für alle Protokolle.
  • Wenn die maximale Größe des Ereignisprotokolls erreicht ist: Standardmäßig sind die Admin- und Betriebsprotokolle auf Ereignisse nach Bedarf überschreiben (älteste Ereignisse zuerst) festgelegt.

Analyse- und Debugprotokolle

Sie können ausführlichere Protokolle zur Problembehandlung aktivieren. Wechseln Sie Ereignisanzeige zum Menü Ansicht, und wählen Sie Analyse- und Debugprotokolle anzeigen aus. Wenn Sie nun zum Protokollkanal navigieren, werden zwei zusätzliche Protokolle angezeigt: Analyse und Debuggen.

Tipp

Standardmäßig verfügen diese Protokolle über die folgenden Eigenschaften:

  • Maximale Protokollgröße (KB): 1028 (1 MB)
  • Ereignisse nicht überschreiben (Protokolle manuell löschen)

Exportieren von Protokollen in Text

Insbesondere bei den Analyse- und Debugprotokollen kann es einfacher sein, die Protokolleinträge in einer einzelnen Textdatei zu überprüfen. Verwenden Sie die folgenden PowerShell-Befehle, um die Ereignisprotokolleinträge in Textdateien zu exportieren:

# Out-String with a larger -Width does a better job compared to using Out-File with -Width. -Oldest is only required with debug/analytic logs.

# Debug log
Get-WinEvent -LogName Microsoft-Windows-MBAM/Debug -Oldest | Format-Table -AutoSize | Out-String -Width 4096 | Out-File C:\Temp\MBAM_Log_Debug.txt

# Analytic log
Get-WinEvent -LogName Microsoft-Windows-MBAM/Analytic -Oldest | Format-Table -AutoSize | Out-String -Width 4096 | Out-File C:\Temp\MBAM_Log_Analytic.txt

# Admin log
# The above command truncates the output from the admin log, this sample reformats the strings
Get-WinEvent -LogName Microsoft-Windows-MBAM/Admin |
    Select TimeCreated, LevelDisplayName, TaskDisplayName, @{n='Message';e={$_.Message.trim()}} |
    Format-Table -AutoSize -Wrap | Out-String -Width 4096 |
    Out-File -FilePath C:\Temp\MBAM_Log_Admin.txt